Хочу поделиться радостью от успешной реализации социального института!

Примерно год назад я задумался, что нам в кооперативе RAD COP жизненно необходимо создать процесс системной подготовки будущих товарищей пентестеров. Причем под системностью я понимаю достаточно крупные области знаний:

- Хард скиллы (уметь выполнять пентест проекты, настраивать инфраструктуру, писать отчеты, отвечать на технические вопросы и т.д. );

- Софт скиллы (уметь защищать отчет, общаться с Заказчиком, работать в команде, говорить о свои потребностях и ценностях, уметь говорить о проблемах и т.д.);

- Культурная составляющая (мы существуем в рамках самоуправляемой организации, исповедуем лучшие практики социократии 3.0, стремимся к бирюзовости в терминах спиральной динамики, а также к уровню индивидуалиста по вертикальному развитию личности и т. д. - это всё является огромный культурным базисом нашей компании);

- Личная эффективность (Как мы справляемся с большим количеством задач и держим контекст, как мы формируем наш день и наши привычки, как хорошо мы спим, питаемся и занимаемся спортом и т. д.).

- - -
Я посчитал это достаточно безопасным, чтобы попробовать. В целом получилось даже лучше, чем я ожидал и результатом я доволен. Сейчас уже набрался и вот-вот стартанёт второй поток. К слову, обучение абсолютно бесплатное, но требует от кандидатов максимально вовлеченности и отдачи. Все заявки проходили через меня и через некоторый процесс онбординга. Сейчас хочу поделиться отзывами первых выпускников:

1) Александр (Podozritelny)
https://t.iss.one/podozritelnaya_activnost/30

2) Александр (DAFFIER)
https://t.iss.one/hackerbiker/42

3) Константин (Konstanto)
https://t.iss.one/failauth/18

Поддержите ребят лайками и подпиской на их личные телеграм каналы. Думаю, что им будет очень приятно от этого. Мне тоже будет приятно от реакций на этот пост!

#self #academy #feedback

Всем привет!

Недавно открылся приём заявок на Pentest Award!
https://t.iss.one/justsecurity/382

Ха-ха, возможно, что вы уже видели это упоминание во многих других инфосек каналах. Так вот, теперь и я хочу пригласить Вас поучаствовать в этой премии.

Прошлым летом я принял участие с двумя кейсами и мне удалось пройти в шорт-лист! Новость об этом меня порадовала и было очень приятно. Думаю, что и в этом году я подамся с несколькими кейсами.

Это действительно хорошая возможность рассказать о своей классности и поделиться чем-то интересным. И на этом моменте Вы можете возразить: "Курив, но у меня нет ничего классного и интересного". В связи с этим я призываю вас отбросить в сторону сомнения и синдром самозванца и оформить кейс. Но не для того, чтобы поучаствовать в Pentest Award и войти в шорт-лист или даже победить (это не самоцель), а для самих себя и ради чувства собственной важности (и задно отправьте кейс, ведь он уже готов :))

Итак, три месяца подписки пролетели незаметно. Я прошел весь материал курса и прорешал с конспектированием почти все лабы (кроме двух). Какими же выводами я могу поделиться:

TLDR:
1) Лабы хорошие;
2) Материал хороший;
3) Хронометраж важен и полезен;
4) Жестко выделяйте время на обучение;
5) Ведите свой конспект;
6) Подготовьтесь перед тем, как взять курс.

- - -
1) Лабы реально годные. В комментариях под прошлым постом писали обратное, но мне действительно понравилось. У меня не было сложностей с их разворачиванием, поиском и эксплуатацией уязвимостей. В целом всё достаточно гладко.

2) Материал реально годный. Я не специализируюсь на вебе, а особенно на белом ящике, поэтому почти всё мне было в новинку. Особенно дебаг и всякие продвинутые техники SQL-инъекций или подноготная SSTI, или Prototype Pollution (я о таком даже не слышал), или скрейпинг админской страницы через XSS.

3) Я хронометрировал время выполнения каждой лабы. В среднем уходило 8 часов. Это позволило мне в какой-то момент осознать, что сроки горят и надо больше вкладываться. Порешал несколько лаб в отпуске.

4) У меня несколько плотный график из роли тимлида хакеров и помимо проектной деятельности у меня есть стратегирование, встречи 1-1, встречи с проектной командой, пресейлы, разборы входящих, всяческие синхронизации между другими командами. Короче важно-срочных дел много, но так далеко не уедешь. Необходимо жестко бронировать слоты в течении недели на подготовку. Именно так у меня и было - по часу в день. Не всегда удавалось и большую часть я решал на выходных.

5) Я веду конспект теоретического материала (это поможет быстро освежить знаний), а также формирую чеклист с готовыми командами, чтобы быстро что-то реализовать.

6) Курс реально не новичковый. Требует от вас детальное понимание HTTP протокола; навыков работы с командной строкой; программирование на питоне, js; опыт работы с СУБД;


Думаю, что я передал основные инсайт. Буду рад ответить на вопросы в комментарих.


К посту прикреплена дата сдачи экзамена. В конце июня иду в отпуск, но буду продолжать изучать secure code review и оттачивать навыки написания эксплойтов. После отпуска врываюсь в OSWE, это будет второй серт от offsec. Успехов мне на этом пути. @pathsecure

#oswe #review

Привет-привет!

Ищу к нам в команду опытного специалиста для самостоятельного выполнения проектов по пентесту внешки/внутрянки. Для некоторых самоуправление является бременем, а для кого-то благодатью. Если интересно, то откликайтесь!

Вот здесь немного о том, в какой парадигме мы живем:
https://t.iss.one/pathsecure/370

Далее заголовок вакансии:

Мы —первый в России производственный кооператив в сфере ИБ, где нет бюрократии, зато есть свобода действий, энергия стартапа и команда, которая ценит экспертизу и обмен знаниями.

Кого мы ищем?

Специалиста, который заинтересован работать в неформальных коллективах или осознает, что подготовлен к нему и мечтает преодолеть отчуждение крупных корпораций и классических фирм, чтобы попасть именно в такой, даже ценой комфорта и безопасности.

Подумайте, пожалуйста, готовы ли Вы к такому и нужно ли это именно Вам на данном этапе жизни и эволюции?

У нас необычный и интересный формат конкурсного собеседования, который уже был опробирован на других позициях :)

Как устроено наше сотрудничество?

Вы откликаетесь на вакансию.

1) Мы проводим предварительный отбор резюме и просим выполнить небольшое задание по профилю вакансии.
2) Отобранные кандидаты приглашаются на неформальное онлайн-знакомство (обсуждаем соответствие по ценностям нашего кооператива и предлагает пройти тестовую игру для синхронизации, проявляемся, задаем друг другу вопросы, погружаемся в культуру).
3) Голосуем внутри за кандидатов на основе записи встречи-знакомства.
4) HR дообсуждает с выбранными кандидатами условия (уже 1-1).
5) С финальным списком отобранных товарищей проводим онлайн психометрический тест (ПИФ Экопси: измеряет аналитические способности, открытость изменениям, способность доводить дело до конца, лидерские качества).
6) Принимаем окончательное решение по предложению наиболее подходящему, на наш взгляд, кандидату и синхронизируемся с ним по договоренностям.

Нам не нужно «идеальное» резюме. Ценим искренность, стремление эффективно доводить проекты до согласованного результата, реальные компетенции и готовность к диалогу и ответственности за взятые на себя обязательства.

Детали здесь:
https://hh.ru/vacancy/123321284

Контакт для связи с HR:
@marina_du

Всем хорошего дня!

Завтра буду вести с товарищами методологический вебинар про безопасность и пентесты в целом:
https://t.iss.one/radcop_online/291

Расскажу системно в связке с тайм-менеджментом. Еще будет несколько кейсов из проектов, но без упора на технические детали.

Основная целевая аудитория - это ЛПР и собственники бизнесов, а не технари.

Но если вам интересно послушать, то велком. Всем хорошего дня!