Jak zostać pentesterem
Na czym polega zawód pentestera i ile zarabiają „legalni hakerzy”?
Nawet kilkadziesiąt tysięcy złotych miesięcznie zarabiają pentesterzy w Polsce. Nazywani „legalnymi hakerami” lub „hakerami w białych kapeluszach”, na zlecenie firm przeprowadzają cyberataki, testując wytrzymałość systemu zabezpieczeń. Na końcu zdają raport z zaleceniami. Wraz z rosnącymi nakładami na cyberbezpieczeństwo, branża przeżywa złoty okres. Jednak kto może zostać pentesterem i czy perspektywa legalnej pracy zniechęci „zawodowców” po drugiej stronie barykady?
Hakera zatrudnię od zaraz
W listopadzie Agencja Wywiadu opublikowała w mediach informacje o kolejnym naborze do departamentu technicznego. Oprócz klasycznych informatyków czy programistów AW ogłosiła, iż poszukuje pentesterów (od penetration tester). Tzw. legalni hakerzy od lat są rozchwytywani przez państwowe agencje bezpieczeństwa i największe korporacje. Kiedyś ich praca kojarzyła się przede wszystkim z wewnątrzfirmowymi szkoleniami BHP. Podszywali się pod informatyków i badali zachowania pracowników. Np. czy pozwolą podłączyć sobie nowe urządzenie do stanowiska pracy, zweryfikują, kim jest człowiek przedstawiający się jako „Kowalski” z działu IT. W ten sposób powstawały materiały szkoleniowe, uczulające personel na manualne próby przejęcia danych czy uzyskania kontroli nad firmowym sprzętem i oprogramowaniem. To jednak zamierzchłe czasy. Dziś pojęcie pentestera wiąże się przede wszystkim z „hakerami”, którzy za dobre pieniądze przeprowadzają „legalne ataki”, by pokazać, jak łamać zabezpieczenia i jak się przed tym bronić. Wraz z rosnącymi nakładami na cyberbezpieczeństwo na rynku pojawił się olbrzymi popyt na wysoko wykwalifikowanych speców od legalnego włamywania się.
Wysokie zarobki
Adam Haertle, założyciel popularnego serwisu Zaufana Trzecia Strona, a zarazem ekspert od cyberbezpieczeństwa, w niedawnym wywiadzie dla Money.pl stwierdził, że „od ręki” znalazłby pracę dla 10 czy 20 dobrych pentesterów. Jednak Haertle, podobnie jak inni „średni gracze”, raczej nie zdołają przelicytować największych graczy. Pentesterów wciąż bowiem brakuje, a tacy giganci jak Apple od ręki płacą nawet milion dolarów za udany atak. To właśnie taką nagrodę wyznaczył Ivan Krstić, szef bezpieczeństwa Apple, w trakcie konferencji „Black Hat” w Las Vegas. Oczywiście zachowanie szefa bezpieczeństwa Apple to ekstrawagancja. Większość firm preferuje klasyczny układ pracowniczy. Zatrudniony na stałej i dobrze płatnej posadzie pentester jest skłonniejszy zachować w pełnej poufności tajemnice (w tym te niechlubne) swoich pracodawców. W sierpniu media żyły dokonaniami zespołu ekspertów Google, który odkrył i opisał luki w zabezpieczeniach Apple.
Poza faulującymi się graczami na świeczniku firmy zatrudniające pentesterów chcą, by ich raporty nie ujrzały światła dziennego.
– Na umowę o pracę w dużym mieście pentester może zarobić 15–20 tysięcy zł miesięcznie. A najlepsi dostają wielokrotnie więcej – twierdził szef Zaufanej Trzeciej Strony. Wysokie zarobki to jednak nie tylko kwestia braku rąk do pracy. Ludzie rokrocznie wytwarzają coraz więcej cyfrowych danych. A pentesterzy muszą w nich wynajdywać szkodliwe aplikacje. Od pachnących z daleka przekrętem aplikacji w mediach społecznościowych, po „perełki” jak złośliwe oprogramowania podszywające się pod antywirusy czy aktualizacje podstawowych programów komputerowych. Mając na uwadze, że w 2020 roku internauci wyprodukują ok. 44 bilionów gigabajtów (raport International Data Corporation), pentesterzy po prostu nie mogą spoczywać na laurach i na bieżąco muszą aktualizować swoją wiedzę.
Praca marzeń, ale nie dla wszystkich
Znając zarobki, stawki dla pentesterów i zakres ich pracy należy sobie odpowiedzieć na pytanie, kto może tej pracy się podjąć? Przez lata szeregi pentesterów zasilali zarówno specjaliści z różnych dziedzin IT, jak i byli hakerzy, szukający uczciwej pracy (niekiedy zmuszeni po wpadce). Ci drudzy nie są jednak tak rozchwytywani jak mogłoby się wydawać. Mając bowiem do wyboru pentestera z wyboru, specjalistę z „glejtem” i deklarującego porzucenie dawnego „fachu” ex-przestępcę pracodawcy raczej postawią na tego pierwszego. Leszek Tasiemski z F-Secure zajmującej się cyberbezpieczeństwem, w wywiadzie dla SpidersWeb.pl zapewniał, że w jego firmie wszyscy pracownicy mają czystą przeszłość.
– Nie akceptujemy nawet najlepszych hakerów, którzy mieli coś na sumieniu – twierdzi szef F-Secure. Zamykanie zawodu na „nawróconych” wynika z potencjału klientów. Pentesterów wynajmują bowiem np. banki, a te nigdy nie pozwolą, by testy bezpieczeństwa przeprowadzał nawet najlepszy specjalista, ale z „brzydkim epizodem” na karku.
Pentester doskonały
Od kandydatów do pracy w roli pentesterów wymaga się wiele. Jednak to, co pojawia się najczęściej, to kwestia specjalizacji. – [Trzeba – red.] Zdecydować, co się chce tak naprawdę testować, wśród dobrych pentesterów jest daleko posunięta specjalizacja. Poznawać najlepsze dokumenty, standardy, np.: OWASP-owe i rekomendowane listy narzędzi. Na koniec, jak się chce już na dobre wejść na rynek, a nie jest się pewnym swoich wysokich umiejętności, zdobyć jakiś rozpoznawalny certyfikat – wymienił wymagania od kandydatów do pracy pentesterów Mirosław Maj, CISO, ComCERT w rozmowie z Zaufaną Trzecią Stroną.
– Nim zostaniesz pentesterem, musisz dokonać samodiagnozy. Przede wszystkim należy być dociekliwym, a wręcz wścibskim. Dodatkowo trzeba być rzetelnym skrybą, pamiętającym, że zawsze jest przyczyna danego zachowania. Później już jest z górki, czyli wystarczy nie walczyć ze standardami, a je stosować – OWASP, OSSTMM, PTES. Ponadto warto zainwestować własny czas w odkrywanie obszarów wiedzy, które są ciekawe. Pentester powinien (a może musi?) się angażować w swoje „dzieło zniszczenia” w takim samym stopniu, jak miałby się przed nim bronić – wtórował mu w rozmowie z ZTC Przemysław Jaroszewski, szef zespołu Działań Operacyjnych, CERT Polska.
Z kolei Piotr Konieczny, jeden z najbardziej cenionych specjalistów od bezpieczeństwa zespołu Niebezpiecznk.pl przekonuje, że marzący o karierze pentestera powinni zacząć karierę od pracy jako programista lub administrator systemów. – Aby móc coś rzetelnie przetestować pod kątem bezpieczeństwa, dobrze jest najpierw w pełni zrozumieć, jak to coś działa albo od czego zależy – dlatego tym, którzy chcą zostać pentesterem sugeruję najpierw rozpocząć karierę programisty (aplikacji webowych lub mobilnych) albo administratora systemów, a dopiero po paru latach doświadczenia w zawodzie zacząć mocniej nadbudowywać swoją wiedzę o aspekty bezpieczeństwa znanych już rozwiązań (języków programowania, systemów, technologii, etc.). (…) Jedno jest pewne: samo przeczytanie o danej podatności nie pozwoli jej tak zrozumieć, jak jej wykorzystanie w praktyce, ale w tym pomóc mogą zarówno płatne szkolenia, jak i darmowe serwisy takie jak vulnhub.com – przekonuje Konieczny, na którego szkoleniach z cyberbezpieczeństwa w 2018 roku wzięło udział 2,5 tys. osób, które za bilety zapłaciły ok. 560 tys. złotych.