Drukkoljatok, nyakamon az OSCP!
Elég nehéz időszak előtt állok most. Ha összeszámolom, nagyjából 60 napnyi tanulás és jó esetben ’csak’ 24 órányi vizsga vár rám. A Facebook-oldalamon már kiposztoltam azt a levelet, amelyet az Offensive Security-től kaptam – talán láttátok is. E szerint sikeresen regisztráltam, és befizettem a díját az OSCP tanfolyamnak és a vizsgának.
Mi az, az OSCP?
Igazából a tanfolyam neve PWK, azaz Penetration Testing with Kali Linux, amelyet ha sikerül elvégeznem, akkor OSCP, vagyis Offensive Security Certified Professional leszek.
Miért is olyan fontos ez?
Talán emlékeztek rá, már a januári legelső live adásomban is említettem, hogy szeretném ezt a vizsgát letenni. Bár etikus hackerként tevékenykedem, mégsem tudom igazán megítélni, mennyire lenne elég a tudásom, ha például egy IT biztonsági cégnél szeretnék elhelyezkedni. Itt jött képbe az OSCP. Ugyanis, ha valakinek van egy ilyen minősítése, az azt jelenti, hogy a legjobb szakemberek közé tartozik: sokféle sikeres támadást tudhat maga mögött, rengeteget tanult, fejlődött. Van olyan IT security cég, aki kifejezetten ezzel reklámozza magát. Van náluk mondjuk 20 hacker, közülük 10-nek van OSCP vizsgája, és ez milyen király. Úgyhogy eldöntöttem: én is szeretnék OSCP vizsgát.
Regisztrációm kálváriája…
Az OSCP nem egyszerű dolog, és ezzel már a regisztráció során is találkoztam. Amikor beregisztráltam a tanfolyamra, akkor meg kellett adnom a számlázási adatokat, lakcímet stb. Ismered azt, amikor beregisztrálsz, kitöltesz mindent, majd visszadob az űrlap elejére? Mint kiderült az ékezeteket tartalmazó szavakat nemes egyszerűséggel ő kitörli. Mindent ékezet nélkül kellett kitöltenem, ez azért okozott némi fejtörést este 11 után. Aztán jött egy levél reggelre, hogy nem tudják a címemet ellenőrizni, küldjem el nekik e-mailben, ebben és ebben a formában. Leírtam nekik megint a lakcímemet, a biztonság kedvéért küldtem egy Google Maps linket is hozzá, hogy lássák, tényleg van ilyen település meg ország. Nem, még ez sem volt nekik elég! Azt mondták, hogy még így sem tudnak beazonosítani, úgyhogy a végén még közüzemi számlát is küldenem kellett nekik. Végre, végre el tudták fogadni a regisztrációmat. Persze a fizetés már nyilván sokkal gördülékenyebben ment.
Mi vár rám ezután?
Először jön a gyakorlati terep, ami augusztus 26-án nyílt meg számomra. Itt az első terv szerint 30 napot fogok eltölteni. Ez azt jelenti, hogy ez idő alatt 50 virtuális számítógépet kell feltörnöm. Ez brutálisan sok idő és energia. A családnak már pedzegettem, hogy kicsit felejtsenek el engem úgy egy hónapig. Nem lesz egyszerű, de valahogy muszáj megugrani. 50 gép 30 nap alatt. Az napi több mint másfél gép, és egy gép feltörése szerintem minimum 3 óra. Augusztus 26-ig gőzerővel gyakoroltam az ingyenesen elérhető OSCP like gépek feltörésével. Próbálom felszedni magamra azt a tudást, ami már egyszer megvolt, csak nem használtam az elmúlt 5 évben, hiszen főként webes auditokat végeztem. Vagy esetleg még hiányzik, mert a CEH-es vizsgámhoz ez nem volt követelmény.
Hogyan érhetsz el a következő 30 napban?
Most egy igen kemény tanulós időszak áll előttem. Ez azzal is jár, hogy a munkát egy kicsit a háttérbe kell szorítanom, sokat már le is mondtam. Bizony meg kellett mondanom az ügyfeleknek, hogy szeptember végéig vagy október elejéig nem leszek elérhető, nem vállalok semmi újat. Nyilván a Webshieldes ügyfelek nincsenek veszélyben, a szolgáltatás az él, működik, oda fogadok új szájtokat is. Ezt a fő csapás irányt a tanfolyam és a vizsga ellenére meg fogom tartani, azonban ha valaki odajön hozzám, hogy kéne egy új WordPress modul, vagy valamit segítsek nekik, akkor abban sajnos most nem tudok a rendelkezésetekre állni.
30 nap után vizsga
Na, attól cidrizek rendesen. Az 24 órás, igen 24 órás! A feladat: 24 óra alatt 5 számítógépet kell feltörni. Értsd: adminisztrátori jogosultságot kell szereznem rajtuk. Ha viszont valahol csak a felhasználói jogosultság sikerül, az is ér majd néhány pontot. A 24 órát nagyon okosan kell beosztani. Ebbe bele kell kalkulálni, hogy tudjál inni, enni, aludni és ne fuss ki az időből se. Ha ez megvan, akkor sem lehet hátradőlni, hogy majd most kialszom magam, mert kezdődik az újabb 24 órás ciklus. Ez alatt a teljes dokumentációt el kell küldeni, tehát előtte meg kell írni. Nyilván az ember közben jegyzetel, de el kell készíteni egy szép dokumentációt, amely nélkül a vizsga érvénytelen.
Tarts velem és szoríts!
Ez a vizsga erősen meg fogja határozni a következő 1-2 hónapomat. Valószínűleg lesznek is videók a haladásomról. Megpróbálok majd beszámolni róla, amennyire ezt lehet. Szakmába nem fogok nagyon bele menni, mert egyrészt sokan nem értenétek, másrészt tilos is. Nem szabad kiszivárogtatni semmiféle információt, hogy milyen gépekkel találkoztam ott a laboratóriumban. Meglátjuk, hogy mi lesz, kérlek, nagyon drukkoljatok! Egyébként elővettem a régi anyagokat, hogy kicsit frissítsem a tudásomat, rákészüljek az OSCP-re. Találtam 1-2 fogást, ami nektek is tök érdekes lehet, úgyhogy nem kizárt, hogy ebből majd szemezgetünk kicsit. Vannak például olyan érdekességek a Windowsban, amiről elég kevesen tudnak. Jól hangzik, nem igaz?
Ez most személyesebb hangvételű volt, nem annyira szakmai, de szerettem volna, hogy lássátok, hol vagyok, merre tartok az úton, mibe vágom a fejszémet. Úgy érzem, hogy ez nem egy egyszerű vizsga, és nem is biztos, hogy elsőre sikerülni fog, főleg az időkeret miatt. Ezért hangsúlyozom: szurkoljatok! De ne csak nekem, hanem a családomnak is, hogy elviseljék a hiányom ebben a 30 napban. Kell a drukk! Kövesd a Facebook oldalam, hogy ne maradj le az eseményekről.