Привет. Расскажу про популярную тему, на которой неплохо зарабатывают. Если у тебя есть прям бешеное желание стать хакером, ты изучаешь эту тему и развиваешься, то это направление будет тебе интересно. Да и просто, почитать, что люди, не нарушая закон могут взламывать и зарабатывать 25К$ в месяц, тоже любопытно. В общем, погнали.
«Пентестер» — это специалисты по тестированию на проникновение. Что ещё за «проникновение» и зачем его нужно тестировать? Ну смотри, есть крупные компании, созданные крутыми людьми. Естественно эти люди нанимают себе штаб сотрудников, которые выполняют работу. Я сейчас говорю конкретно о компаниях, где разрабатываются проги и тд. Так вот, эти наемные рабочие, не всегда качественно делают свою работу. Ну там, ошибаются, ленятся или клепаю что попало, потому что дедлайн поджимает. В программном продукте любая ошибка – это потенциальная уязвимость. Уязвимость – это уже потенциальный риск. А риск – это вроде как плохо, и можно потерять деньги (вообще много всего можно потерять: данные клиентов, интеллектуальную собственность, репутацию, но всё это высчитывается в деньгах).
И что вы думаете? «Большие дяди» решают не торопить программистов, свозить их на курсы безопасной разработки, дать время на доведение кода до совершенства и делают им массаж ступней? Конечно же, нет. «Большие дяди» решают эти риски «принять» (снизить, передать, застраховать и много других умных слов). Изначально, черные хакеры немного воровали, и всё шло в стандартном потоке, но так было до поры до времени. Со временем объем данных стал значительно расти, наглость хакеров росла еще быстрее. Вред от взлома стал превышать допустимые пределы. Еще и пользователи начали осознавать ценность своих «ну очень важных» персональных данных, а потом подъехали «ребята» из политики, и завертелось (прослушка первых лиц, вывод из строя Иранской АЭС, фальсификации выборов, свобода слова, право на приватность, право на забвение и наконец «кибероружие»!).
Все сразу поняли, что информационная безопасность – это вам не «хухры-мухры».
Тут самые уважаемые люди сказали, что злых хакеров-то они, конечно, посадят (до которых дотянутся), но и всем остальным нужно вроде как нести ответственность за свою деятельность и выполнять необходимые меры по информационной безопасности. Выпустили указания, стукнули молотком и разбежались. С тех пор было принято, что нужны люди, которые будут все так же взламывать, но только на благо и им за это будут платить. Ну чтобы мотивация была. Именно так и появились пентестеры.
Какие есть варианты работы, да и где ее искать?
Ну, варианта два. Либо фриланс, либо наем с полным графиком 5/2. Ну с наемом в принципе все понятно, я прочекал вакансии в среднем зп в месяц от 80К до 250К. Что касается фриланса — тут все сложней. Не буду говорить о внутренней дисциплине и чем больше работаешь, тем больше зарабатываешь.
Здесь для начала нужно зарекомендовать себя. Закрывать всякие бесплатные баги, получать за это баллы. А потому уже тебя начнут звать в приватные проекты. И вот там…. цена тоже зависит от множества факторов, прежде всего от опыта исследователя и от того, сколько времени он готов уделять взлому. Многие участвуют в программах от случая к случаю и не столько ради денег, сколько из интереса или желания усилить своё резюме. Понятно, что их доход, скорее всего, будет небольшим (особенно если брать не разовый выигрыш, а заработок за какой-то период, например за полгода-год). С другой стороны, есть люди, которые занимаются этим серьёзно и регулярно. Есть ребята, которые зарабатывают и по 50К$. Не каждый месяц, но периодически это достижимо.
Как стать пентестером?
Учиться, учиться и еще раз учиться. Читать статьи или презентации, описывающие какие-то конкретные уязвимости. Изучать книги и ресурсы по данной тематике. Смотреть видеодоклады, митапы, конференции. Изучать чужие отчёты. И главное много практиковаться. Чтобы стать прям официальным пентестером нужно получить сертификат и прочая дичь. Но можно заниматься багхантингом. Дословно «охотой за багами». И вот тут не надо никаких сертификатов и что-то кому-то доказывать. Просто ищи баги, указывай на них и получай за это деньги.
В общем, это действительно крутая профессия, но как и везде, где есть деньги, там нужно работать. И вкладываться в первую очередь нужно в себя и в свои знания.