В связи с участившимися за последнее время атаками хакеров, а также их масштабами, большинство компаний все больше внимания стало уделять вопросам своей защиты. В связи с чем вырос спрос на услуги пентестеров. Если раньше в своем штате держали пентестеров только крупные компании-разработчики, то в настоящее время все чаще стали появляться вакансии и в мелких компаниях, а также стартапах.

Как известно, спрос рождает предложение. Все больше и больше IT-специалистов решает посвятить себя такому направлению, как этичный хакинг. Во-первых данное направление активно развивается в России. Во-вторых реально крутых пентестеров на рынке не так много, поэтому есть куда расти. В-третьих работа пентестера очень хорошо оплачивается.

Что происходит с вами после прохождения курсов этичного хакинга, когда вы начинаете искать работу в данном направлении. Вы сталкиваетесь со всеми знакомым замкнутым кругом, который так распространен в России. Опыта без работы не получишь, а на работу без опыта не устроишься. Но это не самая неприятная проблема, которая может вас ожидать. При продолжительном поиске данной работы и многократных отправках своего резюме, вы рано или поздно натыкаетесь на эти грабли:

  1. На вашем пути появляется потенциальный работодатель, который обещает вам доход выше среднего на рынке в вашем городе. Интересно? Еще бы. Поиски информации о данной компании, как правило, не дают никакого результата. Ее просто не существует. Здесь от работодателя можно услышать интересную фразу: «Компания работает на правительство, поэтому такая конфиденциальность». Ок, назначаем встречу, работать на правительство, да еще в данном направлении — что может быть круче. К моменту вашей встречи работодатель давно готов. Назначена она будет в ближайшем кафе от того Бизнес-центра, где якобы располагается офис компании. Потому что руководители тоже люди и должны кушать. Во время встречи вам зададут несколько вопросов, на которые не составит ответить труда даже обычному IT-специалисту, который с пентестингом никогда и не сталкивался. Затем будет предложено поработать пару месяцев в офисе компании без оформления в штат. При этом вы должны уволиться с той работы, на которой находитесь в данный момент, что естественно вас не устроит, чего работодатель и добивается. Затем вам предложат вариант номер два — вы общаетесь с работодателем через крипточат (Telegram, ChatSecure и т.д.) и выполняете тестовое задание, результатом которого будет предложение от работодателя о постоянном месте работы. Вы соглашаетесь, потому что мысли о том, каким будет ваш доход после прохождения тестового задания не дают вам покоя (погашу кредиты, куплю машину, поеду на море и т.д.). Обмен учетными записями, поехали. Приходит задание — протестировать пару «тестовых» сайтов, найти уязвимость и проэксплуатировать ее, разместив например пустой файл php. Подозрительно? Вроде нет. Стандартная процедура для пентестера. И вот в процессе сканирования сайта и параллельного изучения страниц вы понимаете, что сайт вовсе не похож на тестовый. Стоп. Он не тестовый. Это вполне себе живой, работающий сайт, причем не просто сайт, а крупный интернет-магазин по продаже ювелирных украшений. Вы отказываетесь продолжать, о чем ставите в известность вашего нового знакомого. Проходит пару дней и вакансия исчезает вместе с работодателем, как будто ее и не было никогда.
  2. Появляется вакансия на всем известном сайте поиска работы. Звучит красиво Information Security Engineer или Penetration Tester. Про компанию так много написано — офис в силиконовой долине, ДМС со стоматологией, нарядная зарплата и куча плюшек. Требования стандартные. Главное — четко понимать разницу Black & White Hat. Ок, встреча в офисе, не в кафе. Целый зал разработчиков. Приветливые менеджеры. Руководитель адекватный вроде. Побеседовав около часа, вы слышите что? Правильно — тестовое задание. Но тут то вроде нет никакого подвоха. Начинаем. Простой вопрос, написать инструкцию для разработчиков, с помощью какой утилиты и ее команд можно проверить, пользуется ли владелец сайта оборудованием Cisco. Ок, написали. С полной уверенность в правильности своего решения тестового задания вы отправляете результат. Ждете. Нет ответа. Проходит неделя-две. Приходит ответ «Мы пока не знаем, что вы можете делать у нас целый день. Давайте поработаем пока по договору подряда». Хммммм. Ну ок, договор хоть подпишете, лишние деньги, основная работа останется, можно параллельно еще что-то искать, а можно таким образом несколько компаний обслуживать. Приходит проект договора, вас устраивает. Согласовываете, готовы подписать. Получаете задание и сопроводительное письмо к нему: «Мы готовы будем подписать договор, как только увидим первые результаты по данному заданию».
  3. Очередная вакансия. Известная компания, как в примере № 2. Вполне удачное собеседование. Предложение пройти тестовое задание. А вот теперь главный момент. Тестовое задание на тестовом стенде с поднятой сетью из нескольких машин. Вот это то, что нужно. Тестируем, удачно, формируем отчет. Вроде неплохо. Но к сожалению уровень знаний английского языка не подходит, а работа в данной компании подразумевает постоянный контакт с разработчиками за рубежом.

И так далее, примеров масса. К сожалению.

К чему я все это веду. Не делайте ошибок. Не торопите события. Начните свою практику с бесплатных лабораторий, например от компании PentestIT.

Даже если вас попросят пройти тестовое задание, оно должно быть похожим на вариант № 3, но никак не 1 и 2.

Будьте внимательны и не повторяйте чужих ошибок.