OSCP для рекрутеров

Это короткий пост праведного гнева и светлой тоски, написанный в лучших традициях гейткипинга. И всё же я посчитал своим долгом его опубликовать. Впрочем, давайте начнём с предисловия.

Когда что-то становится известным широким массам — оно теряет свою ценность и превращается в обычную попсу. Сертификация OSCP, некогда ценимая узким кругом специалистов за хардкорность, объём развиваемых навыков и высокий порог отсева на экзамене, стала известна широким массам. Для сотрудников кадровых служб держатели данного сертификата стали желанной добычей и рынок отреагировал тем, что для участия в конкурсах на предоставление услуг компании стали набирать в портфолио актуальные аббревиатуры и OSCP де-факто стала промышленным стандартом в области тестирования на проникновение. Как Вы, наверное, уже догадались, здесь что-то должно было пойти не так — и оно пошло.

Для того, чтобы выглядеть конкурентоспособно, компании занялись «подготовкой» своих OSCP в домашних условиях. Вести с полей гласят, что происходит это следующим образом: одного сотрудника засылают за сертификатом, после чего он, скажем мягко, консультирует менее одарённых коллег по вопросам сдачи экзамена (*кхм* сливает ответы… *кхм* *кхм*). Чем это оборачивается, я полагаю, Вы и сами можете догадаться. История знает случаи (и, в отличие от большинства моих постов, это не вымышленние случаи), когда держатели множества сертификатов, увешанные ими, как северокорейские генералы увешаны орденами, заваливались на сущих мелочах. Например, CEH CHFI OSWP OSCP OSCE (это один человек, кстати), однажды был замечен в расстроенных чувствах, потому что полдня потратил на то, чтобы прочитать cookie джаваскриптом. У него это не выходило и он упорно продолжал дебажить свой код, после чего заключил, что код в порядке и никакого вредного импакта от XSS ждать не стоит. Та cookie была с флагом HttpOnly. И раздобыть её можно было и другим способом.

Временами приходится своими собственными глазами наблюдать скоропостижный расцвет людей, которые вот только что не были способны запустить сканирование в Burp, а едва отвернёшься — щеголяют шильдиком OSCP. В общем, я слегка подумал и решил выделить для всех дарований, прошедших курс за две недели, специальное звание — Dishonest Certified Professional (DCP), а данный пост я пишу для сотрудников кадровых служб, чтобы они отличали осцп от дцп.

Совершенно очевидно, что такого сомородка выявит грамотно составленное тестовое задание или вдумчивое интервью, но ведь это означает, что от работы будет отвлечён какой-то технический специалист. Неплохо было бы, чтобы вместо вопросов про круглые люки нашему одарённому дцп досталась пара вопросов о его прохождении курса PWK. Если этот пост читает кто-то из рекрутеров топовых компаний российского инфосека (читает же?), он и сам может составить нехитрый список вопросов, призвав на помощь кого-то из коллег, справедливо называнных OSCP. Однако я могу предложить и свой, мне не сложно. Но для начала я бы спросил две вещи: сколько месяцев испытуемый провел в подготовке к курсу и кто за него платил. Если ответы: месяц и моя прошлая компания, то я бы уже насторожился. Ну и, для уверенности, следует задать несколько обличающих вопросов:

  • Цитата Авраама Линкольна, ставшая эпиграфом к курсу (этот самый лёгкий, на нём завалятся те, кто даже не открывал PDF с учебными материалами);
  • Какова связь между Alice и Bob в контексте лаборатории?
  • Чего так сильно ждёт Pedro?
  • Как же решился вопрос обрыва шелла от Phoenix?
  • Сколько пивотов потребуется, чтобы попасть в DEV? А в ADMIN?
  • Долго ли пришлось искать античную версию CentOS?
  • Что не так с ReiserFS?
  • I’m not always humble… а дальше?
  • Все знают пароль Sean, кстати, что это за пароль?

Думаю, что Вы итак поняли, к чему я клоню. Я опасаюсь ситуации, когда одна крайность перейдёт в другую и люди, месяцами провисавшие в лаборатории, будут поставлены в один ряд с теми, кто сдал экзамен по отчёту коллеги. Предлагаю дружно объединиться в деле выявления дцп на ранней стадии.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *