[Job] - Ethical hacker/ Pentester - de zi cu zi

[pyth0n3]

Sau vreti sa deveniti programatori, si desi NU ATI SCRIS 200 DE LINII DE COD in viata voastra,

Pentru a testa un programator este simplu

Cerinta la interviu ar fi urmatoarea:

Creaza un program in care vom intalni 20 de greseli de programare pe care sa fi constient ca le-ai facut.

Eu cred ca poti sa iti dai seama repede care cunoaste programare care invata programare si care abia a auzit de programare.

In rest daca vreti sa lucrati pe plan international trebuie sa acceptati munca in echipa .Si inca ceva care poate nu cunoasteti .Nu e necesar ca oficiul vostru sa se afle in acelasi oras.Puteti face pana la 500km pe zi dus intors pentru munca .Spre exemplu la mine sunt persoane care fac 200-300 km pe zi pentru a veni la munca, (chiar eu faceam 150 km un timp).Inca ceva care nimeni nu va spus vreodata , intrun asemenea ambient trebuie sa ?e mereu reperibil.Asta inseamna ca te vor suna si la ora 2,3,4 noaptea daca se intampla ceva.Si credema pe cuvant ca nu iti vor da miliarde pentru asa ceva ,acest lucru poate fi inclus in salar sau maxim iti vor da cateva zile libere .Munca in IT include si sambata si duminica pentru ca in momentul in care se intampla ceva la sfarsitul saptamanii nu poti amana un abient de productie pe luni si credema ca daca este necesar va veti afla on site si 24 de ore non stop.O spun din proprie experienta , sa poate intampla pentru diverse cauze ca un datacenter sa fie DOWN .Nu conteaza ce ora este , toti se aflau on site sa rezolve toate problemele legate de serviciu si retea si chiar daca esti pentester te vor chema sa analizezi situatia (ma refer la structurile mari bineinteles)

Crezi ca daca faci sqli sau un xss ajunge?

Cuvantul database acopera toate structurele de db si aplicatiile in cluster care le fac sa ruleze precum RAC Oracle (e leader mondial si se poate intalni des).Pentru a face un assessment intrun db comporta sa cunosti cum functioneaza si cum vin configurate cel putin toate tipurile de db in special db-urile care se ocupa de transaction.Sper ca toti cunosc spre exemplu ce inseamna termenul PMON si cum vine configurat un db in inter cluster.Necesita sa cunosti fiecare proces pe care un db il ruleaza si termenul "Spawning a Process in database" iti este deja stampat in memorie.Un web assessment intro aplicatie poate fi de mai multe tipuri.Trebuie sa cunosti procedura si cum sa faci un asessment cand vine vorba de black-box testing, trebuie sa cunosti procedura cand vine vorba de gray-box testing si credema ca white-box testing are o procedura total diversa ,iti vine prezentat codul aplicatiei si incepi sa faci debugging.

Doar urmatoarea cerinta necesita cunostinte foarte multe

• Good knowledge of different operating systems/ databases/ networking

Cand crezi ca vei face pentest doar in Linux te inseli , o sa iti prezinte Hp-UX, Solaris, Aix si vei intalni si True64.Cand nu ai sa intalnesti shell-ul bash ai sa incepi sa iti plangi de mila.Nu exista bash in sistemele prezentate mai sus decat in Solaris si Linux .Si chiar daca ai sa vrei sa il instalezi o sa iti plangi iar de mila.Sintaxa in cmd-line nu e emacs-like ca in toate sistemele Linux . Dupa ce scrii o linie de cod in terminal si vrei sa o modifici ai sa vezi ca incepi sa plangi din nou chiar daca ai terminat de plans.Cshell,KornShell,BournShell ar trebui cunoscute ca poeziile de Eminescu pe care le invatati la scoala pentru a lua o nota mare.

Cand cineva intreaba ce sisteme de operate cunosti se refera la urmatoarele arhitecturi :

IBM BladeCenter blade server

Netra Sparc

Sparc T-Series

Sparc M-Series

Sun Blade

HP ProLiant

Mai pot fi intalnite si Compaq Alpha Server desi sunt vechi dar exista , multi nu le arunca daca functioneaza

VTL Plus, VTL Primer ,IBM SAN

Toate acestea nu ruleaza Windows sau Linux

Daca careva va prezinta urmatoarea imagine va trece iar pofta de munca si va apuca plansul

Se pot intalni termeni ca:

Arhitectura SMP

Arhitectura AMPP (vine implementata pentru structurarea query-lor sql deobicei)

MPP (massively parallel computing)

Daca tot mai exista experti in db aici, insemana ca cunoasteti si

TwinFin sau Skimmer

Multi ar spune eu sunt in stare sa fac web application pentesting

Poftim ce imi poti spune despre:

Siebel CRM Systems ,SAP, Lotus Domino , sa continui?

Hai sa cobor la aplicatii mai simple

TOMCAT ,Hadoop, MapReduce , (credeai ca spun Joombla? sau un CMS in PHP facut de 2 zidari?)

Daca ar fi sa continui cu networking

VLAN /VTP , CISCO isi lasa amprentele

Angajati-va un robot care va citeste email-urile ca o sa va vina multe pe zi si o sa trebuiasca sa fiti la curent cu tot ce se intampla.Doar acest lucru o sa va ia o gramada de timp.

Deci pentru a face un pentester trebuie sa cunosti cum functioneaza ca sa poti preveni .Daca vi se prezinta un asemenea ambient nu puteti face fata daca nu il cunoasteti si atunci iti dai seama de ce valorezi putin, deoarece nu sti ce sa faci, crezi ca ai frecventat un forum de hacking si esti cel mai tare dar de fapt esti cel mai mic. A distruge e usor , a face pentesting inseamna a cunoaste cum functioneaza si apreveni ceea ce altii ar putea distruge.

Edited March 23, 2012 by pyth0n3

[Vlachs]

@pyth0n3 deja o dai in SF-uri, aerul asta de superioritate iti strica, te vad vorbind mult si fara rost.

Cati intra in contact zilnic sau saptamanal la locul de munca cu tot ce ai scris tu ?

Cati au nevoie sa stie tot ce ai scris tu?

Cat de necesare sunt toate precizate de tine ?

Cate dintre ele le stii chiar tu sau iti place sa le enumeri si atat ?

Edit: Dupa cum te comporti esti fix ca alti iluminati care se gasesc pe net, stiti toate limbajele de programare(cel mai slab nivel e mediu), stiti sa lucrati pe orice sistem, sunteti mai ceva ca wikipedia, iar in final iese o treaba de mantuiala.

Ar trebui pus accentul pe excelenta intr-un domeniu, nu sa stii 1000 de chestii cand doar 2,3 iti sunt folositoare si din cele 1000 de chestii stii generalitati.

Si pentru ca subiectul este pentester, te intreb oare cati dintre cei mai cunoscuti pentesteri stiu toate cele enumerate de tine, oare cei de la Mavituna stiu toate astea, daca nu le stiu asta inseamna ca nu se ridica la standardele tale ?

Edited March 23, 2012 by Vlachs

[pyth0n3]

@benny_loppa Lucrez in acest ambient care acopera si o retea de telefonie din Romania.Am descris doar ceea ce exista.Pot sa iti confirme multi care lucreaza in asemenea domenii , nui nici o problema.Exista multe alte lucruri pe care nu le-am enumarat.Daca tu consideri un SF ce am scris , nu ai decat sa mergi sa sa faci o vizita intrun Datacenter a unui ISP si ai sa te convingi singur.Vrei sa iti fac un video , nu stiu sa iti fotografiez server-urile si sa iti descarc o copie a aplicatiilor.Vrei sa iti vand datele din db ,cum ar trebui sa ma comport?

[Vlachs]

@benny_loppa Lucrez in acest ambient care acopera si o retea de telefonie din Romania.Am descris doar ceea ce exista.Pot sa iti confirme multi care lucreaza in asemenea domenii , nui nici o problema.Exista multe alte lucruri pe care nu le-am enumarat.Daca tu consideri un SF ce am scris , nu ai decat sa mergi sa sa faci o vizita intrun Datacenter a unui ISP si ai sa te convingi singur.

Ok si cat de des te intalnesti cu tot ce ai scris pana acum, sunt curios ca ce lucrezi

Edit: O dai in vrajeala de acum, ti-am cerut eu vreo ceva?

E clara treaba, esti mai ceva ca Chuck Norris, esti un fel de nea gigi.

Edited March 23, 2012 by Vlachs

[Nytro]

Are dreptate, cel putin din perspectiva din care vorbeste, dar aceleasi principii se aplica peste tot.

Sa luam exemplu cu SQL Injection.

Vine Vasile si gaseste un SQL Injection intr-un site. Bun, asta inseamna ca e "calificat" pentru un post de pentester, sau faptul ca a gasit un rahat de SQL Inection intr-un site il face pentester? NU. Ca sa poti fi un penterster bun trebuie sa stii in primul rand MYSQL. Da, trebuie sa stii limbajul SQL. Si asta ar fi doar o BAZA DE CUNOSTINTE. Nu e deloc de ajuns. Trebuie sa stii SQL Server, sa stii Oracle, sa stii si SQLite, si nu numai ca sisteme de gestiune a bazelor de date, dar si ca vectori de atac si foarte multa administrare. Trebuie sa stii si ASP.NET si Ruby nu doar PHP, pentru ca nu toate site-urile sunt scrise in PHP.

Si asta e important, pentru ca pentru pentesting nu vor plati firme de 2 lei, ci vor plati firme mari care NU FOLOSESC MySQL si PHP ci folosesc alte tehnologii: Oracle, ASP.NET... Cati dintre voi (care pretindeti ca stiti PHP si MySQL, dar nu cred ca ati scris mai mult de 1000 de linii de cod in aceste limbaje) cunosteti ASP.NET sau alte tehnologii? Cate linii de cod ati scris pentru a putea afirma ca puteti gasi si FIXA cod vulnerabil?

Credeti ca stiind sa folositi un UNION pentru MySQL, sau sa puneti un ../../etc/passwd e de ajuns, gata, va scrieti in frunte PENTESTER? Daca considerati asta, e clar, sunteti limitat grav de tot.

Si de vina sunt tutorialele de 2 lei pe care le cititi. De fapt, nu tutorialele, ci faptul ca sunt scurte, si asta e singurul lucru care va convinge sa le cititi, dar va si limiteaza, pentru ca invatand un lucru, nu realizati faptul ca mai sunt inca 1000 care ar trebui stiute, si va considerati niste zei...

[pyth0n3]

Ok si cat de des te intalnesti cu tot ce ai scris pana acum, sunt curios ca ce lucrezi

Incearca sa iti imaginezi un ISP care ofera telefonie si internet la toata tara cat ar fi de munca si cate probleme ai putea intalni in fiecare zi.

Evident fiecare team are o responsabilitate si un anumit sector de care se ocupa.Pentru cronaca ma ocup doar de sistemele Unix dar fiind in aceeasi cladire cu ceilalti reusesti sa observi si ceea ce nu are treaba cu ceea ce faci tu.Nu ma ocup de networking, de database ci doar de administrarea sistemelor UNIX si nu am spuso ca sa ofer aere de superior cu functia pe care o am.Un sysadmin Unix este un muncitor ca oricare altul, nu vine definit stapan si nu este superior.In societati de acest gen nu exista ierarhie .Fiecare team se ocupa de postul lui.Eu am dat un exemplu de ceea ce ruleaza pe serverurile Unix si am dat un exemplu ce tip de hardware vine folosit pentru serverurile Unix.Am publicat informatiile in scop informativ iar daca cineva are ocazia sa lucreze in acest domeniu si trece prin acest forum poate conferma ce am spus mai sus.

Later Edit:

Apropo Zatarra este un sysadmin AIX si poate conferma ce am spus mai sus

Edited March 23, 2012 by pyth0n3

[Vlachs]

Fiecare team se ocupa de postul lui.

Aici vream sa ajung, nu cred ca un pentester trebuie sa stie de la a la z, sunt prea multe informatii, este imposibil sa le asimilezi pe toate, cum si la tine fiecare e cu treaba lui, asa e si la o firma de pentesting si cu asta am incheiat discutia.

[pyth0n3]

Aici vream sa ajung, nu cred ca un pentester trebuie sa stie de la a la z, sunt prea multe informatii, este imposibil sa le asimilezi pe toate, cum si la tine fiecare e cu treaba lui, asa e si la o firma de pentesting si cu asta am incheiat discutia.

Calitatea rezultatului unui pentester este echivalenta cu cunostintele pe care le are.Va reusi sa faca doar ceea ce cunoaste.Presupunem ca esti un expert in sqli , e un lucru bun.Dar poti fi varza in crearea unui plan pentru securizarea db-ului.Un pentester in final trebuie sa creeze un plan final cu solutii pentru firma respectiva (acesta este punctul meu de vedere).Vorbesc despre pentester deoarece este un hobby pentru mine , probabil pe viitor as prefera sa fac pentesting si nu system administration.Oricum intrun ambient mix reusesti sa observi comportamentul celorlalti si poti invata multe de la fiecare.

[Vlachs]

Presupunem ca esti un expert in sqli , e un lucru bun.

Asta a vrut sa sune a jignire, nu-i nimic, ei bine py pana acum ai evitat foarte multe din intrebarile puse, cate din cele postate de tine mai sus stii, si ma refer macar la nivel mediu.

Ti-am spus, esti un fel de chuck norris al internetului.

[pyth0n3]

Asta a vrut sa sune a jignire, nu-i nimic, ei bine py pana acum ai evitat foarte multe din intrebarile puse, cate din cele postate de tine mai sus stii, si ma refer macar la nivel mediu.

Ti-am spus, esti un fel de chuck norris al internetului.

E inutl sa continui asa incepi sa ma ataci , stii prea bine ca nu am nici o intentie sa ne certam pentru cateva chestii interpretatee in moduri diverse.Iar in legatura cu jignirea , nu a fost adresata tie si nu a fost o jignire.In legatura cu cunostintele nu poti fi expert in toate astea e de inteles, creierul uman nu poate asimila tot , ar exploda .Iti dau un raspuns generic la toate intrebarile.Nu ma consider un expert in tot dar reusesc sa mentin un anumit nivel in anumite domenii care ma ajuta sa ma descurc. Sunt lucruri care nu le cunosc si as vrea sa le cunosc dar totul nu se poate.Ma limit la Unix si tot ce tine de configurarile serviciilor in acest ambient.Evident din punctul de vedere a securitatii.Fiecare are o limita, dar idea mea cu randurile scrise mai sus a fost doar sa trezeasca putoarea de pe acest forum a multor useri care daca ar pune mana pe o carte ar putea devenii experti pe viitor intrun oarecare domeniu.Idea mea este cati mai multi sa cunoasca cat mai mult.Nu conteaza daca esti blackhat sau whitehat , fiecare isi are rostul pe acest pamant.Idea ar fi in loc sa ma atacati in fiecare topic e sa faceti ceva in grup.Nu cred ca cuvantul grup exista pe rstcenter.Ajungem peste 10 ani sa ne futem pentru ce scrie fiecare in topicuri in loc sa demonstram ca putem fi experti in ceva.Asta a fost esentialul fiecarui topic in care am scris.Nu cred ca am reusit sa colaborez cu persoane din romania doar pentru faptul ca nu reusesc sa lucreze in echipa.E inutil sa imi dea cineva "Chuck Norris" , eu stau in banca mea dar nu gasesc limbajul prin care pot instaura o colaborare.Evident jignesc prin ceea ce scriu in topicuri dar nu cred ca unul ca benny_loppa ar trebui sa se simta .Nu am zis ca esti mai prejos decat altii , tu poti face ceea ce stii sa faci in domeniul tau mult mai bine iar altii .Eu ma consider la acelasi nivel de rand cu fiecare e inutil sa cream o ierarhie .Dar cred ca daca exagerez cu cerintele unii ar pune mana si ar invata macar minimul esential.Credema ca la interviuri exagereaza pana nu mai stii ce naiba sa raspunzi.Mie mi-au cerut sa cunosc toate sistemele la perfectie si toate cluster-urile care exista pentru fiecare sistem plus o gramada de limbaje de programare.E imposibil si stiu acest lucru, toate interviurile le umfla pentru a gasi oameni care intradevar inteleg ceva dar asta nu inseamna ca nu trebuie sa incerci.Eu zic sa mai lasati putin balta fututul ca nimeni aici nu face pe supremul deoarece nu am intrat inca in mentalitatea acelor persoane care ruleaza in BMW si il spala cu furtunul in fata blocului.Pentru a face sport merg in bicicleta la munca nu trebuie sa fac pe supremul, multi merg in bicicleta in occident la munca si au pozitii destul de mari in societate dar nu au spiritul de jigodie pentru a se afirma.

Aici pe forum nu conteaza cine esti , ci ceea ce cunosti si daca ai putea fi de folos altora nu sa ii futi.Benny cred ca ai putea cumpara o bere, sa te pui la masa cu noi si sa ne explici cum functioneaza seo mai bine decat sa stam aici sa ne jignim reciproc.Nu ma interesat niciodata SEO dar daca careva mi-ar explica cum functioneaza as fi bucuros sa acumulez informatii noi.Cred ca ce am scris aici va schimba logica de a gandi si ca nu vreau sa va jignesc ci doar sa vad mai multi care vor sa cunoasca mai mult

Peace!

Edited March 23, 2012 by pyth0n3

[michee]

0) O fi cum zice python03 la el la munca, dar in rest nu-i deloc asa, o zic si eu din proprie experientza. Benny_loppa clar e mult mai aproape de realitate

1) Eu sunt genul de om, care n-a terminat facultatea(automatica) dar a muncit pe rupte, a invatat pe rupte si consider ca-s f bun in ceea ce fac

momentan programator...

2) am fost la un interviu de pentester si m-am descurcat f. bine. Nu se cerea sa stii toate variantele linux/solaris/ shell-uri si ce zicea python 03 mai sus, a fost mult mai "firesc".

3) ma intreb care ar fi salariile in piata......1200E chiar e un kkt, ii fac ca programator...io am cerut 8k Ron (voiam sa cer 10k) si gagica aia deja

a inceput sa strambe din nas un pic.....WTF???

Edited March 25, 2012 by michee

[Cril]

In mare parte sunt de acord cu benny privind cerintele pentru un post de pentester : ceea ce a scris py e destul de exagerat(chiar el a afirmat in ultimul post), dar la fel de bine pot intelege rostul posturilor facute de py sau de nytro : fiecare pusti de 15 ani care scrie un union select sau foloseste un program specializat spune ca stie SQL/SQLi, dar daca-l pui sa faca un query mai complicat da din colt in colt si eventual cauta pe google, si de cele mai multe ori nu gaseste nici acolo ca-i prea prost.

Pe de alta parte nu stiu de unde pana unde salariul de 1200 EUR/$ e mic pentru voi, care traiti in Romania. Sunt oameni care mor de foame in case cu un salariu de 750-800RON(200EUR) pentru o munca zilnica GREA de 8 ore in timp ce altii spun ca asta e un salariu de tot cacatu', obisnuiti sa suga tzatza de la mami chiar si dupa atatia ani. Da, salariul este mic in comparatie cu ce se da afara, dar daca e sa compari cu ce e in Romania ai sa-ti dai seama ca un astfel de salariu iti usureaza viata foarte mult, cel putin aici.

@ py - sa fim seriosi... omu' scoate bani din seo, personal eu nu as impartasi cunostintele mele pe moca, decat daca metoda a expirat sau e pe cale sa expire. Dar nici nu m-ar deranja sa renunt la cateva filme pentru a citi despre diverse metode de seo, explicate de cineva care chiar stie ce scrie.

//L.E.: @ michee - Acum depinde si de firma care-ti ofera salariul acela, si aici nu ma refer la marimea/importanta firmei cat la cerintele lor. Intradevar daca ti se cer macar jumatate din lucrurile enumerate de pyth0n3 salariul e mic, dar avand in vedere ca se cauta un astfel de canditat :

• Conduct technical security assessments and information security projects which include providing technical expertise in one or more of the following areas: Penetration Testing / Ethical Hacking, IT Security audits, Vulnerability Assessments and IT Audits;

• Perform security configuration analysis for various operating systems, especially Windows and Linux / UNIX;

• Strong ability to articulate business risks of technical vulnerabilities to client personnel;

• Identify and communicate findings to client personnel;

• Recognize performance improvement opportunities for clients.

salariul mi se pare destul de echitabil.

Edited March 24, 2012 by Cril

[michee]

@Cril

salariul e mic, ptr ca eu lucrez ca programator de 7 ani si am 1200E...si lucrez in php/mysql. Ca stiu si altele asta-i alta poveste.

pe C/C++/Java am inteles ca salariile ajung si la 2kE sau 2,5K E......asta din sursa sigura.

Deci cum nu e mic salariul de 1200E ptr pentester? Mai ales ca cere mult mai multe decat un job de simplu programator.

Da ai mei muncesc pe 2-3 sute de euro si fac o munca grea.....Da' ce sa-i faci asta-i viatza curva si nedreapta. lumea se imparte in sclavi si exploatatori, let's get over this.

[mgt]

Imi pare rau ca am generat astfel de dezbateri, scopul era sa gasesc pe cineva cu o serie de cunostinte mai avansate, in special la nivel de web apps pentru pen test. Probabil si job description folosit nu a fost cel mai potrivit.

Doar sa lamuresc cateva aspecte, sa nu ramana cineva cu o impresie gresita - salariul nu e de sclav (care o fi ala) dar nu e nici de nivel 5,000 EUR - depinde in mare masura de cunostintele exclusiv tehnice ale persoanei.

Cineva intreba daca acum se face echipa - raspunsul e nu, poate job description a fost inspirat si de profilul celor din echipa (greu de gasit, recunosc)...

Daca cineva mai are intrebari, poate sa puna aici sau sa dea un mesaj pe privat - in speranta ca voi gasi pe cineva potrivit nevoilor noastre.

Edited March 27, 2012 by mgt

[neox]

si ca sa ma bag si eu ca musca in lapte multi bat din gura ca ii putin banii pentru job dar si in Germania la inceput daca lucrezi ca pentester si nu ai experienta poti sa ai certificarile lui peste nu iti da mai multi bani spun din propia experienta si aici din 1200 la inceput 400 plateam numai chiria si alte costuri si tot am fost multumit ca am primit atsfel de job.

de ce ii platit putin la inceput o munca de pentester?

pentru ca ii usor daca ai banii sa faci un curs de la CEH, OSCP, etc ..si sa iei certificate dar asta nu te face pentester daca nu ai experienta ,chiar daca ai certificate trebuie sa fii multumit cind primesti un job

binenceles ca daca ai anii de experienta si iesti tare atunci ai alte posibilitati si oferte

Si inca ceva ca sa poti vorbi de un job ca asta trebuie prima data sa ai ceva certificari si pe urma te poti uita la oferta de job de la firma respectva daca nu ai nimic si ai numai vise in cap atunci sint bani putini

Edited April 2, 2012 by neox

[e.Kum]

nu suport persoanele de cacat vaide pula lor care spun "as face dar imi este frica" ...

... morti vostri.