Zip File, мамкины хацкеры. Давненько у нас с вами не было новых подкастов. К большому сожалению, а быть может и к счастью, никаких взломов, пентестов, вирусов и прочего компутерного шлака сегодня не будет. От слова совсем. Только унылая болтовня старого прохиндея, который всё-таки соблаговолил обратить свой взор в стороны взрослых дядяк и временно переключился с тем развлекающих школотронов на реально серьёзные вещи.

Что такое OSCP?

Нынче речь пойдёт о самом желанном. Самом трушном и самом значимом сертификате для каждого безопасника от Offensive Security под названием PWK OSCP.

Penetration Testing with Kali Linux – это сугубо практический курс ориентированный на аналитиков в области информационной безопасности и инженеров по защите сетей.

Не так давно ребятки серьёзно обновили материально-техническую базу, плюс карантин и куча свободного времени на удалёнке сделали своё дело и поэтому многие специалисты всерьёз задумываются о его сдаче.

Сразу скажу, что сам я OSCP не сдавал и в ближайшее время точно не собираюсь этого делать, однако, когда мой близкий друг сертифицировался два года назад, мы выяснили по этой теме на тот момент, как нам кажется все нюансы от А до Я.

К слову, товарищ мой в итоге этот самый OSCP сдал. Хоть и не с первой попытки. Поэтому инфу вы сегодня услышите, что называется практически из первоисточника.

Так что если вам интересен процесс самой популярный сертификации среди специалистов по информационной безопасности, и вы действительно хотите узнать, какими умениями и навыками нужно обладать для его сдачи, тогда устраивайтесь по удобнее и слушайте застольные речи Денчика. Погнали.

Сколько стоит сертификация OSCP?

Начнём с того, что курс конечно же платный. В 2020 году за мясячный доступ к виртуальной лаборатории офенсив хотят штуку баксов, за 2 месяца – штуку двести и т.д.

При этом вы можете продлевать доступ к стенду. Оплачивать дополнительные попытки сдачи экзамена. 100 или 200 долларов если не ошибаюсь. А также обновления материалов.

К слову, у той же Циски с их нетакадом, все обновы курсов на которые вы были записаны прилетают бесплатно. И при этом изучив их, вы действительно научитесь практически всему, что есть в сертификации цискарей.

А вот изучив материалы после записи на OSCP вы не научитесь практически ничему, что будет на реальном экзамене. Вернее, если вы вообще нихрена до этого не знали, то может и откроете для себя Америку.

Что вы получите?

Ведь, как никак, там в пакете целая книга на 800 страниц. 17 часов видосов. Доступ на форум, бородатое комьюнити которого естественно изъясняется исключительно на инглише и в качестве подсказок и наводок пишет только «Try Harder!»

Есть правда ещё инструктор в mIRC’е, но от него пользы примерно столько же. Так что если вы планируете без знания в совершенстве технического английского замахнуться на OSCP – то однозначно нет. Сразу на*уй с пляжа.

Если же вопрос с техническим инглишом закрыт, то, прежде чем платить бабки за доступ к виртуальной лаборатории, задумайтесь над тем насколько вы хороши в программировании и знаниях внутренностей ОСи.

Для того, чтобы сдать экзамен, нужно, как минимум уметь фигачить простенькие скрипты, идеально разбираться во всех тонкостях структуры Windows и Linux.

Вернее, с линухой вам нужно ковырять только Kali, она же Debian, но не суть. Фиха в том, что вам во всём этом добре нужно разбираться самостоятельно. И в идеале обзавестись этим бэкграундом задолго до того, как вы приступите к практике.

А практика с хостами на стороне Red Team это вам вовсе не то же самое, что бездумно в консоли команды перепечатывать из видео на ютубчике. Тут нужно докапываться до сути и искать уязвимости буквально на ощупь.

И никакой Metasploit вам в этом не поможет. Метка на OSCP строго запрещена. Вернее, часть модулей всё же разрешено, но это в принципе не о чём. Ведь по большей части всё нужно делать именно ручками.

Да ещё и на старых машинах. Ибо я хз, как сейчас, но 2 года назад, самый «свежий» сервак там был на Windows Server 2012, а остальные тачки и того хуже.

Что будет на экзамене OSCP?

Но ведь уязвимости появляются каждый день, скажите вы, так почему же они не обновляют парк по первому щелчку? Дело в том, что сама цель курса научить вас не находить самые последние дыры, а научить вас принципу обнаружения.

Вернее, предоставить для этого соответствующую экосистему в надежде на то, что в ней вы сможете эволюционировать и стать по настоящему крутым безопасником.

При этом на самом экзамене вас ждут хосты под управлением Windows 10, со всеми обновами и до кучи пропатченные по самые брови Линухи. Так что особо не обольщайтесь.

Идём дальше. Помимо уникальных тачек для сдачи вам будет предоставлен специально сконфигурированный образ с прописанным VPN’ом для подключения к виртуальному стенду.

И всё только на варе. Никакого виртуал бокса или паралакса. Только старая добрая варька. До кучи, часть хостов невозможно ломануть не хакнув прежде другие.

Т.е. даже, если вы вроде бы нащупали уязвимое место, вполне возможно, что для дальнейшей атаки, вам потребуется станцевать с бубном вокруг других компьютеров в связке.

Как проходит экзамен OSCP?

При этом за вами ещё и наблюдают по удалёнке, а сама ваша дрожащая тушка сидит строго перед веб. камерой и без отрывно фигачит сутки напролёт. Нехилая такая проверка нервов на прочность.

Особенно учитывая тот факт, что на том конце вас уже заносят в базу потенциально опасных русский хацкеров без права въезда на территорию штатов.

Шутка. Однако про нервы, я вполне серьёзно. У вас будет 24 часа на взлом и столько же на написание отчёта. Ах да, отчёт. Вы, наверное, думаете, что работа безопасника – это сплошь игра за BlueTeam и забота о безопасности парка компании.

*уй там. Большую часть времени занимают бумажки, отчёты, доклады и прочий антибалдёжный шлак. Хотя признаться за зарплату в районе двух кусков зелени можно и потерпеть подобные неудобства.

Как грамотно подготовиться к OSCP?

Ладненько. Вернёмся к практической части. Если вы всё-таки решили, что вполне созрели для прохождения обучения по данной программе, то начните изучение со штудирования материала.

Кстати, видеоролики, тем план и ту самую заветную PDF’ку актуальную в 2020 году ты можешь найти в моём уютном паблике в Telegram. Переходи по ссылке в описании и начинай учиться, если чувствуешь, что готов.

И только затем уже оплачивай курс на офф. сайте и переходи к работе со стендом. Причём сам процесс обучения я бы строил в формате: смотрим видос по 1 главе, читаем эту же главу в книге, а уже затем пробуем хакать тачки.

Котируется ли OSCP в 2020 году?

Окей. Осталось ответить на самый главный вопрос. А зачем, собственно, всё это надо? Котируется ли OSCP в 2020 году или же можно чудненько жить и без этой бумажки?

И тут как водится однозначный ответ дать невозможно. В первую очередь каждый специалист должен решить для себя сам, чего он в итоге желает достичь в рамках своей профессии.

Знающие люди безусловно оценят подобный сертификат, который отражает практические умения и навыки человека, сидящего перед ним. Но сколько таких знающих вам доведётся встретить по жизни?

Одного? Двух? Да я больше, чем уверен, что из 30 тысяч подписчиков, об этой сертификации слышали от силы человек 20. И то, только потому что периодически листают Хакер и Хабр.

Остальным же вообще до лампочки, что там за сертификаты есть в индустрии, какие возможности они открывают. И плевать они хотели, что OSCP сразу показывает уровень реального специалиста.

А не зубрилы, как в случае с тем же CEH’ом. Ведь согласитесь, ломануть 5 серверов за сутки вовсе не тоже самое, что ответить на 125 вопросов. Тут мозг нужен.

Хотя за тупые вопросы вы получите бумажку с громким названием «Сертификат этичного хацкера». Ну и что спрашивается круче? Для тех, кто не в теме, думаю последняя формулировка в разы предпочтительнее.

В общем, если хотите самоутвердиться и доказать себе, что чего-то стоите, то однозначно учитесь и пробуйте сдать. Но ни в коем случае не ждите мгновенной отдачи, иначе будете сильно разочарованы.

Так уж сложилось, что странах СНГ уровень ИБ, да и IT индустрии в целом находится на стадии становления и все действительно толковые мозги ежегодно сваливают за бугор.

Там да, такие вещи, как корочка OSCP или цисковская Cyber Ops действительно имеет вес. А у нас… неа. Главное отчёты вовремя сдавайте и о саморазвитии думайте где-нибудь подальше от офиса. А лучше вообще забудьте.

Почему блогеры в хак сегменте про это не рассказывают?

И последний вопрос, на который мне бы хотелось сегодня ответить, т.к. один из камрадов задавал его с неподдельным недоумением, это почему популярные блогеры-инфосеки ничего не рассказывают про подобные сертификации?

Ведь на ютубе есть столько классных каналов. Овер, Андер, Черный треугольник и прочие популярные безопасники и социал-инженеры блогерского эшелона.

Друзья мои, спрашивая об этом, вы прямо поражаете своей наивностью. Скажите, вы действительно думаете, что на данной медиа-площадке присутствуют реальные специалисты?

Нет, они безусловно может такие и есть, где-нибудь на задворках ютуба. Только вот вы их никогда не посмотрите. Потому что их ролики унылые, скучные и собирают при лучшем раскладе просмотров 150.

В них нет шоу, перфоманса, загадочного голоса и картинки с 4к. Поэтому люди их выключают, не досмотрев даже до половины. И, в связи с этим алгоритмы ютуба их песимизируют и, по сути, убивают каналы в зачатке.

Ладненько, это тема для несколько иного видео. О ней можно говорить, часами докапываясь до сути. А вот ответ на вопрос, почему же ваши любимые блогеры стараются избегать темы сертификации, достаточно прост.

Быть может для кого-то это станет сейчас откровением, но эти парни… банально не шарят. Тот же Овер в одном из видосов говорил, что самоучка и кое-как с горем пополам закончил CCNA.

Или не закончил. Не помню. Но точно учился. Про остальных популистов я вообще молчу. Вы думаете, что перед вами реальные контр-культурщики. Трушные хацкеры.

А на деле, они обычные скрипт-кидди и популисты, выезжающие на модной теме. Но никак не спецы-инфосеки. И я не спец. Однако я при этом вам об этом и не пизжу.

И если уж быть до конца откровенным, то вы смотрите блогеров в хак сегменте вовсе не из-за реально ценной инфы. И даже не по причине уникальности тем. Блогеров смотрят только из-за харизмы и качества.

Если у тебя всё в порядке с юмором. Ты точно знаешь, как развлечь свою целевую аудиторию, да ещё и снимаешь не только экранки, а периодически мелькаешь на камеру, то всё будет гуд.

Если же нет, то ты в этом деле потерян. Именно поэтому никто из действительно толковых ИБшников, да и в принципе из компьютерщиков никогда не станет популярным на нашем ютубе. Таков закон индустрии.

Что ж друзья, на этом у меня всё. При достижении каждой значимой цифры, я всегда стараюсь сделать на канале что-нибудь необычное. Не вписывающееся в основной формат.

Это могут быть подобного рода подкасты, разоблачения или различные тёрки за жизнь на природе. Канал вот-вот преодолеет отметку в 30 тысяч подписчиков, но я последнее время крайне нетерпелив, поэтому решил порадовать вас крафтовым ништячком чуть заранее.

Надеюсь, я не сильно утомил вас своей болтовнёй. Ведь темка то, действительно интересная. И хоть я сам и не собираюсь проходить в ближайшее время никакие промышленные сертификации, вам это может оказаться полезным.

Ведь согласитесь, зарплату от 2 тысяч долларов и выше в нашей стране не каждый день раздают. Поэтому, есть смысл заморочиться, как минимум с целью самоутверждения в данной области.

Ну а с вами, как обычно, был Денчик. Искренне благодарю за прослушивание. Всю теоретическую инфу по теме ищите в телеге. Всем удачи, успехов и самое главное отличного настроения.

Берегите себя и своих близких. Учитесь новому, развивайтесь, и помните. Что реальные знания и государственное образование, это всё-таки разные вещи. И в последние годы они становятся от друга всё дальше.