Сертифицированный этичный хакер на зарплате, баунтихантер(не, ну есть же репорт на хакерване, значит – зачет по пункту), ресечер и автор публикаций CVE, гик с брейном, скилованный без фабрики, гений, миллиардер, плейбой, филантроп.

Сертификаты: CEH Master, OSCE, OSWE и другая мелочь, о которой поговорим ниже.

Заметили, да? Я почти готовый эксперт для курса по ИБ в какой-нибудь беспринципной школе программирования с огромным бюджетом на рекламу и небольшим – на подготовку и проверку качества учебного материала.

К счастью, для тех, кто еще только начинает путь и выбирает, где учиться практике, я решил поделиться знаниями об известных платных курсах с позиции человека с опытом и в прохождении курсов, и в работе по профилю и рассказать о своем опыте обучения на некоторых платных курсах по теме ИБ с уклоном в offensive как от российских школ, так и зарубежных, высказать мнение «стоит ли оно того», а также дать небольшие подсказки по приобретению схожих знаний и навыков без финансовых затрат. К тому же я помню, что школы сами просят отзывы и, по слухам, не боятся публиковать правдивые.

Реклама курсов формата «войти в АйТи» обещает сделать из вчерашнего обывателя востребованного специалиста экстра-класса с нуля в любой области IT. Выпускнику обещают тонны предложений к сотрудничеству от известнейших компаний с приятными суммами компенсационного пакета и прочими плюшками сразу после окончания обучения, нужно всего лишь здесь и сейчас купить какой-нибудь курс и чему-нибудь обучиться у какого-нибудь эксперта. Мимо пройти сложно – вот вам реклама на каждом сайте или в околотематических телеграмм каналах, вот вам кредит под видом рассрочки, вот вам обратный звонок вместо содержательного письма на e-mail, где опытный продаван "убедит" вас купить или взять в кредит самый дорогой пакет курсов, который, кстати, брать нужно здесь и сейчас, ведь только для вас липовые скидки в комплекте. Уже чувствуете нотки лживой эксклюзивности?

Круглый год курсы продаются по скидке (такого даже в пятерочке с самым невкусным сыром не бывает) с пометкой «только для вас и только сейчас, осталось полтора места», либо промокод на скидку в конце очередной статьи на хабре о том, как «типичный спец в %job_name%» зарабатывает 300к/сек. На самом деле берут планку топового спеца и намекают, что вообще-то «таким стать очень просто, мы покажем как.»

Довольно интересны случаи, когда эксперт, он же ментор курса, ищет спеца на должность себе в команду, но учеников со своих же курсов не берет, хотя обещал обучить всем необходимым навыкам для работы по профилю.

Да, кстати, если ментор убеждает вас, что занимается обучением, потому что ему в кайф делиться знаниями и обучать других, спросите, где материалы, которые он разместил для коммьюнити бесплатно, то есть без гонорара за курс. Нет, аргумент «знания должны быть платными» в любой вариации не засчитывается, очередной разбор DIVA или bWAPP – тоже.

Geekbrains 

"Этичный хакер"

Стоимость: free

В 2018 году я выиграл в конкурсе "Колесо фортуны" от GeekBrains на одном из оффлайн ивентов один бесплатный курс на выбор, выбрал курс "Этичный хакер". По ссылке можно найти описание. Стоимость отдельного курса на тот момент была около 12 000, но, если я правильно помню модель продажи, продавались не отдельные курсы, а набор курсов в составе факультета, что, очевидно, увеличивало общую стоимость.

Указанный курс обещал слушателям рассказать об актуальных методах взлома и концепциях хакинга, о том, как выявлять и анализировать уязвимости IT-систем, обнаруживать и предотвращать несанкционированные проникновения.

На всё это отводилось восемь недель, на каждой из которых будет проведен один вебинар длиной в среднем 2 часа.

Если считать актуальными методами ОЧЕНЬ БЕГЛЫЙ обзор nmap, metasploit, показ интерфейса пары утилит для атаки на wi-fi и другого в принципе полезного в работе пентестера софта, то да, несомненно, эта часть обещания выполнена. 

При написании статьи решил вспомнить содержимое уроков и воспользовался аккаунтом на сайте geekbrains и сохраненными там вебинарами. Освежил память и… и не нашел части заявленных тем в содержимом вебинаров, ибо преподаватель явно забил на подготовку к урокам и выдавал околоактуальную отсебятину, а несоответствие темы и материала вебинара объяснял так: "я практик и сейчас вам в формате стендапа выдаю актуальнейшую инфу", а так как на курсе учились люди определенно без опыта в "этичном хакинге", возражений по содержимому особо не поступало.

В качестве ДЗ выдавалось напутствие «попрактиковаться в том, что было рассказано», а в примерно половине случаев в форму для ДЗ на платформе предлагалось «сдать заглушку», т.е. ничего. Для тех, кто не понял, можно было вообще ничего не делать весь курс, но получить сертификат об успешном завершении обучения.

Кстати, преподаватели на курсах регулярно меняются, предполагаю, что светлое желание "делиться уникальным опытом со студентами" быстро пропадает после пары-тройки семестров, а «уникальный» опыт почему-то легко гуглится по указанной теме множеством более качественных и подробных статей. Мой преподаватель, например, после завершения карьеры ментора в школе объявил себя биохакером и улетел в космос воевать с покемонами выпустил курс по «разгону мозга» БАДами(а че, тоже хакерство),клиентская база к которому набиралась из общего чата выпускников и учеников курса «этичный хакер».

На мой взгляд полезность курса сомнительна, практики – слишком мало. Сертификат полезен чуть менее, чем никак, в лучшем случае может свидетельствовать о любопытстве, способности сползти с дивана и что-то сделать, а также тяге учиться, в худшем – о неспособности обладателя фильтровать и анализировать информацию, в том числе отзывы (или их отсутствие).

Сейчас курс куда-то трансформировался или просто сменил название, поэтому теперь понять, что поменялось вряд ли возможно. 

Всем заинтересовавшимся подобным обучением предлагаю использовать из курса только список заявленных тем, гугл и голову. При тех же временных затратах можно получить гораздо больше актуальных навыков и даже попрактиковаться.

Дополнительно практиковаться в поисках реальных уязвимостей предлагаю на bugbounty платформах, на одной из них у Mail.Ru есть целая программа с вознаграждениями, включающая в себя в том числе geekbrains. 

SkillFactory

"Информационная безопасность для системного администратора"

Стоимость: 15 000 руб.

В 2019 году где-то в сети попалась реклама курса, название заинтересовало, но описание можно было получить лишь после ввода почты и номера телефона. Получив описание по почте, бонусом я получил звонок от координатора курсов с предложением срочно согласиться пройти обучение на этом курсе, заплатив 30 000 или 35 000 рублей (точно не помню). Стоимость мне не понравилась, и я отказался, координатор перезвонил позже и озвучил новую стоимость, а также предложил вносить платеж частями до прохождения каждого модуля. Новая стоимость 20 000, модулей 4, соответственно 5 000 в месяц с возможностью отказаться от обучения и дальнейшей оплаты, а также возвратом средств за прошедший месяц, если курс не подойдет. Такие условия мне показались приемлемыми, и я согласился. Забегая вперед, отмечу, что к концу курса я разубедился в необходимости усваивать всю программу и принял решение отказаться от дальнейшего обучения и, соответственно, оплаты последней части. Итого 15 000. Похоже, просто пытались различными фокусами и мнимой скидкой завлечь на курс как можно больше людей.

Курс в целом соответствовал своей заявленной программе, указанные темы были раскрыты, но отсутствовала практика как класс. В результате получилось что-то вроде саморекламы группы экспертов от мира ИБ (это которые менторы) под эгидой школы программирования, такое портфолио формата «смотри как я умею» для ментора.

Кстати, список тем известен до начала обучения, можно было использовать как roadmap для самостоятельного изучения и не участвовать в этом тренинге софтскиллов для экспертов в качестве подопытного кролика. 

Сертификат курса вам вряд ли пригодится, так как выдавали его всем зарегистрировавшимся и оплатившим хотя бы первый месяц, о самом курсе скорее всего мало кто слышал, еще меньше знают его программу и могут оценить полезность для собственной организации, а сам курс, похоже, канул в небытие, выполнив свою основную функцию – собрать деньги со слушателей.

Codeby.net 

"Тестирование Веб-Приложений на проникновение"

Стоимость: 34990 руб. (при раннем доступе)

Кажется, на момент прохождения имел в названии фразу "с нуля", но как показала практика, нули до финала не дошли. В мой поток до финала дошел вообще только я.

Платный ctf – подходящая характеристика курса. Но, по крайней мере, это был первый за долгое время платный курс с кучей практики в своем арсенале, выполнение которой занимало значительное часть времени прохождения курса.

Codeby проделали замечательную работу по продвижению курса, сделала отличную обертку, а также свою лабораторию (по факту ctf-площадку). 

Для общения организовали группу в телеге с менторами и всеми участниками потока.

Менторы нужны были для подсказок при решении, хотя давали их в основном намеками, по учебным материалам что-то непонятное было проще искать самостоятельно.

Лаборатория представляет собой ctf-платформу с заданиями категории web, несколько заданий на каждую заявленную тему. Задачи и материалы следующей темы открывались после прохождения предыдущей и проверки результатов ментором. За прохождение заданий начислялись баллы, которые можно было потратить на подсказки к заданиям других модулей или же на подсказки к заданиям на экзамене. 

Экзамен представлял собой набор ctf-тасков категории web, для прохождения было необходимо набрать достаточное количество баллов, решив несколько заданий различного уровня сложности, получить и сдать флаги. На решение задач экзамена отводилось 24 часа, на мой взгляд более чем достаточно.

Вы можете сами решать все задания сами, кстати, когда другие ученики увидят, что вы решили задание, вас, вероятно, завалят вопросами о способе решения. Вы можете объединиться с кем-то и проходить курс, постигая азы командной работы (рекомендую, потому что фаззить некоторые формы словарями в одного утомительно, кроме того, не редко возникала ситуация, когда сервис "падал", не выдержав нагрузки), вы можете спрашивать решения у коллег по курсу, но к экзамену лучше бы разобраться как работает уязвимость, с помощью которой был получен тот или иной флаг.

После успешной сдачи экзамена выпускник получает сертификат, пластиковую карточку и футболку. Качество сертификата реально классное, после него даже обидно за диплом о высшем.

Немного о доставке. Сертификат и прочие плюшки я получил больше, чем через год после сдачи, вероятно, из-за того, что в мой поток нужно было подготовить по одному экземпляру каждого приза и только мне одному, а делать единичные заказы не выгодно, а в следующий поток, похоже, тупо забили забыли, а когда я все получил, то нашел ошибки на пластиковой карточке в написании никнейма. Обещали без проблем переделать.

Всем, кто заинтересовался курсом, рекомендую обратить внимание на различного рода бесплатные ctf-площадки для практики (напр. ctf.antichat.ru и прочие HTB), а учебные материалы легко гуглятся по темам. 

Полезность сертификата оценить не представилось возможным, хвалебных од на собеседованиях ему я не слышал, хорошие отзывы только у них на форуме и очень мало, в требованиях конкурсов на проведение работ замечен не был, к себе работать тоже не берут.

Certified Ethical Hacker CEH v10

Стоимость: $1299

Известнейшая во всем мире сертификация для специалистов ИБ. Подтверждает наличие соответствующего уровня знаний в сфере безопасности сетей. Сертифицированный этичный хакер является квалифицированным специалистом, который понимает и знает, как искать слабые места и уязвимости в целевых системах и использует те же знания и инструменты, что и хакер.

Хотя бытует мнение, что изжила себя по причине формата тестов, которые включают в себя ограниченный список вопросов, которые можно просто натренировать.

На мой взгляд все сильно зависит от подхода, хочешь просто корочку – да пожалуйста, все равно в итоге понятно кто ты на самом деле по результату работы. К тому же теперь всем противникам тестов и фанатам практики доступен курс CEH Practical, который включает в себя виртуальную лабораторию для обучения и экзамен CEH Practical[S1] , в котором за 6 часов нужно решить несколько практических задач в виртуальной лаборатории под присмотром наблюдателя.

Что мне, кстати, понравилось в учебных материалах, предоставленных в рамках пакета, так это понятное и структурированное изложение всего многообразия заявленных тем. 

Не сказал бы, что курс вносит много нового, он скорее структурирует, если ты уже в теме или закончил обучение, допустим, в ВУЗе по соответствующему направлению, а CEH Practical вносит практику для закрепления необходимой теории. 

Итак, вы решили сдать экзамен CEH и не пользоваться услугами российских посредников, оставили заявку на покупку курса на официальном сайте EC-Council и оставили свой номер телефона, готовьтесь к звонку…

Сейчас будут активно продавать, невзирая на ваши попытки возразить, что «I’m sorry, I can’t understand what are you talking about. Please, send me e-mail».

Впрочем, неплохая практика аудированиия, к тому же совершенно бесплатная. Скидок не предложили. Предложили приобрести вместо одного ваучера на экзамен CEH за $1199 с необходимостью подтверждения «atleast two years of work experience in the information security domain» еще за $100 пакет CEH iLearn package, включающий в себя видеолекции и учебник для курсов CEH и CEH Practical, а также ваучер на экзамены CEH и CEH Practical с итоговой суммой $1299. Выбор был очевиден.

По результатам курса сдаем CEH (4 часа, 125 вопросов с вариантами ответов), сдаем CEH Practical и при успешной сдаче этих двух сертификаций становимся CEH Master на 3 года.

Бонусом я попал в TOP 10 in the world Quarter 4 September 2020 EC-Council Ethical Hacking Leaderboard – забавная ачивка на мой взгляд

Стоимость, вероятно, завышена, но, думаю, тут идет ориентир на международный рынок и дело просто в платежеспособности клиента в среднем.

Польза от этих ТРЕХ сертификаций, пожалуй, значительна. Во-первых, ее все знают в околоИБшных кругах,  во-вторых, в описаниях вакансии одно из желательных требований работодателя – иметь те или иные сертификаты, в том числе и CEH, как-никак уже немного проще выделиться из потока кандидатов, в-третьих, специфика некоторых компаний предполагает тендеры, где в требованиях нет-нет, а попадается условие "наличие в проектной команде специалиста с сертификацией X". В-четвертых, можно похоливарить на тему "почему CEH, а не OSCP".

Сдать экзамен CEH с равной вероятностью может и вчерашний выпускник универа, и специалист с опытом. Для CEH Practical все же лучше потренироваться в виртуальной лаборатории, но какие-то сложности вряд ли возникнут.

Эквивалентные знания можно получить из гугления, благо домены, необходимые для изучения перечислены, а практические навыки можно наработать на начальной позиции пентестера или стажировке.

Основная ценность этого обучения как я уже сказал именно известность сертификата, и более или менее честная попытка организаторов препятствовать самым тупым попыткам экзаменуемого схитрить, кроме того, успешный кандидат уверенно отвечает собеседующему-троллю на вопрос «Не подскажете, а по какому порту работает ping?».

Offensive-Security

Advanced Web Attacks and Exploitation

Стоимость: $1800

Поговорим об Advanced Web Attacks and Exploitation (AWAE) – и сертификации OSWE:

Курс и сертификация от известнейших Offensive Security

Направлены на «whitebox manual pentest» web-приложений. На мой взгляд гораздо интереснее разбираться в исходном коде, чем тот же период фаззить параметры вслепую иногда даже не представляя, как может работать то или иное приложение под капотом.

Что заявлено, то и предоставлено. Доступ к виртуальной лабе из обширного списка хостов, являющихся уязвимыми веб-приложениями, разработанных с использованием значительного списка технологий, pdf-мануал с разъяснением как решать каждую из машин (кажется, кроме одной после последнего обновления курса), видео – пошаговое решение лаб с демонстрацией.

ПОШАГОВОЕ и ДОСТАТОЧНО ПОДРОБНОЕ видео, такой же подробный мануал, в конце концов это называется методические материалы для учебы, а не исключительно "иди гугли и разбирайся".

Изучаем реальные уязвимости в реальном коде на различных популярных языках программирования, забудьте про SQLMap, пишем свой на Python, как это вы не понимаете, как реализовать экплуатацию Time-Based SQL и обойти фильтрацию? – Очень жаль, ведь пересдача будет стоить вам $200 и 4 недели ожидания после первого провала.

Решил все задания и допы? Будем считать, что на экзамен подготовки хватит.

Экзамен – два уязвимых веб-приложения на двух серверах, еще два таких же уязвимых веб-приложения на двух других серверах, но уже с доступом по rdp или ssh на хост для отладки и доступа к исходникам приложения. Задача – обойти аутентификацию и получить возможность удаленно исполнять команды на каждом хосте через уязвимости в приложении. На эту часть дается двое суток под присмотром веб-камеры и некоторого количества наблюдателей за ней, иногда – больше одного.

Для сдачи экзамена достаточно обойти две аутентификации и получить одну RCE (наоборот – можно, но баллов для сдачи не хватит). Не забудьте в процессе экзамена, пока есть доступ к машинам, сделать достаточно скриншотов и написать скрипт, позволяющий проэксплуатировать найденные за экзамен уязвимости. 

Еще одни сутки дают на написание и отправку отчета на английском языке (не говорите мне, что вам понадобились ЦЕЛЫЕ сутки на эту задачу, не так уж много нужно для отчета, к тому же за вами больше не присматривают).

После отправки отчета обещают проверять до 10 дней, хотя на самом деле все проходит гораздо быстрее (мне, например, ответили через сутки).

На мой взгляд ценен как самой сертификацией, похоже, пока не сильно распространенной, как тот же OSCP, так и объемом знаний и навыков, которые можно получить в процессе прохождения курса.

Плюсы те же что и у CEH сертификатов. К тому же в ИБшных кругах считается не самой простой для сдачи, что добавляет крутости сдавшему в глазах окружающих.

Новичкам в пентесте веб-приложений курс может не подойти из-за необходимости уметь читать исходный код на нескольких распространенных языках программирования и понимание наиболее вероятных мест появления уязвимостей в коде.

Если поискать CVE для опенсурсных веб-приложений, можно сделать свою лабораторию для оттачивания навыков, и не тратить деньги на курс и нервы на экзамен. Exploit-db в помощь.

Offensive-Security

Cracking the Perimeter и сертикация OSCE

Стоимость: $1200

Курс больше сфокусирован на разработке эксплойтов, чем про "нагуглить подходящий эксплоит". Многие сравнивают его с OSCP, но на мой взгляд это как теплое с мягким – про разные единицы измерения. В OSCE больше чертовщины бинарщины, за подробностями идем в статью моего коллеги и руководителя Сергея Зеленского.

Несмотря на то, что я сдавал старую версию, полученные опыт и навыки все еще актуальны в том числе в качестве фундамента для дальнейшего развития в области exploit development.

Плюсы те же что и у CEH или OSWE сертификатов. Дополнительным бонусом в какой-то мере служит то, что OSCE этой версии теперь раритет – у новичков в ИБ эта версия больше никогда не появится.

Здесь Exploit-db тоже поможет самообучению, нужно только разбирать бинарные уязвимости, в отличие от Web-уязвимостей, которые для OSWE.

Выводы

По моим наблюдениям, курсы, которые котируются в тусовке, курсы, на которых мне понравилось учиться и курсы, которые имели в своем багаже НОРМАЛЬНЫЕ методички это одни и те же курсы. Эти же курсы с сертификацией в том или ином составе имеет в своём портфолио каждый эксперт, который будет ментором на курсах второго типа. Удивительно, не правда ли?

Дополнительным маркером качества курса могут служить усилия, предпринимаемые обучающей платформой для защиты учебных материалов от пиратства. 

Для тех же, кто еще только начинает искать подходящие источники знаний могу отметить следующий факт – многие работодатели готовы оплатить курсы от EC-Council, Offensive-Security или другие УЖЕ зарекомендовавшие себя сертификации своим работникам. Это может быть обучение для повышения навыков, поощрение за проделанную работу или для получения в штат специалиста с необходимой квалификацией для выигрыша конкурсов на работы, то есть работнику такие курсы, вероятно, ничего не будет стоить в финансовом плане.

Иные курсы, вероятно, могут пригодиться для получения первой работы по подходящему уровню компенсации интересующему профилю, так сказать «войти в АйТи», если повезет, по крайней мере примерно так утверждает их реклама, а значит платить за знания придётся вам самим и до получения работы. Вы еще при этом являетесь бета-тестером сырого продукта (и вот вы уже получили свой первый опыт работы в QA). По моему опыту такие курсы обычно содержат поверхностное освещение тем от приглашенных экспертов, которые имеют какой-то опыт в теме вообще или в конкретном направлении курса, вот только не каждый эксперт может быть хорошим наставником, а также способен уделять время для качественной подготовки учебных материалов. Похоже, некоторые эксперты приходят слегка подзаработать или прокачать релевантные софт-скиллы. Зачем еще они приходят, можно найти в описаниях вакансий для менторов курсов.