https://forum.antichat.xyz/attachments/4876102/1750239414069.png

Готовы погрузиться в мир, где каждый день – это вызов, а ваши знания и навыки защищают цифровой мир? Информационная Безопасность (ИБ) манит всё больше умов, и вопросы "Как начать?", "С чего стартовать?" и "Что делать дальше?" заполонили все чаты и форумы. Хватит повторять, что нужно "сначала разобраться"! Я здесь, чтобы сбросить маски и выдать всю правду – этот откровенный монолог изменит ваш подход к обучению в ИБ.

Проанализировав около сотни вопросов, примерно сорок из которых были заданы мне в личных сообщениях в разное время, я задумался: а делал ли кто-то подобный анализ до меня? Поискал, но не нашёл ничего, с чем бы согласился на все 100%. В основном это просто списки того, что нужно знать или уметь. Однако я убеждён, что главная проблема большинства новичков кроется в их мышлении. Многие "ломятся" в ИБ, совершенно не понимая своих истинных целей! Увидев что-то интересное, они сразу бегут на форумы и в чаты с вопросом: "Как мне стать специалистом по кибербезопасности?". С таким подходом ответ один – никак!

Ещё один важный аспект – трудности с обучением и пониманием. Частые вопросы: "Как начать?", "Где искать?", "Что читать/изучать?". Здесь, по моему мнению, есть две ключевые проблемы: неумение искать информацию и неумение работать с ней. Именно эти моменты мы сегодня и разберём.

Хочу сразу сказать: я ни в коем случае не осуждаю новичков. Сам когда-то искал, пробовал и задавал вопросы. Я только "за", если все будут развиваться, помогать друг другу и поднимать технологии на новые высоты! Но, к сожалению, большинство новоприбывших часто проявляют несамостоятельность и, порой, неадекватность. Многие хотят всего и сразу, требуют готовые ссылки на материалы, ждут, что за них всё найдут. Чаще всего они получают логичный ответ: "Гугли!". После этого следует волна либо гнева, либо типичная фраза вроде: "Ну понятно, никакие вы не эксперты, раз ответить не можете, ничего вы не знаете!". За этим, как правило, следует мгновенный бан, и на этом всё заканчивается.

Мне совершенно непонятно, почему некоторые считают, что им кто-то что-то обязан: отвечать, делиться, помогать. Стоит запомнить раз и навсегда: никто тебе ничего не должен. Если человек захочет – поможет, не захочет – справляйся сам. Не стоит создавать пустых ожиданий. Если ты действительно хочешь чего-то добиться, это сугубо твоя ответственность. И если ты задаёшь вопрос, а тебе пытаются объяснить, но даже это понять трудно… Ну, тут уже начинается цирк Шапито! Хочу предупредить: нужно адекватно оценивать свои силы. Помни: "Не зная броду, не суйся в воду". А если сунулся, то кто виноват? Именно поэтому мы разберём причины, следствия, а также решения этих проблем.
Путь в кибербезопасность: откуда начинаются ошибки новичков?
Для того, чтобы найти первоисточник, определим с какого этапа люди начинают хотеть стать теми самими "специалистами по кибербезопасности". А все идет с контента, который поглощает большинство. Понятие "хакер" больше выдумано журналистами для обобщения, у которых уровень знания ИБ на уровне табуретки. Как таковых "хакеров" нету! Люди разбирающиеся, стараются максимально не использовать это понятие, так как это неуважение ко всему направлению! Это как "тыжпрограммист". Зачастую все именно хотят быть Белой Шляпой (Они же ПЕНТЕСТЕРЫ).

На самом деле, есть куча разновидностей: крекеры, мошенники, кибер-мошенники, аналитики информационной безопасности, кардеры, пентестеры, скрипткиди, администраторы, программисты, инженеры информационной безопасности, специалисты защиты информации, ботоводы, кардеры т.д. Но с низкой развитостью , всех эти подгруппы сгребают под одно название "хакеры". И добавляют сюда еще "темы наркотиков, оружия, мошенничества, аниме, и вообще это все грешно". В лучшем случаи "Кибер преступники". Теперь разберемся с источником, всех влажных фантазий новичков. Видео на ютубчике "Эксперт обнаружил уязвимость!!! ОМГ!"(просто без комментариев ), также источником являются фильмы и сериалы (Есть и такие где постарались максимально, правдоподобно показать, тот же Mr.Robot). Практически везде, все попытки проникновения в инфраструкту показаны оч легко и просто. Запустил что-то, пару ударов по клавишам и вуаля, всё работает. И хоть кто-то задумался, а реально ли все так? Если так все просто, почему тогда каждый второй так не делает? Не нужно воспринимать экранизацию за истинну, далеко не везде показанна, хотя бы частичка реальной стороны пентеста. Но можно привести аргумент: "Они же не будут показывать реальные способы обнаружения уязвимостей. Вдруг кто-то захочет повторить?". Можно показать реальный процесс и без подробной инструкции, только никто не хочет заморачиватся.
Как стать пентестером: реалистичный подход к карьере в ИБ
Сначала, перед тем, как у тебя возникла идея начать изучать ИБ, задай себе вопрос ЗАЧЕМ МНЕ ЭТО НАДО? Многие думают: "Вот сейчас стану специалистом по безопасности, найду уязвимости в банках, и буду жить на мальдивах...". Ага, а теперь вытащи руку из штанов и вернемся в реальность. Частые ответы: "хочу кучу денег/ ну эмм это круто/ сейчас это модно/ хочу изучать системы". То могу лишь пожелать вам успехов в чем-то другом. Если вами движут только мотивы заработка, то это изначально проигрышный путь. Мотивация денег угаснет также БЫСТРО, как ты с толкнешь с первыми проблемами, то есть почти моментально, и что в итоге? Потраченное время, средства и силы. А некоторые еще и на криминал пойдут, и так как знаний и опыта нету, то скорей всего попадут на бутылку правосудия. Ну а те кто РЕАЛЬНО заинтересован, сам пришел к этому, и занимается с интересом, как хобби. Если тебе не в тягость заниматься, ты с жадностью и азартом поглощает информацию, то ты зашел по адресу. Добро пожаловать! Но есть также те, кто пришел к этому сам, но не может самоорганизоваться. Информации очень много, но это уже другая сторона вопроса. По этому давайте по порядку.
Основы ИБ: что такое информационная безопасность и как начать обучение?
1. Что такое ИБ? И что такое исследование безопасности?
Многие думают, что ИБ- это только выстраивание защиты каких-то объектов, или только аудиты на проникновение. Но на самом деле это далеко не так. Информационная безопасность- это в первую очередь правовая сфера. Сейчас очень активно вносятся поправки, дополнения, определения. Это и №187ФЗ, №152, №149 и т.д (Полный список всех правовых связанных с ИБ). Скажу на реальном личном опыте работы в данной отрасли. Нужно знать регламенты, ГОСТЫ и необходимые стандарты, по котором происходит весь процесс организации защиты информации. Следовательно, специалист защиты информации, должен знать не только технические аспекты, а также правовые. И специалисты защиты информации, также могут проводить аудиты защищенности. Понятие 'исследование безопасности' для каждого разный. Лично мое субъективное определение. Исследование безопасности - это искусство досконального изучения принципов работы всевозможных систем для обнаружения потенциальных уязвимостей. То есть более простыми слова, чтобы что-то обнаружить, нужно знать как это работает.
2. С чего начать путь в ИТ, если вы новичок?
Есть и такие кадры, кто не сталкивался с IT вообще. Но не получилось, не важно из-за каких факторов. И вот они узнали о таком направление, окунулись в него и поняли, да это же интересно, и начали думать с чего им начать? Для начала стоит найти именно свою отрасль. Ведь тут путей развитие множества: Программирование, администрирование, всеми любимый аудит уровня защищенности инфраструктуры. Нужно найти свою стязю, которая будет не рутинной, а увлечением. Свет клином не сошелся на этом ИБ, не нужно делать упор только на это. Тест кто ты в IT? Хотя базовые знания информационной гигиены, в наше время также необходимы.
3. Определились чего хотим. Вот хотим именно безопасниками быть. С чего начать?
А начать с самих основ. Как работает сама структура Интернета. Все об сетях, сетевые протоколы: UDP / TCP / DNS / ARP. Изучить оборудование. Есть такой старый курс на Youtube по администрированию, хоть проблемы со звуком, но все равно очень хороший, где бородатый админ рассказывает про все это - Курс. После чего идем изучать Linux. Это наш основной инструмент, который откроет практически все двери и возможности. Свободная, гибкая и максимально универсальная система. Овладев этой системой в полной мере, можно творить ту самую "магию пентеста". А не бороться с системой, пытаясь обновиться. Да и не только для пентеста, Linux сам по себе очень приятен, я бы даже сказал, эта система развивает своего пользователя, помогает реализовывать задумки, и двигаться дальше.

Самый быстрый способ освоения, достаточно болезненный, это установить Linux своей основной системой, и начать решать все возникшие проблемы и трудности. Которые, несомненно появятся. Если по каким то причинам нет возможности установить, то для начала просто ставим себе дистрибут второй системой или на другой девайс, а также можно на флешку. Советую выбирать Debian, но это уже на ваше усмотрение , и работаем за ним, появляется какая-то потребность, например: "Хочу себе установить pidgin". Что делаем? Идем и гуглим (Гуглить тоже нужно уметь, и об этом мы тоже поговорим), как устанавливать программы в Debian. Читаем изучаем механизм установки, устанавливаем, и по итогу уже умеем устанавливать программы! Так шаг за шагом мы изучим эту систему. Также можно поизучать структуру Windows, чтобы уметь и в ней ориентироваться и понимать принцип работы системы, ее файловую систему, где что храниться.
4. Как правильно учиться и структурировать информацию для ИБ?
На этапе №3 уже присутствует свободное плавание. То есть мы самостоятельно ищем векторы развития и обучения. Но чтобы не было каши, а также не хватались за все подряд. Как зачастую делают новички. Мы должны четко структурировать план изучения. Тут есть несколько основных правил:

От простого к сложному. Начинаем с изучения того же Linux постепенно. Например: Сначала изучаем базовые методы работы- Перемещение файлов, распаковка, запись вывода в файл. Дальше сложнее, изучаем написание bash-скриптов, автоматизацию рутинных задач.

Фиксировать информацию. Фиксирование каких-то непонятных, или интересных моментов в материале с последующим их изучением, благодаря этому, мы узучаем материал более досканально. Но не нужно уходить далеко от исходного материала. То есть увидели непонятный термин, изучили его, и вернулись к изначальному контексту. А не пошли дальше еще по терминам из этого термина и т.д

Понять, а не прочитать. Важно изучать материал до тех пор, пока ты не сможешь его объяснить своими словами, не теряя главной мысли. Давным давно я где-то увидел такой прием:"Объясни 6 летнему себе". Суть заключается в том, что ты пытаешься объяснить в слух тему, максимально просто. Конечно, со стороны это выглядят как "шиза", сидишь пустоте объясняешь что-то. Но это очень действенный метод, подробнее об этом и других методах.
Теперь выстроим план изучения для всеми полюбившийся темы - Пентест
StarterPack для специалиста по кибербезопасности: от новичка до эксперта
StarterPack - Начальный уровень ИБ (версия 1.0)

Знание Сети (Протоколы, как строится сети, топология(Дерево, Звезда, Шина), hardware часть и т.д)

Принципы работы Web-ресурсов (Движки, структуру,базовые принципы)

Умение работы с OS. ( Как написал выше, сразу пересаживаемся на Linux, но если по каким-то причинам это не возможно, то тогда установка на виртуальную машину, или же использовать загрузочную флешку.Задача максимальо сидеть и работать на этой OS, также не помешает почитать доп.материалы об администрирование)

-- Промежуточный пункт. Изучение Windows-семейства структура файловой системы, работа через shell (Это желательно, но не обязательно, но в перспективе это будет необходимо, так как % этого семейства крайне велик)

Изучение принципов уязвимостей (Что такое payload, shell, RAT, CSRF, RCE, rootkit, xss, sql-inject, Oday, sniffing и т.д. На этом этапе мы начинаем изучать именно технические аспекты пентеста. Знакомимся с основными понятиями и самим процессом эксплуатации)

Изучение инструментария (Из основного: сканеры (NMAP, Censys, OpenVas, Wireshark, Nikto, w3af, если есть деньги XSpider) Основные утилиты: Netcat, Metasploit Framework, Burp, John the Ripper, Hydra, sqlmap (Полный список инструментария(ссылка)). Задача потрогать максимальное колиство, +- научиться пользоваться и понимать, какой инструмент, что может)

Изучение web-атак (Здесь уже изучаем обход WAF, как инжектировать инъекции и следовательно тут понадобиться читать и писать код)

Изучение языков программирования (В основном требуется для Тут поле просто огромное: SQL/PHP/HTML/javascript/python, а еще можно изучить C++/C#/Assembler/ и вообще писать свои утилиты сканеры и т.д)
Ну а дальше уже все действуют по своему усмотрению. Естественно можно поставить изучение ЯП выше, но этот план был разработан с упором на простоту и с уменьшением логических проблем. Например, смысл изучать инструментарий, если ты не знаешь как работает твой атакуемый объект и ты не умеешь использовать саму атакующую систему (Kali)?
Эффективный поиск информации: осваиваем Google для кибербезопасности
5. Как правильно искать информацию?
На удивление, многие до сих пор не могут найти нужную им информацию в поисковике. В то время как поисковики могут индексировать базы данных, учетки и другую конфиденциальную информацию!
Как правильно составлять запрос?

Используйте кавычки, если ищете что-то конкретное. Например: «Metasploit Framework guide».

Если хотите исключить какое-то слово из поиска, то воспользуйтесь знаком «-» (минус). Например: «Boss Of this Gym -Lords of the Lockerroom». Так вы найдёте много информации об "боссе этой качалки", но не встретите ни слова про "властелина раздевалки".

Чтобы найти информацию на конкретном портале, добавьте в поисковую строку слово site. Например: «Уязвимости vk без смс и регистрации» site: античат .

Используя логический оператор (Или) “|”, можно осуществить поиск по нескольким сочетаниям фраз, заменяя несколько слов в различных местах. Например, введём фразу “Positive Hach Day 2018 | 2019” выдаст нам страницы, содержащие либо “Positive Hack Day 2018”, либо “Positive Hack Day 2019”

filetype - В случае, если вы хотите искать, например, только документы в формате PDF, Word или Excel, можно использовать оператор filetype:. Полный список поддерживаемых форматов на момент написания данного текста: Adobe Reader PDF (.pdf), Adobe Postscript (.ps), Autodesk DWF (.dwf), Google Earth (.kml, .kmz), Microsoft Excel (.xls), Microsoft PowerPoint (.ppt), Microsoft Word (.doc), Rich Text Format (.rtf), Shockwave Flash (.swf). Пример:

stroustrup c++ language filetype:pdf


Еще больше об операторах расширенного пользования
Научившись искать нужную информацию, открываются все двери развития и обучения. Но еще больше информации в зарубежных ресурсов. Знание языка(Английского) тут уже просто необходима, по этому если есть трудности, то поможет разные расширения для браузера, для перевода, хотя знания языка все равно понадобиться, ведь зачастую все на английском языке, начиная от инструментария, заканчивая теми же системами, на которых происходит тестирование, я сам не акти его знаю, но так сложилось в жизни. Активно исправляю это вот такой книжкой, в свое время найти ее было крайне трудно.

Еще один важный момент, связанный с поиском. Иногда, есть такие вопросы, на которых точных ответов нету. Например, у вас какая-то новая ошибка, которая не у кого не встречалась. Такое редко, но случается. Тогда нужно разбирать проблему в общем смысле. Допустим у нас ошибка: "

Socket Error : 0x00005034

". Точной информации нету. То ищем тогда: "

Socket Error:

". Выясняем общие причины, почему может появляется ошибка.
6. Как закрепить и ускорить процесс обучения в ИБ?
И теперь разобравшись в своих мыслях, целях, желаниях. Выстроив себе план обучения, общий КПД вызрастет. Но можно ли еще ускорить процесс? Конечно можно! Практика, практика и еще раз практика! Отличие профессионала от новичка, лишь в том, что профессионал имеет большой багаж опыта, которым он активно пользуется, зная что делать при определенных ситуациях. Тем более, знания, которые мы применили на практике, мы уже не забудем, практика- самый лучший способ научиться чему либо. По этому сразу нужно стараться где-то применить свои знания на практике. Изучили какой-либо инструмент, сразу идем пробовать и осваивать его! Для этого нам понадобяться цели, которые можно атаковать, ни в коем случае не пробуем атаковать какие либо чужие сайты, сервера и другую инфраструктуру!!!
7. Где практиковаться в кибербезопасности: лучшие платформы и ресурсы
Площадки:

Hackerlab (https://hackerlab.pro/) // Ведущая платформа для обучения и развития навыков в области кибербезопасности, предлагающая практические курсы и инструменты для освоения современных методов защиты информации.

Hack the Box //Площадка для практического применения своих навыков, тут квесты и задачи разной тематики, и тестовые машины, здесь каждый найдет свою направление.Канал форумчанина, к уровню которого стоит стремиться

Root-Me // Также плащадка для практики, с интересными задачами, квестами и т.д

Metasploitable // Образ для виртуальной среды, тестовая машина с множеством уязвимостей. Разворачиваем на VMWare или Vbox. И изучаем процесс эксплуатации уязвимостей. На форуме есть инструкция (Руководство по эксплуатации Metasploitable 2 (https://forum.antichat.xyz/threads/558959/) ) по всем атакамю. Скачать. А тут- Официальный мануал. Читаем, изучаем, пробуем.

CTF // Она же Capture the Flag. CTF — это командные соревнования, целью которых является оценка умения участников атаковать и защищать компьютерные системы. Проще говоря кибер-турнир по Информационной безопасности, подробнее

Конференции, мероприятия, митапы и т.д. // Обобщенная тема, ибо любые ИБ мероприятия, это какой-никакой опыт, возможность пообщаться в живую с коллегами. Участие в них как участник, ну а в перспективе как докладчик)
8. Выбор оборудования для специалиста по ИБ: ноутбук или стационарный ПК?
Тоже довольно часто задаваемый вопрос на старте. Если честно, тут каждый выбирает сам. Если не можешь определиться, то задай себе вопрос. Каков бюджет и как часто я буду передвигаться? Если передвижений много, то тут нужно выбирать лаптоп, легкий по весу и автономный. Характеристики также зависят от бюджета. По комплетующим: по процессор : i3/i5/i7, выбираем оптимально между мощность и энергозатратами. ОЗУ DDR 3-4 8-16гб. Жесткий диск - ssd SATA или m2 формат(меньше но дороже)- от 120 гб. Из дополнений, экран желательно IPS с тонкими рамками, удобнее и глаза меньше устают. Но учтите что иметь огромные мощности при маленьком весе и автономности, просто невозможно. Ну или же таскать с собой огромный powerbank (для старта автомобиля) с размером и весом кирпича. Следствии чего, упор советую делать на автономность и легкость! А если нужны вычислительные мощности, можно использовать VPS, коннектиться удаленно и работать с сервера. Если же передвижений минимум, и бюджет не особо велик, то тут выбор в сторону ПК. Это дешевле и мощнее, к тому же есть возможность выбрать монитор, или несколько. Подмечу, что не важно вообще с чего сидеть, тот же Linux можно на одноплатный пк поставить (Rassberry pi, Orange Pi и т.д), да хоть на телефон (не на все). Но для этого нужно уметь работать чисто в терминале. Что сразу новичок врядли осилет. По этому сначала, нужно выбрать самый удобный и простой способ ЛИЧНО ДЛЯ СЕБЯ! Чем удобнее и комфортнее, тем меньше ты будете отвлекаться на решение побочный трудностей.

Также, так как это StarterPack для новичков, куда же без стартового материала? Поэтому, держите -StarterPackMaterial
Что входит?

Книжки - это необходимый минимум, то что необходимо прочитать, постарался собрать все самое свежее

Курсы - тут сборочка уже дополнительного материала, собрал там ссылки на курсы, которые информативны и понятны. Также там есть курс по самодисциплине

Статейки - сборник статей, почитать для общего развития, тематики самые разные
Подводя итог, я надеюсь, что максимально смог ответить и просветить всех тех, у кого были вопросы и сомнения, по поводу начинания своего пути в ИБ. Дальше все зависит сугубо от тебя. Если ты начнешь прилагать усилия каждый день, читать узнавать и пробовать, уже скоро ты почувствуешь, насколько широки твои возможности, что ты можешь гораздо больше, чем ты предполагал ранее. Каждому под силу достигнуть всех вершин, важно лишь не прекращать идти к ней. "Знаний недостаточно, ты должен применять их. Желаний недостаточно, ты должен делать". Удачи и достижения поставленных целей!

Статья актуальна на 18 июня 2025 года. Приятного чтения!

проверьте файл AnglDebil.pdf, файл не является pdf файлом.

Спасибо, хорошая статья! И так думал, что делаю что-то не так - а тут еще больше!

Спасибо. Особенно StarterPack порадовал)

s13nh сказал(а):

проверьте файл AnglDebil.pdf, файл не является pdf файлом.


Прошу прощение, каким то образом книжка побилась на хранилище, откопал такую же, залил на диск в тот же раздел.

DSec-56B12 сказал(а):

залил на диск в тот же раздел.


Вот сюда можно заливать книги: Ресурсы

античат сказал(а):

Вот сюда можно заливать книги: Ресурсы

Хорошо, залью туда материал, которого нету в ресурсах.

DSec-56B12 сказал(а):

Активно исправляю это вот такой книжкой, в свое время найти ее было крайне трудно.




https://forum.antichat.xyz/attachments/4876573/img_71d10ab7a2.png

Перезалейте пожалуйста.

kracker13 сказал(а):

Перезалейте пожалуйста.


Книжка перезалита, гипперссылку мне в статье не исправить. Вот прямая ссылка на книжку из StarterPack.

Класс! Спс за литературу!
Про "...Все об сетях, сетевые протоколы: UDP / TCP / DNS / ARP...", я рекомендовал бы курс Cisco CCNA , очень внятно и на пальцах

DSec-56B12 сказал(а):

гипперссылку мне в статье не исправить


Дал права на редактирование

античат сказал(а):

Дал права на редактирование


Благодарю, ссылку исправил.

Интересная статья, спасибо за добротные материалы.
Просматривая документы из директории "Статейки", заинтересовался сентябрьским номером Хакера (Хакер9.2019.pdf) - решил дополнить изложенное автором рекомендациями других людей. Поскольку в документе ссылки не активны, нашёл статью, в которой они есть. Возможно, кому-нибудь пригодится и сэкономит время в процессе дальнейшего погружения в тему.

DSec-56B12 сказал(а):

Благодарю, ссылку исправил.


Так в итоге подскажите, если я скажем лет 30 потрачу на глубокое изучение всех аспектов, стану каким то супер про пантестером, я смогу че нить интересное ломануть, или это чисто выдумки фильмов

bongerka сказал(а):

Так в итоге подскажите, если я скажем лет 30 потрачу на глубокое изучение всех аспектов, стану каким то супер про пантестером, я смогу че нить интересное ломануть, или это чисто выдумки фильмов



Границы только у тебя в голове!

bongerka сказал(а):

Так в итоге подскажите, если я скажем лет 30 потрачу на глубокое изучение всех аспектов, стану каким то супер про пантестером, я смогу че нить интересное ломануть, или это чисто выдумки фильмов


Тут дело не во времени, сейчас можно провести атаку не умея нечего, найти статью, инструменты и повторить, ибо зачастую идет халатное отношение к ИБ. Тут все зависит как упорно изучать. Все зависит сугубо от человека.



cr55rchr сказал(а):

Интересная статья, спасибо за добротные материалы.
Просматривая документы из директории "Статейки", заинтересовался сентябрьским номером Хакера (Хакер9.2019.pdf) - решил дополнить изложенное автором рекомендациями других людей. Поскольку в документе ссылки не активны, нашёл статью, в которой они есть. Возможно, кому-нибудь пригодится и сэкономит время в процессе дальнейшего погружения в тему.


Да, есть такое, что ссылки не работают в pdf. Благодарю за дополнение. Дополнил материал Html страницей с ссылками.

Отличная статья и рекомендации! От себя добавлю пожалуй:
1. Навыки и понимания сетей и оборудования поднимают курсы на Udemy CompTIA + network и ОБЯЗАТЕЛЬНО "Сети для самых маленьких" на Хабре и от автора в ЖЖ. (на данной стадии начинающих уже ОБЯЗАН знать все уровни OSI and TCP/IP, хотя бы на лету понимать нумерацию уровней. а ещё лучше - уверенно понимать на каком уровне какой протокол работает).
2. После прохождения вышеуказанного также рекомендую уже CompTIA+ information Security. Так начинающий сможет понять всю боль работы с нормативкой, стандартами и основными принципами ИБ. (Тут важно - если прохождение курса не отбило желание двигаться дальше - велкам. Прохождение этого курса и есть, как по мне, отсеивание будущих специалистов по ИБ от мамкиных хацкеров). Очень советую также на данном этапе уже знать и уметь работать с Wireshark, ну или освоить их в процессе обучения.
3. Изучение Linux/Kali Linux обязательно (веселее чем предыдущий пункт). От них можно смело отталкиваться в сфере Pentest. Можно даже получить базовый сертификат.
4. Далее пункты 4-8 Starter Pack'а автора статьи. Там особо и дополнить нечего.

slavaNBA сказал(а):

Отличная статья и рекомендации! От себя добавлю пожалуй:
1. Навыки и понимания сетей и оборудования поднимают курсы на Udemy CompTIA + network и ОБЯЗАТЕЛЬНО "Сети для самых маленьких" на Хабре и от автора в ЖЖ. (на данной стадии начинающих уже ОБЯЗАН знать все уровни OSI and TCP/IP, хотя бы на лету понимать нумерацию уровней. а ещё лучше - уверенно понимать на каком уровне какой протокол работает).
2. После прохождения вышеуказанного также рекомендую уже CompTIA+ information Security. Так начинающий сможет понять всю боль работы с нормативкой, стандартами и основными принципами ИБ. (Тут важно - если прохождение курса не отбило желание двигаться дальше - велкам. Прохождение этого курса и есть, как по мне, отсеивание будущих специалистов по ИБ от мамкиных хацкеров). Очень советую также на данном этапе уже знать и уметь работать с Wireshark, ну или освоить их в процессе обучения.
3. Изучение Linux/Kali Linux обязательно (веселее чем предыдущий пункт). От них можно смело отталкиваться в сфере Pentest. Можно даже получить базовый сертификат.
4. Далее пункты 4-8 Starter Pack'а автора статьи. Там особо и дополнить нечего.


Согласен с оратором. Сам для себя выбрал путь совершенстования в виде "подготовки к сертификации".
Могу посоветовать обновленную сертификацию Cisco CCNA, она сейчас включает в себя как сети (убрали различные сложные протоколы динамической маршрутизации), так и базовые понятия автоматизации, программирования и ИБ.
По поводу CompTIA, хочу добавить про известную CompTIA Triad (Network+, Security+, A+) - даст уверенный базовый уровень знаний для дальнейшего трудоустройства и совершенстования в сфере ИБ. Так же стоит обратить внимания на их Linux+, CySA+, Pentest+, всегда актуальные и интересные знания.
Youtube каналы так же могут дать много полезной информации, один из моих любимых - Grant Collins, канал студента CyberSec из США, хорошая подача и интересный материал. В интернете есть один интересный подкаст - Darknet Diaries, хост подкаста берет различные интервью с багбаунти специалистами, пентестарами и прочими людьми не по наслышке знакомыми с ИБ. Один из любимых выпусков про группировку ShadowBrokers, ransom NotPetya и WannaCry, всегда интересно послушать непосредственных участников событий, всем советую к прослушиванию.

slavaNBA сказал(а):

Отличная статья и рекомендации! От себя добавлю пожалуй:
1. Навыки и понимания сетей и оборудования поднимают курсы на Udemy CompTIA + network и ОБЯЗАТЕЛЬНО "Сети для самых маленьких" на Хабре и от автора в ЖЖ. (на данной стадии начинающих уже ОБЯЗАН знать все уровни OSI and TCP/IP, хотя бы на лету понимать нумерацию уровней. а ещё лучше - уверенно понимать на каком уровне какой протокол работает).
2. После прохождения вышеуказанного также рекомендую уже CompTIA+ information Security. Так начинающий сможет понять всю боль работы с нормативкой, стандартами и основными принципами ИБ. (Тут важно - если прохождение курса не отбило желание двигаться дальше - велкам. Прохождение этого курса и есть, как по мне, отсеивание будущих специалистов по ИБ от мамкиных хацкеров). Очень советую также на данном этапе уже знать и уметь работать с Wireshark, ну или освоить их в процессе обучения.
3. Изучение Linux/Kali Linux обязательно (веселее чем предыдущий пункт). От них можно смело отталкиваться в сфере Pentest. Можно даже получить базовый сертификат.
4. Далее пункты 4-8 Starter Pack'а автора статьи. Там особо и дополнить нечего.



Циско как вариант не лучше подойдет?

Внесите и меня в список тех, кто нахваливал эту статью )

Статья содержательная, поучительная и заслуживает похвал.
За исключением некоторых нюансов, которые на первый взгляд кажутся незначительными, но резанули моё внимание.

Вот о чём речь.
Автор почему-то не совсем корректно представил схему взаимоотношений "ВОПРОС - ОТВЕТ" на форуме.
Ответ "Гугли!" преподносится как логичный, а вопросы новичков - заслуживают БАН.


DSec-56B12 сказал(а):

Большинство получают логичный ответ: "Гугли!" После чего идет волна или гнева, или типичная фраз "ну панятна, никакие вы не хацкеры, раз ответить не можете, нечего вы не знаете!", после чего сразу получают BANаном по голове и на этом все заканчивается.


Кроме того, автор однозначно даёт понять, что ему знаком очевидный факт: во взаимоотношениях "ВОПРОС - ОТВЕТ" участвуют две стороны:

тот кто задаёт глупый вопрос

и тот, кто на него отвечает "Гугли!"

На мой взгляд,ответ "Гугли" - на порядок глупее вопроса. Но почему-то автор недопониает этого абсолютно очевидного факта, то есть воспринимает проблему только со своей позиции ))
Всякий раз, когда кто-то пытается обвинить в глупости человека, задавшего непонравившийся вопрос нужно помнить, зачастую ответы поступают ещё более глупые.
На фоне ответа "Гугли" самый глупый вопрос превращается в мудрость.

В цитате автора содержится также второе высказывание. которое не может меня оставить равнодушным.
Всякий раз, когда за какое-то непонравившиеся высказывания форучанин наказывается "BANаном по голове", то этим поступком админы форума демонстрируют своё неумение управлять, свою неспособность к руководству людьми, свою несостоятельность. БАН - это факт характеризующий не только пользователя, но и админа. Причём последнего - гораздо с более худшей стороны.

Johnnnnnnnn сказал(а):

БАН - это факт характеризующий не только пользователя, но и админа. Причём последнего - гораздо с более худшей стороны.


Согласен отчасти. Иногда просто нет выбора.


Johnnnnnnnn сказал(а):

Всякий раз, когда за какое-то непонравившиеся высказывания форучанин наказывается "BANаном по голове"


Бан получает человек, нарушающий общепринятые нормы поведения и правила Форума. Последние совсем просты: запрет на рекламу, запрет на обсуждение религии и политики. Так же запрещено хамское поведение и провоцирование на конфликт. Четкого определения всего этого добра нет, каждый понимает в меру своего развития. Ну а мы, тоже в меру своего развития, следим за порядком.

На мой взгляд на форуме относительно дружелюбная атмосфера, за редким исключением. Нет давления со стороны администрации. Мы всегда открыты для диалога.

Johnnnnnnnn сказал(а):

Ответ "Гугли!" преподносится как логичный, а вопросы новичков - заслуживают БАН.


Не совсем так поняли, не вопросы заслуживают бан, а неадекватное поведение тех, кто их задает.



Johnnnnnnnn сказал(а):

Автор почему-то не совсем корректно представил схему взаимоотношений "ВОПРОС - ОТВЕТ" на форуме.


Я не говорю только о данном форуме. Очень много вопросов задаются, в тех же чатах менеджеров. Где такая схема не работает в принципе.



Johnnnnnnnn сказал(а):

На мой взгляд, ответ "Гугли" - на порядок глупее вопроса. Но почему-то автор недопониает этого абсолютно очевидного факта, то есть воспринимает проблему только со своей позиции ))


Сколько людей столько и мнений. Но как минимум, искать ответы на вопросы в тематических чатах, куда не логичнее, чем в том же поисковике. Это путь наименьшего сопротивления, что говорит о лени и нежелание что-то делать самостоятельно.

А что думаете о школах? Которые за 5-12 месяцев обещают многое и не очень, а некоторые даже трудоустройство?

crackadeal сказал(а):

А что думаете о школах? Которые за 5-12 месяцев обещают многое и не очень, а некоторые даже трудоустройство?


Думаю это уже выбор каждого. Курсы и обучения по сути делают "медвежью услугу". С одной стороны они сортируют и перерабатывают материал, тем самым делают его понятным и простым. С другой стороны это не учит тебя искать информацию самому. Все курсы сливаются. Все можно найти. По сути ты платишь за техподдержку с более опытными людьми. А стоит это того или нет, решение каждого индивидуальное.

Спасибо за замечательную статью, читал не отрываясь. Особенно порадовала книга "Английский для дибилов". Сам учу питон параллельно с английским.

Дорогой автор, спасибо вам за то что вы старались и благодаря вам мне все больше хочется сидеть и быть пользователем этого форума ведь на остальных форумах копипаст за копипаст.

Мне лично понравилась ваша статья, я конечно не смотрел M.robot так как подумал что трата времени, от себя хочу добавить то что люди нашего времени реально "За тупки" и подрастающие поколение ленивое, я их не осуждаю это их выбор.

Я лично когда только вникал в эту суть мой первый запрос был что то типо "Терминология хакерской" звучит глупо но я начинал с Терминологии, так как у меня на то время не было компьютера или ноутбука и так же денег на него, но желание было сильное познать данные сферу и другие подструктуры в то время я начал изучать ЯП (Языки программирования) Так как под рукой был только телефон на нем и практиковался (В то время еще не было Termux, Pydroid3 и подобных программ) но я нашел приложение на телефон которое потом использовал как веб сервер (Даже не знаю как я догодался)

Я изучал по степено ЯП с телефона потому что знал что рано или поздно у меня будет ноутбук или компьютер и тогда хоть с яп буду тогда на тот момент ознакомлен.

Далее я просто читал различную информацию с разных форумах, изучал разные сферы и подструктуры, можно сказать я маленькими шагами изучал все что было связано с IT.

Хоть и интересовало меня на то время не белая шляпка но не из за денег просто интересно было как это работает, как вирус проникает заражает и тд.

Более 2 лет я изучал только разные сферы, такие как вирусология соц.инженерия, кардинг, osint, и другие.
И все это изучалось с телефона.

Я к чему введу, то что люди у которых есть компьютеры и возможности но у них просто нету желания, я лишь просто желал познать как это работает и когда это узнал то чужие накрученые "СМИ" Информация о хакерах развеялись и тогда я уже понял что все делается не в один клик как показывали или расказывала конечно меня это слегка огорчило, но желание узнать не пропало и наоборот даже с каждом развеянием мифа я всё больше хотел продолжать.

Конечно не скажу что было легко, но мне кажется если вы этого захотите то у вас точно получится нужно лишь желание ( и мозг)

Желаю вам успехов, еще раз спасибо за статью!

Xорошая статья!
мало того что красиво расписал, так и понятно, все по полочкам ! ++

Отличная статья!!

Перезалейте пожалуйста материал) Статья действительно годная!

mrtyrel сказал(а):

Перезалейте пожалуйста материал) Статья действительно годная!


Все ссылки работают. Зачем перезаливать?

DSec-56B12 сказал(а):

Все ссылки работают. Зачем перезаливать?


Да спасибо это моя ошибка))

DSec-56B12 сказал(а):

С набиранием популярности тематики Информационной Безопасности (Дальше ИБ), да и IT в целом, с каждым годом все больше и больше людей хотят научиться, ну или же влиться в тематику. Вследствие чего, количество вопросов на всевозможных площадках, по типу: "а как?, а что?, а с чего начать?" растут в геометрической прогрессии. И чтобы не повторять каждому: " Cначала нужно разобраться в теме, а потом уже задавать вопросы по узконаправленной задумке", решил выложить вот такой разговорный монолог.

Проанализировав 100 вопросов, примерно 40 из которых были заданы в личку, в разные промежутки времени. Задумался, а кто-то делал это до меня? Пошел искать, но так и не нашел именно то, с чем бы я согласился на 100%. В основном, это перечень того, что нужно знать или уметь. Но все же я считаю, что проблема большинства новичков в голове. Большинство ломятся в ИБ, до конца не понимая чего хотят! Увидел где-то, что-то и пошел в чатики, форумы спрашивать: "А как мне стать хацкером?". С таким подходом, только один ответ- никак! Также важный момент, проблемы с изучением, пониманием. Частые вопросы:"Как начать?, Где искать?, Что читать/изучать?". Проблемы тут две: это не умение искать информацию, и не умение работать с этой же информацией. Данные моменты и разберем.

Стоит сначала сказать, что я не в коем случае не осуждаю новичков, сам искал, сам пробовал и спрашивал. Я только ЗА, если все будут развиваться, помогать друг другу, и тянуть развитие технологий на вершины! Но большинство новоприбывших, не самостоятельны и неадекватные. Многие хотят все и сразу, чтобы им дали ссылки на материалы, поискали за них. Большинство получают логичный ответ: "Гугли!". После чего идет волна или гнева, или типичная фраз "ну панятна, никакие вы не хацкеры, раз ответить не можете, нечего вы не знаете!", после чего сразу получают BANаном по голове и на этом все заканчивается. Мне совершенно не ясно, почему они считают, что им обязаны ответить, поделиться, помочь. Стоить запомнить раз и на всегда, никто ничего тебе не обязан. Если человек захочет- поможет, не захочет, справляйся сам, не стоит создавать пустых ожиданий. И если ты хочешь реально добиться чего-то, это сугубо твоя ответственность. Также, если ты задаешь вопрос, и тебе пытаются объяснить, но даже это понять трудно! И идет хохма, обоснованная хохма, ибо это цирк Шапито наяву! То хочу предупредить, что нужно адекватно расценивать свои силы. Помни: "Не зная броду, не суйся в воду". А если сунулся, то кто виноват? Вот по этому, разберем причины, следствие, а также решение данных проблем.

А откуда же ноги растут?

Для того, чтобы найти первоисточник, определим с какого этапа люди начинают хотеть стать теми самими "хацкерами". А все идет с контента, который поглощает большинство. Понятие "хакер" больше выдумано журналистами для обобщения, у которых уровень знания ИБ на уровне табуретки. Как таковых "хакеров" нету! Люди разбирающиеся, стараются максимально не использовать это понятие, так как это неуважение ко всему направлению! Это как "тыжпрограммист". Зачастую все именно хотят быть Белой Шляпой (Они же ПЕНТЕСТЕРЫ).

На самом деле, есть куча разновидностей: крекеры, мошенники, кибер-мошенники, аналитики информационной безопасности, кардеры, пентестеры, скрипткиди, администраторы, программисты, инженеры информационной безопасности, специалисты защиты информации, ботоводы, кардеры т.д. Но с низкой развитостью , всех эти подгруппы сгребают под одно название "хакеры". И добавляют сюда еще "темы наркотиков, оружия, мошенничества, аниме, и вообще это все грешно". В лучшем случаи "Кибер преступники". Теперь разберемся с источником, всех влажных фантазий новичков. Видео на ютубчике "Хакер взломал!!! ОМГ!"(просто без комментариев ), также источником являются фильмы и сериалы (Есть и такие где постарались максимально, правдоподобно показать, тот же Mr.Robot). Практически везде, все попытки проникновения в инфраструкту показаны оч легко и просто. Запустил что-то, пару ударов по клавишам и вуаля, все взломано. И хоть кто-то задумался, а реально ли все так? Если так все просто, почему тогда каждый второй так не делает? Не нужно воспринимать экранизацию за истинну, далеко не везде показанна, хотя бы частичка реальной стороны пентеста. Но можно привести аргумент: "Они же не будут показывать реальные способы взлома. Вдруг кто-то захочет повторить?". Можно показать реальный процесс и без подробной инструкции, только никто не хочет заморачиватся.

Я хочу стать ПЕНТЕСТЕРОМ

Сначала, перед тем, как у тебя возникла идея начать изучать ИБ, задай себе вопрос ЗАЧЕМ МНЕ ЭТО НАДО? Многие думают: "Вот сейчас стану хацкером, взломаю банки, и буду жить на мальдивах...". Ага, а теперь вытащи руку из штанов и вернемся в реальность. Частые ответы: "хочу кучу денег/ ну эмм это круто/ сейчас это модно/ хочу взломать вконтакте . То могу лишь пожелать вам успехов в чем-то другом. Если вами движут только мотивы заработка, то это изначально проигрышный путь. Мотивация денег угаснет также БЫСТРО, как ты с толкнешь с первыми проблемами, то есть почти моментально, и что в итоге? Потраченное время, средства и силы. А некоторые еще и на криминал пойдут, и так как знаний и опыта нету, то скорей всего попадут на бутылку правосудия. Ну а те кто РЕАЛЬНО заинтересован, сам пришел к этому, и занимается с интересом, как хобби. Если тебе не в тягость заниматься, ты с жадностью и азартом поглощает информацию, то ты зашел по адресу. Добро пожаловать! Но есть также те, кто пришел к этому сам, но не может самоорганизоваться. Информации очень много, но это уже другая сторона вопроса. По этому давайте по порядку.

1. Что такое ИБ? И что такое хакинг?

Многие думают, что ИБ- это только выстраивание защиты каких-то объектов, или только аудиты на проникновение. Но на самом деле это далеко не так. Информационная безопасность- это в первую очередь правовая сфера. Сейчас очень активно вносятся поправки, дополнения, определения. Это и №187ФЗ, №152, №149 и т.д (Полный список всех правовых связанных с ИБ). Скажу на реальном личном опыте работы в данной отрасли. Нужно знать регламенты, ГОСТЫ и необходимые стандарты, по котором происходит весь процесс организации защиты информации. Следовательно, специалист защиты информации, должен знать не только технические аспекты, а также правовые. И специалисты защиты информации, также могут проводить аудиты защищенности. Понятие 'хакинг' для каждого разный. Лично мое субъективное определение. Хакинг- это искусство взлома всевозможных систем, путем досконального изучения принципов работы этих систем. То есть более простыми слова, чтобы что-то взломать, нужно знать как это работает.

2. С чего начать путь, если в IT полный 0, но хочется попробовать?

Есть и такие кадры, кто не сталкивался с IT вообще. Но не получилось, не важно из-за каких факторов. И вот они узнали о таком направление, окунулись в него и поняли, да это же интересно, и начали думать с чего им начать? Для начала стоит найти именно свою отрасль. Ведь тут путей развитие множества: Программирование, администрирование, всеми любимый аудит уровня защищенности инфраструктуры. Нужно найти свою стязю, которая будет не рутинной, а увлечением. Свет клином не сошелся на этом ИБ, не нужно делать упор только на это. Тест кто ты в IT? Хотя базовые знания информационной гигиены, в наше время также необходимы.

3. Определились чего хотим. Вот хотим именно безопасниками быть. С чего начать?

А начать с самих основ. Как работает сама структура Интернета. Все об сетях, сетевые протоколы: UDP / TCP / DNS / ARP. Изучить оборудование. Есть такой старый курс на Youtube по администрированию, хоть проблемы со звуком, но все равно очень хороший, где бородатый админ рассказывает про все это - Курс. После чего идем изучать Linux. Это наш основной инструмент, который откроет практически все двери и возможности. Свободная, гибкая и максимально универсальная система. Овладев этой системой в полной мере, можно творить ту самую "магию пентеста". А не бороться с системой, пытаясь обновиться. Да и не только для пентеста, Linux сам по себе очень приятен, я бы даже сказал, эта система развивает своего пользователя, помогает реализовывать задумки, и двигаться дальше.

Самый быстрый способ освоения, достаточно болезненный, это установить Linux своей основной системой, и начать решать все возникшие проблемы и трудности. Которые, несомненно появятся. Если по каким то причинам нет возможности установить, то для начала просто ставим себе дистрибут второй системой или на другой девайс, а также можно на флешку. Советую выбирать Debian, но это уже на ваше усмотрение , и работаем за ним, появляется какая-то потребность, например: "Хочу себе установить pidgin". Что делаем? Идем и гуглим (Гуглить тоже нужно уметь, и об этом мы тоже поговорим), как устанавливать программы в Debian. Читаем изучаем механизм установки, устанавливаем, и по итогу уже умеем устанавливать программы! Так шаг за шагом мы изучим эту систему. Также можно поизучать структуру Windows, чтобы уметь и в ней ориентироваться и понимать принцип работы системы, ее файловую систему, где что храниться.

4. Как правильно учиться и структурировать информацию

На этапе №3 уже присутствует свободное плавание. То есть мы самостоятельно ищем векторы развития и обучения. Но чтобы не было каши, а также не хватались за все подряд. Как зачастую делают новички. Мы должны четко структурировать план изучения. Тут есть несколько основных правил:

От простого к сложному. Начинаем с изучения того же Linux постепенно. Например: Сначала изучаем базовые методы работы- Перемещение файлов, распаковка, запись вывода в файл. Дальше сложнее, изучаем написание bash-скриптов, автоматизацию рутинных задач.

Фиксировать информацию. Фиксирование каких-то непонятных, или интересных моментов в материале с последующим их изучением, благодаря этому, мы узучаем материал более досканально. Но не нужно уходить далеко от исходного материала. То есть увидели непонятный термин, изучили его, и вернулись к изначальному контексту. А не пошли дальше еще по терминам из этого термина и т.д

Понять, а не прочитать. Важно изучать материал до тех пор, пока ты не сможешь его объяснить своими словами, не теряя главной мысли. Давным давно я где-то увидел такой прием:"Объясни 6 летнему себе". Суть заключается в том, что ты пытаешься объяснить в слух тему, максимально просто. Конечно, со стороны это выглядят как "шиза", сидишь пустоте объясняешь что-то. Но это очень действенный метод, подробнее об этом и других методах.
Теперь выстроим план изучения для всеми полюбившийся темы- Пентест

StarterPack - Мамкин хацкер 1.0

Знание Сети (Протоколы, как строится сети, топология(Дерево, Звезда, Шина), hardware часть и т.д)

Принципы работы Web-ресурсов (Движки, структуру,базовые принципы)

Умение работы с OS. ( Как написал выше, сразу пересаживаемся на Linux, но если по каким-то причинам это не возможно, то тогда установка на виртуальную машину, или же использовать загрузочную флешку.Задача максимальо сидеть и работать на этой OS, также не помешает почитать доп.материалы об администрирование)

-- Промежуточный пункт. Изучение Windows-семейства структура файловой системы, работа через shell (Это желательно, но не обязательно, но в перспективе это будет необходимо, так как % этого семейства крайне велик)

Изучение принципов уязвимостей (Что такое payload, shell, RAT, CSRF, RCE, rootkit, xss, sql-inject, Oday, sniffing и т.д. На этом этапе мы начинаем изучать именно технические аспекты пентеста. Знакомимся с основными понятиями и самим процессом эксплуатации)

Изучение инструментария (Из основного: сканеры (NMAP, Censys, OpenVas, Wireshark, Nikto, w3af, если есть деньги XSpider) Основные утилиты: Netcat, Metasploit Framework, Burp, John the Ripper, Hydra, sqlmap (Полный список инструментария(ссылка)). Задача потрогать максимальное колиство, +- научиться пользоваться и понимать, какой инструмент, что может)

Изучение web-атак (Здесь уже изучаем обход WAF, как инжектировать инъекции и следовательно тут понадобиться читать и писать код)

Изучение языков программирования (В основном требуется для Тут поле просто огромное: SQL/PHP/HTML/javascript/python, а еще можно изучить C++/C#/Assembler/ и вообще писать свои утилиты сканеры и т.д)
Ну а дальше уже все действуют по своему усмотрению. Естественно можно поставить изучение ЯП выше, но этот план был разработан с упором на простоту и с уменьшением логических проблем. Например, смысл изучать инструментарий, если ты не знаешь как работает твой атакуемый объект и ты не умеешь использовать саму атакующую систему (Kali)?

5. Как правильно искать информацию?

На удивление, многие до сих пор не могут найти нужную им информацию в поисковике. В то время как поисковики могут индексировать базы данных, учетки и другую конфиденциальную информацию!

Как правильно составлять запрос?

Используйте кавычки, если ищете что-то конкретное. Например: «Metaploit Framework guide».

Если хотите исключить какое-то слово из поиска, то воспользуйтесь знаком «-» (минус). Например: «Boss Of this Gym -Lords of the Lockerroom». Так вы найдёте много информации об "боссе этой качалки", но не встретите ни слова про "властелина раздевалки".

Чтобы найти информацию на конкретном портале, добавьте в поисковую строку слово site. Например: «Взлом vk без смс и регистрации» site: cobeby.net.

Используя логический оператор (Или) “|”, можно осуществить поиск по нескольким сочетаниям фраз, заменяя несколько слов в различных местах. Например, введём фразу “Positive Hach Day 2018 | 2019” выдаст нам страницы, содержащие либо “Positive Hack Day 2018”, либо “Positive Hack Day 2019”

filetype - В случае, если вы хотите искать, например, только документы в формате PDF, Word или Excel, можно использовать оператор filetype:. Полный список поддерживаемых форматов на момент написания данного текста: Adobe Reader PDF (.pdf), Adobe Postscript (.ps), Autodesk DWF (.dwf), Google Earth (.kml, .kmz), Microsoft Excel (.xls), Microsoft PowerPoint (.ppt), Microsoft Word (.doc), Rich Text Format (.rtf), Shockwave Flash (.swf). Пример:

stroustrup c++ language filetype:pdf


Еще больше об операторах расширенного пользования
Научившись искать нужную информацию, открываются все двери развития и обучения. Но еще больше информации в зарубежных ресурсов. Знание языка(Английского) тут уже просто необходима, по этому если есть трудности, то поможет разные расширения для браузера, для перевода, хотя знания языка все равно понадобиться, ведь зачастую все на английском языке, начиная от инструментария, заканчивая теми же системами, на которых происходит тестирование, я сам не акти его знаю, но так сложилось в жизни. Активно исправляю это вот такой книжкой, в свое время найти ее было крайне трудно.

Еще один важный момент, связанный с поиском. Иногда, есть такие вопросы, на которых точных ответов нету. Например, у вас какая-то новая ошибка, которая не у кого не встречалась. Такое редко, но случается. Тогда нужно разбирать проблему в общем смысле. Допустим у нас ошибка: "

Socket Error : 0x00005034

". Точной информации нету. То ищем тогда: "

Socket Error:

". Выясняем общие причины, почему может появляется ошибка.

6. Как закрепить и ускорить процесс?

И теперь разобравшись в своих мыслях, целях, желаниях. Выстроив себе план обучения, общий КПД вызрастет. Но можно ли еще ускорить процесс? Конечно можно! Практика, практика и еще раз практика! Отличие профессионала от новичка, лишь в том, что профессионал имеет большой багаж опыта, которым он активно пользуется, зная что делать при определенных ситуациях. Тем более, знания, которые мы применили на практике, мы уже не забудем, практика- самый лучший способ научиться чему либо. По этому сразу нужно стараться где-то применить свои знания на практике. Изучили какой-либо инструмент, сразу идем пробовать и осваивать его! Для этого нам понадобяться цели, которые можно атаковать, ни в коем случае не пробуем атаковать какие либо чужие сайты, сервера и другую инфраструктуру!!!

7. Где практиковаться?

Площадки:

Hack the Box //Площадка для практического применения своих навыков, тут квесты и задачи разной тематики, и тестовые машины, здесь каждый найдет свою направление.Канал форумчанина, к уровню которого стоит стремиться

Root-Me // Также плащадка для практики, с интересными задачами, квестами и т.д

Metasploitable // Образ для виртуальной среды, тестовая машина с множеством уязвимостей. Разворачиваем на VMWare или Vbox. И изучаем процесс эксплуатации уязвимостей. На форуме есть инструкция (Руководство по эксплуатации Metasploitable 2 (https://forum.antichat.xyz/threads/558959/) ) по всем атакамю. Скачать. А тут- Официальный мануал. Читаем, изучаем, пробуем.

CTF // Она же Capture the Flag. CTF — это командные соревнования, целью которых является оценка умения участников атаковать и защищать компьютерные системы. Проще говоря кибер-турнир по Информационной безопасности, подробнее

Конференции, мероприятия, митапы и т.д. // Обобщенная тема, ибо любые ИБ мероприятия, это какой-никакой опыт, возможность пообщаться в живую с коллегами. Участие в них как участник, ну а в перспективе как докладчик)
8. Какой девайс выбрать. Лаптоп или стационарный ПК?

Тоже довольно часто задаваемый вопрос на старте. Если честно, тут каждый выбирает сам. Если не можешь определиться, то задай себе вопрос. Каков бюджет и как часто я буду передвигаться? Если передвижений много, то тут нужно выбирать лаптоп, легкий по весу и автономный. Характеристики также зависят от бюджета. По комплетующим: по процессор : i3/i5/i7, выбираем оптимально между мощность и энергозатратами. ОЗУ DDR 3-4 8-16гб. Жесткий диск - ssd SATA или m2 формат(меньше но дороже)- от 120 гб. Из дополнений, экран желательно IPS с тонкими рамками, удобнее и глаза меньше устают. Но учтите что иметь огромные мощности при маленьком весе и автономности, просто невозможно. Ну или же таскать с собой огромный powerbank (для старта автомобиля) с размером и весом кирпича. Следствии чего, упор советую делать на автономность и легкость! А если нужны вычислительные мощности, можно использовать VPS, коннектиться удаленно и работать с сервера. Если же передвижений минимум, и бюджет не особо велик, то тут выбор в сторону ПК. Это дешевле и мощнее, к тому же есть возможность выбрать монитор, или несколько. Подмечу, что не важно вообще с чего сидеть, тот же Linux можно на одноплатный пк поставить (Rassberry pi, Orange Pi и т.д), да хоть на телефон (не на все). Но для этого нужно уметь работать чисто в терминале. Что сразу новичок врядли осилет. По этому сначала, нужно выбрать самый удобный и простой способ ЛИЧНО ДЛЯ СЕБЯ! Чем удобнее и комфортнее, тем меньше ты будете отвлекаться на решение побочный трудностей.

Также, так как это StarterPack для новичков, куда же без стартового материала? Поэтому, держите -StarterPackMaterial

Что входит?

Книжки - это необходимый минимум, то что необходимо прочитать, постарался собрать все самое свежее

Курсы - тут сборочка уже дополнительного материала, собрал там ссылки на курсы, которые информативны и понятны. Также там есть курс по самодисциплине

Статейки - сборник статей, почитать для общего развития, тематики самые разные
Подводя итог, я надеюсь, что максимально смог ответить и просветить всех тех, у кого были вопросы и сомнения, по поводу начинания своего пути в ИБ. Дальше все зависит сугубо от тебя. Если ты начнешь прилагать усилия каждый день, читать узнавать и пробовать, уже скоро ты почувствуешь, насколько широки твои возможности, что ты можешь гораздо больше, чем ты предполагал ранее. Каждому под силу достигнуть всех вершин, важно лишь не прекращать идти к ней. "Знаний недостаточно, ты должен применять их. Желаний недостаточно, ты должен делать". Удачи и достижения поставленных целей!



Спасибо, отлично! Очень порадовал ваш StarterPack!

Отличный корректирующий пинок! По теории сетей хочется рекомендовать курс Андрея Созыкина Компьютерные сети

Наконец-то я нашел то, что мне интересно в жизни. Спасибо автору, вернусь через год сюда же, и скажу как оно)

rainS сказал(а):

Наконец-то я нашел то, что мне интересно в жизни. Спасибо автору, вернусь через год сюда же, и скажу как оно)


Рад это слышать) Желаю успехов!

Дорогие читатели и форумчане, первая статья зашла отлично, по этому думаю написать еще пару частей. Отпишите пожалуйста, что бы вы хотели увидеть в последующих статьях? Хоть я и постарался охватить все частые вопросы, но думаю есть еще вопросы и вектора дальнейшего развития.

Статья очень сильна !
Спасибо автору , когда прочитал статью , я сразу понял что я иду на верном пути но только на 59%. Прочитав статью тем самым получаешь напутствие на дальнейшее действия и сразу выставляешь себе конкретные пункты над которыми нужно работать .

Доброго времени суток! Никто не перезаливал на яндекс\гугл? Уже второй раз пытаюсь скачать, в первый этот **** мега попросил залогиниться на половине а во второй попросил денег

Спасибо за статью!!! Хоть я и не новичок но было интересно читать.



DSec-56B12 сказал(а):

Есть такой старый курс на Youtube по администрированию, хоть проблемы со звуком, но все равно очень хороший, где бородатый админ рассказывает про все это - Курс.


Есть еще один интересный курс на ютубе, курс Андрея Созыкина Сети и системы телекоммуникаций там же у него на канале находится и Практика по компьютерным сетям.



DSec-56B12 сказал(а):


Изучение языков программирования (В основном требуется для Тут поле просто огромное: SQL/PHP/HTML/javascript/python, а еще можно изучить C++/C#/Assembler/ и вообще писать свои утилиты сканеры и т.д)



HTML это не язык программирования

stephanie887 сказал(а):

Спасибо за статью!!! Хоть я и не новичок но было интересно читать. Есть еще один интересный курс на ютубе, курс Андрея Созыкина Сети и системы телекоммуникаций там же у него на канале находится и Практика по компьютерным сетям.

HTML это не язык программирования

Благодарю за дополнение, сам тоже ознакомлюсь)

Да это язык гипертекстовой разметки, но решил запихать в кучу, так сказать чтобы было)

stephanie887 сказал(а):

Спасибо за статью!!! Хоть я и не новичок но было интересно читать. Есть еще один интересный курс на ютубе, курс Андрея Созыкина Сети и системы телекоммуникаций там же у него на канале находится и Практика по компьютерным сетям.


Дополню от себя. Курс молодого бойца по CISCO: NetSkills. Видеоуроки. Cisco, zabbix, linux. Немного теории ( сразу дает информацию что и где почитать ) и сразу же идет практика, где все показывает и рассказывает. Если автор хочет, вместо бородатого дядьки в свитере - вставить туда эти каналы: Созыкина и Netskills, больше ничего на ютубе мне не удалось хорошего найти.
update: 9 уроков по основам компьютерных сетей на habr'e: link

rainS сказал(а):

Дополню от себя. Курс молодого бойца по CISCO: NetSkills. Видеоуроки. Cisco, zabbix, linux. Немного теории ( сразу дает информацию что и где почитать ) и сразу же идет практика, где все показывает и рассказывает. Если автор хочет, вместо бородатого дядьки в свитере - вставить туда эти каналы: Созыкина и Netskills, больше ничего на ютубе мне не удалось хорошего найти.


Приятно, что про этот курс знают. В свое время, проходил паралельно с Cisco CCNA1-4.

Стаття хорошая. Вот только, сколько таких статей не публикуй, вопросов с чего начать меньше не становится. Что обидно.

Shadow User сказал(а):

Стаття хорошая. Вот только, сколько таких статей не публикуй, вопросов с чего начать меньше не становится. Что обидно.


Потому что у кого есть вопросы - не видели эту статью. Всё просто

Nubusers сказал(а):

Потому что у кого есть вопросы - не видели эту статью. Всё просто

Даже не знаю, что сказать. Я задаю вопросы, только когда мне влом гуглить или уже нет надежды найти самостоятельно.

DSec-56B12 сказал(а):

С набиранием популярности тематики Информационной Безопасности (Дальше ИБ), да и IT в целом, с каждым годом все больше и больше людей хотят научиться, ну или же влиться в тематику. Вследствие чего, количество вопросов на всевозможных площадках, по типу: "а как?, а что?, а с чего начать?" растут в геометрической прогрессии. И чтобы не повторять каждому: " Cначала нужно разобраться в теме, а потом уже задавать вопросы по узконаправленной задумке", решил выложить вот такой разговорный монолог.

Проанализировав 100 вопросов, примерно 40 из которых были заданы в личку, в разные промежутки времени. Задумался, а кто-то делал это до меня? Пошел искать, но так и не нашел именно то, с чем бы я согласился на 100%. В основном, это перечень того, что нужно знать или уметь. Но все же я считаю, что проблема большинства новичков в голове. Большинство ломятся в ИБ, до конца не понимая чего хотят! Увидел где-то, что-то и пошел в чатики, форумы спрашивать: "А как мне стать хацкером?". С таким подходом, только один ответ- никак! Также важный момент, проблемы с изучением, пониманием. Частые вопросы:"Как начать?, Где искать?, Что читать/изучать?". Проблемы тут две: это не умение искать информацию, и не умение работать с этой же информацией. Данные моменты и разберем.

Стоит сначала сказать, что я не в коем случае не осуждаю новичков, сам искал, сам пробовал и спрашивал. Я только ЗА, если все будут развиваться, помогать друг другу, и тянуть развитие технологий на вершины! Но большинство новоприбывших, не самостоятельны и неадекватные. Многие хотят все и сразу, чтобы им дали ссылки на материалы, поискали за них. Большинство получают логичный ответ: "Гугли!". После чего идет волна или гнева, или типичная фраз "ну панятна, никакие вы не хацкеры, раз ответить не можете, нечего вы не знаете!", после чего сразу получают BANаном по голове и на этом все заканчивается. Мне совершенно не ясно, почему они считают, что им обязаны ответить, поделиться, помочь. Стоить запомнить раз и на всегда, никто ничего тебе не обязан. Если человек захочет- поможет, не захочет, справляйся сам, не стоит создавать пустых ожиданий. И если ты хочешь реально добиться чего-то, это сугубо твоя ответственность. Также, если ты задаешь вопрос, и тебе пытаются объяснить, но даже это понять трудно! И идет хохма, обоснованная хохма, ибо это цирк Шапито наяву! То хочу предупредить, что нужно адекватно расценивать свои силы. Помни: "Не зная броду, не суйся в воду". А если сунулся, то кто виноват? Вот по этому, разберем причины, следствие, а также решение данных проблем.

А откуда же ноги растут?

Для того, чтобы найти первоисточник, определим с какого этапа люди начинают хотеть стать теми самими "хацкерами". А все идет с контента, который поглощает большинство. Понятие "хакер" больше выдумано журналистами для обобщения, у которых уровень знания ИБ на уровне табуретки. Как таковых "хакеров" нету! Люди разбирающиеся, стараются максимально не использовать это понятие, так как это неуважение ко всему направлению! Это как "тыжпрограммист". Зачастую все именно хотят быть Белой Шляпой (Они же ПЕНТЕСТЕРЫ).

На самом деле, есть куча разновидностей: крекеры, мошенники, кибер-мошенники, аналитики информационной безопасности, кардеры, пентестеры, скрипткиди, администраторы, программисты, инженеры информационной безопасности, специалисты защиты информации, ботоводы, кардеры т.д. Но с низкой развитостью , всех эти подгруппы сгребают под одно название "хакеры". И добавляют сюда еще "темы наркотиков, оружия, мошенничества, аниме, и вообще это все грешно". В лучшем случаи "Кибер преступники". Теперь разберемся с источником, всех влажных фантазий новичков. Видео на ютубчике "Хакер взломал!!! ОМГ!"(просто без комментариев ), также источником являются фильмы и сериалы (Есть и такие где постарались максимально, правдоподобно показать, тот же Mr.Robot). Практически везде, все попытки проникновения в инфраструкту показаны оч легко и просто. Запустил что-то, пару ударов по клавишам и вуаля, все взломано. И хоть кто-то задумался, а реально ли все так? Если так все просто, почему тогда каждый второй так не делает? Не нужно воспринимать экранизацию за истинну, далеко не везде показанна, хотя бы частичка реальной стороны пентеста. Но можно привести аргумент: "Они же не будут показывать реальные способы взлома. Вдруг кто-то захочет повторить?". Можно показать реальный процесс и без подробной инструкции, только никто не хочет заморачиватся.

Я хочу стать ПЕНТЕСТЕРОМ

Сначала, перед тем, как у тебя возникла идея начать изучать ИБ, задай себе вопрос ЗАЧЕМ МНЕ ЭТО НАДО? Многие думают: "Вот сейчас стану хацкером, взломаю банки, и буду жить на мальдивах...". Ага, а теперь вытащи руку из штанов и вернемся в реальность. Частые ответы: "хочу кучу денег/ ну эмм это круто/ сейчас это модно/ хочу взломать вконтакте . То могу лишь пожелать вам успехов в чем-то другом. Если вами движут только мотивы заработка, то это изначально проигрышный путь. Мотивация денег угаснет также БЫСТРО, как ты с толкнешь с первыми проблемами, то есть почти моментально, и что в итоге? Потраченное время, средства и силы. А некоторые еще и на криминал пойдут, и так как знаний и опыта нету, то скорей всего попадут на бутылку правосудия. Ну а те кто РЕАЛЬНО заинтересован, сам пришел к этому, и занимается с интересом, как хобби. Если тебе не в тягость заниматься, ты с жадностью и азартом поглощает информацию, то ты зашел по адресу. Добро пожаловать! Но есть также те, кто пришел к этому сам, но не может самоорганизоваться. Информации очень много, но это уже другая сторона вопроса. По этому давайте по порядку.

1. Что такое ИБ? И что такое хакинг?

Многие думают, что ИБ- это только выстраивание защиты каких-то объектов, или только аудиты на проникновение. Но на самом деле это далеко не так. Информационная безопасность- это в первую очередь правовая сфера. Сейчас очень активно вносятся поправки, дополнения, определения. Это и №187ФЗ, №152, №149 и т.д (Полный список всех правовых связанных с ИБ). Скажу на реальном личном опыте работы в данной отрасли. Нужно знать регламенты, ГОСТЫ и необходимые стандарты, по котором происходит весь процесс организации защиты информации. Следовательно, специалист защиты информации, должен знать не только технические аспекты, а также правовые. И специалисты защиты информации, также могут проводить аудиты защищенности. Понятие 'хакинг' для каждого разный. Лично мое субъективное определение. Хакинг- это искусство взлома всевозможных систем, путем досконального изучения принципов работы этих систем. То есть более простыми слова, чтобы что-то взломать, нужно знать как это работает.

2. С чего начать путь, если в IT полный 0, но хочется попробовать?

Есть и такие кадры, кто не сталкивался с IT вообще. Но не получилось, не важно из-за каких факторов. И вот они узнали о таком направление, окунулись в него и поняли, да это же интересно, и начали думать с чего им начать? Для начала стоит найти именно свою отрасль. Ведь тут путей развитие множества: Программирование, администрирование, всеми любимый аудит уровня защищенности инфраструктуры. Нужно найти свою стязю, которая будет не рутинной, а увлечением. Свет клином не сошелся на этом ИБ, не нужно делать упор только на это. Тест кто ты в IT? Хотя базовые знания информационной гигиены, в наше время также необходимы.

3. Определились чего хотим. Вот хотим именно безопасниками быть. С чего начать?

А начать с самих основ. Как работает сама структура Интернета. Все об сетях, сетевые протоколы: UDP / TCP / DNS / ARP. Изучить оборудование. Есть такой старый курс на Youtube по администрированию, хоть проблемы со звуком, но все равно очень хороший, где бородатый админ рассказывает про все это - Курс. После чего идем изучать Linux. Это наш основной инструмент, который откроет практически все двери и возможности. Свободная, гибкая и максимально универсальная система. Овладев этой системой в полной мере, можно творить ту самую "магию пентеста". А не бороться с системой, пытаясь обновиться. Да и не только для пентеста, Linux сам по себе очень приятен, я бы даже сказал, эта система развивает своего пользователя, помогает реализовывать задумки, и двигаться дальше.

Самый быстрый способ освоения, достаточно болезненный, это установить Linux своей основной системой, и начать решать все возникшие проблемы и трудности. Которые, несомненно появятся. Если по каким то причинам нет возможности установить, то для начала просто ставим себе дистрибут второй системой или на другой девайс, а также можно на флешку. Советую выбирать Debian, но это уже на ваше усмотрение , и работаем за ним, появляется какая-то потребность, например: "Хочу себе установить pidgin". Что делаем? Идем и гуглим (Гуглить тоже нужно уметь, и об этом мы тоже поговорим), как устанавливать программы в Debian. Читаем изучаем механизм установки, устанавливаем, и по итогу уже умеем устанавливать программы! Так шаг за шагом мы изучим эту систему. Также можно поизучать структуру Windows, чтобы уметь и в ней ориентироваться и понимать принцип работы системы, ее файловую систему, где что храниться.

4. Как правильно учиться и структурировать информацию

На этапе №3 уже присутствует свободное плавание. То есть мы самостоятельно ищем векторы развития и обучения. Но чтобы не было каши, а также не хватались за все подряд. Как зачастую делают новички. Мы должны четко структурировать план изучения. Тут есть несколько основных правил:

От простого к сложному. Начинаем с изучения того же Linux постепенно. Например: Сначала изучаем базовые методы работы- Перемещение файлов, распаковка, запись вывода в файл. Дальше сложнее, изучаем написание bash-скриптов, автоматизацию рутинных задач.

Фиксировать информацию. Фиксирование каких-то непонятных, или интересных моментов в материале с последующим их изучением, благодаря этому, мы узучаем материал более досканально. Но не нужно уходить далеко от исходного материала. То есть увидели непонятный термин, изучили его, и вернулись к изначальному контексту. А не пошли дальше еще по терминам из этого термина и т.д

Понять, а не прочитать. Важно изучать материал до тех пор, пока ты не сможешь его объяснить своими словами, не теряя главной мысли. Давным давно я где-то увидел такой прием:"Объясни 6 летнему себе". Суть заключается в том, что ты пытаешься объяснить в слух тему, максимально просто. Конечно, со стороны это выглядят как "шиза", сидишь пустоте объясняешь что-то. Но это очень действенный метод, подробнее об этом и других методах.
Теперь выстроим план изучения для всеми полюбившийся темы- Пентест

StarterPack - Мамкин хацкер 1.0

Знание Сети (Протоколы, как строится сети, топология(Дерево, Звезда, Шина), hardware часть и т.д)

Принципы работы Web-ресурсов (Движки, структуру,базовые принципы)

Умение работы с OS. ( Как написал выше, сразу пересаживаемся на Linux, но если по каким-то причинам это не возможно, то тогда установка на виртуальную машину, или же использовать загрузочную флешку.Задача максимальо сидеть и работать на этой OS, также не помешает почитать доп.материалы об администрирование)

-- Промежуточный пункт. Изучение Windows-семейства структура файловой системы, работа через shell (Это желательно, но не обязательно, но в перспективе это будет необходимо, так как % этого семейства крайне велик)

Изучение принципов уязвимостей (Что такое payload, shell, RAT, CSRF, RCE, rootkit, xss, sql-inject, Oday, sniffing и т.д. На этом этапе мы начинаем изучать именно технические аспекты пентеста. Знакомимся с основными понятиями и самим процессом эксплуатации)

Изучение инструментария (Из основного: сканеры (NMAP, Censys, OpenVas, Wireshark, Nikto, w3af, если есть деньги XSpider) Основные утилиты: Netcat, Metasploit Framework, Burp, John the Ripper, Hydra, sqlmap (Полный список инструментария(ссылка)). Задача потрогать максимальное колиство, +- научиться пользоваться и понимать, какой инструмент, что может)

Изучение web-атак (Здесь уже изучаем обход WAF, как инжектировать инъекции и следовательно тут понадобиться читать и писать код)

Изучение языков программирования (В основном требуется для Тут поле просто огромное: SQL/PHP/HTML/javascript/python, а еще можно изучить C++/C#/Assembler/ и вообще писать свои утилиты сканеры и т.д)
Ну а дальше уже все действуют по своему усмотрению. Естественно можно поставить изучение ЯП выше, но этот план был разработан с упором на простоту и с уменьшением логических проблем. Например, смысл изучать инструментарий, если ты не знаешь как работает твой атакуемый объект и ты не умеешь использовать саму атакующую систему (Kali)?

5. Как правильно искать информацию?

На удивление, многие до сих пор не могут найти нужную им информацию в поисковике. В то время как поисковики могут индексировать базы данных, учетки и другую конфиденциальную информацию!

Как правильно составлять запрос?

Используйте кавычки, если ищете что-то конкретное. Например: «Metaploit Framework guide».

Если хотите исключить какое-то слово из поиска, то воспользуйтесь знаком «-» (минус). Например: «Boss Of this Gym -Lords of the Lockerroom». Так вы найдёте много информации об "боссе этой качалки", но не встретите ни слова про "властелина раздевалки".

Чтобы найти информацию на конкретном портале, добавьте в поисковую строку слово site. Например: «Взлом vk без смс и регистрации» site: cobeby.net.

Используя логический оператор (Или) “|”, можно осуществить поиск по нескольким сочетаниям фраз, заменяя несколько слов в различных местах. Например, введём фразу “Positive Hach Day 2018 | 2019” выдаст нам страницы, содержащие либо “Positive Hack Day 2018”, либо “Positive Hack Day 2019”

filetype - В случае, если вы хотите искать, например, только документы в формате PDF, Word или Excel, можно использовать оператор filetype:. Полный список поддерживаемых форматов на момент написания данного текста: Adobe Reader PDF (.pdf), Adobe Postscript (.ps), Autodesk DWF (.dwf), Google Earth (.kml, .kmz), Microsoft Excel (.xls), Microsoft PowerPoint (.ppt), Microsoft Word (.doc), Rich Text Format (.rtf), Shockwave Flash (.swf). Пример:

stroustrup c++ language filetype:pdf


Еще больше об операторах расширенного пользования
Научившись искать нужную информацию, открываются все двери развития и обучения. Но еще больше информации в зарубежных ресурсов. Знание языка(Английского) тут уже просто необходима, по этому если есть трудности, то поможет разные расширения для браузера, для перевода, хотя знания языка все равно понадобиться, ведь зачастую все на английском языке, начиная от инструментария, заканчивая теми же системами, на которых происходит тестирование, я сам не акти его знаю, но так сложилось в жизни. Активно исправляю это вот такой книжкой, в свое время найти ее было крайне трудно.

Еще один важный момент, связанный с поиском. Иногда, есть такие вопросы, на которых точных ответов нету. Например, у вас какая-то новая ошибка, которая не у кого не встречалась. Такое редко, но случается. Тогда нужно разбирать проблему в общем смысле. Допустим у нас ошибка: "

Socket Error : 0x00005034

". Точной информации нету. То ищем тогда: "

Socket Error:

". Выясняем общие причины, почему может появляется ошибка.

6. Как закрепить и ускорить процесс?

И теперь разобравшись в своих мыслях, целях, желаниях. Выстроив себе план обучения, общий КПД вызрастет. Но можно ли еще ускорить процесс? Конечно можно! Практика, практика и еще раз практика! Отличие профессионала от новичка, лишь в том, что профессионал имеет большой багаж опыта, которым он активно пользуется, зная что делать при определенных ситуациях. Тем более, знания, которые мы применили на практике, мы уже не забудем, практика- самый лучший способ научиться чему либо. По этому сразу нужно стараться где-то применить свои знания на практике. Изучили какой-либо инструмент, сразу идем пробовать и осваивать его! Для этого нам понадобяться цели, которые можно атаковать, ни в коем случае не пробуем атаковать какие либо чужие сайты, сервера и другую инфраструктуру!!!

7. Где практиковаться?

Площадки:

Hack the Box //Площадка для практического применения своих навыков, тут квесты и задачи разной тематики, и тестовые машины, здесь каждый найдет свою направление.Канал форумчанина, к уровню которого стоит стремиться

Root-Me // Также плащадка для практики, с интересными задачами, квестами и т.д

Metasploitable // Образ для виртуальной среды, тестовая машина с множеством уязвимостей. Разворачиваем на VMWare или Vbox. И изучаем процесс эксплуатации уязвимостей. На форуме есть инструкция (Руководство по эксплуатации Metasploitable 2 (https://forum.antichat.xyz/threads/558959/) ) по всем атакамю. Скачать. А тут- Официальный мануал. Читаем, изучаем, пробуем.

CTF // Она же Capture the Flag. CTF — это командные соревнования, целью которых является оценка умения участников атаковать и защищать компьютерные системы. Проще говоря кибер-турнир по Информационной безопасности, подробнее

Конференции, мероприятия, митапы и т.д. // Обобщенная тема, ибо любые ИБ мероприятия, это какой-никакой опыт, возможность пообщаться в живую с коллегами. Участие в них как участник, ну а в перспективе как докладчик)
8. Какой девайс выбрать. Лаптоп или стационарный ПК?

Тоже довольно часто задаваемый вопрос на старте. Если честно, тут каждый выбирает сам. Если не можешь определиться, то задай себе вопрос. Каков бюджет и как часто я буду передвигаться? Если передвижений много, то тут нужно выбирать лаптоп, легкий по весу и автономный. Характеристики также зависят от бюджета. По комплетующим: по процессор : i3/i5/i7, выбираем оптимально между мощность и энергозатратами. ОЗУ DDR 3-4 8-16гб. Жесткий диск - ssd SATA или m2 формат(меньше но дороже)- от 120 гб. Из дополнений, экран желательно IPS с тонкими рамками, удобнее и глаза меньше устают. Но учтите что иметь огромные мощности при маленьком весе и автономности, просто невозможно. Ну или же таскать с собой огромный powerbank (для старта автомобиля) с размером и весом кирпича. Следствии чего, упор советую делать на автономность и легкость! А если нужны вычислительные мощности, можно использовать VPS, коннектиться удаленно и работать с сервера. Если же передвижений минимум, и бюджет не особо велик, то тут выбор в сторону ПК. Это дешевле и мощнее, к тому же есть возможность выбрать монитор, или несколько. Подмечу, что не важно вообще с чего сидеть, тот же Linux можно на одноплатный пк поставить (Rassberry pi, Orange Pi и т.д), да хоть на телефон (не на все). Но для этого нужно уметь работать чисто в терминале. Что сразу новичок врядли осилет. По этому сначала, нужно выбрать самый удобный и простой способ ЛИЧНО ДЛЯ СЕБЯ! Чем удобнее и комфортнее, тем меньше ты будете отвлекаться на решение побочный трудностей.

Также, так как это StarterPack для новичков, куда же без стартового материала? Поэтому, держите -StarterPackMaterial

Что входит?

Книжки - это необходимый минимум, то что необходимо прочитать, постарался собрать все самое свежее

Курсы - тут сборочка уже дополнительного материала, собрал там ссылки на курсы, которые информативны и понятны. Также там есть курс по самодисциплине

Статейки - сборник статей, почитать для общего развития, тематики самые разные
Подводя итог, я надеюсь, что максимально смог ответить и просветить всех тех, у кого были вопросы и сомнения, по поводу начинания своего пути в ИБ. Дальше все зависит сугубо от тебя. Если ты начнешь прилагать усилия каждый день, читать узнавать и пробовать, уже скоро ты почувствуешь, насколько широки твои возможности, что ты можешь гораздо больше, чем ты предполагал ранее. Каждому под силу достигнуть всех вершин, важно лишь не прекращать идти к ней. "Знаний недостаточно, ты должен применять их. Желаний недостаточно, ты должен делать". Удачи и достижения поставленных целей!


Очень помогли. Благодарю.

Привет! Можете кто-то подсказать, данный видеокурс от Андрея Созыкина сможет покрыть всю ту информацию которая находится в видеокурсе который посоветовал автор статьи? Видеокурс который посоветовал автор статьи отличный в плане плана изучения материала, но подача, проблемы со звуком, 52 часа, из которых почти половина мычание и вспоминание информации, посмотрел 5 уроков из 22 и понял что не выдержу. Подскажите пожалуйста, буду благодарен!

slike1g0r сказал(а):

Привет! Можете кто-то подсказать, данный видеокурс от Андрея Созыкина сможет покрыть всю ту информацию которая находится в видеокурсе который посоветовал автор статьи? Видеокурс который посоветовал автор статьи отличный в плане плана изучения материала, но подача, проблемы со звуком, 52 часа, из которых почти половина мычание и вспоминание информации, посмотрел 5 уроков из 22 и понял что не выдержу. Подскажите пожалуйста, буду благодарен!


Приветствую, да к сожалению с тем курсом, который я приложил, не все так гладко. По поводу курса от Андрея Созыкина, у него курс другой, у него курс "Компьютерные сети", а курс приложенный это курс "Системное администрирование", то есть они имеют общие точки соприкосновения, но не смогут друг друга заменить. Как я смотрел данный курс, я ставил 1.25 и через колонку слушал, там есть 2 преподавателя, один "Православный дядька" оч бодро рассказывает об Windows-семействе об базовых работах сети, как идут пакеты и т.д., второй же рассказывает про Linux, вот он бывает тупит, если смотреть не возможно, то советую пропускать уроки, дабы время не тратить, проще будет отдельно найти информацию по отдельным нужным темам.

DSec-56B12 сказал(а):

Приветствую, да к сожалению с тем курсом, который я приложил, не все так гладко. По поводу курса от Андрея Созыкина, у него курс другой, у него курс "Компьютерные сети", а курс приложенный это курс "Системное администрирование", то есть они имеют общие точки соприкосновения, но не смогут друг друга заменить. Как я смотрел данный курс, я ставил 1.25 и через колонку слушал, там есть 2 преподавателя, один "Православный дядька" оч бодро рассказывает об Windows-семействе об базовых работах сети, как идут пакеты и т.д., второй же рассказывает про Linux, вот он бывает тупит, если смотреть не возможно, то советую пропускать уроки, дабы время не тратить, проще будет отдельно найти информацию по отдельным нужным темам.


Хорошо, спасибо.

DSec-56B12 сказал(а):

После чего идем изучать Linux. Это наш основной инструмент, который откроет практически все двери и возможности. Свободная, гибкая и максимально универсальная система.


А еще кривая, глючная и тормознутая до безобразия!


DSec-56B12 сказал(а):

установить Linux своей основной системой, и начать решать все возникшие проблемы и трудности. Которые, несомненно появятся.


"Да как так-то???? " (с) RED21
То "Свободная, гибкая и максимально универсальная система" и вдруг "проблемы и трудности. Которые, несомненно появятся." Откуда проблемы и трудности??? или может система не такая уж и гибкая? Не, ну на первый взгляд оно конешно.... а вот как только попытаешься поработать в этом хваленом линухе, то понимаешь все его "прелести".

mahovik сказал(а):

А еще кривая, глючная и тормознутая до безобразия!


Все зависит от конфигурации системы, как машину собрал так она и поехала.



mahovik сказал(а):

"Да как так-то???? " (с) RED21
То "Свободная, гибкая и максимально универсальная система" и вдруг "проблемы и трудности. Которые, несомненно появятся." Откуда проблемы и трудности??? или может система не такая уж и гибкая? Не, ну на первый взгляд оно конешно.... а вот как только попытаешься поработать в этом хваленом линухе, то понимаешь все его "прелести".


Линукс как и семейство Unix, является очень универсальной системой, просто нужно владеть этой системой. Если не уметь пользоваться молотком, то и пальцы можно переломать. От сюда все проблемы и трудности, потому что не умеют и не хотят учиться пользоваться ее. По этому попрошу сначала изучить материал по данной системе, разобраться во всем, и тогда все выше сказанное вы поймете.

DSec-56B12 сказал(а):

Все зависит от конфигурации системы, как машину собрал так она и поехала.


Почему тогда винда "едет" "из коробки", а для линуха нужны танцы с бубном? Если бы линух так же работал "из коробки" как и винда, а в последствии начинал глючить от того что его переконфигурировали, то вопросов нет.


DSec-56B12 сказал(а):

По этому попрошу сначала изучить материал по данной системе, разобраться во всем, и тогда все выше сказанное вы поймете.


Да уже понял!)) На работе часть машин перевели на линух и проблем там непочатый край! по сравнению с виндой...
В 2003 начинал осваивать линух, читал книги, шерстил форумы, ставил разные дистрибутивы, но в итоге всё равно вернулся к винде. Если важен процесс - то линух самое то! процесса там выше крыши! А если важен результат, то однозначно винда. На работе куча случаев, когда либреофисовский эксель вставлял в ячейки совершенно левые данные. Причем в настройках никто не копался. Принтер блокируется по несколько раз на дню, чего под виндой никогда не бывало. Ну и куча других "прелестей" линуха...
Открытый код это как автомобиль на котором по очереди ездит куча водителей, но никто ни за что не отвечает.

mahovik сказал(а):

почему тогда винда "едет" "из коробки", а для линуха нужны танцы с бубном?


потому что у тебя руки из задницы.



mahovik сказал(а):

если бы линух так же работал "из коробки" как и винда.


окна это вонючая баганая дырка представляющий из себя троян и закладку, не дай бог linux будет работать как винда.



mahovik сказал(а):

а если важен результат, то однозначно винда.


пишешь ты а стыдно мне.



mahovik сказал(а):

Открытый код это как автомобиль на котором по очереди ездит куча водителей, но никто ни за что не отвечает.


что за хрень ты несешь?

Хима сказал(а):

потому что у тебя руки из задницы.


Если одно ПО "едет из коробкти", а для другого ПО нужны танцы с бубном, то руки из задницы у того, кто написал это второе кривое ПО.(аксиома)


Хима сказал(а):

пишешь ты а стыдно мне.


У "крутых хакеров" оно всегда так))) И толком нихрена не работает)))) Зато понтов выше крыши))))


Хима сказал(а):

что за хрень ты несешь?


подрастёшь - поймешь))

mahovik сказал(а):

Почему тогда винда "едет" "из коробки", а для линуха нужны танцы с бубном? Если бы линух так же работал "из коробки" как и винда, а в последствии начинал глючить от того что его переконфигурировали, то вопросов нет.


Смотря под какие задачи, сейчас есть готовые дистрибутивы в которых тоже из коробки почти все есть , если хочется прям под себя, то можно собрать свой дистрибутив. Не могли бы уточнить какие дистрибутивы использовали и на каком, примерно, железе. Раньше, да были проблемы с этим, сейчас такого не наблюдал, все работает корректно, начинаю от сервером/десктопов/лаптопов и заканчивая arm-устройствами.


mahovik сказал(а):

Да уже понял!)) На работе часть машин перевели на линух и проблем там непочатый край! по сравнению с виндой...
В 2003 начинал осваивать линух, читал книги, шерстил форумы, ставил разные дистрибутивы, но в итоге всё равно вернулся к винде. Если важен процесс - то линух самое то! процесса там выше крыши! А если важен результат, то однозначно винда. На работе куча случаев, когда либреофисовский эксель вставлял в ячейки совершенно левые данные. Причем в настройках никто не копался. Принтер блокируется по несколько раз на дню, чего под виндой никогда не бывало. Ну и куча других "прелестей" линуха...
Открытый код это как автомобиль на котором по очереди ездит куча водителей, но никто ни за что не отвечает.


Тоже возникает вопрос, а какой дистрибутив используется. Общался с несколькими админами, кто-то перевел на Ubuntu, кто-то на deb семейство, кто-то вообще на отечественный аналог, аля Astra/Rosa/Alt, но там отдельная история, и никто о серьезных проблемах не сообщал, только что пользователям немного трудно, а так в целом тоже все на GUI интерфейсах.

DSec-56B12 сказал(а):

Смотря под какие задачи,


Да под самые обычные - текст набрать, таблицу составить и данными заполнить, изображение отсканировать, почту принять-отправить. То есть то, с чем успешно справлялся стандартный МС офис 2003-2016. Дистрибутив РЕД ОС Муром. Железо I3-I5-I7, оперативы от 4 до 8ГБ. Самая большая засада - это частая блокировка принтера. Уже научил пользователей как его разблокировать через вебморду, но хотелось бы чтобы он не блокировался на ровоном месте. Рылся в настройках cups-а, там вроде как есть режим повторной печати при получении ошибки от принтера, но почему-то не сработало.

mahovik сказал(а):

Да под самые обычные - текст набрать, таблицу составить и данными заполнить, изображение отсканировать, почту принять-отправить. То есть то, с чем успешно справлялся стандартный МС офис 2003-2016. Дистрибутив РЕД ОС Муром. Железо I3-I5-I7, оперативы от 4 до 8ГБ. Самая большая засада - это частая блокировка принтера. Уже научил пользователей как его разблокировать через вебморду, но хотелось бы чтобы он не блокировался на ровоном месте. Рылся в настройках cups-а, там вроде как есть режим повторной печати при получении ошибки от принтера, но почему-то не сработало.


Мне кажется некорректно приравнивать отечественные дистрибутивы типа redos или astralinux и linux дистрибутивы "здорового человека"
Сам научался с astralinux в своё время

Мне выбирать не приходится - фирма закупила такой дистрибутив. И сменить его на другой я не могу.

mahovik сказал(а):

Мне выбирать не приходится - фирма закупила такой дистрибутив. И сменить его на другой я не могу.


Да это понятное дело, что руководство или заказчик дал, с тем и ковыряешься.

Но если основывать свое мнение об ОС только по одному дистрибутиву, то можно и Windows с его Vista засрать)))

Ну виста это ваще отстой! ХРюшка(особенно 64-я) с 7-кой мне понравились гораздо больше)) Из юникс систем пробовал фрю - при установке снесла мне данные на винте без объявления войны! Альт линукс был первым моим дистрибутивом, тот был вроде как более-менее устойчивым, но по сравнению с ХРюшкой жутко тормозил на одном и том же железе. Ред Хэт тоже ставил, но как-то не запомнил его особенностей. Потом был большой перерыв лет так на 10-15... Устанавливал калилинукс, он работал вполне устойчиво, пока я своими кривыми руками при перенастройке и переустановке программ не снес ему графический интерфейс. Который так и не смог восстановить. И вот на старости лет вожусь на работе с этим жалким подобием левой руки в виде РЭДОС Муром...

DSec-56B12 сказал(а):

Изучение языков программирования

для новичка это можно отбросить,а потом уже да



DSec-56B12 сказал(а):

Книжки - это необходимый минимум, то что необходимо прочитать, постарался собрать все самое свеже


тоже не обязательно читать

AKILL сказал(а):

тоже не обязательно читать


Каждый решает самостоятельно, что ему необходимо, по этому свое субъективное мнение по типу "тоже не обязательно читать" прошу оставить при себе.

DSec-56B12 сказал(а):

Каждый решает самостоятельно, что ему необходимо, по этому свое субъективное мнение по типу "тоже не обязательно читать" прошу оставить при себе.


ну ладно пусть человек тратит время.

При попытке открыть книгу ,пишет Невозможно открыть данный тип файла

А как ты его открываешь? Только подробнее, пожалуйста))

Dastuk сказал(а):

При попытке открыть книгу ,пишет Невозможно открыть данный тип файла


Какую книгу открываешь и через что?

Огромное спасибо автору за данную статью!
Очень полезно для изучения ИБ, да и просто для жизни)

Спасибо за статью автору, но если не влом, может кто-то уже перезалил (сам автор) на какое-нибудь другое облако - ибо этот МЕГА требует качать отдельное приложение, а я не в состоянии сейчас ознакомиться с материалом (там нет варианта одной очень известной ОС) таким способом - какой-нибудь яндекс или гугл - было-бы сказкой, за ранее - СПАСИБО)

Очень годная статья, автору спасибо.

Согласен с каждой буквой! Вместе с этим roadmap'ом (https://forum.antichat.xyz/threads/574576/) самое то!

Спасибо, было бы круто если кто-то написал подобную статью раньше

UnDerGr0unD сказал(а):

Спасибо, было бы круто если кто-то написал подобную статью раньше


Еще из интересного: С чего начать изучение информационной безопасности в 2020 году

У меня в планах изучение: ИБ+ Схемотехника иСоздания ПО.
Автору спасибо за пост!

Tribute сказал(а):

У меня в планах изучение: ИБ

Слишком обширное понятие. Было бы уместнее что-то вроде "Основ ИБ" или в подобной формулировке (в крайнем случае выбрать несколько пунктов из roadmap'a). Все, что было дальше - одобряю.

Разве что в правильном порядке учить, чтобы можно было побыстрее монетизировать свои скиллы

Нету вируса?

LGenius сказал(а):

Нету вируса?


Все что заливал проверял прогонял по песочницам и скан-платформам аля VirusTotal, если Паранойя давит, то можешь декомпилировать))

Спасибо Вам огромное за статью!!! Это самая лучшая статья которую я прочитал, вы большой молодец

r3h46 сказал(а):

Спасибо Вам огромное за статью!!! Это самая лучшая статья которую я прочитал, вы большой молодец

вообще-то я тоже написал статью((
хоть её и стоит немного доработать, но основа там имеется

https://codeby.net/threads/roadmap-dlja-pentestera.74576/#post-388791 (https://forum.antichat.xyz/threads/574576/)

DSec-56B12 сказал(а):

С набиранием популярности тематики Информационной Безопасности (Дальше ИБ), да и IT в целом, с каждым годом все больше и больше людей хотят научиться, ну или же влиться в тематику. Вследствие чего, количество вопросов на всевозможных площадках, по типу: "а как?, а что?, а с чего начать?" растут в геометрической прогрессии. И чтобы не повторять каждому: " Cначала нужно разобраться в теме, а потом уже задавать вопросы по узконаправленной задумке", решил выложить вот такой разговорный монолог.

Проанализировав 100 вопросов, примерно 40 из которых были заданы в личку, в разные промежутки времени. Задумался, а кто-то делал это до меня? Пошел искать, но так и не нашел именно то, с чем бы я согласился на 100%. В основном, это перечень того, что нужно знать или уметь. Но все же я считаю, что проблема большинства новичков в голове. Большинство ломятся в ИБ, до конца не понимая чего хотят! Увидел где-то, что-то и пошел в чатики, форумы спрашивать: "А как мне стать хацкером?". С таким подходом, только один ответ- никак! Также важный момент, проблемы с изучением, пониманием. Частые вопросы:"Как начать?, Где искать?, Что читать/изучать?". Проблемы тут две: это не умение искать информацию, и не умение работать с этой же информацией. Данные моменты и разберем.

Стоит сначала сказать, что я не в коем случае не осуждаю новичков, сам искал, сам пробовал и спрашивал. Я только ЗА, если все будут развиваться, помогать друг другу, и тянуть развитие технологий на вершины! Но большинство новоприбывших, не самостоятельны и неадекватные. Многие хотят все и сразу, чтобы им дали ссылки на материалы, поискали за них. Большинство получают логичный ответ: "Гугли!". После чего идет волна или гнева, или типичная фраз "ну панятна, никакие вы не хацкеры, раз ответить не можете, нечего вы не знаете!", после чего сразу получают BANаном по голове и на этом все заканчивается. Мне совершенно не ясно, почему они считают, что им обязаны ответить, поделиться, помочь. Стоить запомнить раз и на всегда, никто ничего тебе не обязан. Если человек захочет- поможет, не захочет, справляйся сам, не стоит создавать пустых ожиданий. И если ты хочешь реально добиться чего-то, это сугубо твоя ответственность. Также, если ты задаешь вопрос, и тебе пытаются объяснить, но даже это понять трудно! И идет хохма, обоснованная хохма, ибо это цирк Шапито наяву! То хочу предупредить, что нужно адекватно расценивать свои силы. Помни: "Не зная броду, не суйся в воду". А если сунулся, то кто виноват? Вот по этому, разберем причины, следствие, а также решение данных проблем.

А откуда же ноги растут?

Для того, чтобы найти первоисточник, определим с какого этапа люди начинают хотеть стать теми самими "хацкерами". А все идет с контента, который поглощает большинство. Понятие "хакер" больше выдумано журналистами для обобщения, у которых уровень знания ИБ на уровне табуретки. Как таковых "хакеров" нету! Люди разбирающиеся, стараются максимально не использовать это понятие, так как это неуважение ко всему направлению! Это как "тыжпрограммист". Зачастую все именно хотят быть Белой Шляпой (Они же ПЕНТЕСТЕРЫ).

На самом деле, есть куча разновидностей: крекеры, мошенники, кибер-мошенники, аналитики информационной безопасности, кардеры, пентестеры, скрипткиди, администраторы, программисты, инженеры информационной безопасности, специалисты защиты информации, ботоводы, кардеры т.д. Но с низкой развитостью , всех эти подгруппы сгребают под одно название "хакеры". И добавляют сюда еще "темы наркотиков, оружия, мошенничества, аниме, и вообще это все грешно". В лучшем случаи "Кибер преступники". Теперь разберемся с источником, всех влажных фантазий новичков. Видео на ютубчике "Хакер взломал!!! ОМГ!"(просто без комментариев ), также источником являются фильмы и сериалы (Есть и такие где постарались максимально, правдоподобно показать, тот же Mr.Robot). Практически везде, все попытки проникновения в инфраструкту показаны оч легко и просто. Запустил что-то, пару ударов по клавишам и вуаля, все взломано. И хоть кто-то задумался, а реально ли все так? Если так все просто, почему тогда каждый второй так не делает? Не нужно воспринимать экранизацию за истинну, далеко не везде показанна, хотя бы частичка реальной стороны пентеста. Но можно привести аргумент: "Они же не будут показывать реальные способы взлома. Вдруг кто-то захочет повторить?". Можно показать реальный процесс и без подробной инструкции, только никто не хочет заморачиватся.

Я хочу стать ПЕНТЕСТЕРОМ

Сначала, перед тем, как у тебя возникла идея начать изучать ИБ, задай себе вопрос ЗАЧЕМ МНЕ ЭТО НАДО? Многие думают: "Вот сейчас стану хацкером, взломаю банки, и буду жить на мальдивах...". Ага, а теперь вытащи руку из штанов и вернемся в реальность. Частые ответы: "хочу кучу денег/ ну эмм это круто/ сейчас это модно/ хочу взломать вконтакте . То могу лишь пожелать вам успехов в чем-то другом. Если вами движут только мотивы заработка, то это изначально проигрышный путь. Мотивация денег угаснет также БЫСТРО, как ты с толкнешь с первыми проблемами, то есть почти моментально, и что в итоге? Потраченное время, средства и силы. А некоторые еще и на криминал пойдут, и так как знаний и опыта нету, то скорей всего попадут на бутылку правосудия. Ну а те кто РЕАЛЬНО заинтересован, сам пришел к этому, и занимается с интересом, как хобби. Если тебе не в тягость заниматься, ты с жадностью и азартом поглощает информацию, то ты зашел по адресу. Добро пожаловать! Но есть также те, кто пришел к этому сам, но не может самоорганизоваться. Информации очень много, но это уже другая сторона вопроса. По этому давайте по порядку.

1. Что такое ИБ? И что такое хакинг?

Многие думают, что ИБ- это только выстраивание защиты каких-то объектов, или только аудиты на проникновение. Но на самом деле это далеко не так. Информационная безопасность- это в первую очередь правовая сфера. Сейчас очень активно вносятся поправки, дополнения, определения. Это и №187ФЗ, №152, №149 и т.д (Полный список всех правовых связанных с ИБ). Скажу на реальном личном опыте работы в данной отрасли. Нужно знать регламенты, ГОСТЫ и необходимые стандарты, по котором происходит весь процесс организации защиты информации. Следовательно, специалист защиты информации, должен знать не только технические аспекты, а также правовые. И специалисты защиты информации, также могут проводить аудиты защищенности. Понятие 'хакинг' для каждого разный. Лично мое субъективное определение. Хакинг- это искусство взлома всевозможных систем, путем досконального изучения принципов работы этих систем. То есть более простыми слова, чтобы что-то взломать, нужно знать как это работает.

2. С чего начать путь, если в IT полный 0, но хочется попробовать?

Есть и такие кадры, кто не сталкивался с IT вообще. Но не получилось, не важно из-за каких факторов. И вот они узнали о таком направление, окунулись в него и поняли, да это же интересно, и начали думать с чего им начать? Для начала стоит найти именно свою отрасль. Ведь тут путей развитие множества: Программирование, администрирование, всеми любимый аудит уровня защищенности инфраструктуры. Нужно найти свою стязю, которая будет не рутинной, а увлечением. Свет клином не сошелся на этом ИБ, не нужно делать упор только на это. Тест кто ты в IT? Хотя базовые знания информационной гигиены, в наше время также необходимы.

3. Определились чего хотим. Вот хотим именно безопасниками быть. С чего начать?

А начать с самих основ. Как работает сама структура Интернета. Все об сетях, сетевые протоколы: UDP / TCP / DNS / ARP. Изучить оборудование. Есть такой старый курс на Youtube по администрированию, хоть проблемы со звуком, но все равно очень хороший, где бородатый админ рассказывает про все это - Курс. После чего идем изучать Linux. Это наш основной инструмент, который откроет практически все двери и возможности. Свободная, гибкая и максимально универсальная система. Овладев этой системой в полной мере, можно творить ту самую "магию пентеста". А не бороться с системой, пытаясь обновиться. Да и не только для пентеста, Linux сам по себе очень приятен, я бы даже сказал, эта система развивает своего пользователя, помогает реализовывать задумки, и двигаться дальше.

Самый быстрый способ освоения, достаточно болезненный, это установить Linux своей основной системой, и начать решать все возникшие проблемы и трудности. Которые, несомненно появятся. Если по каким то причинам нет возможности установить, то для начала просто ставим себе дистрибут второй системой или на другой девайс, а также можно на флешку. Советую выбирать Debian, но это уже на ваше усмотрение , и работаем за ним, появляется какая-то потребность, например: "Хочу себе установить pidgin". Что делаем? Идем и гуглим (Гуглить тоже нужно уметь, и об этом мы тоже поговорим), как устанавливать программы в Debian. Читаем изучаем механизм установки, устанавливаем, и по итогу уже умеем устанавливать программы! Так шаг за шагом мы изучим эту систему. Также можно поизучать структуру Windows, чтобы уметь и в ней ориентироваться и понимать принцип работы системы, ее файловую систему, где что храниться.

4. Как правильно учиться и структурировать информацию

На этапе №3 уже присутствует свободное плавание. То есть мы самостоятельно ищем векторы развития и обучения. Но чтобы не было каши, а также не хватались за все подряд. Как зачастую делают новички. Мы должны четко структурировать план изучения. Тут есть несколько основных правил:

От простого к сложному. Начинаем с изучения того же Linux постепенно. Например: Сначала изучаем базовые методы работы- Перемещение файлов, распаковка, запись вывода в файл. Дальше сложнее, изучаем написание bash-скриптов, автоматизацию рутинных задач.

Фиксировать информацию. Фиксирование каких-то непонятных, или интересных моментов в материале с последующим их изучением, благодаря этому, мы узучаем материал более досканально. Но не нужно уходить далеко от исходного материала. То есть увидели непонятный термин, изучили его, и вернулись к изначальному контексту. А не пошли дальше еще по терминам из этого термина и т.д

Понять, а не прочитать. Важно изучать материал до тех пор, пока ты не сможешь его объяснить своими словами, не теряя главной мысли. Давным давно я где-то увидел такой прием:"Объясни 6 летнему себе". Суть заключается в том, что ты пытаешься объяснить в слух тему, максимально просто. Конечно, со стороны это выглядят как "шиза", сидишь пустоте объясняешь что-то. Но это очень действенный метод, подробнее об этом и других методах.
Теперь выстроим план изучения для всеми полюбившийся темы- Пентест

StarterPack - Мамкин хацкер 1.0

Знание Сети (Протоколы, как строится сети, топология(Дерево, Звезда, Шина), hardware часть и т.д)

Принципы работы Web-ресурсов (Движки, структуру,базовые принципы)

Умение работы с OS. ( Как написал выше, сразу пересаживаемся на Linux, но если по каким-то причинам это не возможно, то тогда установка на виртуальную машину, или же использовать загрузочную флешку.Задача максимальо сидеть и работать на этой OS, также не помешает почитать доп.материалы об администрирование)

-- Промежуточный пункт. Изучение Windows-семейства структура файловой системы, работа через shell (Это желательно, но не обязательно, но в перспективе это будет необходимо, так как % этого семейства крайне велик)

Изучение принципов уязвимостей (Что такое payload, shell, RAT, CSRF, RCE, rootkit, xss, sql-inject, Oday, sniffing и т.д. На этом этапе мы начинаем изучать именно технические аспекты пентеста. Знакомимся с основными понятиями и самим процессом эксплуатации)

Изучение инструментария (Из основного: сканеры (NMAP, Censys, OpenVas, Wireshark, Nikto, w3af, если есть деньги XSpider) Основные утилиты: Netcat, Metasploit Framework, Burp, John the Ripper, Hydra, sqlmap (Полный список инструментария(ссылка)). Задача потрогать максимальное колиство, +- научиться пользоваться и понимать, какой инструмент, что может)

Изучение web-атак (Здесь уже изучаем обход WAF, как инжектировать инъекции и следовательно тут понадобиться читать и писать код)

Изучение языков программирования (В основном требуется для Тут поле просто огромное: SQL/PHP/HTML/javascript/python, а еще можно изучить C++/C#/Assembler/ и вообще писать свои утилиты сканеры и т.д)
Ну а дальше уже все действуют по своему усмотрению. Естественно можно поставить изучение ЯП выше, но этот план был разработан с упором на простоту и с уменьшением логических проблем. Например, смысл изучать инструментарий, если ты не знаешь как работает твой атакуемый объект и ты не умеешь использовать саму атакующую систему (Kali)?

5. Как правильно искать информацию?

На удивление, многие до сих пор не могут найти нужную им информацию в поисковике. В то время как поисковики могут индексировать базы данных, учетки и другую конфиденциальную информацию!

Как правильно составлять запрос?

Используйте кавычки, если ищете что-то конкретное. Например: «Metaploit Framework guide».

Если хотите исключить какое-то слово из поиска, то воспользуйтесь знаком «-» (минус). Например: «Boss Of this Gym -Lords of the Lockerroom». Так вы найдёте много информации об "боссе этой качалки", но не встретите ни слова про "властелина раздевалки".

Чтобы найти информацию на конкретном портале, добавьте в поисковую строку слово site. Например: «Взлом vk без смс и регистрации» site: cobeby.net.

Используя логический оператор (Или) “|”, можно осуществить поиск по нескольким сочетаниям фраз, заменяя несколько слов в различных местах. Например, введём фразу “Positive Hach Day 2018 | 2019” выдаст нам страницы, содержащие либо “Positive Hack Day 2018”, либо “Positive Hack Day 2019”

filetype - В случае, если вы хотите искать, например, только документы в формате PDF, Word или Excel, можно использовать оператор filetype:. Полный список поддерживаемых форматов на момент написания данного текста: Adobe Reader PDF (.pdf), Adobe Postscript (.ps), Autodesk DWF (.dwf), Google Earth (.kml, .kmz), Microsoft Excel (.xls), Microsoft PowerPoint (.ppt), Microsoft Word (.doc), Rich Text Format (.rtf), Shockwave Flash (.swf). Пример:

stroustrup c++ language filetype:pdf


Еще больше об операторах расширенного пользования
Научившись искать нужную информацию, открываются все двери развития и обучения. Но еще больше информации в зарубежных ресурсов. Знание языка(Английского) тут уже просто необходима, по этому если есть трудности, то поможет разные расширения для браузера, для перевода, хотя знания языка все равно понадобиться, ведь зачастую все на английском языке, начиная от инструментария, заканчивая теми же системами, на которых происходит тестирование, я сам не акти его знаю, но так сложилось в жизни. Активно исправляю это вот такой книжкой, в свое время найти ее было крайне трудно.

Еще один важный момент, связанный с поиском. Иногда, есть такие вопросы, на которых точных ответов нету. Например, у вас какая-то новая ошибка, которая не у кого не встречалась. Такое редко, но случается. Тогда нужно разбирать проблему в общем смысле. Допустим у нас ошибка: "

Socket Error : 0x00005034

". Точной информации нету. То ищем тогда: "

Socket Error:

". Выясняем общие причины, почему может появляется ошибка.

6. Как закрепить и ускорить процесс?

И теперь разобравшись в своих мыслях, целях, желаниях. Выстроив себе план обучения, общий КПД вызрастет. Но можно ли еще ускорить процесс? Конечно можно! Практика, практика и еще раз практика! Отличие профессионала от новичка, лишь в том, что профессионал имеет большой багаж опыта, которым он активно пользуется, зная что делать при определенных ситуациях. Тем более, знания, которые мы применили на практике, мы уже не забудем, практика- самый лучший способ научиться чему либо. По этому сразу нужно стараться где-то применить свои знания на практике. Изучили какой-либо инструмент, сразу идем пробовать и осваивать его! Для этого нам понадобяться цели, которые можно атаковать, ни в коем случае не пробуем атаковать какие либо чужие сайты, сервера и другую инфраструктуру!!!

7. Где практиковаться?

Площадки:

Hack the Box //Площадка для практического применения своих навыков, тут квесты и задачи разной тематики, и тестовые машины, здесь каждый найдет свою направление.Канал форумчанина, к уровню которого стоит стремиться

Root-Me // Также плащадка для практики, с интересными задачами, квестами и т.д

Metasploitable // Образ для виртуальной среды, тестовая машина с множеством уязвимостей. Разворачиваем на VMWare или Vbox. И изучаем процесс эксплуатации уязвимостей. На форуме есть инструкция (Руководство по эксплуатации Metasploitable 2 (https://forum.antichat.xyz/threads/558959/) ) по всем атакамю. Скачать. А тут- Официальный мануал. Читаем, изучаем, пробуем.

CTF // Она же Capture the Flag. CTF — это командные соревнования, целью которых является оценка умения участников атаковать и защищать компьютерные системы. Проще говоря кибер-турнир по Информационной безопасности, подробнее

Конференции, мероприятия, митапы и т.д. // Обобщенная тема, ибо любые ИБ мероприятия, это какой-никакой опыт, возможность пообщаться в живую с коллегами. Участие в них как участник, ну а в перспективе как докладчик)
8. Какой девайс выбрать. Лаптоп или стационарный ПК?

Тоже довольно часто задаваемый вопрос на старте. Если честно, тут каждый выбирает сам. Если не можешь определиться, то задай себе вопрос. Каков бюджет и как часто я буду передвигаться? Если передвижений много, то тут нужно выбирать лаптоп, легкий по весу и автономный. Характеристики также зависят от бюджета. По комплетующим: по процессор : i3/i5/i7, выбираем оптимально между мощность и энергозатратами. ОЗУ DDR 3-4 8-16гб. Жесткий диск - ssd SATA или m2 формат(меньше но дороже)- от 120 гб. Из дополнений, экран желательно IPS с тонкими рамками, удобнее и глаза меньше устают. Но учтите что иметь огромные мощности при маленьком весе и автономности, просто невозможно. Ну или же таскать с собой огромный powerbank (для старта автомобиля) с размером и весом кирпича. Следствии чего, упор советую делать на автономность и легкость! А если нужны вычислительные мощности, можно использовать VPS, коннектиться удаленно и работать с сервера. Если же передвижений минимум, и бюджет не особо велик, то тут выбор в сторону ПК. Это дешевле и мощнее, к тому же есть возможность выбрать монитор, или несколько. Подмечу, что не важно вообще с чего сидеть, тот же Linux можно на одноплатный пк поставить (Rassberry pi, Orange Pi и т.д), да хоть на телефон (не на все). Но для этого нужно уметь работать чисто в терминале. Что сразу новичок врядли осилет. По этому сначала, нужно выбрать самый удобный и простой способ ЛИЧНО ДЛЯ СЕБЯ! Чем удобнее и комфортнее, тем меньше ты будете отвлекаться на решение побочный трудностей.

Также, так как это StarterPack для новичков, куда же без стартового материала? Поэтому, держите -StarterPackMaterial

Что входит?

Книжки - это необходимый минимум, то что необходимо прочитать, постарался собрать все самое свежее

Курсы - тут сборочка уже дополнительного материала, собрал там ссылки на курсы, которые информативны и понятны. Также там есть курс по самодисциплине

Статейки - сборник статей, почитать для общего развития, тематики самые разные
Подводя итог, я надеюсь, что максимально смог ответить и просветить всех тех, у кого были вопросы и сомнения, по поводу начинания своего пути в ИБ. Дальше все зависит сугубо от тебя. Если ты начнешь прилагать усилия каждый день, читать узнавать и пробовать, уже скоро ты почувствуешь, насколько широки твои возможности, что ты можешь гораздо больше, чем ты предполагал ранее. Каждому под силу достигнуть всех вершин, важно лишь не прекращать идти к ней. "Знаний недостаточно, ты должен применять их. Желаний недостаточно, ты должен делать". Удачи и достижения поставленных целей!


Хотел спросить, что будет эффективнее? Сейчас изучаю сети и Python. Эффективнее будет сначала изучить сети (теория + практика), не притрагиваясь к языку или изучать параллельно и то и это?

k001y44n сказал(а):

Хотел спросить, что будет эффективнее? Сейчас изучаю сети и Python. Эффективнее будет сначала изучить сети (теория + практика), не притрагиваясь к языку или изучать параллельно и то и это?


Приветствую, на мой взгляд, проще и надежнее будет изучать постепенно по одной теме, сначала сети потом яп. Если же можешь усидеть на двух стульях, при этом усваивая весь материал, без перемешивания в голове, то можно параллельно. Но надежнее будет изучить по отдельности, и понимание будет больше, и в голове порядок будет)

Тутор на века

Только вчера об этом думал с чего и как, литературы кучу скачал, а за что браться не понятно,спасибо что просвещаете

DSec-56B12 сказал(а):

StarterPackMaterial

Здравствуйте, есть рабочая ссылка на данные материалы?

mofsx сказал(а):

Здравствуйте, есть рабочая ссылка на данные материалы?


А в чём проблема ? Ссылка рабочая

v1gman сказал(а):

А в чём проблема ? Ссылка рабочая


Все ok, разобрался

Огромное спасибо автору за старание. Собраны достойные статьи, четкая структура изучения материала, и стартерпак для новичка в котором очень много полезной информации: книги, видеоматериалы, и методички. Понимание того в каком направление двигаться сразу появилось и это самое главное)

Просто потрясающая статья. Сам только начал скажем так «въезжать» в данную тематику и уже чуть при запутался. Информацию найти и пустить в нужное русло не трудно, но трудности возникли на распределении информации для постепенного её изучения. У меня есть большой опыт в Python, но тут я понял, что для обычного зловреда лучше было бы знать C++, а тут ещё сетевая инфраструктура, например, для того же червя. И понеслась! Я даже относительно недавно узнал об ООП в ЯП благодаря С++, а для меня это «тёмный лес» мягко говоря. В общем спасибо автору, что дал удочку, осталось только научиться рыбачить

Не могу перейти по ссылке. Можете дать?

mrs_zero сказал(а):

Не могу перейти по ссылке. Можете дать?


Вы смогли перейти? У меня тоже не получается.

Прикольно) Спасибо ребят за такой полезный ресурс! В IT давно но в иной среде - всегда хотела постигнуть техническую сторону работы интернет ресурсов, самостоятельного тех. обслуживания компа, ну конечно, хотя бы основы кибербезопасности. Боялась даже начинать изучать тему. После изучения Вашего форму - поняла, что не одна я такая оказывается)) Теперь мне уже не так страшно хотя бы)) Всем добра и успехов!

mofsx сказал(а):

Здравствуйте, есть рабочая ссылка на данные материалы?


Здравствуйте, все ссылки до сих пор рабочие, все скачивается, проверьте на своей стороне все ли впорядке.

DSec-56B12 сказал(а):

Здравствуйте, все ссылки до сих пор рабочие, все скачивается, проверьте на своей стороне все ли впорядке.


Добрый день. Очень хочется узнать ваше мнение на счёт этих бесплатных курсов от intuit . Они вроде древние, но ,на мой взгляд, хорошо структуированы и имеют хорошую базу знаний. Что скажете?

krea1or сказал(а):

Добрый день. Очень хочется узнать ваше мнение на счёт этих бесплатных курсов от intuit . Они вроде древние, но ,на мой взгляд, хорошо структуированы и имеют хорошую базу знаний. Что скажете?


Приветствую, структура не плохая, но написано по старым форматам, много текста без примеров, достаточно сложно читать, особенно новичкам. Плюс информация и реально древняя, подойдет больше как дополнительный материал, хотя там и есть части фундаментальных знаний. Но не думаю, что стоит брать данный материал для старта.

Если вами движут только мотивы заработка, то это изначально проигрышный путь.

Смешно !!!! ))
Все ребята которые в 28 лет катаются на собственных Роллс-ройсах тебе передают привет )
смеши нас и дальше своими мудрыми высерами )))

Спасибо за столь интересную статью!!!

Подскажите, для "web пинтест" разве одного JavaScript не хватит?
На JS на сколько я знаю можно и фронтенд и бэкенд, и мобилки и декстопные приложения пилить.
Или тот же Пайтон надо учить для "понимания" и чтобы "код читать", или на нем (в отличии от JS) удобно утилиты писать?
Сорри если глупый вопрос

BuSShi сказал(а):

Подскажите, для "web пинтест" разве одного JavaScript не хватит?
На JS на сколько я знаю можно и фронтенд и бэкенд, и мобилки и декстопные приложения пилить.
Или тот же Пайтон надо учить для "понимания" и чтобы "код читать", или на нем (в отличии от JS) удобно утилиты писать?
Сорри если глупый вопрос


Зная HTML+CSS можно создавать обычные сайты (фронтенд). Добавив JavaScript можно будет делать динамические элементы на этом сайте, а использовав библиотеку (надстройку) для JavaScript под названием NodeJS можно будет на этом языке создавать и фронтенд, и полноценный бэкенд.
На Python, помимо написания только бэкенда (без фронтенда), можно писать ботов, парсеры, различные скрипты и прочее, которые будут помогать при веб-пентесте.

Итак, веб-пентест - это не создание своих веб-сайтов, а тестирование уже кем-то созданных веб-приложений

Спасибо за описание пути в постижении искусства! Главное теперь чтобы зашло всё это )

Автору однозначно + (как говорят в Ростове-на-Дону: респект и уважуха). Прям хорошая мотивация и вдохновение придаёт. Сам изучаю не так давно данную тематику и скажу что это одно из самых сложных направлений в it сфере. Нужно разбираться во всём на определённом уровне. Это путь с постоянным движением и познанием нового. Учится, учится и ещё раз учится (с)

Крутая статья, заслуживает огромного респекта!

Нормас, спасибо

Очень хорошая статья! Всё по полочкам разложено.

Ссылки в статье не работают. На моей стороне что то ?

Мужик я тебя от всего сердца благодарю!!! Особенно за материалы. Книг так много, глаза разбегаются. Спасибо! Удачи!

StarterPackMaterial что то там нифига толком нету у кого была копия моет перезальете?

Спасибо за такую огромную и структурированую пасту

Здравствуйте! в Стартер паке очень мало материала. В некоторых разделах нечего нет. так и должно быть или у меня что-то не так или может стартер пак поломался?

Наверно правообладатели удалили. Там заголовки остались по некоторым можно самому искать. Да и там нет такого ОГО-Го материала, чтоб горевать.
Все очень быстро продвигается, то что учил вчера, сегодня уже непригоден.
по этому ориентируйся на современные подходы, книги, курсы.
Но а вообще если "0", то там тебе ничего не нужен. Начинай с азов, как все работает, ОС, сети и т.д.

Статья обновлена 18 июня 2025 года. Приятного чтения!

Сергей Попов сказал(а):

Статья обновлена 18 июня 2025 года. Приятного чтения!

Спасибо

В StarterPackMaterial папка со статьями пустая

Rendi_ сказал(а):

В StarterPackMaterial папка со статьями пустая


Спасибо, что заметили! Да, материалы по той ссылке были актуальны на 2020 год и сейчас уже устарели. Скоро на форуме будет много новых материалов. Если есть темы, которые вас особенно интересуют – пишите в комментах, постараюсь учесть!