Пожалуй, это лучший перевод того направления деятельности, о котором мы сегодня поговорим. Конечно, Offensive – это еще и наступательная, и даже агрессивная, но сейчас речь не об этом.
Итак, вы пока еще не потеряли веру в карьеру в сфере информационной безопасности, однако окончательно убедились, что сертификаты от вендоров – бессмысленная бумага, не стоящая вашего времени. Один мой коллега уже предлагает вручать всем заплатившим за экзамен сертификат Vendor Certified Dumping Specialist и на этом весь этот цирк заканчивать. Но будем реалистами, обучение и сертификация – это серьезный бизнес, и никуда он не денется в ближайшее время.
Тем хуже, если знания и навыки, которые вы решили подтвердить, не привязаны какому-то конкретному вендору. Про CISSP я уже рассказывал, а как насчет практических навыков в сфере информационной безопасности?
С одной стороны, есть крайне популярный экзамен Certificated Ethincal Hacker. Я абсолютно не сомневаюсь, что популярен он исключительно потому, что только пройдя этот экзамен вы сможете официально называться хакером. Проблема тут в другом: вам придется также согласиться, что вы стали хакером просто верно ответив на 125 вопросов. Несмотря на абсурдность ситуации, этот экзамен крайне популярен на западе и для отдельных позиций является просто необходимым, особенно в государственном и военном секторе.
С другой стороны, есть великий и ужасный SANS и их программа Cyber Guardian. Звучит очень круто, сертификат об окончании, я так думаю, вручает лично мистер Киану Ривз в своём популярном образе. И минус тут всего один – стоимость в несколько тысяч долларов за всё удовольствие.
Остается последнее – OSCP. Написано об этой сертификации много, теперь моя очередь.
Итак, пройдя отрицание, злость, торг и депрессию, вы начинаете готовиться к сдаче. Забегая вперед, хочу сказать, что все эти стадии вы еще не раз пройдете в процессе подготовки, причем в разном порядке и даже в причудливых комбинациях.
После оплаты курса вы получаете увесистый pdf-файл, несколько видеофайлов с комментариями и доступ к виртуальной лаборатории. Пока ничего не смущает? Всё верно, никакого “обучения” тут не будет. PDF-файл содержит справочную информацию по утилитам, которые вы, скорее всего, и так знаете: nc, curl, find и подобным, а также вкратце рассказывают об инструментарии дистрибутива Kali Linux. Строго говоря, деньги вы отдали за возможность обучиться самостоятельно, и поможет вам в этом виртуальная лаборатория.
Всего в виртуальной лаборатории чуть меньше 60 машин: рабочие станции, рядовые серверы, почтовики, веб-сайты и многое другое. Изначально я планировал сделать чуть больше половины, чтобы оценить уровень сложности заданий на экзамене. Но кого я обманываю, в итоге сделал все. При этом сеть живет своей жизнью, пользователи пишут друг другу письма и заходят на веб-страницы, а серверы запрашивают друг у друга какую-то информацию.
Кроме этого, сеть разбита на подсети, разделенные межсетевыми экранами, и в какой-то момент Вы даже сможете добраться до святая святых. На все машины у меня ушло чуть меньше 40 дней. Конечно, там есть довольно много проходных заданий, а есть и настоящие монстры. Погуглите, кто такие Pain, Sufferance и Humble. На каждую из них у меня ушло довольно много времени. Есть еще gh0st, но это машина в стиле CTF, и она серьёзно выбивается из общего контекста.
В описании курса сказано, что вам не требуется какого-то серьезного опыта для того, чтобы начать заниматься. Но на самом деле это не так. Начинающие специалисты вряд ли возьмутся за эту задачу, а опытные инженеры подходят с очень разных багажом. Бывалый специалист по криптографии без труда расправится с Sufferance, матерый DBA за 10 минут разберется с Humble, а опытный Linux-администратор раздавит Pain в два счёта.
В любом случае большую часть времени вы проведете изучая и экспериментируя. В этом весь OSCP. Пока вы будете заниматься лабораторными машинами, у вас будет возможность общаться с такими же студентами на форуме. Однако подсказки там запрещены и лучшее, что вы услышите, это “Try harder!”. Так себе мотивация.
Время в лабораторной сети неизбежно подойдет к концу и настанет время забронировать время на экзамен. И вот это, пожалуй, самое большое отличие курса OSCP от всех остальных. Никаких вопросов, никаких “расположите в нужном порядке”, никаких “выберите наиболее правильный ответ”. Ничего этого не будет. Будут одни сутки на взлом 5 серверов и одни сутки на написание отчета о том, как именно вы это сделали. Всё.
В моём случае экзамен продлился 12 часов от начала и до получения доступа к последнему серверу. Еще несколько часов я потратил на перепроверку всех сделанных действий и запись скриншотов. Бинго!
А теперь немного критики, которую можно встретить в сети.
Во-первых, дорого. Всё так. Но какие альтернативы? Курсы SANS стоят еще дороже, и я не слышал, чтобы кто-то приобретал их за собственные деньги.
Во-вторых, ничему не учат. Это правда, сам по себе курс OSCP ничему не учит. В книжке очень поверхностно разобран базовый инструментарий, и вы почти наверняка знали это всё и так, а про видеоролики я вообще молчу. Но так и суть курса в другом – вы должны сами научить себя всему, а для этого созданы все условия. Материала слишком много, чтобы он уместился в какой-либо учебник.
В-третьих, старые машины. Это тоже правда. Если я не ошибаюсь, самая “свежая” операционная система, которая мне встретилась в лабораторной сети, была Windows Server 2012R2. Я на это смотрю так: новые уязвимости открывают каждый день. Представьте, сколько бы стоил курс, если бы его обновляли ежедневно? Главное, чему может научить это курс, это методология, а она абсолютно не зависит от возраста обнаруженных уязвимостей. На экзамене кстати ситуация обратная – свежие Windows 10 машины, пропатченные ядра linux-машин и всё в таком духе.
В-четвертых, экзамен проверяет не знания. Тут я вынужден согласиться, хотя и частично. На самом деле, экзамен проверяет не столько ваши навыки как таковые, он проверяет ваши навыки тайм-менеджмента, способность работать в стрессовой ситуации и вашу многозадачность. Самое важное, это то, как вы можете следовать методологии и не отвлекаться, когда решение кажется уже очевидным. После 10 часов у экрана логика может начать подводить, внимание рассеивается, и вы начинаете ходить кругами. Вот тут-то вам и пригодятся Ваши фундаментальные знания, а также способность отвлечься и посмотреть на проблему с другой стороны.
Что дальше? Сама Offensive Security не предлагает каких-то следующих ступеней в сертификации. Отдельно есть экзамен по безопасности беспроводных сетей, веб-приложений и немного особняком стоит экзамен для разработчиков эксплойтов.
Сертификат — это, конечно, здорово, но на самом деле лучшее, чем Вы сможете вынести из курса OSCP, – это знания. Знания, которые неизбежно устареют, если вы перестанете самостоятельно заниматься своим образованием.
Simon Says «0» 