Co skłoniło Cię do podjęcia wymagającej drogi, jaką jest zostanie pentesterem? Jakie były największe wyzwania podczas zdobywania certyfikatu OSCP?
Michał Szczechura: Odkąd zainteresowałem się tematem „hakowania” zacząłem otrzymywać mnóstwo reklam różnych kursów związanych z cybersecurity, czyli algorytmy działają prawidłowo, gdzie sugerowane jest często, że to ciekawa branża z wysokimi zarobkami i wieloma wakatami, gdzie praktycznie każdy może znaleźć swoje miejsce — wystarczy skończyć kurs. Nikt nie mówi, że konieczne są odpowiednie zdolności oraz ogromna ilość wolnego czasu.
Jako że od dziecka interesuję się komputerami i mam ścisły umysł, pomyślałem, że to idealna dla mnie ścieżka kariery. Sprzedałem swoją firmę i zabrałem się do pracy, zdobycie certyfikatu OSCP zajęło mi równy rok intensywnej pracy, praktycznie od rana do wieczora. Być może da się szybciej, jednak największym wyzwaniem jest na pewno ogrom wiedzy do przyswojenia — z wielu dziedzin informatyki — oraz konieczność ciągłego ćwiczenia i rozwoju. Nie da się w tym przypadku osiąść na laurach.
Powiedz, jakie umiejętności zdobyte podczas kursu uważasz za najważniejsze w pracy pentestera?
M. S.: Sam kurs OffSec przygotowujący do egzaminu OSCP utrwalił moją dotychczasową wiedzę, jednak najwięcej według mnie daje praktyka, czyli samodzielne rozwiązywanie zadań — z ewentualnymi wskazówkami – tu pomocna jest bardzo społeczność na Discord.
Praca pentestera polega na szukaniu podatności, im więcej mamy z nimi do czynienia, tym większa szansa, że w prawdziwym świecie wyłapiemy ich więcej i szybciej. Świat nie stoi w miejscu, cały czas powstają nowe aplikacje internetowe, a tym samym szanse na różnego rodzaju „dziury”, które mogą przynieść opłakane skutki, jeśli zostaną wykorzystane przez cyberprzestępców.
Po krótkim świętowaniu zdobycia ostatniego certyfikatu zabrałem się od razu za kurs Portswigger Academy, aby zostać specjalistą także w dziedzinie testowania web aplikacji, to podobno obecnie ok. 80-90% wszystkich zleceń dla pentesterów.
Twoje wyniki egzaminacyjne są imponujące. Wspomniałeś jednak o braku komercyjnego doświadczenia jako głównej przeszkodzie w znalezieniu pracy. Co chciałbyś powiedzieć potencjalnym pracodawcom, którzy mogliby dać Ci szansę na zdobycie pracy?
M. S.: Przez wielu rekruterów czas poświęcony na rozwiązywanie zadań na platformach TryHackMe czy HackTheBox jest uznawany za doświadczenie kandydata. Niedawno dowiedziałem się, że warunkiem jest odpowiednia dokumentacja, czyli tzw. writeup'y, pokazujące drogę do celu.
Przypominają one w swojej formie raporty z pentestów, oczywiście w ograniczonym stopniu. Niestety, rozpoczynając swoją przygodę z CTF'ami, nie miałem takiej wiedzy, na szczęście odbyty kurs cyberbezpieczeństwa oraz wymogi firm certyfikujących skutecznie nauczyły mnie pisania profesjonalnych sprawozdań.
Potencjalnym pracodawcom chciałbym zasugerować rekrutację polegającą na rozwiązywaniu konkretnych zadań (np. pentest maszyny czy aplikacji internetowej + raport). Wydaje mi się, że można w ten sposób właściwie ocenić poziom kandydatów.
Czy jest coś, co chciałbyś przekazać innym osobom marzącym o karierze w cybersecurity, które mogą zmagać się z podobnymi wyzwaniami?
M. S.: Moje pierwsze skojarzenie to „try harder”, czyli motto firmy OffSec dla swoich kursantów — mają nawet piosenkę z takim refrenem. A poważnie, radziłbym w pierwszej kolejności skorzystać z darmowych zasobów szkoleniowych platform typu TryHackMe i przekonać się na własnej skórze, czy złapiemy bakcyla. Potem można iść dalej. Cybersecurity stało się moim hobby, jeśli umożliwi mi ono otrzymywanie wypłaty, będę spełnionym zawodowo człowiekiem.
Podczas Twojej nauki największym wsparciem była Twoja żona. Teraz to ona potrzebuje pomocy. Została u niej zdiagnozowana ostra białaczka szpikowa. Jakie wsparcie jest jej najbardziej potrzebne? W jaki sposób możemy pomóc, jak mogą pomóc czytelnicy?
M. S.: Chciałbym bardzo podziękować mojej żonie, bo to ona namówiła mnie do zmiany branży i zajęcia się cyberbezpieczeństwem. Otrzymałem od niej duże wsparcie, ponieważ poza swoją pracą zajmowała się domem i dziećmi w czasie, gdy ja spędzałem dnie i noce przed monitorem. Aktualnie zajmuje się wyszukiwaniem dla mnie ofert pracy.
Egzamin OSCP zdawałem, gdy była w szpitalu na chemioterapii, aktualnie czeka ją przeszczep szpiku. Aby było to możliwe, musi znaleźć się odpowiedni dawca, czyli tzw. bliźniak genetyczny. Chciałbym wszystkich zachęcić do darmowej rejestracji jako potencjalny dawca poprzez portal dkms.pl — wysyłając specjalny pakiet, robimy wymaz i odsyłamy. Co kilka dni wraz z liczną grupą wolontariuszy robimy także akcje rejestracji dawców w Bielsku-Białej, przy okazji różnych wydarzeń. Pamiętajmy, że potrzebujących jest bardzo wielu, zawsze może okazać się, że akurat my możemy uratować komuś życie.
Dziękujemy Ci za rozmowę. Mamy nadzieję, że Twój głos dotrze do wielu osób, które mogą Ci pomóc w realizacji Twoich marzeń i wsparciu Twojej żony.
Czytelniku, masz możliwość wesprzeć Michała w jego poszukiwaniach pracy? Masz dla niego ofertę, pomysł na zdobycie doświadczenia, ale również chcesz pomóc jego żonie? Skontaktuj się z nami: [email protected] albo napisz bezpośrednio do Michała za pośrednictwem LinkedIn.
Rozmawiała: Monika Świetlińska
Fot. Archiwum prywatne M. Szczechury
