13:00
12/8/2020

Do napisania tego artykułu zbieraliśmy się przez kilka ładnych lat. Mniej więcej raz na tydzień dostajemy od Was pytanie o to jak zacząć swoją przygodę z bezpieczeństwem IT lub jak rozwinąć swoją karierę w branży ITSEC. Poniżej nasz przepis na sukces.

Publikacja tego artykułu jest możliwa dzięki jego sponsorowi, firmie Pracuj.pl, która przygotowała wyzwanie dla programistów: DECODE-IT. Trzeba wykonać 7 zadań programistycznych w jednym z języków (Java, JS, Python, PHP i C++). Zarejestrujcie się na tej stronie, aby rozpocząć wyzwanie. Na najlepszych czekają takie nagrody:

 

Jaką uczelnię/kierunek polecacie?

Za naszych czasów” żadna uczelnia nie szkoliła z bezpieczeństwa IT. W środowisku IT panuje powszechna opinia, że uczelnie techniczne są bardziej sprzyjające karierze w branży bezpieczeństwa, bo uczą sposobu myślenia i pewnych rzeczy, które po prostu w branży trzeba znać. Obecnie na coraz większej liczbie uczelni pojawiają się podyplomówki (a nawet całe kierunki) poświęcone bezpieczeństwu IT lub jego aspektom.

Całkiem świadomie nie będziemy tu robili rankingu uczelni, bo zgodnie z pierwszym prawem edukacji, dla każdego studenta, który jest z danej uczelni/kierunku i wykładowców zadowolony znajdzie się taki student, którego zadowolenie jest odwrotnie proporcjonalne.

Musimy za to wspomnieć o czymś bardzo “demoralizującym”. Aby pracować w branży bezpieczeństwa wcale nie trzeba mieć “papierka”. Co więcej, najlepsi w branży nie skończyli kierunkowych studiów, a czasem żadnych studiów… :)

Dyplom oczywiście nie zaszkodzi, a w niektórych skostniałych firmach może to być warunek konieczny, aby wskoczyć na odpowiedni szczebelek korpo-drabinki (i większej wypłaty). Przede wszystkim w naszej branży liczy się jednak praktyczne doświadczenie. O tym jak je zdobyć samodzielnie i od czego zacząć przeczytacie poniżej.

Dla tych, którzy jednak rozważają studia w temacie, sugerujemy:

  • patrzeć w pierwszej kolejności na nazwiska wykładowców (bardziej niż na program nauczania). Czy są to osoby z branży? Jakie mają doświadczenie/dorobek? Gdzie pracowali (to ważne, żeby gdzieś pracowali zanim zaczną uczyć innych, inaczej będą teoretykami, a teoretyków unikajcie). Smutna wiadomość jest taka, że o praktyków na polskich uczelniach trudno z wielu powodów, których w tym artykule poruszać nie chcemy.

    Aha, jeśli za studia płacicie upewnijcie się, że w umowie z uczelnią jest zapis o zwrocie pieniędzy, jeśli ta podmieni wykładowcę. Niektórzy lubią “wabić” studentów na znane nazwiska, ale potem podmieniają prowadzących…

  • rozważyć studia za granicą, jeśli macie taką możliwość, skorzystajcie z tej opcji, nawet jeśli to miały by być 3 miesiące “wymiany”. To świetny pomysł z co najmniej 4 powodów: nauczycie się lepiej innego języka; poznacie inną kulturę (a czasem i kilka kultur, jeśli zamieszkacie w “erasmusowym” akademiku) i poszerzycie swoje horyzonty; zobaczycie, że do edukacji można podchodzić inaczej niż w Polsce i być może będziecie musieli zarobić samodzielnie na swoje utrzymanie za granicą. Przepracowanie kilku dni jako np. kelner mocno przewartościuje Wam spojrzenie na wiele spraw.

    Psst, sprawdźcie, czy na Waszej uczelni nie ma odpowiedniego programu wspierającego wyjazdy na wymiany zagraniczne, a jeśli nie ma, pogooglajcie — wiele uczelni np. ze Szkocji i Irlandii ma swoje stypendia, na które z powodzeniem mogą aplikować Polacy.

Jeśli czyta nas teraz jakiś Polak studiujący coś związanego z cyberbezpieczeństwem za granicą, niech się ujawni w komentarzach i podrzuci linki do odpowiednich syllabusów i formularzy zgłoszeniowych / opisów programów stypendialnych na jego uczelni.

Aha, jeśli jesteś jeszcze młodszy, popatrz na szkoły ponadpodstawowe biorące udział w programie Cyber.mil z klasą.

Jeśli nie studia, to co?

Własna, ciężka praca. Zanim powiemy gdzie szukać wiedzy, musicie sobie odpowiedzieć na jedno bardzo ważne pytanie…

Bezpieczeństwo to dziś tak szerokie sformułowanie, że “specjalista ds. bezpieczeństwa” oznacza wszystko i nic. Czy chcecie zajmować się bezpieczeństwem aplikacji? Jakich? Mobilnych czy webowych? Który język? Który framework? iOS czy Android? A może bezpieczeństwo sieci lub systemów? Defensywa czy ofensywa? Informatyka śledcza? Bezpieczeństwo SCADA? A może audyt i bezpieczeństwo “procesowe” albo bardziej miękkie lub nawet prawnicze tematy około-prywatnościowo-RODO-owe?

Tego. Jest. Dużo. Pentesterzy, audytorzy, red-, blue-, purple teamowcy, sokiści, nocniki, secopsi, osintowcy i można by tak wymieniać prawie w nieskończoność. Warto wszystkiego liznąć po trochu, ale uważamy, że powininno się sprofilować. Z dwóch powodów:

  • aby być ekspertem w swojej działce, im węższej tym lepiej. Czegokolwiek nie wybierzecie z powyższych ścieżek kariery, tyle się w wybranym obszarze będzie działo, że aby trzymać rękę na pulsie i faktycznie “być ekspertem”, będziecie musieli chłonąć nową wiedzę nie tylko przez etatowe 8h, ale i po godzinach (!!!). Serio. Wybierzcie więc to, co sprawia Wam największą frajdę, bo jeśli pracą jest hobby, to te 16-18 godzin dziennie grzebania w temacie będzie mniej męczące. Przynajmniej przez pierwszych kilkanaście lat… ;)
  • aby więcej zarabiać. Można oczywiście twierdzić, że pieniądze nie są najważniejsze i szczęścia nie dają, że kultura pracy i zespół są najważniejsze. Ale nie oszukujmy się — finanse, zwłaszcza w Polsce, mają znaczenie i często są czynnikiem decydującym przy wyborze pracy. Lepiej pieniądze mieć, niż ich nie mieć.

Kilka dni temu Brian Krebs opublikował podsumowanie ankiety dotyczącej umiejętności osób wkraczających w branżę bezpieczeństwa zestawionych z oczekiwaniami pracodawców. Dane dotyczą rynku amerykańskiego, ale warto na nie spojrzeć, bo pokazują co reprezentują sobą absolwenci z USA i w jakich obszarach pracodawcy są najbardziej rozczarowani umiejętnościami rekrutowanych osób. Nie robiliśmy żadnych ankiet tego typu w Polsce, ale nasze niekwantyfikowalne odczucia są podobne:

Pamiętajcie też, że “bezpieczeństwo” to coś, co można nałożyć na wszystko. Dlatego naszym zdaniem lepiej jest np. zacząć od bycia programistą i zrozumienia jak aplikacje działają, a potem dorzucić do tego aspekty bezpieczeństwa. Albo rozpocząć karierę jako administrator systemów, poznać sieci na wylot, a potem nałożyć na to warstwy bezpieczeństwa. Tak będzie łatwiej, sensowniej.

(nie)Bezpiecznika zestaw umiejętności obowiązkowych

Niezależnie czy wybierzecie dla siebie karierę w defensywie czy ofensywie, czy będzie to kariera aplikacyjnego, czy sieciowego (nie)bezpiecznika, warto znać te, wymienione poniżej, zagadnienia w stopniu co najmniej podstawowym. Przydadzą się każdemu.

Długo myśleliśmy co wciągnąć na tę listę, analizując z czego sami korzystamy na co dzień “najczęściej”. Do niektórych punktów poniżej staraliśmy się dodać linka do dobrych i darmowych materiałów uczących danego zagadnienia, od zera do bohatera. Nie twierdzimy jednak, że czegoś nie pominęliśmy. Dlatego jeśli znacie lepsze źródła spełniające warunki darmowe, sam-korzystałem-i-wymiata, dajcie znać w komentarzach.
  1. Naucz się języka angielskiego. Bez niego będzie Ci w branży bezpieczeństwa bardzo ciężko. Wszelkie nowe i istotne informacje pojawiają się przede wszystkim w tym języku. Jechanie na Google Translate jest opcją, ale bardzo kiepską opcją. Już dziś przestaw sobie język w systemie i na smartfonie na angielski. Ustaw locale w przeglądarce na angielskie. Wybierz angielską ścieżkę językową i angielskie napisy na Netfliksie. Bombarduj się angielskim z każdej strony, żebyś wiedział jak poprawnie wymawiać Amazon (i nie tylko).
  2. Poznaj dobrze jeden, dowolny język programowania. Im popularniejszy, tym lepiej. Chodzi o to, abyś rozumiał koncepcję programowania obiektowego, wiedział czym różni się funkcja i metoda od zmiennej lokalnej i globalnej, co to jest warunek i pętla oraz kiedy użyć danej z nich. Nie musisz się katować algorytmami sortowania, ale zwracaj uwagę na to, który z fragmentów kodu robiących to samo, ale przy użyciu innych instrukcji szybciej zadziała na tych samych danych i spróbuj zrozumieć dlaczego. Jeśli nauczysz się dobrze jednego języka, łatwiej będzie Ci przyswoić kolejny, bo z grubsza idee programowania w różnych językach są do siebie zbliżone. Jeśli nie wiesz, od jakiego języka zacząć przygodę z programowaniem, zacznij od Pythona (na przykład od tych darmowych tutoriali).
  3. Dla ambitniejszych: poznaj programowanie niskopoziomowe i poczytaj o architekturze współczesnych komputerów. Można pisać aplikacje nic nie wiedząc o tych tematach, ale ciężko jest być bezpiecznikiem bez zrozumienia tego, “co dzieje się pod maską”. Dowiedz się, jakie są funkcje procesora, czym są rejestry, o co chodzi w zarządzaniu pamięcią, liźnij assemblera, który będzie dobrą podstawą do wkroczenia w świat reverse engineeringu. Odkrycie tego jak to wszystko działa “pod spodem” pomoże Ci lepiej zrozumieć z czego wynikają niektóre błędy bezpieczeństwa (por. atak Rowhammer, Bitsquatting, Spectre) i kto wie — może przez kolegów zostaniesz okrzyknięty mistrzem optymalizacji kodu, zwiększania wydajności i oszczędzania czasu i pieniędzy.
  4. Naucz się sprawnie korzystać z dowolnego edytora tekstowego. Niekoniecznie musisz zaczynać od razu od ViMa (1, 2, 3) czy Emacsa, Sublime czy Atom też dadzą radę. Umiejętność szybkiej edycji tekstu (w wielu liniach jednocześnie), duplikowania/kasowania linii, itp. to coś, co szybko zaprocentuje. Będziesz mieć więcej czasu. Będziesz wydajniejszy.
  5. Naucz się poruszać w terminalu i wybranej powłoce, bo to też zaoszczędzi Ci masę czasu. Psst, część skrótów klawiaturowych z “popularnych edytorów” jest “wspólna”. To zadziwiające jak wiele osób do kiedyś wydanego polecenia wraca “strzałką w górę” bo nie zna skrótu ^R lub w przypadku braku uprawnień przepisuje polecenie, nie używając sudo !!. Naucz się podstawowych komend i cech danej powłoki (systemu). Przyda Ci się także znajomość tych kilku uniwersalnych programów, którymi można zdziałać cuda:
    curl, wget, cut, wc, sort, uniq, sed, awk, xargs, ssh (wraz z tunelowaniem!) Po prostu przeczytaj ich “manuale” (man nazwa-narzędzia lub nazwa-narzędzia -h lub –help). Czasem nie ma lepszej drogi niż czytanie dokumentacji. No chyba, że jest. Nie ograniczaj się do świata Linuksa. Poznaj analogiczne polecenia na Windowsie, w powershellu.
  6. Poświęć dzień albo dwa na naukę wyrażeń regularnych. Przydadzą Ci się w wielu miejscach, od programowania, przez zaawansowaną edycję tekstu po tworzenie sygnatur na IPS-ach.
  7. Zaprzyjaźnij się z gitem i GitHubem. Dobrym pomysłem będzie wrzucanie tam tworzonych przez siebie projektów i notatek. Pracodawców z branży Twój profil na GitHubie interesuje bardziej niż ten na LinkedIn.
  8. Naucz się podstaw kryptografii, te umiejętności też są interdyscyplinarne. Poznaj koncepcję kryptografii symetrycznej i aysymetrycznej, zrozum najpopularniejsze protokoły, algorytmy i ich “tryby pracy”. Oraz funkcje skrótu. Ta książka wprowadza w temat bardzo grzecznie. Opanuj narzędzie openssl, to kombajn którym zrobisz bardzo wiele.
  9. Poznaj podstawy sieci komputerowych, czym są i jak różnią się od siebie protokoły, nie tylko TCP, UDP, ICMP, ale także protokoły routingu dynamicznego. Dziś bez połączenia “z chmurą” lub innymi systemami prawie nic nie działa. A z połączeniami często są problemy (psst, to “zawsze wina DNS-a” ;). Zrozum na czym polega zestawienie połączenia z webserwerem; od wpisania adresu strony internetowej w przeglądarce, przez rozwiązanie nazwy domenowej i zestawienie połączenia TLS krok po kroku (wraz z wymianą kluczy!), aż do wyświetlenia się zawartości strony internetowej. Czym jest TTL i MTU oraz jak BGP różni się od EIGRP? Naucz się obsługi tcpdumpa/Wiresharka, i narzędzi netstat, lsof, iptables, mtr, ncat, traceroute. Posniffuj trochę ruchu.
  10. Dziś dzięki wirtualizacji (tej w chmurze i tej lokalnie, na swoim komputerze) możesz sobie zbudować prawie wierną kopię środowiska sieciowego, na które jeszcze kilka lat temu musiałbyś wydać sporo kasiory, zapychając mieszkanie szumiącymi puszkami.
  11. Przydadzą Ci się podstawowe umiejętności posługiwania się wybranym hypervisorem “typu drugiego”, dlatego poznaj VirtualBox i naucz się go obsługiwać także z linii poleceń. Liźnij też modnego Dockera i poznaj różnice pomiędzy nim a Kubernetes. Pobrudź ręce zabawą dowolną chmurą, czy to Azurem, czy AWS-em, (obie platformy dają darmowe konta na początek). Wejście w “duże chmury” może być przytłaczające. Dlatego w świat serwerów zabawy ze skalowalnymi środowiskami proponujemy zacząć krok po kroku, zaczynając np. od “nakładki” na AWS-a, czyli DigitalOcean (dają 50 USD na start). Pobuduj sobie przykładowe środowiska z loadbalancerami, psuj je i sprawdzaj jak na awarie reaguje Twoja prywatna chmura.
    Jeśli potrzebujesz tylko jednego serwera na jakiś krótki (lub dłuższy projekt), szybko, tanio i wygodnie odpalisz go na Vultr (także z obrazem Windowsa, a wierz nam, że bardzo często będziesz potrzebował Windowsa). Vultr także daje 50 USD na start nowym klientom

    Dla ambitnych: poznaj narzędzia do “orchiestracji”, podstawy Ansible albo Puppet pomogą Ci być wydajniejszym i szybciej orać i stawiać od nowa środowiska. A będziesz je orał i stawiał bardzo często :)

 

Powyższe umiejętności to podstawy. Znając te rzeczy możesz zacząć głębiej wchodzić w tematykę bezpieczeństwa, uzupełniając konkretne obszary odpowiednimi aspektami już ściśle związanymi z bezpieczeństwem bezpieczeństwa (hardening, pentesting, monitoring, etc.).

Masz już podstawy? Dodaj do nich aspekty bezpieczeństwa i przekwalifikuj się na bezpiecznika

Ponieważ Niebezpiecznik od 9 lat szkoli z bezpieczeństwa, poniżej prezentujemy ścieżkę poszerzania kompetencji w oparciu o nasze szkolenia, w kolejności, która naszym zdaniem jest najodpowiedniejsza dla każdego bezpiecznika, niezależnie od tego, czy swoją przyszłość wiąże z bezpieczeństwem aplikacji czy sieci i systemów.

Celowo zostawiamy opisy poszczególnych szkoleń, abyś mógł zobaczyć czym są i na czym polegają te dodatkowe aspekty bezpieczeństwa dobudowywane do podstawowych umiejętności branżowych wymienionych w poprzednim rozdziale.

  • OSINT (Biały Wywiad) czyli techniki pozyskiwania informacji o ludziach i firmach
    W trakcie jednego dnia poznasz techniki i narzędzia zdobywania informacji w sieci, z których korzystać powinni wszyscy, nie tylko ludzie zajmujący się bezpieczeństwem. Dzięki nim znajdziesz odpowiedzi na pytania, takie jak m.in., czy X powiązany jest z Y, gdzie X się znajduje/znajdował, czym się interesuje. Jakie usługi i plany ma firma Y, kto nią faktycznie zarządza, kto w niej pracuje i nad czym. Jak odzyskać usunięte dane, jak ustalić brakujące fakty, jak pozyskać czyjeś dane osobowe i jak prześwietlić firmę lub człowieka. Analitycy finansowi, detektywi, pracownicy działów antyfraudowych, pentesterzy, funkcjonariusze, komornicy, prawnicy, skuteczni handlowcy, dziennikarze i aktywiści pro-prywatnościowi to tylko część z zawodów, jaka może skorzystać z tej wiedzy.
    Najbliższe terminy tego szkolenia, zarówno zdalne (internetowe) i lokalne (w różnych miastach) znajdziesz tutaj.

  • Bezpieczeństwo Sieci i Systemów (testy penetracyjne)
    3 dniowe mocno praktyczne szkolenie. Dajemy na nim samo mięso. Otrzymasz wszystko, co jest potrzebne, aby samemu przeprowadzać testy penetracyjne i analizy pod kątem bezpieczeństwa swojej sieci i maszyn w niej się znajdujących. Wprowadzenie w świat pentestów, exploitów i narzędzi oraz moduł formalno-prawny, który może się przydać przy realizacji takich usług (lub ich zamawianiu) załatwiamy pierwszego dnia do lunchu. A potem zaczyna się prawdziwa jazda bez trzymanki! Do końca trzeciego dnia uczestnicy pracują w naszym labie, symulującym prawdziwą sieć firmową. Wykonują pentest krok po kroku i szkolenie kończą ze zrootowanymi wszystkimi hostami (poprzez różne techniki i metody ataku). Muszą też omijać pułapki zastawione przez administratora atakowanej sieci, a czasem zmodyfikować exploita, aby zadziałał (bez obaw, pokażemy jakie to proste, (czasem)). To szkolenie realizujemy regularnie od ponad 8 lat i do tej pory przeszkoliliśmy ponad 3200 adminów, devopsów, ptesterów a nawet programistów, którzy chcieli “wiedzieć więcej”.
    Najbliższe terminy tego szkolenia, zarówno zdalne (internetowe) i lokalne (w różnych miastach) znajdziesz tutaj.

  • Bezpieczeństwo Windowsa,
    2 dniowe warsztaty, pokazujące jak można za darmo (a mimo to rzetelnie) zabezpieczyć system Windows przy użyciu wbudowanych w to środowisko mechanizmów i dodatkowego (także darmowego) oprogramowania Microsoftu. Zabezpieczyć przed popularnymi atakami zarówno ze strony “włamywaczy” zewnętrznych jak i złośliwych (lub nieroztropnych) pracowników.
    Uczestnicy na szkoleniu mają do dyspozycji kontroler domeny i “końcowkę” (Windows 10). W trakcie szkolenia za pomocą wbudowanych w Windows (choć nie zawsze popularnych) mechanizmów oraz dodatkowego zewnętrznego oprogramowania stworzą bezpieczną do pracy w środowisku biurowym konfigurację. Jeśli zastanawiałeś się kiedyś jak “zamknąć” użytkownikowi możliwość popełnienia błędu na stacji z Windowsem — to szkolenie jest dla Ciebie. Przy czym Maciek, który od kilkunastu lat opiekuje się bezpieczeństwem bankowych sieci pracowniczych pokaże Ci, że poprawnie zrobiony hardening stacji roboczej wcale nie oznacza paraliżu pracy pracownika i ciągłych telefonów do supportu, że czegoś nie da się zrobić.
    Najbliższe terminy tego szkolenia, zarówno zdalne (internetowe) i lokalne (w różnych miastach) znajdziesz tutaj.
  • Bezpieczeństwo Aplikacji Webowych,
    2 dniowe szkolenie pokazujące jak poprawnie i kompleksowo przetestować serwis internetowy pod kątem bezpieczeństwa. Uczestnicy wykonują ataki własnoręcznie, włamując się na nasz testowy serwis internetowy, a potem uczą się jak poprawnie tworzyć webaplikacje i jakie zabezpieczenia mogą zaimplementować w kodzie oraz na serwerze, aby utrudnić życie atakującemu. Aż 80% szkolenia to praktyczne laboratoria. Prezentowane są zarówno techniki programistyczne jak i konkretne narzędzia ułatwiające ataki i ochronę przed nimi. To szkolenie to nasz bestseller. Uczestnicy (ostatnich kilku terminów) ocenili szkolenie na: 9,64/10. Nic dziwnego, szkolenie prowadzone jest przez osoby, które mają doświadczenie pentesterskie i w trakcie szkolenia ujawniają tajniki swojego warsztatu.
    Najbliższe terminy tego szkolenia, zarówno zdalne (internetowe) i lokalne (w różnych miastach) znajdziesz tutaj.
  • Bezpieczeństwo Aplikacji Mobilnych,
    2 dniowe warsztaty, pokazujące błędy w aplikacjach mobilnych na Androida jak i iOS (wspominamy także o Windows Phone). Poza praktycznymi wskazówkami dla programistów jak unikać błędów i zapewniać bezpieczeństwo przetwarzanym przez aplikacje danym, na szkoleniu prezentowane są narzędzia i techniki służące do analizy aplikacji mobilnych pod kątem bezpieczeństwa. Każdy programista aplikacji mobilnych powinien móc samodzielnie sprawdzić czy tworzony przez niego kod i sposób komunikacji aplikacji z backendem w chmurze nie stwarza ryzyka dla danych użytkownika. Po tym szkoleniu będzie w stanie to zrobić, a nawet — jesteśmy pewni — będzie mu to sprawiać przyjemność :) Bonusem jest poznanie wielu narzędzi ułatwiających debugging aplikacji i diagnostykę w środowiskach mobilnych.
    Najbliższe terminy tego szkolenia, zarówno zdalne (internetowe) i lokalne (w różnych miastach) znajdziesz tutaj.
  • Informatyka Śledcza
    2 dniowe warsztaty, których celem jest nauczyć jak poprawnie zbierać informacje na temat incydentów teleinformatycznych poprzez analizę sprzętu komputerowego “podejrzanego” (np. pracownika lub klienta). Trener Witek, to biegły sądowy, który kładzie nacisk na pracę zgodnie ze sztuką tak, aby zebrane dane można było wykorzystać jako dowód w trakcie ew. sprawy w sądzie. W zakres szkolenia wchodzą także kwestie odzyskiwania danych i ustalania tego, co “podejrzany” robił na komputerze poprzez analizę tzw. artefaktów w systemie operacyjnym i aplikacjach takich jak przeglądarki i komunikatory. Z racji bogatego doświadczenia Witka w pracy z polskim wymiarem sprawiedliwości, uczestnicy tego szkolenia otrzymają wiedzę, która uprości im każde “dochodzenie”. Wiedzy tej na próżno szukać w ustawach lub podręcznikach do informatyki śledczej.
    Najbliższe terminy tego szkolenia, zarówno zdalne (internetowe) i lokalne (w różnych miastach) znajdziesz tutaj.

 

Czy warto korzystać ze szkoleń?

Naszym zdaniem tak. I nie tylko naszych :) Bo sami, choć prowadzimy nasze szkolenia, to z nowych dla nas tematów korzystamy z cudzych szkoleń, aby szybciej zdobyć wiedzę.

Ale patrząc na temat szerzej, poprawniejsza będzie uniwersalna odpowiedź pentestera numer 1: to zależy. Wyjaśnijmy za i przeciw.

Jeśli masz naprawdę dużo czasu, mały budżet i sporo samozaparcia, to pewnie będziesz w stanie samodzielnie pozyskać ~80% wiedzy prezentowanej na danym dobrym technicznie szkoleniu poświęcając na to miesiąc własnego czasu, a może rok, a może pięć lat

Największą wartością dobrych szkoleń jest nie tylko to, że przekażą sprawdzoną wiedzę praktyczną, ale że przede wszystkim przefiltrują informacje z danego zagadnienia i podadzą Ci tylko te faktycznie sprawdzone przez trenera i sensowne. W dodatku dostaniesz wszystko w odpowiedniej kolejności i stopniowo, a na koniec pozyskasz dodatkowe materiały do samodzielnej, dalszej nauki i poszerzania tematu. Zaletą jest więc doświadczenia trenera, który z danym zagadnieniem obcował przez lata i “siedzi” w temacie.

Samodzielne zdobywanie wiedzy z nowego obszaru jest oczywiście możliwe, ale będzie w większości przypadków wyglądało tak, że zaczniesz przerabiać 2-3 tutoriale, które znajdziesz frazą “best free online tutorial” w Google, rozpoczniesz lekturę 2-3 książek i… prędzej czy później natkniesz się na nieaktualne lub co gorsza sprzeczne informacje, które będziesz musiał sam przetestować “w boju”. Albo stracisz cierpliwość i zapytasz na jakimś forum, czekając aż ktoś Ci wyjaśni (lepiej lub gorzej) to, czego nie zrozumiałeś.

Bez trenera “za ramieniem” nikt od razu nie zauważy błędów, których popełniasz. Nikt od razu nie rozwieje Twoich wątpliwości i nie odpowie Ci na pytania, które Ci się zrodzą podczas nauki. Szukając odpowiedzi samodzielnie na forach, trafisz na rozwiązania, ale nie działające na nowszej wersji oprogramowania, z której korzystasz. Innymi słowy, ucząc się sam prawie na pewno zmarnujesz trochę czasu, jeśli w ogóle cały proces samodzielnej nauki Cię nie odrzuci.

“Niestety, podnoszenie kompetencji w IT to nie jest to samo co nauka wiersza na pamięć albo tego jak poprawnie upiec sernik. No, chyba że składniki zmieniają się dwa razy na godzinę, kuchenkę musisz sobie zbudować sam, a foremka stanie się kompatybilna z piekarnikiem dopiero po 3 godzinach spędzonych na oglądaniu hinduskiego poradnika na YouTube”

Oczywiście, jeśli brakuje Ci funduszy na szkolenia, to jedyną drogą i jak najbardziej możliwą do przejścia będzie przechodzenie przez kolejne darmowe tutoriale, jedne lepsze, drugie gorsze. Niestety “zielonym w temacie” osobom coraz ciężej idzie odnalezienie się w morzu coraz większych zasobów treści na temat danego zagadnienia które można znaleźć w sieci. To zrozumiałe, bo sami nie potrafią jeszcze przefiltrować tego, co jest z “nowego tematu” sensowne i wiarygodne, a co nie.

Podsumowując, sam musisz sobie odpowiedzieć na pytanie, czy warto wydać średnio 1 tysiąc złotych za 1 dzień szkoleniowy. Niby to sporo, ale przy zarobkach w IT procentowo nie jest to duży uszczerbek w budżecie. Zwłaszcza jeśli płacisz za wiedzę, która pomoże Ci coś szybciej, wydajniej i taniej stworzyć z reguły już dzień/tydzień po szkoleniu. Pamiętaj też, że pracując w IT zapewne i tak masz budżet szkoleniowy, bo pracodawcy wiedzą, że te 2-3 tysiące złotych zainwestowane w szkolenie szybko się zwrócą dzięki Twojej lepszej wydajności albo braku “marnowania czasu pracy” na czytanie książek, z których tylko 5% okaże się przydatne w pracy (niestety to, które strony zawierają te kluczowe 5% ludzie mogą powiedzieć dopiero po przeczytaniu całości) lub, co gorsza, zatrudnienia zewnętrznej firmy consultingowej do zrobienia roboty.

Odpowiedź czy uczestniczyć w szkoleniach zależy nie tylko od tego, jak bardzo cenisz sobie swój czas, ale także od tego jak bardzo zależy Ci na kontakcie z trenerem po szkoleniu. Tak, większość trenerów nie ignoruje pytań od swoich kursantów nawet po kilku latach jak mogą, to im pomagają. Takie “darmowe” i nieograniczone czasowo konsultacje z ekspertem z danej tematyki są w zasadzie bezcennym dodatkiem do szkolenia.

Szkolenia mają też jeszcze jeden aspekt — możesz poznać na nich innych ludzi z podobnymi problemami i zorientować się jak oni rozwiązali dane problemy w swoich firmach. Ten sam aspekt mają też konferencję. I w nich też warto brać udział właśnie ze względu na small-talki, networking, bo niestety jeśli chodzi o prelekcje, to …różnie to bywa, z dominacją słabszych nad lepszymi (na większości konferencji, chociaż jest kilka eventów trzymających poziom i napakowanych wiedzą a nie marketingiem). Tak czy inaczej, większość prezentacji i tak lepiej obejrzeć po konferencji, na przyśpieszeniu x2, a czas “na konferencji” spędzić w kuluarach na nawiązywaniu kontaktów.

Czy warto robić branżowe certyfikaty?

Obecnie coraz więcej pracodawców zaczyna traktować certyfikaty trochę jak dyplomy uczelniane — nie przywiązują do nich zbyt wielkiej wagi, ponieważ to, że ktoś zdał (albo ktoś zdał za niego) dany egzamin, wcale nie oznacza, że delikwent ma wiedzę, która wynika z programu szkolenia. Zwłaszcza że część certyfikatów zdaje się raz, a potem tylko “płaci” za przedłużenie, bez ponownej weryfikacji wiedzy posiadacza. Niestety. Są oczywiście mniej i bardziej szanowane certyfikaty (czyt. łatwiejsze i trudniejsze do zdobycia), ale podobnie jak przy uczelniach, nie chcemy tu tworzyć rankingów. Nie o to chodzi. Patologię certyfikatów dobrze ukazał niedawny wyciek z NCC Group.

Jeśli wymogiem pracy na danym stanowisku jest certyfikat, to tego nie przeskoczysz, będziesz musiał go zrobić. Natomiast jeśli jesteś dobry i “masz skilla” oraz udokumentowaną praktykę w danym obszarze bezpieczeństwa, to mało który pracodawca będzie zainteresowany tym, żeby sprawdzać jakie masz certyfikaty. Chyba że potrzebuje Cię do obsługi przetargu — ale wtedy to i tak UCIEKAJ ;)

Skąd jeszcze czerpać wiedzę?

Podstawowe umiejętności wymienione przez nas powyżej staraliśmy się podlinkować do całkiem niezłych tutoriali na początek. Takie dobre treści można, jak widzisz, znaleźć czasem za darmo w internecie. Ale pamiętaj, że panta rei, wszystko płynie, zwłaszcza w IT. Jutro wyjdzie nowa wersja biblioteki i API przestanie działać, firmware na routerze się zaktualizuje, AWS dojdzie do wniosku, że zmienia domyślną politykę i ten czy inny tutorial stanie się bezużyteczny.

Dlatego naucz się korzystać z dokumentacji, manuali, helpów i FAQ. A czasem bądź gotowy na przełknięcie śliny i szukanie odpowiedzi na Twoje pytania na forach, czy, co gorsza, w videotutorialach na YouTube…

Nie licz na wiele dobrych książek z danej tematyki (ponieważ patrz pierwszy akapit tego rozdziału, wszystko płynie). Chwilę po opublikowaniu treści mogą stać się nieaktualne. Jak to mówią:

jedyną stałą jest zmiana ;)

Na szczęście nową wiedzę z danego obszaru możesz czerpać od innych. Zarówno poprzez wspomniane wcześniej praktyczne szkolenia jak i śledzenie odpowiednich ludzi z branży na Twitterze — o tym poniżej.

Rzetelne źródła wiedzy?

Nie ma jednego miejsca w internecie, w którym pojawiają się wszystkie ciekawe i rzetelne informacje z danego obszaru. Zaakceptuj to, że

wiedzę z bezpieczeństwa zdobywa się tak, jak układa się duże, skomplikowane puzzle

Tu wpadnie Ci ciekawe rozwiązanie problemu A. Tam ktoś podlinkuje osobę F piszącą o J. Po przeczytaniu jej artykułu trafisz na repozytorium z kodem, gdzie w komentarzach znajdziesz opis N, a próbując to “odtworzyć samemu” dogooglasz się do techniki E. I dopiero wtedy, po złożeniu tego wszystkiego do kupy wyjdzie Ci to FAJNE coś.

Dlatego zapisuj sobie ciekawe artykuły, buduj własną bazę wiedzy i osób, od których warto się uczyć. Dziś prawie każda aplikacja pozwala “szerować” to co w niej widać jako tekst, grafikę lub link do innej aplikacji. W redakcji korzystamy z Todoista. Ma potężne możliwości kategoryzowania, tagowania i wyszukiwania oraz współdzielenia i obkomentowywania wiedzy. Sprawdza się też jako narzędzie do TODO albo notatnik na spotkania. Szerszy opis na profilu Piotrka na Facebooku, wraz z innymi narzędziami z których korzystają jego znajomi.

Świetne źródło wiedzy z pewnych obszarów bezpieczeństwa IT to subreddit Netsec. Warto też porozglądać się po branżowych serwisach, przejrzeć sekcję “blogów” firm z danego obszaru, poszukać tematycznych kanałów na Slacku (niestety, IRC i Usenet umarł). Poszukaj też ekspertów z danej dziedziny na Twitterze …a potem rozpocząć lekturę wszystkiego powyższego w swoim ulubionym czytniku RSS lub aplikacji mobilnej do agregacji treści (żeby chociaż istniała jedna taka, która pozwala zasysać informację z różnych typów źródeł…) i stopniowo rozwijać własny zestaw sprawdzonych źródeł patrząc na to, kto kogo cytuje, co regularnie poleca. To. Jest. Praca. Na. Lata.

Niebezpiecznik ma konto na Twitterze. Dziennie przeglądamy ~400 twitnięć i wybieramy z nich najlepsze, żebyś Ty nie musiał tego robić. Śledź nas i czytaj to co podajemy dalej. A jeśli masz więcej czasu i nie potrzebujesz naszego “filtra”, to zobacz czyje treści retwittujemy i kogo autorzy retwittowanych przez nas wiadomości śledzą i pododawaj ich wszystkich do obserwowanych, a potem obrastaj wyrzutami sumienia, że nie znalazłeś czasu aby to wszystko przeczytać i wpadnij w FOMO, bo coś przegapiłeś. Znamy to straszne uczucie aż za dobrze. ;)

Praktyka, praktyka, praktyka

Pamiętaj jednak, żeby nie tylko czytać, ale i gmerać, testować, budować, popełniać błędy, tworzyć, ulepszać, jednym słowem stale obcować z narzędziami, urządzeniami i technologiami.

Nowe rozwiązania testuj we własnym labie, który za darmo możesz zbudować na maszynach wirtualnych (wspomniany wcześniej VirtualBox). Nie zawsze musisz budować wszystko samodzielnie — dziurawe maszynki do bicia w różnych technologiach znajdziesz w internecie, np. na VulnHubie. A jeśli te Ci nie wystarczą, popatrz na programy Bug Bounty, czyli możliwość atakowania prawdziwej infrastruktury, prawdziwych firm, w zgodzie z prawem a czasem nawet z gratyfikacją finansową (o ile będziesz trzymać się zasad).

Jednym słowem, ciągle podejmuj wyzwania i poszerzaj horyzonty.

To dobry moment, aby przypomnieć o sponsorze tego artykułu firmie Pracuj.pl, która przygotowała wyzwanie dla programistów: DECODE-IT. Trzeba wykonać 7 zadań programistycznych w jednym z języków (Java, JS, Python, PHP i C++). Zarejestrujcie się na tej stronie, aby rozpocząć wyzwanie. Na najlepszych czekają takie nagrody:

  • 1 miejsce: gamingowy komputer stacjonarny + monitor + słuchawki
  • 2 miejsce: gamingowy komputer stacjonarny
  • 3 miejsce: karta graficzna ASUS GeForce RTX 2080 Ti ROG STRIX OC 11GB
  • 4-10 miejsce: 500 zł na zakupy w sklepie X-kom

Co robić, jak żyć?

Podsumujmy to wszystko do 5 punktów. Jeśli chcesz zacząć pracę w branży bezpieczeństwa:

    1. zacznij od wybrania profilu (webaplikacje? sieci? systemy? ofensywa? defensywa? audyt? etc.)
    2. naucz się tego, co wymieniliśmy w rozdziale “podstawowe umiejętności”.
    3. zbuduj własnego laba i testuj na nim narzędzia lub zacznij tworzyć własne programy
    4. dokumentuj własną ścieżkę nauki w formie bloga, GitHuba, Twittera, czegokolwiek, do czego mógłbyś odesłać przyszłego pracodawcę, aby pokazać mu swój rozwój przez lata, wytrwałość, zdolność rozwiązywania problemów i ogólnie “poziom”.
    5. stale się rozwijaj. Jeśli stoisz w miejscu, to idziesz do tyłu. Niezależnie od tego, czy wiedzę będziesz zdobywać przez darmowe tutoriale, czy przez płatne profesjonalne szkolenia z bezpieczeństwa, czy przez śledzenie tego, co piszą na Twitterze, rób to regularnie, trzymaj rękę na pulsie.

Jeśli zaczniesz działać tak, jak opisaliśmy powyżej, to pewnie jeszcze zanim dojdziesz do wniosku, że już jesteś gotowy, by samodzielnie wkroczyć na rynek i zacząć szukać pracy w branży, branża wcześniej sama odezwie się do Ciebie i Cię zrekrutuje ;)

PS. W temacie początków w branży bezpieczeństwa mamy też trwający godzinę, 11 odcinek podcastu Na Podsłuchu.

Przeczytaj także:



30 komentarzy

Dodaj komentarz
  1. ENISA robi zbiorczą mapkę z kierunkami cyber i około-cyber w Europie: https://www.enisa.europa.eu/topics/cybersecurity-education/education-map/
    Do szukania studiów za granicą może się przydać.

  2. W Niemczech takie stypendia nazywają się Bafög.
    Są zależne od dochodów rodziców ale raczej Polacy tyle nie zarabiają chyba że są w IT. Studiuję Informatyke przedsiębiorczą na uniwersytecie w Regensburg. Nie jest to niestety kierunek strikte na temat Cyberbezpieczenstwa ale jest specjalizacja na IT-Security.

  3. Wow, ta instrukcja pokazuje drogę do Zielonej Góry z Krakowa przez Mińsk. Wrzuciliscie nieprawdopodobnie dużo bardzo twardych umiejętności. A wcześniej piszecie że to również dla RODOwcow i audytorów. Przecież w dzisiejszych korpo jest ogromna specjalizacja i ciężko mi sobie wyobrazić żeby nawet techniczny analityk biznesowy dla rozwiązań bezpieczeństwa w banku czy tam techniczny pm w ogóle zobaczył na oczy linie komend. O jakichś data protection oficerach już nie wspominając. Jeśli ktoś chce liznąć tego trochę miększego bezpieczeństwa to moja rada na początek byłaby: przeczytać ze 3 publikacje NIST nr risk managementu. Wtedy przynajmniej ten ktoś zrozumie po co to wszystko się robi – a to już więcej niż przeciętny pracownik.

    • Ja szczerze mówiąc nigdzie nie widzę w tym artykule, żeby sekcja umiejętności byłą pisana i rekomendowana dla RODOWców i audytorów, czyli miękkich bezpieczników. Sekcja umiejętności na górze wymienia dość precyzyjnie komu Niebezpiecznik rekomenduje te skillsy.

      Rodowcy przywoływani są wcześniej, kiedy mowa o sprofilowaniu, może to Cię Lynxie zmyliło?

      Ale choć Niebezpiecznik] w sekcji umiejętności nie rekomenduje ich audytorom wszelkiej maści, to moim zdaniem każdy “miękki” bezpiecznik, audytor i rodowiec, powinien też poznać te kwestie, choć pobieżnie je przeczytać. Pozwoli mu to być lepszym miękkim bezpiecznikiem. Takim twardszym :-] Takich potrzebujemy.

    • Hmm może raczej przez Kijów, no wiecie: przez Mińsk w dzisiejszych czasach to by było raczej z praktykowaniem nie zamówionych testów penetracyjnych ;) :P

  4. Hej, czuje się wywołany do tablicy. Skończyłem właśnie 1 rok studiów na kierunku Cybersecurity na De Montfort University w Leicester. Zapraszam do rzucenia okiem na program studiów: https://www.dmu.ac.uk/study/courses/undergraduate-courses/cyber-security-bsc-degree/cyber-security-module-information.aspx

    Jeśli chodzi o stypendia to są dostępne kredyty rządowe na bardzo dobrych i korzystnych warunkach na czesne oraz wydatki związane z życiem

  5. No cóż… założę się, że wśród czytelników, większość nie specjalizuje się w wąskiej dziedzinie, tylko “wszystko po trochu”…
    Fajnie jest umieć zacisnąć RJ-tkę na skrętce, zdiagnozować jakiś problem z softem, dłubnąć w sprzęcie, pomodzić coś na switchu, zrobić prostą regułkę na fw, odzyskać dane itp. Niby umie się wszystko – jest się samowystarczalnym… do pewnego etapu. Niestety – kasa nie ta. Prestiż też. No cóż… ciężko teraz odkręcić błędy młodości. Angielski też już nie wejdzie tak jak mógł kiedyś…
    Specjalizujcie się!

  6. Ciekawy artykuł, dzięki za jego przygotowanie. A grafika, który przygotowywał decode-it niech go … … albo kogoś kto to akceptował. Czytelność oraz męczarnia dla oczu 100%. Tego się nie da czytać.

  7. I wy na prawdę tak żyjecie? 16 godzin pracy lub około pracy? Czytanie, doszkalanie, wszystko aż w takim wydaniu??? OMG. I co wy z tego macie? Ile tych tysięcy? Weekend ( nie pełny) i jedne wakacje w roku z rodziną, a do tego wyjście z ludźmi z pracy raz w roku i 2-3 imprezy urodzinowe znajomych. Lubię temat, ale to już masakra.

  8. Kurde, a ja jestem bezpiecznikiem, a programować nie umiem, no kto by pomyślał :)

    Artykuł nie wziął pod uwagę stanowisk SOCowych. Stosunkowo łatwo się dostać do takiego miejsca – jeśli ma się doświadczenie w IT. Jak już się czlowiek zaczepi i zdobędzie doświadzcenie w narzędziach – dobrze płatna praca sama przyjdzie :)

    Ale wazne jest to, żeby faktycznie się ksztalcić i douczać.

    A Pythona ciągle musze się nauczyć!

    • A co dokładnie robisz w SOC? Serio pytam. Bo ja podczas pracy w SOC miałem w zakresie między innymi tworzenie sygnatur i kilka rzeczy które bez pisania skryptów w shellu są raczej trudne do wykonania lub bardzo pracochłonne.

    • Jestem na T2, także jak T1 sobie nie może poradzić to pomagam w analizie, korzystam z SIEMa, robię dodatkowe searche – raporty jeśli kient potrzebuje. Buduję reguły korelacyjne jeśli trzeba jakąś zrobić lub na jakąś wpadnę. Kiedyś jeszcze zarządzałem EDR i pod nim pisałem reguły.
      Kiedyś zajmowałem się również onbardingiem log sourców oraz administracją i supportem pod kątem użycia SIEMa przez inne zespoły.

  9. Ad 1. Paaaniiieee, po angielsku to nawet programy lepiej dzialaja xD
    Po pierwsze primo: niektore programy potrafia posiadac rozne bugi w roznych wersjach jezykowych, najmniej jest zawsze w natywnym (zazwyczaj angielski) podobnie jest on najlepiej supportowany.
    Po drugie (primo ;) : pomoc/dokumentacja jest najczesciej prezentowana po angielsku co tworzy ladna synergie z informacjami o bledach czy uwagami diagnostycznymi a nietechniczni tlumacza maja w piekle swoja wlasna loze ;)
    patrze tutaj na was, “Szklane Pulapki” nazewnictwa systemowych komponentow :p
    Po trzecie: na wlasne oczy widzialem, szalencow probojacych spolszczac jezyki programowania! czlowiek laduje sobie komponent do basica, a tu error za errorem! co sie dzieje?!? jakis “geniusz” ponadpisywal w swoim projekcie komendy jezyka wlasnymi polskimi zamiennikami, tak to skompilowal i tak juz zostalo z “zaladuj/prywatne/koniec”-ami itp. xD

    Ad 2+3. Sugeruje zaczac od jakiegos jezyka proceduralnego czy nawet assemblera (tego lepiej sie uczyc na jakims emulatorze – ograniczone zasoby sporo upraszczaja i ulatwiaja wejscie w “mindset” jezyka)
    Jezyki obiektowe to “uproszczenia” dla humanistow. Fakt sa obecnie konieczne, ale jesli chcesz zrozumiec jak funkcjonuja komputery tylko zaciemniaja sprawe…

    Ad 4. Lepiej Vi. Jesli jest Vim to jest i Vi, ale w druga strone to nie zawsze dziala.

    Ad 5. Zdecydowane TAK!

    Ad 6. Warto umiec jak wiele innych rzeczy, ale kilka wystarczy i to tylko w niektorych sytuacjach. W wielu stwazaja niepotrzebne ryzyko – z czego potrafia sie wykluc bugi, podatnosci i calonocne naprawianie zniszczen…

    Ad 7. W wielu innych branzach technicznych moze i tak (chociaz i tak bym sie wachal), ale w bezpieczenstwie?

    Ad 8. Nazwa podpunktu troche nie teges :p pasuje raczej do rozkminienia enigmy (swoja droga “amatorskie” materialy na YT bija juz na glowe “profesjonalne” materialy telewizyjne), a przeciez nie o to chodzi.

    Ad 10. VirtualBox do Kubernetes, to raczej spory dystans :p

    • @WkurzonyBialyMis90210

      Ad (Ad.1) – no pewniee że najlepiej :) sam tak robię i to zarówno w systemach serwerowych jak i Windowso-podobnych. “Wszędzie dobrze, ale z angielska najlepiej ” :P a przynajmniej naj-jednoznaczniej. Bo nawet na najprostszym i ogólnie zrozumiałym poziomie -file zawsze znaczy file a directory to nie jakiś tam folder (tfu! słowo) (pomijam “Odwieczną wojnę” katalog vs folder). A im głębiej tym więcej niedomówień i problemów z tłumaczeniami . Szczególnie to wychodzi jak się bierzemy za przekład jakiejś wiekszej publikacji do druku – próbowałem – i problem jest z gatunku poetycki ;) – czyli że tłumaczenia jak kobiety – “te piękne nie są wierne i na odwrót” .

      A gdzie, jak gdzie, ale w informatyce przecież (ze szczególnym uwzględnieniem programowania) niedomówienia i misunderstandingi to porażka ….

      Ad. RóżnychKwiatkówFilmowych – a o “Blowfishu”/”Kodzie dostępu” nie myślałeś.. ???!
      To JEST dopiero ARTYZM ;P

      Ad. (Ad 2+3) – choć jedno drugiemu nie przeszkadza. Można być amatorem (ale takim świadomym mechanizmów dziejących się na poziomie powiedzmy assemblera, a lepiej jeszcze niżej na poziomie wywołań i poleceń procesora = kodu maszynowego) a jednocześnie ‘czesać całkiem niezłe pieniążki’ np programując w javie, phpie, czy innym djangu etc etc… Jedno , dla mnie, drugiego nie wyklucza a nawet taka wiedza może wzbogacić nieco :)
      Jak mawiał mój kolega (dobry programista w javie) – dla, za przeproszeniem za wyrażenie, “humanistów” jakikolwiek język będzie za trudny i nie do końca zrozumiały – w tym ich własny, natywny. :) :P

      Ad. (Ad. 4) – tutaj akurat zdecydowanie polecałbym zaczynać od Vi (i do tego c shella ) (chocby przez kilka tygodni jedynie) aby móc potem w pełni rozkoszować się Vim’em i bashem :)

      Ad. (Ad. 10) – podobnie jak do np. kontenerów dockera, czy XENa – ale nie o to chyba chodziło autorowi. Ja rozumiem to tak, że chodzi o zrozumienie samych zasad i popracowanie (/otrzaskanie sie) ze srodowiskami zwirtualizowanymi …

    • > Ad. RóżnychKwiatkówFilmowych – a o “Blowfishu”/”Kodzie dostępu” nie myślałeś.. ???!
      > To JEST dopiero ARTYZM ;P

      Nie ogladam komedii. Ten “Kod Dostepu” to cos od scenazystow klanu? ;D
      A bardziej na powaznie, jak na chwile obecna jednym z najbardziej realistycznych firmow o hackerach wciaz pozostaje Matrix, takze…

  10. Natomiast co do DECODE-IT. Jest tresc tych zadan gdzies dostepna do przejrzenia?
    Bo zeby oferta: “popracuj a moze *wygrasz* zaplate” to zadania musialy by byc same w sobie ciekawe, a chowanie ich za wyciaganiem danych (rejestracja) to juz lekka przesada.

    Paradygm: rzucimy ambicja a ty popracuj “za darmo” (nie zadarmo, bo zawsze sa koszta czyli jestes na minusie) naprawde nie potrzebuje upgrade’u do ale na wszelki wypadek, gdybys sie rozmyslil po zobaczeniu o co biega wczesniej podaj nam swoje dane… ktore jak wszyscy wiemy sa warte conajmniej kubek kawy w starbucksie :p

    • Nie znaja wstydu. Zarejestrowalem sie z temp maila (notabene haslo moze miec 15 znakow lub mniej, bo najwyrazniej “chopakom szkoda bajtow…” o czym dowiadujemy sie potym jak rejestracja padnie chociaz tester wczesnie oznacza je na zielono —- ale fakt, przynajmniej wiemy ze faktycznie potrzebuja programistow)

      TL;DR: Nawet po rejestracji nie dostaniesz pytan. Jedno naraz (bez uzasadnienia) bo to wcale nie jest standardowa sztuczka psychologiczna nastawiona na robienie ludzi w konia, tj. wykorzystywanie biasu percepcji (wyszukiwarki daja du* i profiluja odpowiedzi pod pytania dla niezbyt bystrych “mas” wiec nie znajde teraz jak to sie nazywa) generalnie jak juz ludzie w cos zainwestuja swoj czas/wysilek/pieniadze to maja problem z rezygnacja chociaz kolejne investycje sa coraz bardziej stratne a wartosc calosci idzie mocno na minus (zachowanie absolutnie bez sensu z matematyczno strategicznego punktu widzenia, ale ludzie instynknownie w to wpadaja). Dlatego wlasnie developerzy gier tak bardzo cisna i ulatwiaja wydanie jakichkolwiek pieniedzy, bo jak ludzie sie przelamia to juz idzie z gorki (swoja droga, sporo oszustow tez wykorzystuje ta zasade w swoich przekretach, bo jak sie wycofasz to gwarantowana strata a moze sie uda miec tyle szczescia co facet ktoremu platynowe meteoryty spadaja pod nogi kilka razy w roku…).

    • @WkurzonyBialyMis90210

      tzw “reguła zaangażowania i konsekwencji” albo po staremu “niska piłka” ;)

      Fajnie że zajrzałeś za ściankę, mi się nie chciało – chociaż nieco zaintrygowało mnie że można wybrać PHP ;P

    • Dzieki :)

      Ps. Wyszukiwarka latnie podsumowala te regole kategoryzujac ja jako manipulacja i dodajac cos od siebie (^-^)

      > Techniki manipulacji według Roberta Cialdiniego:
      >
      > 2. Reguła lubienia i sympatii – skłonność do ulegania wpływom
      > osób nam podobnych i lubianych przez nas.

      Ach te stereotypy…

      > 4. Reguła zaangażowania i konsekwencji – podążanie za działaniami,
      > w które się już zaangażowaliśmy.
      > 6. Reguła niedostępności – większa atrakcyjność rzeczy, nawet
      > tylko pozornie trudno dostępnych.

      Jakby ktos sie przebil przez calosc, moglbys dac znac czy ktores z zadan przypominalo zlecenie dla freelancera lub jego analogie? (bo to nie jest tak, ze nigdy sie nie zdarzylo zeby jakis Janusz Biznesu usilowal przemycic normalne zlecenia pod pozorem lub w dodatku do konkursu…)

  11. s/(?<=syme)n(?=trycznej)//
    s/(?<=w) (?=budowanych)//
    s/(?<=trzymaj)a(?=cych)/ą/
    s/(p)(h)(anta r)(ei)/$1$3$2$4/
    s/(?<=bezpi)(?=czeństwa)/e/
    s/(?<=przegl)a(?=damy)/ą/
    Już abstrahując od interpunkcji.

    Przy forach i tutorialach prawdopodobnie powinny się znaleźć superuser.com, security.stackexchange.com, stackoverflow.com – każdy problem rozebrany na dziesięć sposobów, choć po angielsku, no ale to i tak jest po prostu wysoko w wynikach wyszukiwania Google (dla ludzi z Accept-Language zawierającym "en" choćby i po przecinku za "pl"), więc każdy tam trafia.

  12. Co do Erazmusa to w moich czasach było tak (nie wiem czy nadal tak jest) że jak się kończyło Erazmusa to można było zostać i ukończyć uczelnię na której zrobiło się Erazmusa – grantu na cześciowe utrzymanie się już nie dostawało ale program Erazmus opłacał czesne do końca studiów. Warto sprawdzić także taką drogę.

  13. @niebezpiecznik

    Kolejny standardowy poradnik typu “można wejść do security różnymi drogami, jako programista, admin, audytor, prawnik – ale my się znamy na programowaniu, więc właśnie tę drogę opiszemy”. Chyba że jest w tym ukryta wiadomość “admini, audytorzy i prawnicy sami znajdą drogę, a programistom trzeba instrukcję” ;P

    Nie no, przesadzam, w sumie niektórzy programiści też są bystrzy.

  14. @Nbzp

    Ad. 5 Do listy komend/programów (tych najpotrzebniejszych) dopisałbym jeszcze :
    – screen , grep/find (ale z dobrym zrozumieniem detali – RTFM), ps (z dokładnym RTFM), tail, last, which , apropos
    a z sieciowych/security :
    – ping/arping
    – arp (z parametrami – RTFM)
    – nmap
    – dig
    – host
    – whois
    – nc
    – iptraf
    – hping(2,3)
    – tcpdump
    – lsof
    – top/htop/dstat
    – scp/sftp
    – wget

    Tak mniej-więcej na poczatek do pracy powinno wystarczyć.

  15. Witam jestem studentem Drugiego Cyber Security And Computer Forensics w UK, w razie jakby ktoś miał
    Jakieś pytania o to jak aplikować na studia oraz gdzie śmiało zapraszam do wysłania emaila

    • Idziecie śladem youtuberów? Od teraz każdy artykuł będzie musiał mieć swojego sponsora?

    • Wolisz płacić abonament za dostęp do treści? To daj znać, gdzie podesłać numer konta, wyłączymy Ci wtedy reklamy.

  16. Dla tych co usnęli czytając ten długaśny artykuł lub przerazili się ilością zagadnień, uproszczę do trzech punktów. Jeśli jesteś początkującym skup się na 3 zagadnieniach. 1. Jak zabezpieczyć desktop z Windowsem przed wszelkimi patogenami lub przywrócić go do zdrowia gdy już zachoruje. 2. Jak zabezpieczyć serwer uniksopodobny przed wyciekami. 3. Socjotechnika czyli jak nie zostać zrobiony w balona. Apple i urządzenia mobilne to wyższa szkoła jazdy, w której należy się specjalizować selektywnie. Zamiast tracić czas na czytanie manuali lepiej zapytać wujka gooogle lub YouTuba ale pamiętajmy, że nie zawsze odpowiedź może być prawdziwa. 0-dayów i tak sami nie naprawimy więc kopia, kopia i jeszcze raz kopia. Dwa razy dziennie, przed pójściem spać i o poranku, zamiast pacierza. Dzisiaj nawet księgowa musi mieć podstawową wiedzę z zakresu cybersecurity.

    • Chyba kolego nie zrozumiałeś jaki jest cel tego artykułu j do kogo on jest skierowany. Rady które wymieniłeś jako ‘lepsze” niż te z artykułu, nie pomogą nikomu wystartować z karierą bezpiecznika.

  17. Cieżko… cieżko poświęcić tyle czasu na uczeniu się o programowaniu, jak wystarczy jedna osoba w firmie która otworzy załącznik w dobrze zrobionym mailu. Żeby zrobić dobrego maila nie trzeba tego wszystkiego znać… Wystarczy się przejść, zadzwonić, napisać i popatrzeć. Złapać jedną kartkę z drukarki. To jest bez sensu..

    • @Jacek

      I…właśnie na tym polega (w znacznej mierze) Twoja rola w firmie – że tego kogoś, zanim “otworzy załacznik w dobrze zrobionym mailu” stać było na czas i chwile zastanowienia – zeby najpierw zadzwonić do Ciebie z pytanie” właśnie znalazłem coś dziwnego/niepokojacego w poczcie, przyjdzie Pan zobaczyć ? ”
      ;)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: