1

Pentester: The Profession Of Ethical Hacker

Sorry, this entry is only available in Russian and Ukrainian. For the sake of viewer convenience, the content is shown below in one of the available alternative languages. You may click one of the links to switch the site language to another available language.

Начнем с базового понятия, что же такое penetration test. Это имитация реальной хакерской атаки, с некоторыми ограничениями. Цель — найти возможность получения доступа к ценным активам компании и/или человека (финансы, ценная информация и т.п.). Об отличиях пентеста от хакерских атак вы можете почитать тут. А пока поговорим предметнее о том, как всё происходит и кто скрывается под белым капюшоном?

Итак, специалист проводит разведку, затем взламывает один из элементов защиты, проникает и закрепляется в системе.

По сути, пентестер ищет и использует уязвимости IT-инфраструктуры компании, чтобы выявить слабые места системы раньше, чем какой-то киберзлоумышленник захочет ими воспользоваться.

 

Что должен уметь пентестер?

Допустим, вы хотите устроиться пентестером в компанию или взять специалиста к себе на работу. Какими базовыми навыками должен обладать кандидат:

 

  • уметь писать код на одном или нескольких языках программирования (Python, PHP, JavaScript и т.д.);
  • понимать, как работают браузеры и осуществляется коммуникация с сервером;
  • знать особенности языков программирования и типовых ошибок, которые могут допустить разработчики;
  • понимать бизнес-логики и логики работы системы, быть способным проводить анализ для выявления ошибок, которые потенциально может допустить разработчик;
  • разбираться в системах Linux и Windows;
  • разбираться в основных сетевых протоколах (HTTP, TCP, DNS) / сетевых службах (Proxy, VPN, AD);
  • иметь навыки использования софта для аудита и эксплуатации уязвимостей, например SqlMap, Nmap, Metasploit, Acunetix, Burp Suite и прочее;
  • знать особенности работы баз данных и основных CMS, способов защиты их от атак;
  • иметь хорошие коммуникативные навыки и понимать психологию действий хакеров;
  • иметь достаточно высокий уровень английского.

 

 

Где учат этическому хакерству?

Не обязательно идти учиться в университет, чтобы стать пентестером, достаточно желания и времени. Вся информация открыта и есть уйма возможностей для самостоятельного погружения. Также существуют различные пентест-лаборатории для обучения: Hackthebox, Root Me, Vuln Hub. Участие в таких симуляторах некоторые компании даже выносят в список обязательных навыков.

 

Если у вас нет базы, но есть четкая цель, то где-то за полгода можно освоить всю нужную информацию и получить начальную позицию. Но, как ни круты, опыт в этой профессии — первостепенное. И дело даже не в количестве лет или найденных уязвимостей. Важно, как хорошо специалист может работать руками, какие проекты выбирает и как о них рассказывает.

 

Существует много разных направлений в пентесте: web, mobile, IT-инфраструктура, АСУ ТП и прочие. Вам не обязательно разбираться во всём. Исходя из своих интересов, на первых этапах, выберите что-то одно и копните глубже.

 

 

Ключевые составляющие профессии

  • Творчество и умение выходить за рамки

Ваша работа — найти уязвимость, даже если придется придумать способ, который никому в мире ещё не приходил на ум. Так что креатив и смекалку придется проявлять часто. Например, в рамках Red team проектов специалисты могут собрать собственное устройство на базе Raspberry Pi, установив модуль GSM. Затем использовать его в проектах для организации незаметного удаленного доступа во внутреннюю сеть заказчика.

 

  • Любопытство и азарт

Все проекты уникальны. Это как будто ты каждый раз проходишь новый квест, набиваешь очки и оттачиваешь навыки в игре. Потому вряд ли кто-то может сказать, что профессия пентестера скучная.

 

  • Нарушение правил

В своей работе пентестер действует ровно теми же методами, что и хакер. Есть только одно отличие, у него на руках есть «бумажка», которая это разрешает. Этот ореол запретности придает профессии романтики и даже легкого чувства исключительности.

 

  • Осознание ответственности

Быть на «светлой» стороне – это круто. Но не стоит забывать, что чувства всевластия безнаказанности могут со временем сыграть с вами злую шутку. Изучая личные переписки, вам может случайно попасться слишком личная информация или финансовое положение человека показаться слишком привлекательным и уязвимым.  «Опыт дает пентестеру практически безграничные возможности, и только его нравственные принципы определяют — останется он на светлой стороне защитников информации или перейдёт на темную сторону нарушителей закона».

 

 

Ситуация на рынке

Квалифицированный пентестер всегда будет востребованным на рынке труда.

Технологии проникают везде. У бизнеса появляется всё больше информационных систем. Процесс автоматизации глобален. Растёт количество цифровых продуктов, а значит и их уязвимостей. Появляется всё больше новостей о хакерских взломах. Компании боятся репутационных и финансовых потерь, вкладывают больше денег в кибербезопасность.

Вместе с этим правительство постоянно модернизирует законы о хранении персональных данных, требуя от бизнеса защищать их должным образом.

 

Источник: Tproger

Related Posts

Leave a Reply

Your email address will not be published.