OSCP для рекрутеров

Это короткий пост праведного гнева и светлой тоски, написанный в лучших традициях гейткипинга. И всё же я посчитал своим долгом его опубликовать. Впрочем, давайте начнём с предисловия.

Когда что-то становится известным широким массам — оно теряет свою ценность и превращается в обычную попсу. Сертификация OSCP, некогда ценимая узким кругом специалистов за хардкорность, объём развиваемых навыков и высокий порог отсева на экзамене, стала известна широким массам. Для сотрудников кадровых служб держатели данного сертификата стали желанной добычей и рынок отреагировал тем, что для участия в конкурсах на предоставление услуг компании стали набирать в портфолио актуальные аббревиатуры и OSCP де-факто стала промышленным стандартом в области тестирования на проникновение. Как Вы, наверное, уже догадались, здесь что-то должно было пойти не так — и оно пошло.

Для того, чтобы выглядеть конкурентоспособно, компании занялись «подготовкой» своих OSCP в домашних условиях. Вести с полей гласят, что происходит это следующим образом: одного сотрудника засылают за сертификатом, после чего он, скажем мягко, консультирует менее одарённых коллег по вопросам сдачи экзамена (*кхм* сливает ответы… *кхм* *кхм*). Чем это оборачивается, я полагаю, Вы и сами можете догадаться. История знает случаи (и, в отличие от большинства моих постов, это не вымышленние случаи), когда держатели множества сертификатов, увешанные ими, как северокорейские генералы увешаны орденами, заваливались на сущих мелочах. Например, CEH CHFI OSWP OSCP OSCE (это один человек, кстати), однажды был замечен в расстроенных чувствах, потому что полдня потратил на то, чтобы прочитать cookie джаваскриптом. У него это не выходило и он упорно продолжал дебажить свой код, после чего заключил, что код в порядке и никакого вредного импакта от XSS ждать не стоит. Та cookie была с флагом HttpOnly. И раздобыть её можно было и другим способом.

Временами приходится своими собственными глазами наблюдать скоропостижный расцвет людей, которые вот только что не были способны запустить сканирование в Burp, а едва отвернёшься — щеголяют шильдиком OSCP. В общем, я слегка подумал и решил выделить для всех дарований, прошедших курс за две недели, специальное звание — Dishonest Certified Professional (DCP), а данный пост я пишу для сотрудников кадровых служб, чтобы они отличали осцп от дцп.

Совершенно очевидно, что такого сомородка выявит грамотно составленное тестовое задание или вдумчивое интервью, но ведь это означает, что от работы будет отвлечён какой-то технический специалист. Неплохо было бы, чтобы вместо вопросов про круглые люки нашему одарённому дцп досталась пара вопросов о его прохождении курса PWK. Если этот пост читает кто-то из рекрутеров топовых компаний российского инфосека (читает же?), он и сам может составить нехитрый список вопросов, призвав на помощь кого-то из коллег, справедливо называнных OSCP. Однако я могу предложить и свой, мне не сложно. Но для начала я бы спросил две вещи: сколько месяцев испытуемый провел в подготовке к курсу и кто за него платил. Если ответы: месяц и моя прошлая компания, то я бы уже насторожился. Ну и, для уверенности, следует задать несколько обличающих вопросов:

  • Цитата Авраама Линкольна, ставшая эпиграфом к курсу (этот самый лёгкий, на нём завалятся те, кто даже не открывал PDF с учебными материалами);
  • Какова связь между Alice и Bob в контексте лаборатории?
  • Чего так сильно ждёт Pedro?
  • Как же решился вопрос обрыва шелла от Phoenix?
  • Сколько пивотов потребуется, чтобы попасть в DEV? А в ADMIN?
  • Долго ли пришлось искать античную версию CentOS?
  • Что не так с ReiserFS?
  • I’m not always humble… а дальше?
  • Все знают пароль Sean, кстати, что это за пароль?

Думаю, что Вы итак поняли, к чему я клоню. Я опасаюсь ситуации, когда одна крайность перейдёт в другую и люди, месяцами провисавшие в лаборатории, будут поставлены в один ряд с теми, кто сдал экзамен по отчёту коллеги. Предлагаю дружно объединиться в деле выявления дцп на ранней стадии.

OSCP для рекрутеров: 3 комментария

  1. Вот вот закончил (честно закончил) лабораторию, все 50+ машин (но еще не добрался до экзамена). У меня относительно свежи воспомининания, но вот с ходу я могу ответить только на часть вопросов. А чтобы ответить на эти вопросы пришлось лезть в записи и в курс:

    «Цитата Авраама Линкольна, ставшая эпиграфом к курсу;»
    Саму цитату запомнил оказывается, а авторство нет.

    «Какова связь между Alice и Bob в контексте лаборатории?»
    Я могу сказать про связь между Alice и Bethany. Про Боба ничего не помню.

    «Как же решился вопрос обрыва шелла от Phoenix?»
    А там есть проблема? Вот смотрю на записи и вспоминаю и все хорошо. Проходная машина же вообще?

    «I’m not always humble… а дальше?»
    Картинку с дядькой помню, но за продолжением нужно снова лезть на машину.

    Вот я не ответил на часть вопросов. Я теперь плохой? Меня HR здесь зарежет, скажет, что я DCP, а я честно все сделал и в голове у меня много новых знаний после курса.

    Я это не к тому, что вопросы плохие, просто у кадого был свой Рубикон. И если для вас Рубиконом стал Феникс, и связь между Alice и Bob, то для меня это была Tricia и Jack, на которые сил ушло больше чем на ТОП4 вместе взятые.

    Если уж речь и идет о том, чтобы полностью отсеять ДЦПшников, то только своя мини лаборатория на последующем этапе после HR. Понимаю, что это сложности, но какую цель мы преследуем? Найти нормального специалиста или пройто найти кого-то? Если не хотите тратить время своих специалистов на отсев мусора, то есть большой шанс его и получить. Везде баланс. Тратим время — получаем результат, не тратим время — получаем мусор, сложности, поиск по-новой и все равно тратим время, чтобы не наступать на те же грабли.

    Мне совсем без разницы, что ребята из Индии поставили OSCP на поток и помогают за 300$ сдать экзамен за тебя (хотя оффсеки и вводят сейчас наблюдателей на экзамене). Любая такая ложь и читерство всплывет и такие вот «CEH CHFI OSWP OSCP OSCE» все равно спалятся. Поэтому не переживаю.

    Меня как раз больше беспокоит, что из-за неверных фильтров на входе (упомянутые вопросы) я могу не пройти первый этап собеседования, потому что не запомнил чья была цитата или что не встретил те же проблемы, что и составитель вопросов. Это вот страшнее.

    1. Спасибо за развёрнутый комментарий. Честно говоря, я ждал, пока кто-то из проходящих курс заметит. Вы заметили.

      Во-первых, не на все вопросы имеются правильные ответы. Никто этого и не обещал. Во-вторых, все они либо из области первой сети, либо вообще на мемы из лабы. Вы вот попытались на них ответить и возмутились — почему нет ничего из дальних рубежей лабы, почему нужно запоминать какую-то цитату, почему внимание сфокусировано на проходной машине. Возмутились — и начали монолог, который тут же выдал в Вас человека, полностью компетентного в вопросе прохождения курса, упомянули трудности из гораздо более позднего этапа прохождения лабы. Это заняло считанные минуты. Если бы я, участвуя в интервью, услышал такой монолог, вопрос с честностью прохождения курса отпал бы в тот же самый момент. В этом была задумка.

      Я не за то, чтобы поставить забор из 5 вопросов и пропускать за него только тех, кто перелезет. Я за то, чтобы начать разговаривать с кандидатами об их опыте прохождения курса. Перестать верить аббревиатурам наслово, провоцировать соискателей на коротенький монолог, подобный тому, который Вы изложили в комментарии. Естественно, это не отменяет необходимости подготавливать качественное тестовое задание или вдумчиво интервьюировать кандидата, но если эти несколько вопросов из записи не вызвали у кандидата с OSCP возмущения и не спровоцировали монолог — имеется лишний повод задуматься, а не DCP ли он.

      Помимо этого, я должен признать, что вся запись была сделана импульсивно. Теперь, прочитав Ваш комментарий, я понимаю и принимаю Вашу позицию касательно того, что страшно было бы упереться в фильтр из глупого HR, выписавшего себе 5 вопросов из поста и по ним определяющего Вашу компетентность. Но ведь ответы на вопросы в посте не прозвучали, а значит HR придётся обратиться к своим специалистам, если они захотят ввести такой барьер. Если специалисты не заметят подвоха, который заметили Вы — стоит ли там работать?

      Наконец, на момент написания поста, оффсеки ещё не обнародовали информацию о том, что экзамен теперь будет сдаваться под наблюдением. Я тоже сдавал экзамен под наблюдением и тогда это был пилот — можно было отказаться, а согласившись — нельзя было разглашать. Может Вас и не беспокоит конвеерность сдачи экзамена, но вот его авторов — однозначно беспокоит. Остаётся только подождать и сравнить, насколько значительно это повлияет на уровень навыков выпускников.

      Надеюсь, Вы поняли мою позицию, желаю удачи на экзамене, хотя и не сомневаюсь, что всё пройдёт без проблем 🙂

      1. Значит купился я, повелся на провокацию ))) Но просто это же на живую, по незажившему прошлись, нельзя так, я же переживаю, после всех этих Try Harder, когда готов горло перегрызть тому кто ее произнес, а то я что ли не пытался? )))

        «Если бы я, участвуя в интервью, услышал такой монолог, вопрос с честностью прохождения курса отпал бы в тот же самый момент. В этом была задумка.

        Я за то, чтобы начать разговаривать с кандидатами об их опыте прохождения курса.»
        Вот именно, Вы как специалист, а не HR, знаете, что Вы хотите и можете услышать, конечно все эти вопросы вызовут активную обратную связь и теплые воспоминания как у интервьюруемого так и у интервьюера, но не вызовут совершенно никаких эмоций у HR. А HR это не только качественные специалисты, но так же и ‘DCP’. И если один нормальный HR обратится к своим специалистам, то другой этого не сделает, играя в тонкого психолога, задавая вопросы и оценивая реакцию… ну такова реальность. Компания может быть отличной, с отличными спецами, но подвести могут кадры из кадров.
        Тут скорее всего я бы сказал, что если человек указал OSCP, или OSCE или аналогичное, то на такого человека можно и самому потратить время. Пусть такие вопросы задает тот кто понимает о чем идет речь, что там было и как это было.
        Но подпускать DCP HR с вопросами нельзя. Да даже если нормальный HR получит ответы от своих спецов, то тут опять-таки правильных ответов может быть несколько. Человек может совершенно никак эмоционально не отреагировать на вопрос как вы получили доступ к такой-то машине (как я не отрегировал на феникс), потому что вариантов получения доступа может быть несколько. Кто-то взломал сервис, а кто-то использовал инструмент из набора NSA. Один живо отреагирует, а другой даже глаза потупит, потому что стыдно. И если Вы в течение разговора однозначно поймете как человек получил сертификацию, то HR может принять спокойные ответы за читерство. У меня вот сейчас идет активная переписка с несколькими студентами и там где я использовал корову кто-то сумел добиться PE используя уязвимости сервисов и наоборот. Поэтому где-то мне будет стыдно (хотя как писал g0tmilk «root is root, no matter how you got it») и я не смогу рассказать захватывающую историю. А многие кстати идут на экзамен имея за спиной всего 20-25 машин и сдают его (хоть и не с первой попытки).

        Да и встречался я с техническими HR. Это вроде те самые люди, которые должны понимать ответы на свои вопросы, но были такие которые как раз совершенно не понимали ответы, смотря на тебя стеклянными глазами. Начинаешь переводить ответ на обывательский уровень, чтобы стало понятно и тут HR «ага! а ведь тут не так!». Ну конечно не так! Но если объяснять как оно есть, то снова стеклянный взляд. HR должен все-таки проводить первичную обработку: документы, отсев полных психов, условия работы, и т.п. А специфичные вещи нужно оставлять специалистам в своей области. Цезарю — цезарево.

        Но в общем я Вашу позицию понимаю прекрасно. Сталкивался с ребятами, которые некоторое время работали в крупных интеграторах или учебных центрах. У них были доступы к лабораториям, куча железа под рукой, помощники при сдаче экзаменов, а потом эти ребята тупо не могут вывести содержимое файла в баше, хотя имеют RHCSA. Ну как так-то? А с другой стороны они потом все-таки попадались. Поэтому я верю, что правда восторжествует и нам с Вами не придется сталкиваться с таким спецами! (конечно же нет, ситуация становится хуже и хуже…)

        Насчет прокторинга. Я записался на курс и зарезервировал дату экзамена, оплатил все так, что не попал под прокторинг. При этом узнал об этом нововведении уже позже. Даже была мысль самому напроситься, т.к. мне не жалко, а для оффсеков был бы пилот. А потом узнал, что пилот то оказывается уже давно был и от моих потуг никому не будет ни хорошо, ни плохо. Да и вообще требование сдавать экзамен в одежде? Кто вообще так делает?! ))) Поэтому первая попытка по старинке, а дальше без вариантов, прокторинг.

        Спасибо за пожелания, желаю и Вам не затягивать с OSCE и сдать в ближайшее время! Буду следить за постами и возможно вскоре напишу эмоциональный комментарий уже к аналогичной OSCE статье, т.к. на OSCP я тоже останавливаться не собираюсь 😉

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *