HateMyJob Posted April 26, 2021 Report Posted April 26, 2021 Salut ! Am mai avut vreo 2 conturi pe forum dar le-am uitat parolele. Vin si eu cu o rugaminte, sunt in cautare de niste sfaturi in legatura cu ce pasi sa urmez in viitor, de la niste oameni cu mai mult experienta de viata (astia sunteti voi). Incep cu ceva scurt despre mine, am 22 de ani, termin facultatea cu o diploma in "Computer Science" anul asta la inceputul verii daca totul merge bine la examene, am lucrat 1 an la McAfee ca si intern (nu am invatat foarte multe, bazele limbajelor de programare, baze de netwroking si security, sa joc ping-pong), si momentan lucrez full-time ca si Full Stack Developer (python, Django, JavaScript, React, docker stuff) la o companie din Londra (sunt in Romania momentan ca na, covid). Deci in astia 2 ani cat am lucrat am fost mai mult pe partea de development, ma pot adapta la orice limbaj de programare (python si Java sunt mai increzator), dar m-am cam plictisit si nu prea e exiting, mereu am fost pasionat de securitate cibernetica si vreau sa ma mut pe partea aceasta. Alta problema ar fi ca nu prea vreau sa ma intorc in strainatate, deci trebuie sa fie ceva sa pot face remote. (In Targu-Mures nu stiu daca sunt multe oportunitati). Nu stiu de unde sa incep sa fac aceasta tranzitie, skillset-ul cred ca il pot acumula in timp si pot gasi resurse, dar nu stiu pe ce ramura a securitatii ma pot duce (aici o scurta prezentare m-ar ajuta), daca imi trebuie certificari si spre care sa ma duc (de mentionat aici ca pentru certificari gen networking sau CEH pot fi sponzorizat si de compania unde lucrez momentan), si daca trebuie neaparat sa ma angajez la o firma care are program full remote sau daca pot face un fel de freelancing ? (ca si goal undeva la 1000€ pe luna mi-ar fi suficienti mie). In concluzie (ca la bac), cateva sfaturi despre ce reprezinta aceasta ramura de securitate cibernetica, cum imi pot incepe drumul spre ea si unde trebuie sa tintesc m-ar ajuta enorm. O zi buna in continuare ! Quote
tagheuer Posted April 26, 2021 Report Posted April 26, 2021 Off-topic: Exista freelancerii pe partea de securitate cibernetica care fac cel putin 100k/year? 1 Quote
Nytro Posted April 26, 2021 Report Posted April 26, 2021 Salut, in mare eu vad securitatea ca avand 2 parti: - defensive - Parte de monitorizare, raspuns la incidente si tot felul de astfel de lucruri - offensive - Parte de penetration testing, red teaming Mie desigur, mi se pare mai "fun", a doua parte, dar cred ca sunt mai multe locuri de munca referitor la prima. De asemenea, eu consider ca pentru offensive, ai nevoie de mai multe skill-uri, sa stii atat parte de defensive cat si de offensive, de exemplu sa poti face bypass la diferite mecanisme de securitate. Ca certificare conteaza pe care ramura vrei sa mergi. De exemplu Comptia Security+ e un bun start pentru ambele deoarece pune niste baze cat de cat solide. Apoi, daca iti place partea de offensive, trebuie mai intai sa stii putina programare web. Apoi, nu CEH, e o mizerie ordinara, mergi catre OSCP dar nu e tocmai usor pentru persoane "noi". Nu stiu cum e treaba cu Remote, dar inca sunt sanse, dat fiind faptul ca e inca pandemie. Sugestia mea e sa cauti astfel de pozitii, iar daca nu gasesti sa te muti intrun oras mai mare. Clujul e un oras frumos, desi s-a mai aglomerat si scumpit, eu tot zic ca merita. Documentatie gasesti o gramada referitoare la orice, inclusiv aici pe forum. Arunca o privire prin categoriile de Tutoriale engleza si Web security. Apoi, problema e ca fiecare firma are cerinte proprii. Daca iti place o firma, iti recomand sa iti petreci cateva zile inainte de interviu si sa inveti cam ce au ei nevoie. Chiar daca nu te accepta, acele cunostiinte raman acolo si sunt utile pe viitor. @tagheuer - Se poate sa existe, dar e dificil si implica multa munca. Ca solutie ar fi bug bounty, dar trebuie sa o faci la un nivel profi, sa intri in programe private si sa iti dedici mult timp pentru asta. Pe langa niste skill-uri bune. Altfel, nu am idee cum s-ar putea, ca freelancer ca nu cred ca arunca firmele zeci de mii de euro pe un Gigel cand se pot duce la o firma. 1 2 Quote
HateMyJob Posted April 27, 2021 Author Report Posted April 27, 2021 9 hours ago, Nytro said: Ca certificare conteaza pe care ramura vrei sa mergi. De exemplu Comptia Security+ e un bun start pentru ambele deoarece pune niste baze cat de cat solide. Apoi, daca iti place partea de offensive, trebuie mai intai sa stii putina programare web. Apoi, nu CEH, e o mizerie ordinara, mergi catre OSCP dar nu e tocmai usor pentru persoane "noi". Si eu tot pe partea de offensie as fi mai inclinat sa merg, ca un sfat, crezi ca e o idee buna sa raman pe pozitia de Full Stack dev momentan si sa lucrez spre obtinerea Comptia Security+ mai intai ? (dupa ce termin facultatea). Daca ar fi sa ma las de job si sa studiez full-time aceasta ramura, cu aproximatie, cam ce interval de timp crezi ca e rezonabil ca sa pot incepe sa scot si ceva bani ? (cat sa traiesc ) Multumesc mult de raspuns. Quote
Nytro Posted April 27, 2021 Report Posted April 27, 2021 Da, ramai si lucreaza pe ceea ce esti deja si in timpul liber invata lucruri noi. Comptia Security+ e doar o idee, contine niste lucruri OK, generale. Poti invata si ceva programare web ca sa intelegi vulnerabilitatile web cum trebuie. Eu iti recomand sa citesti Web Application Hacker's Handbook (2nd edition) pentru asta, e foarte ok pentru inceput. Depinde cat de repede inveti, poate dura de la 2-3 luni la cativa ani 1 Quote
SirGod Posted April 27, 2021 Report Posted April 27, 2021 13 hours ago, tagheuer said: Off-topic: Exista freelancerii pe partea de securitate cibernetica care fac cel putin 100k/year? Sunt care fac si 1.000k/an. Chiar si un roman. Asta din bug bounty. Din consultanta, iti trebuie un tarif orar de minim 50 EUR/USD pe ora (average), sa lucrezi echivalent cu un program obisnuit (40h/saptamana) si poti sa faci banii astia intr-un an. Din care mai platesti si taxele. Acum daca esti top, recunoscut, cu clienti stabili, recomandari, cred ca poti trece lejer de suma aia. 5 Quote
gigiRoman Posted April 27, 2021 Report Posted April 27, 2021 2 hours ago, SirGod said: Sunt care fac si 1.000k/an. Chiar si un roman. Asta din bug bounty. Din consultanta, iti trebuie un tarif orar de minim 50 EUR/USD pe ora (average), sa lucrezi echivalent cu un program obisnuit (40h/saptamana) si poti sa faci banii astia intr-un an. Din care mai platesti si taxele. Acum daca esti top, recunoscut, cu clienti stabili, recomandari, cred ca poti trece lejer de suma aia. @SirGodAfara de Cosmin si Alex Birsan mai sunt romani? Quote
SirGod Posted April 27, 2021 Report Posted April 27, 2021 19 minutes ago, gigiRoman said: @SirGodAfara de Cosmin si Alex Birsan mai sunt romani? Milionari? Nu am idee. Posibil sa mai fie, dar poate mai "underground". Quote
Nytro Posted April 27, 2021 Report Posted April 27, 2021 Acele venituri sunt "lifetime". "Besides the eight hackers passing the $1 million earnings milestone, twelve more hit $500,000 in lifetime earnings and 146 earned $100,000, up from 50 last year." Nu stim exact cand au inceput. Exceptand acele cazuri cu 1 milion, daca ii luam pe ceilalti si ei fac asta de 5 ani atunci da, inseamna 100.000$+ pe an. Si sunt doar 12. Sunt sanse mici in ziua de azi sa faci atat de multi bani din simplul motiv ca nu esti singurul care face asta. Daca iti dedici minim 8 ore pe zi, ai putea ajunge, dar bug bounty are si o parte negativa: lipsa stabilitatii financiare. E greu in practica. Recomand insa asta pe langa un job stabil. 1 1 Quote
gigiRoman Posted April 27, 2021 Report Posted April 27, 2021 1 hour ago, Nytro said: Acele venituri sunt "lifetime". "Besides the eight hackers passing the $1 million earnings milestone, twelve more hit $500,000 in lifetime earnings and 146 earned $100,000, up from 50 last year." Nu stim exact cand au inceput. Exceptand acele cazuri cu 1 milion, daca ii luam pe ceilalti si ei fac asta de 5 ani atunci da, inseamna 100.000$+ pe an. Si sunt doar 12. Sunt sanse mici in ziua de azi sa faci atat de multi bani din simplul motiv ca nu esti singurul care face asta. Daca iti dedici minim 8 ore pe zi, ai putea ajunge, dar bug bounty are si o parte negativa: lipsa stabilitatii financiare. E greu in practica. Recomand insa asta pe langa un job stabil. Hmm, am mai vazut cazul lui @Nytrogen desi rupe la ctf, nu prea are activitate pe hacker1. @Nytro tu stii mai bine, ca sunteti colegi. 1 Quote
HateMyJob Posted April 27, 2021 Author Report Posted April 27, 2021 Multumesc de raspunsuri ! Deci sa inteleg ca se poate face un venit si din bug bounty, numai ca nu este ceva sigur sau ceva constant ? Deci s-ar putea sa existe perioade cand nu castigi mai nimic si perioade cand castigi mai mult ? Aceste bug bountyuri, sunt de obicei organizate de companii pe o perioada de timp, sau pur si simplu incepi sa incerci sa gasesti vulnerabilitati in companii (fara sa faci exploit ? e legal asa ceva ? ) si anunti ce ai gasit companiilor ? 1 Quote
gigiRoman Posted April 27, 2021 Report Posted April 27, 2021 1 minute ago, HateMyJob said: Multumesc de raspunsuri ! Deci sa inteleg ca se poate face un venit si din bug bounty, numai ca nu este ceva sigur sau ceva constant ? Deci s-ar putea sa existe perioade cand nu castigi mai nimic si perioade cand castigi mai mult ? Aceste bug bountyuri, sunt de obicei organizate de companii pe o perioada de timp, sau pur si simplu incepi sa incerci sa gasesti vulnerabilitati in companii (fara sa faci exploit ? e legal asa ceva ? ) si anunti ce ai gasit companiilor ? Cauta pe hackerone si pe bugcrowd. Sectiunea programs. 1 Quote
aelius Posted April 27, 2021 Report Posted April 27, 2021 4 hours ago, HateMyJob said: Multumesc de raspunsuri ! Deci sa inteleg ca se poate face un venit si din bug bounty, numai ca nu este ceva sigur sau ceva constant ? Deci s-ar putea sa existe perioade cand nu castigi mai nimic si perioade cand castigi mai mult ? Aceste bug bountyuri, sunt de obicei organizate de companii pe o perioada de timp, sau pur si simplu incepi sa incerci sa gasesti vulnerabilitati in companii (fara sa faci exploit ? e legal asa ceva ? ) si anunti ce ai gasit companiilor ? Bug bounty e ca si cum te-ai bate cu indienii pe upwork pe proiecte cu ubuntu. Nu mai bine inveti meserie si iti iei cateva mii lunar cu contracte si toate cele doar pe consultanta? Bagi cafea, vorbesti la telefon si dai email-uri. Sau te plimbi cu masina prin toata Europa pe la clienti. 2 Quote
HateMyJob Posted April 28, 2021 Author Report Posted April 28, 2021 10 hours ago, aelius said: Bug bounty e ca si cum te-ai bate cu indienii pe upwork pe proiecte cu ubuntu. Nu mai bine inveti meserie si iti iei cateva mii lunar cu contracte si toate cele doar pe consultanta? Bagi cafea, vorbesti la telefon si dai email-uri. Sau te plimbi cu masina prin toata Europa pe la clienti. Unde aplic ? Imi place sa ma plimb cu masina 2 Quote
gigiRoman Posted April 28, 2021 Report Posted April 28, 2021 Mai era un coleg aici pe forum @truffledog el era mare bountyst. Nu stiu daca mai e activ. Quote
aelius Posted April 28, 2021 Report Posted April 28, 2021 2 hours ago, HateMyJob said: Unde aplic ? Imi place sa ma plimb cu masina Ce sa aplici man. Self employed 🤣 Quote
WarLord Posted August 12, 2021 Report Posted August 12, 2021 Haha, toata lumea pe offensive, dar stim sa facem defensive? Tot info sec-ul e un IT bine facut si industria are nevoie de IT-isti buni carora sa le pese de sisteme, apoi avem nevoie de 'boots on the ground' pe partea de defensive, implementari sisteme, cloud implementari si cloud securitate, etc. Nu visati la bani buni daca nu aveti partea IT-ului bine cunoscuta cu vreo 10 ani de experienta minim, adica sa incepi de la helpdesk si sa urci pana la securitate dupa vreo 10 ani, nu amagiti oamenii ca fac burnout. Pentru developeri e lucru mult si f bine platit pe partea de cloud: Google si AWS. Am vorbit cu un head hunter - $150k cu vreo 3 ani de experienta pe cloud si proiecte f faine, mai faine decat in offensive. Te mananca viermii pana stai o saptamana pe un pentest report. 1 3 Quote
Kev Posted August 13, 2021 Report Posted August 13, 2021 (edited) Cyber Forensics, pe langa hamburgeri si gogosi ai undeva la aproximativ 4.000 € lunar Edited August 13, 2021 by Kev 1 Quote
WarLord Posted August 18, 2021 Report Posted August 18, 2021 On 8/13/2021 at 2:50 PM, Kev said: Cyber Forensics, pe langa hamburgeri si gogosi ai undeva la aproximativ 4.000 € lunar Incident Response and Handling. Super fain. Nu numai ca trebuie sa intelegi tehnici offensive dar si defensive, apoi cautat in loguri pe Windows si Linux. Quote
bio.sh Posted August 18, 2021 Report Posted August 18, 2021 On 4/27/2021 at 11:14 AM, HateMyJob said: Si eu tot pe partea de offensie as fi mai inclinat sa merg, ca un sfat, crezi ca e o idee buna sa raman pe pozitia de Full Stack dev momentan si sa lucrez spre obtinerea Comptia Security+ mai intai ? (dupa ce termin facultatea). Daca ar fi sa ma las de job si sa studiez full-time aceasta ramura, cu aproximatie, cam ce interval de timp crezi ca e rezonabil ca sa pot incepe sa scot si ceva bani ? (cat sa traiesc ) Multumesc mult de raspuns. renunta la ideea de comptia sec+...ai alte certs care sunt worth while Quote
tjt Posted August 18, 2021 Report Posted August 18, 2021 2 hours ago, bio.sh said: renunta la ideea de comptia sec+...ai alte certs care sunt worth while i beg to differ. Desi nu iti asigura jobul, te aduce pana la usa interviului. Quote
bio.sh Posted August 18, 2021 Report Posted August 18, 2021 8 minutes ago, tjt said: i beg to differ. Desi nu iti asigura jobul, te aduce pana la usa interviului. Te aduce pana la usa companiei si te face sa realizezi ca ti-ai aruncat banii pe geam in loc sa faci o certificare ca lumea Quote
tjt Posted August 18, 2021 Report Posted August 18, 2021 (edited) 18 minutes ago, bio.sh said: Te aduce pana la usa companiei si te face sa realizezi ca ti-ai aruncat banii pe geam in loc sa faci o certificare ca lumea Esti sigur de asta? Pentru unii e doar un job, nu-l fac din pasiune sau din dorinta de a fi guru-tehnici. Vin, isi fac task'urile si pleaca acasa. Tinand cont de criza de ITisti daca ai o certificare entry-level precum CompTIA Sec+, inseamna ca ai habar de cate ceva (macar de vocabularul tehnic). Firma o sa te bage intr-un training intensiv de 2 saptamani si dupa la munca. Corporatiile pierd bani de la clienti daca nu au oameni asa ca le convine sa ia si oameni mai slabi pregatiti pentru a'i baga la munca. Mai ales ca o persoana cat de cat decenta dpdv tehnic e mai usor sa fie tinuta in firma decat nu stiu ce guru-tehnic. Edited August 18, 2021 by tjt Quote
bio.sh Posted August 18, 2021 Report Posted August 18, 2021 53 minutes ago, tjt said: Mai ales ca o persoana cat de cat decenta dpdv tehnic e mai usor sa fie tinuta in firma decat nu stiu ce guru-tehnic. Asta da, mai putini bani, mai putine cerinte, mai usor de controlat ... ca asa e la noi Quote
tjt Posted August 18, 2021 Report Posted August 18, 2021 1 hour ago, bio.sh said: Asta da, mai putini bani, mai putine cerinte, mai usor de controlat ... ca asa e la noi Asa e peste tot in corporatii, nu doar la noi. Quote