Zip File, мамкины хаЦкеры. Сегодня у нас необычный формат. Я давно хотел начать делать для вас обзоры образовательных курсов от различных онлайн-проектов с целью отсева откровенного скама, но всё как-то руки не доходили. И если уж быть до конца откровенным, то тупо было жалко бабла. Ибо стоят курсы космических денег. Да и за авторское право могут легко натянуть, если демонстрировать в ролике элементы из курса. А не демонстрировать их – как-то совсем не прикольно и потом можно всегда будет сказать, что мол Денчик наврал, сказал так и так, а внутри всё совсем по-другому. Короче говоря, тема должна была умереть не родившись, но после того, как подписчиков на канале стало больше, чем друзей во вконтакте, мне сами стали писать из разных школ с запросом на обзор и кураторство курсов по пентесту и безопасности.
Обзоры, как правило, отсекались на этапе, когда я говорил, что если и сделаю, то только по-честному. Т.е. если фигня полная, то засру на весь честной интернет.
Ну а кураторство срывалось на моменте, когда я начинал лопатить программу и выявлял кучу неактуальных и откровенно устаревших вещей. Ибо большинство этих школ покупают материал на фрилансе.
Где им его делают фрилы посредством сканирования старых учебников. И разумеется ни о каком уровне senior’а и ваше с опытом работы на этой позиции от 5 лет у тамошних преподов речь не идёт.
В лучшем случае надыбают мидла, который решил заработать на хомяках. Ну а обычной практикой является обучение с помощью собственных же выпускников. Дескать преемственность поколений и всё такое.
Короче говоря мрак. И тут в июле пишут мне ребята из Skillfactory с аналогичным запросом на отзыв об их курсе по тестированию на проникновение с громким названием «Белый хакер».
Вываливаю им значится все условия, а они на удивление не дают заднюю. Мол, ок, если г@вно, то так и скажи. Но только пусть обосновано и с аргументами.
Ну окей, думаю. Может и правда всё хорошо, раз так легко соглашаются. Короче говоря, решил, что не обломаюсь и сделаю им прожарочку после отпуска, коль уж напрашиваются.
Так что, если вы давно собирались отнести всю пенсию своей бабушки, тем, кто обещает сделать из вас хакера-мазафакера, повремените ещё минут 10. Выслушайте моё мнение на сей счёт и уже затем принимайте осмысленное взвешенное решение. Погнали.
Первое за что сразу зацепился мой глаз – это программа. Тут нет ничего мало-мальски связанного с бюрократическим инфобезом. Подробности по нормативно-правовым актам от ФСТЭК, ФСБ и Минобороны вы тут не найдёте при всём желании.
Упоминается парочка статей из УК РФ, как самые широко применяемые и нужные для пентестеров, но основной упор прям с лёту идёт на практику. Разбираются наиболее подходящие ОСи, софт и железо.
Далее идёт методичка по созданию стенда и рекомендации по тому с какими площадками можно работать.
Т.е. данный курс изначально не для ребят стремящихся в DevSecOps или в ветку Forensics, а именно для тех, кто качает себя как пентестера.
Со всеми вытекающими плюсами и минусами касательно поиска вакансий для дальнейшей работы.
Понятное дело, что в Питере и Москве такие спецы весьма и весьма востребованы, но отъехав подальше МКАДа вы с такой профой врядли быстро устроите свою жизнь.
С другой стороны, может оно и к лучшему. Удалёнка с московской зарплатой куда приятней, нежели оффлайновая работа за 30к рублей в регионе. К тому с трудоустройством тут помогают. Да и вообще никто не мешает работать за рубежом.
Сам лично пока что не проверял, но на сайте написано, что даже деньги вернут, если с работой не выгорит. Ставь лайк, если хочешь, чтоб я после окончания курса попробовал устроиться в какой-нибудь крупный банк и отснял на эту тему отдельный видеоролик.
Устроюсь и всем подписчикам спишу выплаты по ипотеке. Сможете жить счастливо в бетонных коробках и ни в чём себе не отказывать. Думаю, предложение выгодное. Так что не скупимся на лойсы.
Ладно, идём дальше. Касательно блока по программированию докопаться особо не к чему. Даже брутфорсер и кейлоггер на Python в конце написали. Атаки на базы данных правда разобрали весьма поверхностно, но в новой итерации обещали исправить эти моменты.
Отдельно замечу, что в Skillfactory адекватно реагируют на фидбэк. Мне кажется, в любом другом месте меня с такими претензиями уже бы послали куда подальше.
В центральном блоге Pentest начинается самая жаришка. BurpSuite, XSS, CSP, уязвимости серверов на Windows и Linux. Отдельно рассмотрены SQL инъекции и противодействие атакам на клиентскую часть.
Короче, полный фаршмак. В хорошем понимании этого слова. Даже я подчерпнул для себя пару новых вещей, на основе которых несколько недель писал для вас постики в телеграм, которые судя по статистике многим зашли.
Но времени учёба отнимает, конечно, порядочно. Приходится порой и с практикой вечерок повозиться. И обратную связь коллегам по потоку качественную предоставить в рамках взаимной оценки.
Благо сейчас начался модуль по операционным системам и тут вряд ли будет что-то мне не знакомое, но вы для себя наверняка подчерпнёте какие-то новые вещи.
Как минимум, про атаки бокового смещения и обход защитных свойств фаервола, я ещё на ютубе ещё не вещал. За такое легко можно бан получить. А у меня с последней разблокировки чуть больше года прошло. Не хочу рисковать.
Да, впереди ещё 2 модуля по сетям с CTF’ками в форме командных зачетов и тестированием black-box’ов. Обзор способов детектирования приложений и конечно обход детекта.
Основы работы с Metasploit Framework. Использование Powershell для генерации полезной нагрузки. Проброс портов, туннелирование, брутфорс и ещё куча всего интересного.
Короче говоря, курс к моему глубокому разочарованию оказался не калом и действительно стоит каждого вложенного рубля. Во всяком случае в оптимальном и базовом варианте.
VIP уж простите не заценил. Еженедельные часовые персональные консультации с менторами были бы мукой для моего интровертного самосознания. Предпочитаю учиться по записям уроков в удобное время.
Так что, если вы разделяете подобную позицию по учёбе – смело можете регистрироваться. Супер-спецом по кибербезопасности вы с лёту может быть и не станете, для этого всё-таки требуется многолетняя практика.
Но все азы пентестинга точно освоите. Mimikatz, Nmap, Kali Linux, Hashcat, Wireshark, Maltego, короче всё что вы любите тут есть и разжёвано не в пример лучше, чем в среднестатистических роликах на ютубе.
Особенно это касается домашних заданий. Тут основной упор делается на практические атаки, результаты которых оцениваются менторами в индивидуальном порядке.
И уж при взаимодействии с менторами one-to-one, они могут без экивоков рассказать про горячие кейсы актуальные в индустрии и невзначай подсветить пару инсайдов по хакам.
По той лишь причине, что они никак не скованы жёсткими правилами видеохостинга. В отличие от меня. Поэтому на скользкие темы и на вебинарах, и в рамках домашек, отвечают быстро, охотно, а не обувают в лапти женский половой орган.
Так чёт меня занесло. Короче, ставлю курсу «Белый хакер» от SkillfFactory 8 из 10. Один балл скидываю исключительно за то, что не позвали меня в качестве автора, а нашли кого-то с Газпрома и Позитива.
Ну и ещё балл отбираю за отсутствие теории для недо-джунов. Всё-таки с нуля, людям ранее никак не связанным с айтишкой, будет ворваться весьма непросто. Было бы классно, если бы в будущем сделали какой-то общий подготовительный блок по IT.
Пусть даже не обязательный к прохождению для всех, но позволяющий въехать в тему даже полнейшим чайникам. Ну это так. Из пожеланий на долгосрок.
Если формат зашёл – то непременно поставьте лайк и напишите об этом в комментах. Онлайн школ, как и курсов сегодня не счесть и было б неплохо их между собой посравнивать.
Удовольствие конечно не из дешёвых, но, если увижу ваш интерес, заморочусь и накоплю на парочку вариантов. Так что не отсиживайтесь в норе. Проявляйте активность, учитесь и становитесь белыми хакерами.
Помните, любую систему можно взломать. Так что тестируйте на прочность системы и сети различных организаций. Но помните о последствиях.
Не забывайте согласовывать эту деятельность с руководством. И будет вам счастье. Ну а с вами, как обычно, был Денчик. До новых встреч, мои кайфные друже. Всем пока.