10.-es gimnazista vagyok és már 3 éve foglalkozok a kiberbiztonsággal (kali linux, hálózatok, tesztelés) milyen irányba kellene elindulnom hogy folytathassam ezt az életem során esetleg pentester-ként? Köszönöm a normális válaszokat!

Mérnökinfó bsc, majd msc. MSc-n nálunk volt IT biztonság szakirány, ott ilyeneket tanítanak, de vannak szabadon választható tárgyak is ilyem témakörben.

Rövidebb távon programozás mindenképpen, és matek is, ha komolyabban érdekel a téma.

(Ha nem érdekel a kis felhívásom a szakma problémáira, hanem csak választ szeretnél kapni, akkor tekerj az utolsó előtti bekezdéshez)

Elsőnek azt kérdezném, hogy biztos az offensive irány érdekel? Ez a pentest nagyon menőnek hangozhat, de valójában nagyon unalmas és hosszú reportokat kell majd írnod, scannereket használni/enumerationt csinálni és a findingokat validálni, meg az esetek többségében nincs elég idő egy ténylegesen átfogó tesztelésre, így mindig ugyanazokat a tipikus “low hanging fruit” hibákat kapnád el. A report írás pedig csak rosszabb lesz idővel, mert senior pentesterként már az ügyfelekkel is te tartod a kapcsolatot. Az meg csak hab a tortán, hogy nulla tapasztalattal csak egy bsc-vel vagy msc-vel akár pentest munkát kapni teljesen felejtős, pláne a mostani piacon, mivel a kiberbiztonság a cégek szemszögéből csak egy pénznyelő hely.

Ne érts félre, nem lebeszélni szeretnélek erről a területről, csak felhívni a figyelmed, hogy nagyon sok munka elérni egy junior pentest melót, és hatalmas csalódás is lesz, mert egyáltalán nem olyan menő, mint aminek most te gondolod.

Persze pentestingből lehet red teaming fele mozogni, ami viszont már egy izgibb téma, csak készülj fel arra, hogy hatalmas elhivatottság és kitartás fog kelleni, mert iszonyatosan nehéz bejutni.

A jó hír, hogy itt nem számít az egyetemi papír, mert releváns tudásod kell hogy legyen elméletből ÉS gyakorlatból is. Így ha megtudsz csinálni egy OSCP vizsgát, akkor már azzal fogsz tudni munkát találni (egy bsc viszont nem árt, mert kell egy nagyon erős infó alap ehhez a területhez).

A rossz hír viszont az, hogy ezek a vizsgák és pláne az OSCP brutálisan nehéz, tehát témyleges tudás nélkül esélyed sincs átmenni rajta. Meg ahogy említettem, ez nem egy magolható dolog, itt tényleges gyakorlati tapasztalat kell, ha ez nincs meg, akkor egyrészt nem csak haszontalan vagy a piacnak, hanem nem is fogsz tudni egy OSCP-t megcsinálni.

Ui:

Az hogy kalit használsz nem jelent semmit. Az egy teljesen felhasználóbarát linux distro, mint az ubuntu. A kalira előre feltelepített toolok tanuld meg használni, az itt a releváns dolog. De azokat a toolok használhatod bármelyik linuxon, sőt, többségüket mac os-en és windowson is… A kali csak egy hasznos distro amire ezek előre fel vannak telepítve és minden fut out if the box. Ami nagy help, mert tényleg fájdalmas neked githubról cloneolni valami go-ban írt förmedvényt és vakarni a fejed, hogy miért nem fut.

Javaslom amúgy a vulnhubot, virtuális gépeket lehet feltörni, gyakorlásnak tök jó, Csak oda kell figyelni, hogy a virtuális gépet ne engedd ki az internetre

#1-es voltam