În legătură cu atacurile frecvente ale hackerilor, precum și amploarea acestora, majoritatea companiilor au început să acorde mai multă atenție aspectelor legate de protecția acestora. În legătură cu aceasta, cererea de servicii penitenciare a crescut. Dacă mai devreme în stat, numai marile companii-dezvoltatori au păstrat pedeapsa, acum vacanțele au început să apară în companii mai mici, dar și în start-up-uri.
După cum știți, cererea creează aprovizionare. Tot mai mulți profesioniști IT decid să se dedice unei astfel de direcții ca hacking-ul etic. În primul rând, această direcție se dezvoltă în mod activ în Rusia. În al doilea rând, nu există atât de mulți plictisitori cu adevărat reali pe piață, deci există multe de creat. În al treilea rând, munca penitentei este foarte bine plătită.
Ce se întâmplă cu dvs. după trecerea cursurilor de hacking etic, când începeți să căutați o muncă în această direcție. Sunteți confruntat cu tot cercul vicios familiar care este atât de comun în Rusia. Nu veți obține experiență fără muncă și nu veți obține un loc de muncă fără experiență. Dar aceasta nu este cea mai neplăcută problemă care te poate aștepta. Cu o căutare lungă a acestei lucrări și a mai multor depuneri ale CV-ului, mai devreme sau mai târziu poți să te împiedici de aceste greve:
- Pe drum, există un potențial angajator care vă promite un venit mai mare decât media pe piața din orașul dvs. Interesat? Bineînțeles. Căutarea de informații despre această companie, de regulă, nu dă rezultate. Pur și simplu nu există. Aici, de la angajator, puteți auzi o frază interesantă: "Compania lucrează pentru guvern, deci este confidențială". Ok, planificăm o întâlnire, lucrăm pentru guvern și chiar și în această direcție - ceea ce poate fi mai rece. Până la întâlnirea dvs., angajatorul a fost pregătit de mult timp. Ea va fi numită în cea mai apropiată cafenea de la Centrul de Afaceri, unde se află biroul companiei. Deoarece liderii sunt și oameni și ar trebui să mănânce. În timpul întâlnirii, vi se vor pune câteva întrebări care nu vor fi niciodată răspunsuri de către un specialist IT obișnuit, care nu a întâlnit niciodată pentesting. Apoi vi se va cere să lucrați câteva luni la biroul companiei fără a trebui să lucrați în stat. În același timp, trebuie să renunțați la munca pe care lucrați în prezent, ceea ce, desigur, nu vă va potrivi, pe care angajatorul încearcă să o realizeze. Apoi vi se va oferi opțiunea numărul doi - comunicați cu angajatorul prin intermediul criptologiei (Telegram, ChatSecure etc.) și efectuați o sarcină de testare, rezultatul căruia va fi o ofertă a angajatorului cu privire la locul de muncă permanent. Sunteți de acord, deoarece gândurile privind venitul dvs. după ce ați trecut de sarcina de încercare nu vă vor oferi odihnă (voi rambursa împrumuturile, cumpăr o mașină, merg la mare etc.). Schimb de conturi, să mergem. Sarcina vine - de a testa câteva site-uri "de testare", de a găsi vulnerabilitatea și de a le exploata, plasând, de exemplu, un fișier php gol. Suspect? Se pare că nu există. Procedura standard pentru un penitenciar. Și aici, în procesul de scanare a site-ului și învățarea paralelă a paginilor, înțelegeți că site-ul nu arata deloc ca un site de testare. Stop. Nu este test. Acesta este un loc destul de bun, locul de muncă, și nu doar un site web, ci un mare magazin online pentru vânzarea de bijuterii. Refuzați să continuați, ceea ce este cunoscut noului dvs. prieten. Durează câteva zile și vacanța dispare cu angajatorul, ca și cum nu ar fi existat vreodată.
- Există o vacanță pe întregul site cunoscut de căutare de locuri de muncă. Suna un frumos inginer de securitate informatic sau un tester de penetrare. Despre companie este scris atât de mult - un birou într-o vale de silicon, LCA cu stomatologie, un salariu inteligent și o grămadă de chifle. Cerințele sunt standard. Principalul lucru este să înțelegi clar diferența Negre White Hat. Ok, întâlnirea la birou, nu la cafenea. Întreaga cameră de dezvoltator. Directorii prietenoși. Managerul este adecvat. După ce vorbești aproximativ o oră, auzi ce? Așa e - sarcina de testare. Dar apoi pare că nu există nici o captură. Începem. O întrebare simplă, scrieți un ghid al dezvoltatorului, cu ajutorul căruia utilitatea și comenzile sale pot verifica dacă proprietarul site-ului utilizează echipamente Cisco. Bine, scrise. Cu încredere completă în corectitudinea deciziei dvs. de sarcină de testare, trimiteți rezultatul. Stai. Nu există nici un răspuns. Durează o săptămână sau două. Răspunsul vine: "Nu știm încă ce puteți face pentru noi toată ziua. Să lucrăm pentru moment pe bază de contract. Hmmmmm. Bine, contractul cel puțin semnați, bani în plus, lucrul principal va rămâne, puteți căuta simultan altceva și puteți servi mai multe companii în acest fel. Proiectul de acord vine, sunteți mulțumit. Sunt de acord, gata să semneze. Veți primi sarcina și o scrisoare de intenție: "Suntem pregătiți să semnem tratatul de îndată ce vom vedea primele rezultate ale acestei misiuni".
- Următorul post vacant. O companie bine-cunoscută, ca în exemplul numărul 2. Un interviu foarte bun. Propunerea de a trece sarcina de testare. Și acum principalul punct. Sarcina de testare pe o bancă de încercare cu o rețea ridicată de mai multe mașini. De asta aveți nevoie. Testăm, cu succes, formăm raportul. Pare bine. Dar, din păcate, nivelul de cunoaștere a limbii engleze nu este potrivit, iar munca în această companie presupune contacte permanente cu dezvoltatorii din străinătate.
Și așa mai departe, există o mulțime de exemple. Din păcate.
De ce conduc toate astea. Nu face greșeli. Nu grăbiți lucrurile. Începeți-vă practica cu laboratoare libere, de exemplu de la PentestIT.
Chiar dacă vi se cere să treacă o sarcină de testare, ar trebui să arate ca opțiunea # 3, dar nu 1 și 2.
Fiți atenți și nu repetați greșelile altor persoane.