Skip to main content
Loading...
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.

Jak (nie)zostałem pentesterem

Jak (nie)zostałem pentesterem

Zawód pentestera jest moim marzeniem i celem, do którego bardzo intensywnie dążę od dłuższego czasu. Komputerami i informatyką interesuję się od ponad 30 lat, kiedy to zaczynałem swoją przygodę z Amigą 500 i z wypiekami na twarzy oglądałem filmy typu Tron. Finalnie dwie dekady później otworzyłem swój własny sklep i serwis komputerowy w Bielsku-Białej, a po fascynacji możliwościami biznesowymi jakie daje internet, założyłem i prowadziłem przez 12 lat portal, na którym można było zamawiać kuriera. 

Początki pasji i pierwsze kroki

W głowie miałem wciąż nowe pomysły (próba ze start-upem), aż pewnego dnia trafiłem na reklamę pewnego kursu przygotowującego do pracy w Red Team. Po odbyciu szkolenia weryfikacyjnego i zaliczeniu pierwszego testu przez kolejne 7 miesięcy każdą wolną chwilę poświęcałem na naukę i ćwiczenia praktyczne, czego finałem miało być uzyskanie renomowanego certyfikatu OSCP.

Intensywna edukacja i pierwsze certyfikaty

Pierwszy raz w życiu edukacja naprawdę sprawiała mi frajdę (studiowanie matematyki nie było zbyt ekscytujące...), poznałem konkursy CTF, w których z biegiem czasu zacząłem brać udział. W pewnym momencie poczułem się na tyle pewnie, że postanowiłem podejść do egzaminów juniorskich Practical Junior Web Tester (PJWT) oraz Practical Junior Penetration Tester (PJPT) od firmy TCM Security. 

Wymagano tam już napisania profesjonalnych raportów, co jest nieodłączną rzeczą w pracy pentestera. Udało mi się uzyskać oba certyfikaty, na platformie TryHackMe znalazłem się w TOP 1% uczestników, więc kolejnym celem stało się uzyskanie OSCP, który bardzo często wymieniany jest w treści ofert pracy w branży cybersecurity.

Od razu po ukończeniu kursu przygotowującego zapisałem się na kurs firmy OffSec PEN-200, co wraz z przerobieniem ich 171 maszyn Proving Grounds pochłonęło mnie całkowicie na kolejne 3 miesiące. Jednak dzięki tej pracy otrzymałem na start 10 punktów bonusowych, które jak się później okazało, były kluczowe.

AD_4nXcEbtdzqKKlnkIW79Fk59vpLrbZDymfHTrTPYA3zDruHGDKOrZNg0JirwnOBQyziNBLPzgDNQ3Wx4u9dJLbhGMYe0rGwSXZU3NtyjsL3P-SSIpCJEgMTrnNR3VMctWVd8wXBZjrT-PLNsrg0Pd2AFVnf8ndv1__YYQk-EnLwROzATLEV-IxI3M?key=nFaSPu1kq2WKToqcCqhG2g

Stresujący egzamin OSCP i triumf

Ustalony wcześniej termin egzaminu zbliżał się nieubłaganie, a tym samym poziom stresu, ponieważ sam proces egzaminacyjny jest dość wyczerpujący. Przygotowałem moje notatki, napoje i posiłki, kamerę (przez 24 godziny  zdawania jest się pod ciągłą obserwacją, a wyjście np. do toalety należy zgłaszać) i punktualnie o wyznaczonej porze przeszedłem weryfikację tożsamości oraz otrzymałem dostęp do maszyn egzaminacyjnych.

Zdawałem w pomieszczeniu bez okien, także po kilku godzinach straciłem rachubę czasu, przeżywałem huśtawki nastrojów, robiłem postępy, ale i natrafiałem na trudności „nie do przejścia”. Wcześniej planowałem drzemkę dopiero po rozwiązaniu zadań w ilości gwarantującej zdanie, jednak po 14 godzinach wytężonej pracy umysł odmówił posłuszeństwa i udałem się na czterogodzinny spoczynek.

Nad ranem wróciłem do mojego stanowiska z nowymi siłami i od razu wpadłem na brakujące rozwiązania, tak że wszystkim przyszłym zdającym chciałbym poradzić, aby dobrze wsłuchiwali się w swój organizm i dobrze planowali przerwy.

Udało mi się zdobyć całkowicie 3 maszyny, co dawało razem z punktami bonusowymi 70 punktów, czyli wystarczająco do zaliczenia.

Zdający ma kolejne 24 godziny na napisanie raportu i tu chciałbym podziękować raz jeszcze koledze z kursu (udało się na nim nawiązać kilka fajnych znajomości), który uczulił mnie na poziom jakości raportu. Wtedy zacząłem czytać w internecie różne wypowiedzi na ten temat, gdzie potwierdziło się, że raport ten musi być na tyle szczegółowy, aby osoba średnio techniczna była w stanie odtworzyć moje wszystkie kroki.

Biorąc pod uwagę zdawalność egzaminu — poniżej 50% — oraz moją minimalną ilość punktów, kilka dni oczekiwania na wyniki było prawdziwą torturą. Proszę wyobrazić sobie moją radość, gdy otrzymałem następującą wiadomość:

AD_4nXfd29rtrmq_fWTOaJP1zrA7jJrYu_BTvc180xsHpqr2eKTUlXo0ZFstvnLq1PE40Jp6s_ezA7BURNbdlzFg-_kxPVOzsNh9hGyVJ-77jO0Hdq2SSD7bnLdtjjMs28yEewI96W-TEzve9a5vIjQetijqL4N1yMMFznkaR0Nbff7FGnfUbUxzuA?key=nFaSPu1kq2WKToqcCqhG2g

Nareszcie mogłem się porządnie wyspać.

Zderzenie z rzeczywistością rynku pracy

Ten łącznie rok wytężonej, codziennej pracy służyć miał temu, aby zdobyć wymarzoną pracę jako pentester, zaktualizowałem więc moje CV i ruszyłem na podbój świata. Niestety, szybko zostałem sprowadzony na ziemię przez rekruterów. 

Pomijając niewielką ilość ogłoszeń na to stanowisko, okazało się, że tak naprawdę głównym warunkiem zatrudnienia jest komercyjne doświadczenie, w ilości najlepiej minimum 3-5 lat.

Odbyłem oczywiście kilka rozmów, tu muszę wspomnieć o jednej z firm, gdzie aby aplikować należało wykonać szereg zadań (z finałem w postaci pentestu aplikacji webowej) – super pomysł. Cóż z tego, gdy w odpowiedzi otrzymałem informację, że wszystko super, ale brakuje mi doświadczenia. Z tego samego powodu dostałem odmowy od wszystkich osób rekrutujących.

Nadzieje na przyszłość

Nie poddaję się, wierzę, że w końcu się uda, a tymczasem rozpocząłem przygotowania do zdobycia kolejnego certyfikatu, Burp Suite Certified Practitioner od znanej zapewne większości firmy PortSwigger. Mam nadzieję, że otrzymam szansę zdobycia komercyjnego doświadczenia.

W tym miejscu chciałbym podziękować mojej rodzinie za wyrozumiałość, dzieciom za to, że pozwoliły tacie siedzieć po całych dniach przed monitorem oraz kochanej żonie, która nie mogła wraz ze mną świętować zdanego egzaminu, ponieważ na kilkanaście dni wcześniej zdiagnozowano u niej ostrą białaczkę szpikową. 

Korzystając z okazji, jeśli dotarli Państwo do tego momentu, zastanówcie się proszę nad zgłoszeniem za pośrednictwem strony fundacji DKMS.pl jako potencjalni dawcy szpiku. To nic takiego, a można uratować komuś życie.

Fot. Archiwum prywatne M. Szczechury

Oceń artykuł

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa