POIT #131: Jak zostać etycznym hakerem?

Witam w sto trzydziestym pierwszym odcinku podcastu „Porozmawiajmy o IT”. Tematem dzisiejszej rozmowy jest to jak zostać etycznym hakerem.

Dziś moim gościem jest Maciej Cieśla – Head of Cybersecurity Program w HackerU. Specjalista cyberbezpieczeństwa, o ponad 8-letnim doświadczeniu w branży. Posiadacz licznych certyfikatów branżowych. Ma doświadczenie w audytach bezpieczeństwa, audytach zgodności, testach penetracyjnych, audytach kodu źródłowego, rozwoju oprogramowania i  inżynierii społecznej.

W tym odcinku o etycznym hakerze rozmawiamy w następujących kontekstach:

  • kim jest haker i czym się zajmuje?
  • kto to jest white hat, grey hat i black hat?
  • czy haker ma swoje specjalizacje?
  • czy bycie hakerem to zawód czy pasja?
  • czy to perspektywiczna i satysfakcjonująca droga kariery?
  • kto może zostać etycznym hakerem?
  • jak może wyglądać ścieżka kariery etycznego hakera?
  • jak uczyć się umiejętności potrzebnych etycznemu hakerowi?
  • jak wygląda szkolenie HackerU?
  • jak sprawdzić czy branża cybersecurity jest dla mnie?

Subskrypcja podcastu:

Linki:

Wsparcie na Patronite:

Wierzę, że dobro wraca i że zawsze znajdą się osoby w bliższym lub dalszym gronie, którym przydaje się to co robię i które zechcą mnie wesprzeć w misji poszerzania horyzontów ludzi z branży IT.

Patronite to tak platforma, na której możesz wspierać twórców internetowych w ich działalności. Mnie możesz wesprzeć kwotą już od 5 zł miesięcznie. Chciałbym oddelegować kilka rzeczy, które wykonuję przy każdym podcaście a zaoszczędzony czas wykorzystać na przygotowanie jeszcze lepszych treści dla Ciebie. Sam jestem patronem kilku twórców internetowych i widzę, że taka pomoc daje dużą satysfakcję obu stronom.

👉Mój profil znajdziesz pod adresem: patronite.pl/porozmawiajmyoit

Pozostańmy w kontakcie:

 

Muzyka użyta w podcaście: „Endless Inspiration” Alex Stoner (posłuchaj)

Transkrypcja podcastu

To jest 131. odcinek podcastu Porozmawiajmy o IT, w którym z moim gościem rozmawiam o tym, jak zostać etycznym hakerem.

Przypominam, że w poprzednim odcinku rozmawiałem o długu technologicznym.

Wszystkie linki oraz transkrypcję dzisiejszej rozmowy znajdziesz pod adresem porozmawiajmyoit.pl/131.

Ocena lub recenzja podcastu w Twojej aplikacji jest bardzo cenna, więc nie zapomnij poświęcić na to kilku minut.

Nazywam się Krzysztof Kempiński, a moją misją jest poszerzanie horyzontów ludzi z branży IT. Środkiem do tego jest, między innymi, ten podcast. Zostając patronem na platformie Patronite, możesz mi w tym pomóc już dziś. Wejdź na porozmawiajmyoit.pl/wspieram i sprawdź szczegóły.

Jednocześnie bardzo dziękuję moim obecnym patronom.

A teraz życzę Ci już miłego słuchania.

Odpalamy!

 

Mój dzisiejszy gość to head of cyber security programme w HackerU, specjalista cyberbezpieczeństwa z ponad 8-letnim doświadczeniem w branży, posiadacz licznych certyfikatów branżowych, ma doświadczenie w audytach bezpieczeństwa, audytach zgodności, testach penetracyjnych, audytach kodu źródłowego, rozwoju oprogramowania i inżynierii społecznej. 

Moim i Waszym gościem jest Maciej Cieśla. 

Cześć, Macieju! Bardzo mi miło gościć Cię w podcaście!

 

Cześć, Krzysztof! Bardzo dziękuję za zaproszenie. Cieszę się, że mamy dziś okazję porozmawiać na – myślę – bardzo interesujące tematy! 

 

Oj tak! Temat jest bardzo interesujący i taki rozpalający, mam wrażenie, liczne głowy. Mianowicie – o tym, jak zostać etycznym hakerem – tak bez doświadczenia, można powiedzieć, od początku i czym właściwie taka osoba się zajmuje? To jest taki temat, który przewija się trochę przez popkulturę, przez mass media. Wierzę, że poprzez naszą też rozmowę rozwijajmy trochę mitów, które gdzieś istnieją, które krążą i jak gdyby z pierwszej ręki od osoby, która zajmuje się tym tematem na co dzień usłyszymy, jak to faktycznie wygląda. 

Cieszę się bardzo na naszą rozmowę. Ale standardowym punktem mojego programu jest pierwsze pytanie, które zawsze kieruję do gościa o to, czy słuchasz podcastów, jeśli tak, to może masz jakieś swoje ulubione audycje, o których możesz powiedzieć? 

 

Gdybym tylko mógł rozbudować czy rozszerzyć tę naszą dobę to na pewno zapisałbym się na kilka podcastów. Niestety, nie jestem w stanie jeszcze wygospodarować troszeczkę czasu na kilka podcastów, stąd przyznaję się, że aktualnie nie słucham żadnych podcastów, ale jeśli tylko jakimś cudem ktoś wydłuży nam dobę, to bardzo chętnie. Niestety, aktualnie czasowo po prostu jestem mocno okupowany i nie daję rady poświęcić jeszcze na to czasu. Natomiast dość dużo aktualnie czytam i w zasadzie nie tyle, co aktualnie, co mam stop – czytam i mam też kilka takich gdzieś tam zapisanych w zakładkach kanałów na YouTube, które też co jakiś czas oglądam, które są właśnie związane z branżą Cyberbezpieczeństwa.

Też z takiej racji, że tego typu nagrania czy PDF-y, książki, ebooki – bo też przyznam szczerze, że czytam i takie książki, i papierowe, bo to wiadomo – zawsze przyjemniej, ale e-booki też mnie nie odstraszają. 

Z tego względu właśnie, że często wiele z nich nawiązuje do takich praktycznych przykładów. Chociażby gdy taki słynny kanał na YouTube, gdzie jest pewien pan, który prezentuje działanie różnego rodzaju złośliwego oprogramowania od tych wirusów z lat 80., kiedy możemy powiedzieć o początkach robaków, wirusów, które zaczęły się rozprzestrzeniać mocniej po sieciach do obecnych czasów. Stąd też jest to bardzo ciekawe doświadczenie no i też stricte praktyczne. 

 

Zgadza się. Faktycznie, tych miejsc, tych źródeł czerpania wiedzy jest teraz naprawdę wiele i czas to materiał deficytowy!

Ze swojej strony taki protip, który mogę zdradzić, podpowiedzieć, to na pewno możliwość słuchania podcastów w miejscach albo podczas robienia rzeczy nie angażujących intelektualnie. Uprawianie sportu, zmywanie naczyń – to też jest fajne miejsce, żeby skorzystać. Może się uda!

 

Tak. Krzysztof, w pełni się zgadzam i tutaj też jestem jak najbardziej zwolennikiem tego, gdy jadę w jakąś podróż czy to samolotem lecę czy gdzieś jadę jako pasażer, to przeważnie rzeczywiście słuchawki na uszach i nie muzyka, a właśnie jakiś audiobook czy nawet filmik z YouTube, podcast. Idealne rozwiązanie. 

 

Świetnie. To może przejdźmy do części właściwej naszej rozmowy i na początku, żebyśmy byli na tej samej stronie to proszę, Macieju, powiedz – kim jest właściwie haker? Czym taka osoba się zajmuje i czy o jest biały czy czarny charakter?

 

Jasne. Bardzo ciekawe pytanie. Od razu odpowiem, ponieważ wiele osób ma takie skojarzenie, że haker to zły gość, przestępca, który hakuje, włamuje się, siedzi w piwnicy z kapturem na głowie, jest małomówny i to tak naprawdę charakteryzuje tego hakera jako jakiegoś złośliwca, który psoci i rozrabia. Natomiast samo określenie „haker” to określenie rzemieślnika, trochę bardziej kreatywnego. Aby wykonać skuteczny hacking, czyli przełamywanie zabezpieczeń, bo to jest właśnie to, co robi haker, czyli jest osobą, która przełamuje zabezpieczenia, czyli wykonuje rzemiosło. Nauczył się pewnych schematów, nauczył się rozwiązań, narzędzi, jest w stanie pisać własny kod, z którego tworzy później narzędzia, które będą mu potrzebne na przykład do przełamywania zabezpieczeń. 

 

Wiele osób ma takie skojarzenie, że haker to zły gość, przestępca, który hakuje, włamuje się, siedzi w piwnicy z kapturem na głowie, jest małomówny i to tak naprawdę charakteryzuje tego hakera jako jakiegoś złośliwca, który psoci i rozrabia. Natomiast samo określenie „haker” to określenie rzemieślnika, trochę bardziej kreatywnego.

 

Jest to osoba, która działa w kontekście cybersecurity, która przełamuje zabezpieczenia. 

Zobacz, że nie wspomniałem ani trochę o etyce. Dlaczego? Haker to jest rzemieślnik. Hacking to jest rzemiosło. Robota, którą wykonujemy. Natomiast jeżeli mówimy o kwestiach moralnych, etycznych, to jak najbardziej też istnieją takie określenia właśnie dla osób zajmujących się cyberbezpieczeństwem. Mówimy w tym przypadku o tzw. white hatach, białych kapeluszach, black hatach, czarnych kapeluszach i szarych kapeluszach, grey hatach. 

Możemy tutaj rzeczywiście rozróżnić. Jest to nomenklatura, która została ustanowiona kilkanaście, kilkadziesiąt lat temu, z której nadal korzystamy. Biały kapelusz to osoba, która wykonuje hacking na zlecenie klienta, jest to wykonywane w pełni legalnie, po podpisaniu określonych umów. Grey hat natomiast to osoba, która tak działa, można by powiedzieć, półlegalnie. 

Kolokwialnie to nazywając, na chłopski rozum, gdzie on czy ona włamują się do jakichś systemów albo przełamują zabezpieczenia, nie mając jeszcze zgody klienta czy osoby, która zarządza danym systemem bądź posiada ten system, ale nie chcąc wyrządzić żadnych większych szkód, gdzie np. chcą pokazać, że gdzieś istnieje możliwość przełamania zabezpieczeń, ale chcą uprzejmie i kulturalnie poinformować właściciela np. jakiejś domeny czy aplikacji o tym, że taka luka istnieje. 

Natomiast tego typu działania często spotykają się bardzo często z krytyką z tego względu, że po prostu te osoby nie mają autoryzacji do wejścia do danych systemów, ale też i często jest tak, że prawo nie pozwala na te działania, stąd też mówimy o naruszeniu legalności, gdy taki grey hat wykonuje tego typu działanie. 

Black hat to osoba, która świadomie przełamuje zabezpieczenia. Wie, że się włamuje do cudzego systemu. Robi to w pełni świadomie i po to, aby wyrządzić jakieś szkody. 

W tym kontekście, jeżeli już weźmiemy tego hakera, to tak naprawdę może to być zły haker, dobry haker. Samo określenie kogoś hakerem nie świadczy o tym, że będzie to zła osoba. To jest jakieś takie przekonanie, które wzięło się głównie z hollywoodzkich filmów, gdzie właśnie ten haker jest przedstawiony w taki stereotypowy sposób, jako chłopak w bluzie z kapturem, w piwnicy, małomówny, ale mający dużą wiedzę na temat bezpieczeństwa. 

 

Świetnie. Dzięki za wyjaśnienie. Wiemy, że haker to niekoniecznie musi być pejoratywne określenie. Można by było, myślę, powiedzieć, że jest to swoisty zawód albo jakaś specjalizacja, jakiś craft wykonywany przez osobę, która ma wiedzę w danym obszarze. 

 

Tak jest. Doprecyzuję, bo oczywiście część osób może się nie zgodzić z tym, że to jest zawsze osoba, która przełamuje jakieś zabezpieczenia. Hakera utożsamia się z osobą, która jest na jakimś tam poziomie wiedzy. Że na przykład ktoś, kto również przełamuje zabezpieczenia, ale np. nie wie do końca jak działa jakieś narzędzie, w takiej nomenklaturze cybersecurity i IT nazywa się taką osobę script kiddie, czyli skryptowe dziecko, które nie wie dokładnie, z czego korzysta, co to narzędzie robi pod spodem, ale wykorzystuje je po to, aby się włamać. 

Także w tym przypadku możemy również mówić o pewnym poziomie umiejętności. Natomiast ja bym nie skupiał się za mocno na tym, że haker to zawsze jest ktoś, kto się wszędzie włamie, bo równie dobrze hakerem możemy nazwać osobę, która jest na takim średnim poziomie i gdzieś już pracuje jako cyber security specialist i przełamuje zabezpieczenia. To również będzie haker, który działa w ujęciu białego kapelusza.

Działa legalnie, działa etycznie, jest hakerem, wykonuje hacking, robi dobrą robotę, ale jeszcze może nie być na takim poziomie wiedzy, co na przykład jego czy jej kolega senior również w tej samej firmie, gdzie będzie już to osoba z troszeczkę większymi umiejętnościami, gwoli doprecyzowania.

 

Jasne. Dzięki wielkie!

Czyli poruszamy się cały czas w obrębie branży IT, która przechodzi gwałtowny rozwój. Coraz więcej specjalizacji powstaje i nie da się już być na bieżąco we wszystkich obszarach rozwoju tej branży. Zastanawiam się, czy podobnie tutaj jest, jeśli chodzi o na przykład tego hakera. Czy on ma jakieś specjalizacje, w których się rozwija, pogłębia swoją wiedzę?

Aplikacje webowe, infrastruktura IoT? Czy też raczej nie ma jeszcze tak szeroko zakrojonych specjalizacji w tym obszarze?

 

Powiem tak. Jak najbardziej takie specjalizacje już są i każdy z ekspertów od Cyber Security może już się specjalizować w odpowiednich aspektach. Kilkanaście, kilkadziesiąt lat temu wyglądało to tak, że w zasadzie ekspert od Cyberbezpieczeństwa robi wszystko. Troszeczkę aplikacji webowych, troszeczkę mobilnych, troszeczkę infrastruktury. Natomiast dzisiaj już wchodzimy troszeczkę bardziej w kierunek stricte specjalizacji. Natomiast dalej na rynku występuje tendencja, która pokazuje zapotrzebowanie na usługi cyber security.

Najbardziej popularnym tematem są oczywiście aplikacje webowe, które codziennie – codziennie dochodzi nam do naszego wirtualnego świata coraz więcej tych aplikacji. Podobnie ma się kwestia z aplikacjami mobilnymi i oczywiście z infrastrukturą. To są takie trzy najbardziej popularne elementy związane właśnie z cyber security.

Oczywiście mówimy też w kontekście całego cyber security o kilku innych i które jeszcze dojdą do nas, do tej naszej branży. Bo możemy mówić na przykład o IoT, które się prężnie rozwija. O sztucznej inteligencji, która niedługo też będzie miała swoją własną branżę cyberbezpieczeństwa, jak tylko wejdziemy na taki poziom. 

Cała nanotechnologia, która jest tworzona, gdzie są maszyny, które tworzą maszyny, które tworzą maszyny po to, aby jeszcze zmniejszać produkty czy roboty, czy urządzenia, którymi jesteśmy w stanie sterować, na przykład jakieś chipy wrzucane w ciało zwierzęcia czy człowieka to są też elementy związane z cybersecurity, więc możemy mówić o coraz prężniej rozwijającej się branży cyber security, ale również rozdrabniającej się. Coraz więcej elementów, coraz więcej aspektów, których możemy my jako cyber specjaliści się specjalizować.

 

Ten stereotypowy obraz hakera, który przywołałeś na początku zakłada, że taka osoba wręcz tym żyje. Czas wolny, całe swoje zaangażowanie poświęca właśnie na rozwój, w tym kierunku. Czy według Ciebie etyczny haker to jest powiedziałbym bardziej zawód, który można wykonywać w standardowych godzinach pracy, zamykać za sobą drzwi od biura i zapominać, że to jest ten obszar, w którym się poruszam czy też może wymagane jest coś więcej?

Czy jest wymagana ta przysłowiowa pasja, to takie całkowite oddanie się tej specjalizacji, temu zawodowi?

 

Spróbuję skategoryzować tego etycznego hakera jako osobę, jako tego white hata, białego kapelusza, który pracuje aktualnie gdzieś w branży i wszelkiej maści projekty, które realizuje, realizuje w sposób stricte legalny. Czyli cyberspecjalista, po prostu. Jak najbardziej jest w stanie działać, normalnie pracując, wykonując, realizując swoje projekty, ale to o czym wspomniałeś, ta pasja to moim osobiście zdaniem jest element niezbędny do tego, aby być w tej branży osobą skuteczną. 

Aby być skutecznym, aby realizować te zadania z powodzeniem, ponieważ nie są one łatwe. Nie jest tak łatwo włamywać się do systemów, które na przykład są tworzone teraz, ponieważ te aplikacje, systemy, infrastruktura jest coraz lepiej zabezpieczona, stąd potrzeba troszeczkę więcej kreatywności i troszeczkę więcej wiedzy niż na przykład kilkadziesiąt lat temu.

Sam pamiętam jak zaczynałem mając 13 lat, jako taki pasjonat, hobbysta, zaczęło mi się to bardzo podobać, to przełamywanie zabezpieczeń. Wtedy mając 13 lat napisałem swój pierwszy króciutki, malutki program w Perlu, który pozwalał mi zarządzać delikatnie infrastrukturą sieciową oraz programem do detekcji intruzów w mojej sieci lokalnej, domowej, w której byłem. 

Robiłem to w ramach takiego dokształcania się, ale też zabawy. Bardzo mnie to pasjonowało i właśnie ta pasja pcha człowieka do tego, aby się rozwijać. Bo prawdą jest to, że cyber security się bardzo prężnie rozwija. Część osób mówi, że ten postęp jest bardzo szybki i bardzo szybko ta branża się zmienia, rozwija, natomiast ja też osobiście od siebie powiem, że postęp jest tutaj wykładniczy, więc naprawdę możemy mówić o mega dynamicznym postępie.

Stąd też nie da się na przykład nabyć części umiejętności w przypadku, dajmy na to, hakowania aplikacji mobilnych i zostać na tym poziomie, i dalej być gdzieś tam na topie. Cały czas trzeba się rozwijać. Bez rozwoju po prostu się cofamy i to w tej branży bardzo, bardzo mocno widać.

Mimo tego, że troszeczkę przeszedłem przez te różne audyty, przez projekty związane z cyberbezpieczeństwem, to dalej idę w tym kierunku własnego rozwoju. To jest właśnie to – nawiążę tutaj do pytania Twojego pierwszego, które zadałeś na samym początku, gdzie zapytałeś mnie, czy dalej się rozwijam pytając o te podcasty. Przyznam, że troszeczkę starałem się wybrnąć z tego pytania, ale nawiązałem właśnie do e-booków, do PDF-ów, do książek, do YouTube, innych kursów, bo też przerabiam sam dla siebie różne kursy. Dwa miesiące temu też w ramach takiego sprawdzenia, czy rzeczywiście nie wyszedłem z obiegu też jeden z certyfikatów takich technicznych zrobiłem, tak żeby się otrzaskać z tematem.

To jest właśnie to, co cały czas sprawia, że jesteśmy dobrzy w tym, co robimy. Czyli ten ciągły rozwój jest niezbędny. Nie ma możliwości bycia w tej branży i tego, że chcemy mieć dalsze sukcesy, awansowania bez rozwoju. Cały czas trzeba się rozwijać.

To nie jest tak, że pójdę na jeden kurs, skończę go i koniec mojej edukacji. Taki kurs może być jednym z kroków, które mamy na swojej drodze po to, aby być coraz lepszymi. Aby coraz więcej wiedzieć, aby znać coraz więcej narzędzi, aby coraz lepiej hakować. Stąd tez właśnie ten ciągły rozwój i pasja, która nas pcha do ciągłego rozwoju. Moim zdaniem są niezbędne!

 

Cieszę się, Macieju, że to podkreślasz, że ten rozwój jest potrzebny, bo ja też często mam wrażenie, że wiele młodych osób być może pod wpływem tej popkultury, o której mówiliśmy – hollywoodzkich filmów, seriali na Netfliksie itd., ma trochę skrzywiony obraz jak tak naprawdę praca w tym zawodzie wygląda.

Oczywiście, być może to powoduje, że łapią tego bakcyla, są zafascynowani hakerstwem, natomiast w rzeczywistości wiemy, że kariera nie wygląda tak, jak jest pokazywana na filmach. Taka kariera zawodowa, która ma miejsce gdzieś później w firmach.

Chciałbym Cię zapytać, czy w Twojej ocenie taka ścieżka zawodowa w obszarze cyber security to jest dobry start, to jest dobre miejsce, żeby się właśnie rozwijać w branży IT, żeby może nawet wejść do branży IT. Czy jest to zawód z perspektywami, który daje satysfakcję z pracy? Jak na bazie swojego doświadczenia Ty to oceniasz?

 

Jasne. Powiem tak. W tym kontekście będzie to moja subiektywna opinia, ja osobiście bardzo się cieszę, że jestem tu gdzie jestem. Cieszę się, że poszedłem w cyberbezpieczeństwo. Sprawia mi to radość i czuję, że się rozwijam oraz dalej się tym pasjonuję. 

Nawiązując do poprzedniego pytania, gdzie zapytałeś, czy ta pasja jest potrzebna, to też przejawia się w tym, że my tak naprawdę jako cyber eksperci nie tylko siedzimy w pracy, dajmy na to od 8:00 do 16:00 i koniec, ale rzeczywiście po tym czasie pracy też i siadamy do swoich własnych zadań czy jakichś dodatkowych projektów, które realizujemy. Czasami jest też tak, że nawet siadamy do takiej pracy, jak research and development dla samych siebie, gdzie poznajemy nowe technologie, gdzie uczymy się nowych elementów, gdzie uczymy się jak jeszcze lepiej hakować, jak skutecznie też pisać kod, bo to jest też bardzo ciekawy element w kontekście rozwoju w cyberbezpieczeństwie. 

Może nie jest to jakiś element niezbędny, żeby każdy z cyber ekspertów umiał programować w każdym języku, ale zawsze to pomaga. Podam przykład. W momencie, w którym nauczymy się – może nie na takim mega eksperckim poziomie, ale na takim zadowalającym, gdzie już wiemy, znamy składnię, wiemy co się dzieje – np. języka skryptowego typu Pearl, typu Python czy języki takie shellowe, typu Bash, który można wykorzystać w kontekście na przykład programów dedykowanych na Linuxa są na pewno pomocą w realizacji naszych prac, bo generalnie praca cyber specjalisty również, jak i praca specjalisty IT opiera się też na jakiejś tam automatyzacji zadań. 

Nie chodzi o to, żebym ja za każdym razem kopiował tę samą linijkę i ją wklejał, i muszę to zrobić 100 razy, ale po to, żebym napisał program, który mi wykona tę akcję, bo być może ja nie tylko dzisiaj będę musiał wykonać to zadanie, ale może za tydzień, za dwa, za miesiąc, a może nawet jutro i to już nie będzie sto linijek, a tysiąc, dwa tysiące czy sto milionów. Stąd też właśnie takie podejście do rozwiązywania problemów. Chęć rozwiązywania problemów i umiejętność rozwiązywania problemów to jest też coś takiego fajnego, dodatkowego, co bardzo pomaga w tej pracy. 

Przyznam się, że bardzo lubię takie zagadki detektywistyczne, gdzie też czasami staram się troszeczkę mocniej zagłębić w ten temat, dać sobie chwilę czasu, żeby samemu dojść do rozwiązania jakiejś zagadki, żeby w sposób kreatywny spróbować dany problem rozwiązać, co później przekładać się może właśnie na rozwiązywanie problemów w cyberbezpieczeństwie w kontekście zabezpieczeń czy też developowania nowych programów.

 

Jak powiedziałeś, ta świadomość zagrożeń jakoś się podnosi, zresztą widzimy, że przez ten czas pandemii nasilenie ataków jest znaczące. To też powoduje, że coraz więcej się o tym mówi, więc należy przypuszczać, że ta dziedzina IT będzie się też rozwijała, w związku z tym perspektywy pracy w tym zawodzie raczej są pozytywne i raczej dobrze świadczą na przyszłość.

 

Dokładnie. Mnie też bardzo cieszy, że coraz więcej firm jest skłonnych właśnie wchodzić w to cyberbezpieczeństwo i bardzo fajnie, bo dzięki temu te nasze różne środowiska robią się coraz bezpieczniejsze.

To jest bardzo fajne. Stąd też można śmiało wywnioskować, że właśnie tych miejsc pracy na rynku cybersecurity jest i będzie coraz więcej. Właśnie dlatego, że taka potrzeba jest.

 

A co spowodowało, że Ty osobiście zainteresowałeś się tym obszarem IT? Domyślam się, że wtedy to był bardziej temat dla takich geeków komputerowych, którzy faktycznie mieli ochotę wejść w temat głębiej, zrozumieć jak ta technologia na przykład działa i trochę się z nią posprzeczać niż pełnoprawny dział firm czy też element jakiejś takiej strategii rozwoju.

 

Tak. Myślę też, że tutaj kwestia jakich takich pierwszych problemów, które się pojawiały jeszcze na przykład na tych początkowych Windowsach, przez które każdy z nas przechodził. Windowsy 95, 98, gdzie tam w taki kreatywny sposób można było rozwiązać część problemu. Czyli takie pierwsze próbki hakowania.

Natomiast to, co mnie też jeszcze zmotywowało czy zachęciło do takiego zgłębiania cybersecurity to też wirusy, które się pojawiały. Bardzo chciałem zabezpieczyć mój komputer tak, żeby te wirusy nie wchodziły do tego komputera, także to był jeden z elementów, co później skutkowało tym, że się coraz bardziej rozwijałem.

Pamiętam, coś w okolicy tych 13, 14, 15 lat miałem tak, że nawet porobiłem sobie takie zakładki w przeglądarce, gdzie po kolei chciałem się uczyć jak komputer działa, co tam się pod spodem dzieje.

Miałem takie obszerne artykuły. Pamiętam czasy, kiedy bardzo popularne były w skrócie nazywane takie FAQ, czyli frequently asked questions, które umieszczali użytkownicy, pisząc na dany temat. Na przykład jak złamać jakieś zabezpieczenie albo jak działa jakiś tam protokół.

Bardzo mnie to ciekawiło, dodatkowo też pamiętam to już później w szkole, miałem lekcje informatyki, gdzie na środku pokoju było biurko, które nauczyciel sobie akurat na ten dzień zajęć umieścił. Dał tam terminal, który też był podłączony do takiego wielkiego rzutnika. Każdy z nas na tej informatyce coś tam robił, natomiast moją uwagę właśnie zwrócił ten pan informatyk, który na tym czarnym ekranie coś tam klepał i działy się jakieś cuda. Tu się wyłączyły jakieś komputery, tu się coś znowu załączyło, tu za chwilę pierwszy i ostatni komputer nie miały dostępu do internetu itd.

Stąd też pamiętam jak ten pan informatyk wyszedł na chwilę do toalety, ja usiadłem do tego terminala, nie mówiąc mu nic o tym – przyznam się, ale mam nadzieję, że nie ma mi tego za złe. Wpatrywałem się w tę konsolę próbując zrozumieć co tam jest napisane i co tam mogę zrobić, jakie są komendy, o co tam w ogóle chodzi.

Jeszcze nie byłem tak do końca zapoznany z terminalami, ale już mnie to pasjonowało. Pamiętam, że jak siedziałem na tym miejscu, po cichu wszedł właśnie informatyk i powiedział do mnie „I tak nic z tego nie zrozumiesz”.

Zachęciło mnie to, nie wiem dlaczego – zachęciło mnie to do poszukiwania i w końcu odkryłem co to za terminal. To był terminal urządzeń Cisco. Był włączony, zapoznałem się z tym terminalem i byłem gotowy na to, jak znów konsola będzie wolna na kolejnej lekcji. Także myślę, że to akurat były takie czynniki, które mnie zmotywowały do tego, żeby zagłębić się w cyber.

 

Bardzo interesujące, faktycznie! Jeśli ktoś by tutaj z naszych słuchaczy był zainteresowany, żeby faktycznie gdzieś wejść w ten świat, żeby, powiedziałbym, dotknąć bycia takim etycznym hakerem, to myślisz, że jest jakiś promil osób, które mogą zostać a ktoś, kto nie może zostać, powiedziałbym tutaj specjalistą w tym zawodzie czy trzeba już wcześniej mieć jakieś określone doświadczenie, umiejętności, czy taka osoba, która jeszcze wcześniej w IT zbyt wiele nie pracowała, ale ten obszar szczególnie ją interesuje – czy może śmiało kierować swoją drogę właśnie w kierunku bycia etycznym hakerem?

Wiem, że wiele pytań, ale jeszcze ostatnie muszę do tego dopowiedzieć – czy osoby przebranżawiające się, których jest ostatnio coraz więcej w IT, też pewnie z racji na potrzebowanie, czy one też mogą startować od tego obszar czy też być może, tak jak powiedziałeś, nic z tego nie będą w stanie zrozumieć?

 

Jasne. Na początku zawsze tak jest, że mało z tego rozumiemy, jeżeli nie jesteśmy w tej działce. Zawsze tak jest. Osoby, które startują nie mają się czym przejmować, takie są po prostu zawsze początki. Natomiast jeżeli chodzi o proces przebranżowienia się, to jak najbardziej jest możliwy do zrealizowania. Sam jako head of cybersecurity w HackerU, gdzie prowadzimy takie kursy przygotowujące osoby do wejścia na rynek cybersecurity jako juniorzy, też mogę podać przykład paru osób, które właśnie będąc w branżach kompletnie niezwiązanych z cybersecurity, ale wyróżniających się pasją i tym podejściem, że naprawdę łakną tej wiedzy, że są jej głodne, bardzo mocno zaangażowane, które też sporo czasu poświęciły oprócz samego bycia na kursie pracy własnej na rozwój, na szukanie nowych rozwiązań, na realizację zadań takich typowo hakerskich, gdzie włamujemy się do jakiejś przygotowanej specjalnie maszynki, do takiej symulacji osiągnęły już niemałe sukcesy, już pracują w branży jako juniorzy i stale się rozwijają.

 Jesteśmy tutaj cały czas w kontakcie, w tym też dwie z takich osób z nami tutaj zaczęły kooperować, stąd też właśnie bardzo się cieszę, że dzięki tej pasji, dzięki temu otwartemu podejściu, nastawieniu się na ciągły rozwój, na ciągłą pracę mogą po prostu powoli zmierzać do mega sukcesu, ale sam też tutaj uważam, że już osiągnęły świetny sukces, przebranżowiły się no i teraz też właśnie – bo kilka kursów jest wciąż w trakcie i odpalamy kolejne, więc coraz więcej będę miał niedługo przykładów, którymi chętnie się będę mógł podzielić.

Przykładów osób cechujących się tą pasją, kreatywnością, myśleniem – taką otwartością, łaknieniem wiedzy no i skupieniem się na tych najważniejszych elementach, na tej pracy własnej, na powtarzaniu materiałów. Na ćwiczeniu cały czas tych elementów związanych z cyberbezpieczeństwem i to jest coś, co rekomendowałbym każdej osobie, która chce zacząć działać w cyberbezpieczeństwie. Także nastawienie na ciągłą pracę, ciągły rozwój, pasja – bez tego się nie da. Natomiast żeby złapać pasję, to myślę, że też można śmiało złapać pasję czytając parę ciekawych książek o hakerach czy też może oglądając jakieś filmy. Można się też tym, że tak kolokwialnie powiem, zajarać, żeby rzeczywiście sprawiało nam to frajdę i radochę.

 

Przykładów osób cechujących się tą pasją, kreatywnością, myśleniem – taką otwartością, łaknieniem wiedzy no i skupieniem się na tych najważniejszych elementach, na tej pracy własnej, na powtarzaniu materiałów. Na ćwiczeniu cały czas tych elementów związanych z cyberbezpieczeństwem i to jest coś, co rekomendowałbym każdej osobie, która chce zacząć działać w cyberbezpieczeństwie. Także nastawienie na ciągłą pracę, ciągły rozwój, pasja – bez tego się nie da. 

 

Pierwsi uczestnicy takich kursów, wchodzące dopiero na rynek czy zaczynający przygodę z cyberbezpieczeństwem – niesamowite jest to, jaka pojawia się satysfakcja po zhakowaniu pierwszej maszynki, gdzie nauczyliśmy się przez parę miesięcy jakichś tam umiejętności, połączyliśmy je w całość i udało się nam włamać do jakiejś maszyny. Niesamowite jest to, że coś takiego jest możliwe i satysfakcja jest naprawdę ogromna. Też ze swojego podwórka mogę powiedzieć, chociażby o certyfikatach czy jakichś kursach, które przygotowywały mnie do tych certyfikatów, ta praca własna, ten czas, który poświęciłem na to takie dodatkowe przygotowanie się wynikające z pasji i chęci czy zdania certyfikatu czy tego, żeby posiąść te umiejętności na jak najwyższym poziomie, to też skutkowało tym, że jednak podejście do tych egzaminów, realizacja tych certyfikatów były tak naprawdę jednym z kolejnych elementów. Jednym z kolejnych elementów, a nie na zasadzie takiej „Uf! Wspiąłem się na szczyt, no to teraz mogę zjeżdżać na sankach”. Nie! Właśnie jednym z kolejnych stopni i jedziemy dalej.

 

Cieszę się, że trochę odczarowujesz ten temat, że to nie jest rocket science, czarna magia, można się tego nauczyć tak jak prawie każdego innego zawodu, trzeba mieć po prostu otwartą głowę i chęci, i włożyć w to odpowiednio wiele ćwiczeń, czasu pracy i faktycznie te rezultaty się w końcu pojawią.

 

Doprecyzuję, teraz jak widzę ludzi, którzy właśnie zaczynają dopiero czy są gdzieś w połowie drogi, czy dopiero co ukończyli kurs, to mam właśnie tę przyjemność zobaczyć jak ten proces wygląda od początku do końca. Gdzie czasami rzeczywiście jest tak, gdzie ja czy na przykład trenerzy z mojego zespołu też, gdy patrzymy na osoby, które dopiero zaczynają to widzimy czasami siebie w tych butach kursantów, gdzie fajnie jest móc teraz komuś pomóc. 

W tych czasach, gdzie ja zaczynałem jako hobbysta i większość z nas nie miała jakichś mentorów, którzy by nas poprowadzili krok po kroku, a świetne jest to, że my tym ludziom, którzy dopiero zaczynają możemy pomóc przekazać troszeczkę wiedzy, przekazać pasję i również zachęcić do tego, aby się rozwijać, pokazać, na co zwracać uwagę, gdzie popełniliśmy jakieś błędy, gdzie się potknęliśmy. Tak, aby oni mieli łatwiej i żeby ta droga była nową przygodą, którą będą w zasadzie cały czas pamiętać i kontynuować.

 

Tak. Poszliśmy tutaj małą dygresją, ale faktycznie ja się też z tym zgodzę, że posiadanie takiego mentora to jest niesamowity boost do prędkości poznawania, opanowywania tego obszaru i też każdemu rekomenduję, jeśli jest taka możliwość, to jest zdecydowanie jeden z lepszych sposobów uczenia się czegokolwiek, nie tylko w IT zresztą. 

Weźmy takiego młodego adepta albo adeptkę kursu w tym przypadku. Jak może wyglądać przykładowa ścieżka kariery takiej osoby, jeśli chodzi o obszar cyberbezpieczeństwa?

 

Jasne. Możemy wyróżnić kilka stanowisk – kilka to mało powiedziane. Możemy wyróżnić na rynku kilkadziesiąt stanowisk, w które można celować. Natomiast tak jak powiedziałem na początku – infrastruktura aplikacje webowe, aplikacje mobilne, to aktualnie najczęstsze tematy właśnie związane z cyberbezpieczeństwem stricte technicznym. Bo możemy jeszcze mówić o kwestiach związanych z compliance’em, ze zgodnością w kontekście cyberbezpieczeństwa, gdy na przykład weźmiemy pod uwagę poszczególne standardy typu np. PSD2, PCIDSS czy ISO27001. 

 

Możemy wyróżnić na rynku kilkadziesiąt stanowisk, w które można celować. Natomiast tak jak powiedziałem na początku – infrastruktura aplikacje webowe, aplikacje mobilne, to aktualnie najczęstsze tematy właśnie związane z cyberbezpieczeństwem stricte technicznym. 

 

Natomiast w momencie, w którym taka osoba chce wejść na rynek, to fajnie byłoby zacząć od czegoś, co jest w stanie dać jej tę wiedzę. Oczywiście można się szkolić samemu, można też pójść na kurs czy kilka kursów, które przyspieszą gdzieś tam ten nasz progres, natomiast zawsze warto też to uwzględniać. Ponieważ proces nauki w kontekście bycia samoukiem jest dość długi. A sam jestem tego przykładem, bo sam jestem samoukiem. 

To chwilę trwa. Stąd też sam zauważyłem u siebie, gdy gdzieś pójdę na jakiś kurs, np. chcę rozwinąć umiejętności sieciowe i pójdę na kurs sieciowy, bo przyda mi się to w pracy, bo planuję jakieś projekty albo po prostu chciałbym się czegoś więcej nauczyć, to zauważyłem u siebie, że właśnie ten boost, o którym wspomniałeś jest dużo lepszy w momencie, kiedy mogę korzystać z wiedzy eksperckiej. Mogę kogoś dopytać, mogę zapytać o jego doświadczenie, może mi opowiedzieć o swoich błędach, jakie popełnił, żebym ja troszeczkę przyspieszył swój progres, stąd myślę, że właśnie to jest coś, co na pewno bym uwzględnił jako początkujący, gdybym był początkującym w tej branży teraz, na pewno bym to uwzględnił. 

Na pewno zaplanowałbym sobie tę moją ścieżkę. Na pewno bym nie szedł w tym kierunku, że dobra – to na przykład nauczę się Linuxa i później będę aplikował do pracy, tylko od razu bym usiadł sobie na spokojnie, na pewno parę godzin na to poświęcił, żeby zaplanować cały ten proces mojej edukacji, czyli np. 1, 2, 3, 4 kursy, 1, 2, 3 certyfikaty, potem dalsza droga, dalsza ścieżka, żeby móc po prostu zaplanować sobie nawet wstępnie taką moją karierę właśnie w tym cybersecurity. 

Oczywiście – jeżeli będę zaczynał dopiero jako cyberspecjalista, no to na pewno będę zaczynał jako junior. Jako osoba, która jest osobą początkującą, ale już działa w kontekście cyberbezpieczeństwa. Ja bym też jako początkujący, który aplikuje do pracy też bardziej celowałbym w te zespoły, które są troszeczkę bardziej rozbudowane, z tego względu, że wtedy mam więcej osób, od których mogę czerpać wiedzę, gdzie będę mógł przeczytać raporty z pen testów od 4 pentesterów, a nie gdzie byłbym osobą, która tak naprawdę po raz pierwszy widzi to na oczy. 

Stąd też właśnie bardziej kierowałbym się tym podejściem, żeby skorzystać z jak największej ilości kursów, jeśli tylko mogę, jeśli chcę szybciej zacząć, bo taka też jest prawda odnośnie do w zasadzie wszystkich kursów dotyczących cyberbezpieczeństwa, większości myślę, gdzie ktoś czasem pyta, czy rzeczywiście opłaca mi się na kurs na dany kurs – to ja zawsze zadaję pytanie odwrotne. „Czy ci się opłaca nie pójść na ten kurs?”. 

Bo jeżeli ja jestem w stanie na przykład w ciągu roku uzyskać wiedzę na przykład na temat Linuxa na poziomie jakimś tam, to pytanie jest takie: jak szybko jestem w stanie na tym samym poziomie osiągnąć wiedzę, gdy pójdę na jakiś kurs, niż jak tę wiedzę będę uzyskiwał samodzielnie. 

To jest pytanie, które warto sobie zadać, bo oczywiście część elementów będziemy w stanie sami wyłapać i sami się nauczyć, natomiast – i to mówię o takich podstawach – natomiast już troszeczkę bardziej zaawansowane tematy, czy tematy związane z pracą mogą być tutaj tematami troszeczkę bardziej skomplikowanymi, gdzie fajnie by było po posiłkować się wiedza z jakiegoś konkretnego kursu. Czy to będzie temat sieciowy, czy pen testów webówek, mobilek, a może trafimy na kurs kombinowany, gdzie poruszymy i tematy infrastruktury, i tematy webówek, i mobilek, i jeszcze gdzieś tam będzie przygotowanie np. do wejścia na rynek pracy. 

To by było naprawdę dobre i przyspieszyłoby na pewno moje wejście jako juniora na rynek. To bym rekomendował osobom, które zastanawiają się, myślą o przebranżowieniu i zastanawiają się co zrobić, od czego zacząć. 

 

Pociągnijmy może ten wątek uczenia się. Wyobrażam sobie, zresztą tak też powiedziałeś, że dla osoby, która już jest w tym zawodzie, która chce się rozwijać, to pewnie kursy są jednym z najlepszych sposobów do układania sobie tej wiedzy albo rozszerzania jej w obszarach, które są potrzebne albo interesujące dla danej osoby. 

Weźmy taką osobę, która dopiero chce rozpocząć i faktycznie to może być taka trochę dywagacja na zasadzie „przecież mogę znaleźć w internecie praktycznie każdy kawałek wiedzy”, prawda? Ilość materiałów, chociażby na YouTube jest szeroka. Chociaż z drugiej strony to nie jest pewnie zawsze optymalny sposób, chociażby ze względów czasowych. 

Czy Ty rekomendowałbyś jakiś najlepszy sposób właśnie uczenia się tego zawodu, tej specjalizacji, efektywny czasowo i kosztowo, dla takiej osoby, która chce dopiero wejść do tego zawodu? 

 

Jasne. Rozplanowałbym na pewno sobie ten cały temat mojego wejścia w cybersecurity, na pewno nie odrzucałbym kursów, które są darmowe. Być może one nie będą tak wysokiej jakości jak kursy płatne, ale nie skreślałbym tego kompletnie. Na przykład pamiętam, kiedyś szukałem jakiegoś kursu na temat wiresharka, to było z 6, 7 lat temu. Coś koło tego. Szukałem jakiegoś takiego specjalistycznego kursu. Niestety nie mogłem niczego znaleźć na ten temat, bo po prostu niczego nie było, stąd też poszedłem w kierunku YouTube’a, gdzie znalazłem kilkugodzinny kurs, który może nie był taki mocno profesjonalny, ale na pewno był wykładany przez jednego z pasjonatów, który w dość przystępny sposób opowiadał o tym, jak działa to oprogramowanie do śledzenia pakietów, dzięki czemu mogłem też porobić swoje notatki, zyskać troszeczkę więcej wiedzy. 

Być może gdybym poszedł na jakiś krótszy kurs, który byłby bardziej wyspecjalizowany i płatny, być może tę wiedzę uzyskałbym szybciej. To samo tez tyczy się osób, które są już bardziej zaawansowane w temacie w ogóle IT i cybersecurity. 

Sam wolę znaleźć jakąś informację na przykład napisaną na forum czy gdzieś po prostu ją wyczytać. Np. szukam informacji, jaką komendę powinienem wpisać, żeby uzyskać efekt Y. Wolę ten element szybko znaleźć na jakimś forum, bo ja to szybko sprawdzić, czy uruchomię maszynę wirtualną, wklepię tę komendę i sprawdzę, czy to działa czy nie działa, natomiast widziałem też, że na YouTube jest też dużo takich – że tak to nazwę, tylko mówię – to jest moja subiektywna opinia, śmieciowych filmików, gdzie tego typu komenda jest wyjaśniana przez ok. 3 minuty, co jest trzyminutową stratą czasu, gdzie najpierw jest półminutowe intro, półminutowe outro, a przez 2 minuty jest tłumaczone jak co dokładnie kliknąć, natomiast mówię: to jest podejście moje jako kogoś, kto już w tym siedzi, kto wie jak szukać informacji, kto rozumie co jest gdzie napisane i gdzie tych informacji wyszukiwać, natomiast, tak czy siak, nie skreślałbym tego elementu kursów darmowych, bo na pewno jest to fajny dodatek do naszej wiedzy. 

Rekomendowałbym wyszukanie jakiegoś kursu, który mógłby mnie przygotować w kontekście na przykład na poziomie właśnie takiego juniora czy mida, w kontekście jak największej takiej ilości wiedzy typu właśnie webówki, mobilki, infrastruktura, zapoznanie z systemami typu Linux, Windows, może jakieś elementy – bo mówimy cały czas o tym red timingu, czyli atakowaniu. Ale blue teaming, czyli obrona to też jest bardzo ciekawa branża w kontekście cybersecurity i tutaj na przykład możemy powiedzieć o elementach takich obronnych typu SM, SOC czy różne inne elementy związane właśnie z obroną, firewalle, systemy wykrywające intruzów albo blokujące tych intruzów, zapory ogniowe, więc ja bym bardziej w tym kontekście spojrzał. 

Spróbował coś znaleźć takiego dla siebie czy może nawet kilka kursów, czy może jeden kurs właśnie taki, który pozwoliłby mi przygotować się na poziomie podstawowym, bo jeżeli jestem w stanie złapać już tę wiedzę podstawową, to później jestem w stanie ją dużo lepiej, dużo bardziej rozwijać. 

 

Rekomendowałbym wyszukanie jakiegoś kursu, który mógłby mnie przygotować w kontekście na przykład na poziomie właśnie takiego juniora czy mida, w kontekście jak największej takiej ilości wiedzy typu właśnie webówki, mobilki, infrastruktura, zapoznanie z systemami typu Linux, Windows, może jakieś elementy – bo mówimy cały czas o tym red timingu, czyli atakowaniu.

 

To jest na takiej zasadzie, że fajnie byłoby złapać podstawy sztucznej inteligencji, jak ona działa, jak jest tworzona, za pomocą jakiego oprogramowania się ją pisze, przykłady sztucznej inteligencji, zanim wejdę w hacking tejże. Dopóki nie poznam jak to działa, dopóty nie jestem w stanie tego hackować. Stąd też właśnie myślę, że tego typu podejście byłoby optymalnym podejściem dla osoby początkującej. 

 

Okej, świetnie. To jeśli jesteśmy już w temacie kursów to chciałbym zapytać o szkolenie HackerU.

Jak zorganizowane są zajęcia ? Jak to się odbywa? Kto je prowadzi? Czego można się nauczyć? Do kogo jest adresowane szkolenie tego typu?

 

Zajęcia odbywają się w weekendy, natomiast rozszerzamy program i od września niektóre będą odbywać się też w formule wieczorowej oraz takiej formule nie cotygodniowej, a co dwutygodniowej, żeby też pomóc tym osobom, które mają troszeczkę mniej czasu i niestety nie mogą poświęcić każdego weekendu na naukę, więc nie mogą być też w formule mocno intensywnej. Ale dają sobie więcej czasu, żeby wejść na rynek. Czyli nie na przykład 6-7 miesięcy, ale 12 czy 14. Dzięki temu również mogą skorzystać z tej wiedzy, ale już takiej trochę wolniejszej formule.

Zajęcia prowadzone są przez praktyków. Mamy w zespole trenerów, praktyków, którzy na co dzień pracują jako cyber specjaliści i w zasadzie w różnych podziałkach, czyli mamy specjalistów od aplikacji webowych, od mobilnych, specjalistów, którzy zrobili certyfikat OSCP czy inne, dzięki czemu mogą się dzielić wiedzą taką, którą opanowali naprawdę eksperckim poziomie. 

Dlaczego? Dlatego że ja na przykład, jako ekspert od socjotechniki będę w stanie opowiedzieć moim studentom przykłady takich właśnie działań socjotechnicznych, dzięki czemu będą mogli nauczyć się tego typu socjotechniki w kontekście red teamowym, jak będą pracować jako red teamowy i wykonywać takie ataki. 

Mogę ich też czymś zainspirować, mogę powiedzieć, czego nie robić oraz w drugim kontekście, blue teamingu, mogę powiedzieć o przykładach, na które warto zwracać uwagę, gdzie oni później będąc jako blue teamowcy czy tzw. bezpieczniki, będą mogli dokonać środków prewencji, żeby zapobiec takim atakom socjotechnicznym czy też wdrożyć systemy, które wykrywają takie ataki bądź uczulić pracowników na określone działania. 

Zajęcia prowadzą praktycy i większa część zajęć dotyczy praktyki. W momencie, w którym ktoś chciałby wejść na rynek cybersecurity, gdy idzie na rozmowę o pracę, to oczywiście może podać jakie certyfikaty posiada, jakie szkolenia ukończył, ale bardzo często jest też taki element testu, gdzie pracodawca będzie chciał sprawdzić, zweryfikować czy rzeczywiście kandydat ma określone umiejętności. 

 

Zajęcia prowadzą praktycy i większa część zajęć dotyczy praktyki. W momencie, w którym ktoś chciałby wejść na rynek cybersecurity, gdy idzie na rozmowę o pracę, to oczywiście może podać jakie certyfikaty posiada, jakie szkolenia ukończył, ale bardzo często jest też taki element testu, gdzie pracodawca będzie chciał sprawdzić, zweryfikować czy rzeczywiście kandydat ma określone umiejętności. 

 

Stąd też właśnie na kursie, w zasadzie każdego dnia jest realizowany element praktyczny. Nawet na tym kursie tzw. sortingowym, czyli kursie wstępnym, który pozwala kandydatom też sprawdzić, czy rzeczywiście chcą wejść w cybersecurity i później być z nami na kursie głównym. 

Też nawet pierwszego dnia, kiedy jest dość dużo elementów teoretycznych, też jest troszeczkę praktyki, aby kandydaci byli gotowi do wejścia na rynek jako juniorzy. Żeby jak najwięcej tych elementów praktycznych mieli opanowanych. 

Przygotowując na przykład studentów w modułach dotyczących aplikacji webowych czy aplikacji mobilnych, tez jest bardzo dużo praktyki. W momencie, kiedy uczą się o infrastrukturze, też jest bardzo dużo praktyki. W momencie, kiedy jest jeden z ostatnich modułów typu przygotowanie do certyfikacji OSCP, do egzaminu, to studenci mają kilkadziesiąt maszynek do zhakowania. Część z nich hakują wspólnie, z wykładowcą, część sami, na własną rękę, posiłkując się poradami od wykładowcy. 

My też na naszym kursie, to co charakteryzuje ten kurs, jest to, że my uczestników staramy się poprowadzić, pokazać im – słuchaj, drogi uczestniku, idź tą ścieżką, uważaj na to i na to. Nie chcemy iść w tym kierunku, że my pokażemy wszystko i powtarzajcie po nas, ale chcemy ich zachęcić do własnej pracy, do kreatywnego rozwiązywania problemów. Żeby później, jak pójdą do prawdziwej pracy, wyjdą już z tych symulacji od nas i przyjdą do prawdziwej pracy, żeby byli w stanie rozwiązywać skutecznie poszczególne zadania. Żeby nie było tak, że nauczyliśmy ich pięciu narzędzi, a nagle pojawia się szóste i nie wiedzą co z nim zrobić. Nie. Staramy się im pokazać, z czego wynika użycie poszczególnych narzędzi, że jak zobaczy to szóste, którego jeszcze nigdy nie widział, żeby mógł sobie porównać do tych wcześniejszych, które mu pokazaliśmy oraz do tych elementów wiedzy, które otaczają użycie tych pięciu narzędzi, żeby był w stanie z niego skutecznie korzystać. 

Może to nie będzie w ciągu dwóch sekund, ale na pewno, żeby był w stanie zrozumieć, zobaczyć jak to działa i wykazać, że jest podobieństwo pomiędzy tymi narzędziami. Na przykład. Duża część praktyki. 

Uczestnicy szkolenia w HackerU mają też dostęp do takiej platformy edukacyjnej, która się nazywa CyWar. Jest to izraelski system, który składa się z części quizowej, teoretycznej, gdzie studenci mogą na podstawie modułów, przez które przeszli i wiedzy, którą już ogarnęli, mogą ją później przetestować. Mogą testować do woli, jest tam coraz więcej tych quizów dodawanych. Jest to element teoretyczny, natomiast platforma CyWar składa się głównie z elementu praktycznego. Zawiera system CTF-owy, capture the flag, gdzie użytkownik musi zdobyć flagę, czyli uzyskać informację.  

Żyjemy w XXI wieku, era informacji, stąd też właśnie chodzi o to zdobywanie tychże flag, czyli informacji. Dzięki czemu uczestnicy mogą przetestować zdobytą na zajęciach wiedzę na tej platformie CTF-owej, stricte odnosząc się do tego, czego się nauczyli. Natomiast – to też często jest pytanie takie od studentów, dlaczego nie jest to skopiowane 1:1? Dlatego że my mocno chcemy pobudzić wiedzę studentów, pobudzić ich myślenie. Możemy pokazać, że możemy się włamać do systemu takiego i takiego poprzez metodę 1, 2, 3, 4, 5 – ale w tym systemie CTF-owym oni będą musieli sobie połączyć część elementów z metody 1, wyjąć część elementów z metody 2 i część elementów z metody 3. Złączyć to razem i dopiero wtedy mogą uzyskać tę flagę, włamać się do systemu, uzyskać określoną informację. Wtedy dopiero mamy prawdziwe hackowanie, gdzie jesteśmy w stanie zasymulować realne systemy, gdzieś tam istniejące. Co pozwala tych uczestników przygotować do pracy jako cyber specjaliści. 

Oczywiście mówię tutaj cały czas na tym podstawowym poziomie, jako juniorzy. Że jest to świetna katapulta, która pozwoli nas wystrzelić w ten rynek, gdzie jak nabierzemy pędu, to tylko pozostaje lecieć dalej. 

 

Z tego, co opowiadasz brzmi to bardzo interesująco i profesjonalnie. Jaka jest cena takiego szkolenia Czy to jest duża, mała, adekwatna kwota w stosunku do wiedzy, którą się zdobywa i umiejętności, które się opanowuje? I przede wszystkim, co wpływa na cenę takiego szkolenia?

 

Jasne. Jeżeli chodzi o cenę, to wynosi ona 23 000 za cały kurs red teamowy. To jest aktualnie kurs, który w HackerU Polska prowadzony. Tak jak powiedziałem – każdy uczestnik może wybrać, na jaki kurs chce pójść. Czy właśnie kurs wieczorowy, co dwutygodniowy czy cotygodniowy, co weekendowy. Kurs jest dawką takiej skompresowanej wiedzy, którą użytkownik, gdy posiądzie, to będzie gotowy do wejścia na ten rynek cybersecurity. Co jeszcze ciekawego, to pamiętam, parę osób mnie pytało, po co mam iść na ten kurs, skoro tę wiedzę jestem w stanie znaleźć w internecie. 

Jak najbardziej – zgadzam się, wiedza dostępna na kursie będzie do znalezienia w internecie. W większości kursów z cybersecurity. To za co uczestnik płaci, to że ma tę wiedzę w skompresowany sposób, którą jest w stanie przyswoić dużo szybciej niż jakby sam zaczął tę wiedzę zbierać. Plus coś, co bardzo często podkreślam – ma przed sobą doświadczoną kadrę cyber specjalistów, których może zapytać o dowolne tematy związane z cyberbezpieczeństwem, gdzie dostanie informacje od praktyka. Myślę, że to jest bezcenne. Większość z nas nie miała takich mentorów, a uczestnicy szkoleń mogą mieć teraz nie jednego, ale kilku czy czasem nawet kilkunastu mentorów, którzy ich mogą poprowadzić we właściwym kierunku. 

 

Jak najbardziej – zgadzam się, wiedza dostępna na kursie będzie do znalezienia w internecie. W większości kursów z cybersecurity. To za co uczestnik płaci, to że ma tę wiedzę w skompresowany sposób, którą jest w stanie przyswoić dużo szybciej niż jakby sam zaczął tę wiedzę zbierać. Plus coś, co bardzo często podkreślam – ma przed sobą doświadczoną kadrę cyber specjalistów, których może zapytać o dowolne tematy związane z cyberbezpieczeństwem, gdzie dostanie informacje od praktyka. 

 

Właśnie, to jest bardzo cenny walor takiego szkolenia. Chciałbym Cię zapytać teraz o kwestię drażliwą, bo o ile faktycznie IT bardzo się rozwija, jest coraz większe zapotrzebowanie na specjalistów, o tyle powoduje to też, że przyciąga osoby, które się przebranżawiają jako główny aspekt traktując kwestie finansowe. Zarobki są głównym magnesem przyciągającym do IT. 

Niestety powoduje to efekt, że te osoby szybko przekonują się, że to niestety nie jest praca, którą chcieliby na co dzień wykonywać. Że po prostu nie widzą siebie w dłuższej perspektywie i nie czują tej pasji rozwoju, o której mówiłeś. Że nie są w stanie być może w ten sposób się cały czas rozwijać. 

Czy jest jakaś metoda, żeby sprawdzić się właśnie w branży cybersecurity bez inwestowania znacznej ilości czasu, pieniędzy, żeby zobaczyć, czy to jest po prostu dla mnie?

 

Jasne. Myślę, że mogę się w pełni zgodzić, że ta praca nie jest dla każdego. Nie wszyscy będą tym zapasjonowani, nie wszyscy będą czuli się tutaj jak ryba w wodzie, nie wszystkich to będzie kręciło. Także jak najbardziej się z tym zgadzam. Jako HackerU nie chodzi nam też o to, aby zmuszać ludzi do przyjścia koniecznie na kurs, bo chodzi też o to, że my na kursach sortignowych, czyli kursach wstępnych też weryfikujemy, sprawdzamy, wyłapujemy te osoby, które ta branża naprawdę pasjonuje. 

Stąd też myślę, że właśnie taki kurs sortingowy, który kosztuje kilkaset złotych i który jest fajną formą takiego sprawdzenia się, czy rzeczywiście sprawdzę się w tej branży, czy rzeczywiście jest to dla mnie – moim zdaniem jest to najlepszy element taki, żeby właśnie zweryfikować się, sprawdzić, zobaczyć, przyjść na kurs, czy rzeczywiście jest to dla mnie, poznać ludzi, którzy tutaj są czy też może jednak powinienem czy powinnam zostać w tej branży, w której nadal jestem. 

Także, jeżeli ktoś się zastanawia, to gorąco zachęcam do przyjścia na kurs, bo też nie będzie to ogromna inwestycja, na pewno dowiemy się wielu ciekawych rzeczy, które przydadzą się też w takim normalnym korzystaniu z komputera czy w pracy w innej branży, na pewno poznamy wiele ciekawych aspektów, też nas to nie obciąży jakoś mocno finansowo, a na pewno pozwoli uświadomić sobie samemu czy rzeczywiście to jest coś, w co chciałbym, chciałabym pójść, więc ja bym w tym kierunku poszedł, natomiast w pełni się z Tobą zgadzam, że to nie jest praca dla wszystkich, nie wszyscy będą się tutaj czuli super, fajnie, świetnie i nie ma co nikogo zmuszać. Z takiego założenia też tutaj wychodzimy. Natomiast jeżeli ktoś kieruje się właśnie pasją, otwartością i chęcią działania, to również jesteśmy otwarci i chętnie pomożemy. 

 

Myślę, jest to bardzo fair i uczciwe podejście. Przyznam, że nie znam zbyt wielu kursów, zbyt wielu szkoleń, które właśnie w ten sposób podchodzą do kandydata, że to nie jest tak, że musimy iść na ilość i jak najwięcej mieć studentów, tylko faktycznie chcemy pracować z osobami, które myślą w podobny sposób, które mają podobne perspektywy rozwoju, czy które patrzą na ten rozwój w taki sposób długofalowy, bo myślę, że jest to niezbędne, to jest coś, o czym na początku wspomniałeś. 

Macieju, widzę, że mamy godzinę nagrania, godzinę dzielenia się wiedzą z Twojej strony i takiego faktycznie bardzo zdroworozsądkowego podejścia do tego tematu, mnóstwo praktyk, Twoich doświadczeń. Sprzedałeś, można powiedzieć, myślę, że zachęciłeś sporo osób do tego, żeby odważyć się do zrobienia tego pierwszego kroku i faktycznie spróbowania swoich sił w branży cyberbezpieczeństwa, więc bardzo Ci dziękuję za ten poświęcony czas. 

Na koniec powiedz proszę jeszcze, gdzie Cię można znaleźć w internecie, jak się z Tobą skontaktować? 

 

Jasne. Krzysztof, ja również bardzo chciałbym Ci podziękować za tę rozmowę. Naprawdę było bardzo ciekawie. Zanim powiem, gdzie mnie znaleźć to chciałbym też jeszcze nawiązać do jednego tematu. Zanim się dzisiaj spotkaliśmy, mieliśmy spotkanie, gdzie była jedna pani, której przekazano informacje na temat cybersecurity, gdzie rzucał różnymi tematami, które nie do końca pokrywały się z rzeczywistością. 

Zapytałem o parę elementów, natomiast pani bardzo chciała się dowiedzieć, dlaczego jest tak, a nie inaczej, stąd też zaoferowałem tej pani pomoc. Powiedziałem, że jeżeli będzie potrzebowała pomocy, żeby coś wyjaśnić, rozjaśnić, żeby nie popełniła błędu czy nie kupiła kota w worku, bo mówią, że będzie bezpiecznie czy fajnie, to też powiedziałem, że śmiało może się ze mną kontaktować, jak będzie trzeba to pomogę i to jest też coś, w co sam staram się promować. Staram się wyjść z tego schematu, żeby większość ludzi nie myślała, że haker czy cyberspecjalista to osoba z bluzą w kapturze, siedząca w piwnicy i mówiąca mało, bo prawda jest taka, że my jako cyber specjaliści nie tylko realizujemy tę robotę techniczną, ale my też później musimy zaprezentować raport przed zarządem, co mi wielokrotnie też się zdarzało, gdzie realizujemy z zespołem jakieś techniczne elementy, a później jest prezentacja tego przed zarządem. Bardzo często przed osobami nietechnicznymi, gdzie trzeba te elementy techniczne przełożyć i użyć stosownych porównań dla osób nietechnicznych, co też jest sporym wyzwaniem. 

My też na kursie uczymy jak tworzyć, pisać raport. Jak się komunikować, jak rozmawiać, co też jest bardzo istotne i myślę też, że zarówno wśród trenerów, wśród asystentów, uczestników kursu, gdzie w moim zespole promujemy tego typu zachowania, żeby budować społeczność takiej otwartości jak i tego, że my też możemy założyć koszulę, niekoniecznie musi być to bluza z kapturem, możemy normalnie porozmawiać przy kawie czy herbacie, opisać problemy techniczne tak, żeby osoba, która nie jest techniczna je zrozumiała w pełni, myślę więc, że to jest też taka fajna idea, którą sam też staram się kierować i myślę, że większość osób w moim zespole też jest zadowolona, że w taki sposób idziemy, takie normalne podejście i takie podejście fair, jak to mówiłeś. 

A teraz odpowiadając na Twoje ostatnie pytanie, jestem na LinkedInie. Jeżeli ktoś chciałby się skontaktować, to zapraszam. Działam też w grupie HackerU, stąd też jestem widoczny. Działam też w kilku innych projektach, więc myślę, że nie będzie problemu ze zlokalizowaniem mnie. W każdym razie się nie ukrywam! 

 

Świetnie. Faktycznie, to dzisiaj nie wybrzmiało, ale cieszę się, że podkreśliłeś na końcu, że w przypadku cyberbezpieczeństwa, w przypadku tej branży nie tylko umiejętności techniczne są ważne, ale te tzw. umiejętności miękkie są pewnie na równi istotne, bo jesteśmy ludźmi, komunikujemy się z ludźmi, pracujemy w grupach, więc faktycznie należy o tym również w swojej karierze pomyśleć. 

Macieju, wszystkie linki, kontakty, o których powiedziałeś zawrę w notatce do odcinka. Z mojej strony jeszcze raz bardzo Ci dziękuję i do usłyszenia, cześć! 

 

Bardzo Ci dziękuję, Krzysztof. Do usłyszenia, cześć! 

 

To na tyle z tego, co przygotowałem dla Ciebie na dzisiaj. Maciej doskonale rozwiał mity i opisał jak w rzeczywistości wygląda praca etycznego hakera. Jeśli taka ścieżka kariery Cię interesuje, to zdecydowanie warto skorzystać z kursu HackerU. 

Jeśli ten odcinek był dla Ciebie interesujący i przydatny, odwdzięcz się proszę recenzją, oceną lub komentarzem w social mediach. Jeśli masz jakieś pytania, pisz śmiało na krzysztof@porozmawiajmyoit.pl. 

Zapraszam też do mediów społecznościowych. 

Nazywam się Krzysztof Kempiński, a to był odcinek podcastu Porozmawiajmy o IT o tym, jak zostać etycznym hakerem. Zapraszam do kolejnego odcinka już za tydzień. Cześć! 

 

+ Pokaż całą transkrypcję
– Schowaj transkrypcję
mm
Krzysztof Kempiński
krzysztof@porozmawiajmyoit.pl

Jestem ekspertem w branży IT, w której działam od 2005 roku. Zawodowo zajmuję się backendem aplikacji internetowych i zarządzaniem działami IT. Dodatkowo prowadzę podcast, występuję na konferencjach i jestem autorem książki "Marka osobista w branży IT". Moją misją jest inspirowanie ludzi do poszerzania swoich horyzontów poprzez publikowanie wywiadów o trendach, technologiach i zjawiskach występujących w IT.