Laisse-moi deviner. Dès votre plus jeune âge, vous avez été attiré par les films d'espionnage. Vous êtes une personne qui n’était pas nécessairement intéressée par les matières scolaires, mais vous vous êtes probablement bien débrouillé malgré tout. Vous apprenez les concepts facilement et rapidement par rapport aux autres. Vous avez eu une affinité naturelle pour les ordinateurs à un jeune âge. Quelque chose à propos de vous est excité par la communauté subversive de piratage blackhat, mais en réalité, vous êtes une bonne personne qui n'aime pas l'idée de ruiner la vie des gens ou de passer votre vie à faire des trucs avec son compagnon moralement discutable «Steve» dans un prison de haute sécurité.

Alors quelle est la solution? Devenez un hacker éthique pour pouvoir faire ces choses illégales sans risque de prison et être payé pour cela!

Je devrais commencer par un disclaimer - je ne suis pas un expert. Je n’ai jamais décroché qu’un seul travail de piratage, qui est mon emploi actuel - et je n’ai même pas été là depuis longtemps! Mais j'ai passé beaucoup de temps dans d'autres secteurs de l'informatique, souhaitant être dans la sécurité. En conséquence, j'ai lu beaucoup de choses et j'ai parlé à beaucoup de gens. En gros, tout se résume à ceci:

Il n'y a pas d'approche unique pour obtenir votre premier rôle dans infoec. #MyWeirdPathToInfosec, un hashtag récent sur Twitter, a permis à de nombreux professionnels de l'infoec de dévoiler le chemin qu'ils ont emprunté pour occuper un futur rôle dans infoec. Ils variaient beaucoup, certains passaient du temps dans des prisons fédérales (non recommandé), certains étaient musiciens, d’autres jouaient un rôle d’infosec tout en sortant du collège, d’autres se voyaient offrir des emplois après avoir piraté une entreprise illégalement, puis raconté à la compagnie comment ils l’avaient fait (également). conseillé). Cette technique a peut-être fonctionné pour certaines personnes dans les années 90. Maintenant, elle vous mènera probablement en prison.

Le fait est que vous n’avez pas de vision tunnel. Les opportunités de carrière se présentent souvent là où vous vous attendez le moins.

Un peu sur mon chemin vers Infosec

Je me souviens de ma première expérience de «piratage informatique». J'avais environ 10 ans et j'ai découvert la possibilité de sauvegarder des pages Web localement. Je me suis dirigé directement vers Google, j'ai téléchargé la page d'accueil et modifié ma copie locale dans notepad.exe afin qu'elle contienne les mots «Luke was‘ ere! ». Lorsque j'ai ouvert la page modifiée, mon estomac est tombé. Je pensais avoir défiguré Google. Combien de temps avant que le FBI frappe à ma porte? Devrais-je informer mes parents avant qu'ils ne le découvrent?

De retour dans myyy daaaay, il n’y avait pas de sites de piratage informatique. En fait, il n'y avait pratiquement aucune information disponible, du moins que je puisse trouver. Ma première ressource a été un site Web de Carolyn Meinel, intitulé «Les guides sur le piratage en toute sécurité». Ces guides ont été écrits en Comic Sans, la police symbolique de ce mauvais genre de design que l’on ne trouve que dans les années 90 et le début des années 2000. Ces guides comprenaient des classiques tels que «Telnet: l'outil de piratage numéro un» et «Comment pirater Windows XP, partie I: la magie du DOS». On peut encore les trouver ici.

À la fin de mes études, j'ai décroché mon premier emploi en informatique et commencé un diplôme en informatique. J'avais presque terminé mon travail, je me suis retrouvé licencié, je suis sorti de chez moi, j'ai acquis un baccalauréat en musique, je suis devenu musicien à temps plein et j'ai passé quelques années à jouer sur des navires de croisière, a rencontré ma femme, a vécu au Royaume-Uni, s'est marié, est retourné en Australie et a commencé à travailler en tant que développeur Web à temps plein.

Pendant tout ce temps, ma passion pour le piratage informatique ne s'est jamais vraiment apaisée et le développement n'a jamais été quelque chose que j'aimais. J’ai eu un travail formidable avec des gens formidables, mais les tâches de mon travail ne m’entraînaient pas. Il s’est avéré que j’étais sur un projet impliquant le commerce électronique et les données sensibles. Mon patron m’a proposé de suivre un cours sur la sécurité. J'ai envoyé un courrier électronique au PDG d'une entreprise locale de tests d'intrusion et lui ai demandé quel était le meilleur cours de sécurité, et il a recommandé le programme OSCP. Alors je l'ai fait!

Terminer mon PCMO a été un tournant pour moi. J'ai passé chaque minute libre de ces 60 jours à apprendre le plus possible l'art du piratage. Même lorsque j'étais épuisé, j'avais du mal à dormir car mon cerveau n'arrêtait pas de penser aux boîtes de défis des laboratoires. C’est ainsi que j’ai su que c’était probablement mon travail, et non le développement, dont je me lassais. (J’ai également écrit une série de blogs en trois parties sur le programme OSCP, si cela vous intéresse.)

Seulement un mois ou deux après avoir terminé l'OSCP, j'ai décroché mon premier emploi dans le domaine des tests d'intrusion par l'intermédiaire d'un excellent recruteur dans le secteur de l'info-sécurité après avoir résolu un problème de piratage informatique posté en ligne. Vous pouvez en savoir plus sur cette histoire ici.

Assez à propos de moi! Enfin, nous en sommes au moment où vous êtes tous venus pour lire. Quelques conseils pratiques sur la façon d'obtenir votre premier emploi en tant que pirate informatique:

Soyez actif dans la communauté White Hat

Contribuez aux outils open source, écrivez le vôtre, créez un blog, démarrez un podcast, allez contre les hackers, connectez-vous avec des gens sur Twitter. Vous apprendrez beaucoup et cela vous présentera tout un réseau de personnes adorables qui pourront vous aider. Dans l’ensemble, la communauté infosec est un groupe amical et soudé de personnes intelligentes et passionnées. Si vous lisez ceci, vous aurez de bonnes chances de vous sentir chez vous.

Email personnes que vous respectez

Y a-t-il des gens dans le rôle de vos rêves? Envoyez-leur un email et posez des questions sur votre cheminement de carrière. Le pire qui puisse arriver, c’est qu’ils ne répondent pas, mais le meilleur qui puisse arriver, c’est que vous ayez un mentor et des conseils qui changeront votre vie.

Être digne de confiance

Vous pouvez avoir toutes les certifications de piratage sous le soleil, mais si vous vous lancez dans l'entretien en vous vantant d'un cascadeur illégal que vous avez tiré, personne ne risque de vous engager. La communauté du chapeau blanc traite souvent des données extrêmement sensibles - votre employeur et vos clients doivent pouvoir vous faire confiance.

Sur cette note, lorsque vous êtes en entrevue et que vous ne connaissez pas la réponse à une question technique, il est préférable de dire «désolé, je ne sais pas, mais je m'assurerai de faire cette recherche plus tard! essayez de bluffer votre chemin à travers une réponse. La personne qui vous interviewera sera en mesure de le dire, et elle est probablement plus intéressée par votre honnêteté et votre sincérité que par la vérité. À l'heure actuelle, les professionnels de la sécurité expérimentés sont rares. Par conséquent, de nombreuses entreprises recrutent du personnel moins expérimenté doté du bon état d'esprit et de la bonne attitude, puis le mettent en formation pour lui permettre d'acquérir les compétences techniques.

Obtenir des certifications

Franchement, de nombreuses certifications dans ce domaine ne sont pas un bon indicateur des capacités techniques d’une personne. Cela dit, vous aurez plus de chances d’obtenir un emploi si vous en avez. Cela montre que vous êtes investi dans le métier, que vous avez dépensé du temps et de l’argent pour vous dépenser et que vous êtes intéressé. Il existe quelques excellentes certifications et certaines moins bonnes. Si vous ne savez pas lesquels sont bons, demandez à quelqu'un qui sait!

Primes de bogues, CTF et sites de défi

Avez-vous été dans un temple de la renommée HackerOne / BugCrowd? Vous avez trouvé un RCE dans une prime aux bogues? Avez-vous bien réussi dans une FCE lors d'une conférence sur le piratage? Êtes-vous très bien classé sur hackthebox.eu? Mettez-le sur votre CV! Ces choses peuvent sembler être des jeux, mais elles prouvent également que vous êtes passionné par le métier et que vous avez des compétences.

N'ayez pas peur des recruteurs

Les recruteurs ont une mauvaise réputation parce qu’ils vous appellent sans relâche et utilisent des tactiques douteuses pour obtenir les bons contacts, mais ils ne sont pas tous comme ça. Trouver un recruteur de qualité avec de bonnes relations peut faire toute la différence. Lorsque vous recherchez un recruteur pour un poste dans le domaine du piratage informatique, trouvez-en un qui se spécialise dans infosec. Un recruteur informatique standard ne connaît probablement pas les bonnes personnes.

Faites de votre rôle actuel un rôle de sécurité

Vous êtes développeur? Trouvez un bogue dans l'application que vous développez, montrez-le à votre patron, demandez la permission d'effectuer des tests de sécurité plus approfondis. Êtes-vous un administrateur système? Trouvez une faille de sécurité sur votre réseau (vous savez probablement déjà où chercher), communiquez le risque à votre supérieur et demandez la permission d'effectuer d'autres tests. Quel que soit le rôle que vous occupez, vous avez de fortes chances de vous faire connaître en tant qu’expert de la sécurité interne.

Maintenant, dans votre entretien / CV infosec, vous pouvez dire que vous êtes l'expert en sécurité interne, même si votre titre officiel était simplement «développeur». Vous pouvez également remplir la section «responsabilités» de votre rôle avec certaines tâches liées à la sécurité.

Vous voulez plus de conseils?

Suis moi sur Twitter!