Люк Стивенс — профессиональный хакер, однако работает он вполне легально. В блоге на Medium он рассказал о том, как получил такую необычную работу.
Давайте угадаю — вам с детства нравились фильмы про шпионов. Вы не особенно интересовались учебой, но у вас были нормальные отметки. Вы схватывали все быстрее остальных. И с юности вас тянуло к компьютерам. Что-то внутри вас тянулось к хакерскому сообществу, но вы понимали, что вы хороший человек и не хотите портить жизнь другим людям или оказаться в тюрьме.
Как же быть, спросите вы. Ответ: стать «белым» хакером, чтобы совершать все эти нелегальные вещи без риска получить срок, но зарабатывая при этом деньги.
Хочу сразу предупредить — я не эксперт. Я лишь однажды смог устроиться на легальную хакерскую работу (и занимаюсь ей до сих пор). Но я много работал в других IT-секторах, мечтая заняться безопасностью. В итоге мне удалось пообщаться со множеством людей и прочитать много полезной информации.
Не существует универсального способа получения вашей первой работы в сфере информационного безопасности. Недавно в Твиттере запустили хэштег #MyWeirdPathToInfosec, по которому можно было прочитать истории разных людей о том, как они устроились в эту сферу. Они были совершенно разными — кто-то побывал в тюрьме (не лучший вариант), кто-то раньше был музыкантом, некоторые устроились сразу после колледжа, кому-то предложили работу после взлома компании и рассказа о том, как это было сделано (тоже не советую этот вариант).
Главное, смотреть по сторонам — карьерные возможности часто приходят из самых неожиданных мест.
Мой путь в сферу кибербезопасности
Помню свой первый «хакерский» опыт. Мне было около десяти лет, и я научился локально сохранять веб-страницы. Я зашел на главную страницу Google, скачал ее и отредактировал в Блокноте так, чтобы на ней появился текст «Здесь был Люк!». Когда я открыл отредактированную страницу, я был в восторге. Мне казалось, что я обманул Google. Того и гляди, в дверь начнут стучать агенты ФБР. Может, рассказать родителям, пока не обнаружили?
В мое время не было никаких сайтов с челленджами для хакеров. Тогда вообще почти не было никакой информации, во всяком случае я мало что находил. Моим первым источником информации о хакерстве стал сайт Каролин Мейнел под названием «Руководство по безопасному (по большей части) хакингу». Руководства были набраны шрифтом Comic Sans, который считается признаком дурного вкуса у дизайнеров из девяностых и нулевых. Среди них были такие классические гиды, как «Telnet: главный инструмент хакинга» и «Как хакать с помощью Windows XP часть 1: магия DOS». Их до сих пор можно найти на сайте.
После окончания школы я устроился в сферу IT, начал учиться компьютерным наукам, почти закончил образование, но меня отчислили. Затем стал бакалавром музыки и начал работать музыкантом. Несколько лет я выступал на круизных лайнерах, потом познакомился с будущей женой, уехал в Великобританию, женился, вернулся в Австралию и устроился веб-разработчиком.
Все это время моя любовь к хакерству не угасала. Мне никогда не нравилась разработка. У меня была прекрасная работа с отличными коллегами, но она не вызывала у меня никаких эмоций. Однажды я работал над проектом, связанным с электронной коммерцией и конфиденциальной информацией, и мой начальник предложил мне пройти курсы по безопасности данных. Я написал генеральному директору местного агентства кибербезопасности и спросил, какие курсы он может порекомендовать. Он посоветовал пройти сертификацию OSCP, что я и сделал.
Пожалуй, это был поворотный момент в моей карьере. На обучение ушло два месяца. и все свободное время я посвящал изучению хакерского искусства. Даже когда я уставал, я не мог заснуть по ночам, потому что мой мозг не переставая думал о задачах. Тогда я понял, что именно хакинг, а не разработка станет моей работой.
Через месяц или два после сдачи OSCP я прошел хакер-челлендж в сети и устроился на первую работу в агентство по кибербезопасности через рекрутера, который опубликовал задание.
Но хватит обо мне. Вот несколько советов о том, что нужно сделать, чтобы устроиться на работу хакером.
Активно общайтесь с сообществом «белых» хакеров
Вносите вклад в разработку инструментов с открытым кодом, пишите собственные, записывайте подкасты, посещайте хакерские сходки и общайтесь с людьми в Твиттере. Вы многое узнаете и познакомитесь с целым сообществом дружелюбных и умных людей, которые смогут вам помочь.
Пишите тем, кого вы уважаете
Возможно, вы знаете кого-нибудь, кто работает на должности вашей мечты. Напишите им и узнайте, как они ее добились. В худшем случае вас проигнорируют, а в лучшем вы обретете наставника и получите важные советы, которые могут изменить вашу жизнь.
Заслужите доверие
У вас могут быть все существующие сертификаты хакера, но если на собеседовании вы с энтузиазмом будете рассказывать о каких-то нелегальных сделках, которые вы провернули, никто не станет рисковать и нанимать вас. Сообщество «белых» хакеров часто работает с абсолютно секретной информацией, поэтому работодателю и клиентам нужно вам доверять.
Если на собеседовании вы не можете ответить на какой-то технический вопрос, лучше сказать «Простите, я не знаю, но обязательно поищу потом ответ», чем пытаться блефовать. Рекрутер вас раскусит, а ему нужен честный сотрудник. Сейчас не так много крутых специалистов по кибербезопасности, поэтому многие компании могут нанять даже не очень опытного человека, если он обладает правильным складом ума и отношением к делу. Для такого сотрудника потом просто проводится дополнительное обучение техническим навыкам.
Проходите сертификацию
Честно говоря, многие сертификаты в хакерской сфере не являются показателем технических навыков. Однако их наличие повышает шансы на трудоустройство. Сертификаты показывают, что вы интересуетесь индустрией и потратили на совершенствование своих знаний время и деньги.
Участвуйте в челленджах
Попробуйте некоторые из них от HackerOne, BugCrowd, hackthebox.eu. И обязательно напишите о своих успехах в резюме. Со стороны все эти челленджи могут казаться игрой, но их прохождение показывает, что вам интересно свое дело и у вас есть кое-какие навыки.
Не бойтесь рекрутеров
За рекрутерами закрепилась дурная слава — они постоянно названивают и используют хитрые методы, чтобы получить нужные контакты. Но не все рекрутеры такие. Найдите хорошего с правильными связями. В частности нужно искать того, кто специализируется в индустрии информационной безопасности. Скорее всего, обычный рекрутер из IT-сферы не знаком с нужными людьми.
Направьте свою текущую работу в нужное русло
Вы разработчик? Найдите баг в приложении, которое вы разрабатываете, покажите его начальнику и попросите провести более серьезное тестирование безопасности. Работаете сисадмином? Найдите уязвимость в вашей сети (вы наверняка знаете, где ее искать), сообщите начальству об опасности и попросите заняться дальнейшим тестированием. Кем бы вы ни работали, вы сможете заработать репутацию локального специалиста по безопасности.
Теперь в своем резюме или на собеседовании вы можете сказать, что были специалистом по безопасности, даже если ваша официальная должность была «разработчик». Также можно упомянуть в графе «обязанности» то, что вы выполняли некоторые задачи по обеспечению безопасности.
