Comment obtenir le certificat OSCP ( Offensive Security Certified Professional)
La sécurité «offensive» est peut-être la meilleure traduction du domaine d'activité dont nous parlerons aujourd'hui. Bien sûr,
Offensive est aussi offensant, et même agressif, mais maintenant ce n'est plus ça.
Donc, vous n'avez pas encore perdu confiance dans une carrière dans le domaine de la sécurité de l'information, mais vous êtes finalement convaincu que la plupart des certificats des fournisseurs sont des papiers insensés, qui ne valent pas votre temps. Un de mes collègues propose déjà de remettre à tous ceux qui ont payé pour l'examen le certificat de
spécialiste en dumping certifié par le vendeur et de mettre fin à tout ce cirque. Mais soyons réalistes, la formation et la certification sont des affaires sérieuses, et elles n'iront nulle part dans un avenir proche.
C'est encore pire si les connaissances et les compétences que vous décidez de confirmer ne sont liées à aucun fournisseur en particulier.
J'ai déjà parlé du CISSP , mais qu'en est-il des compétences pratiques dans le domaine de la sécurité de l'information?
D'une part, il y a l'examen extrêmement populaire du pirate éthique certifié. Je ne doute absolument pas qu'il est populaire uniquement parce qu'après avoir réussi cet examen, vous pouvez officiellement être appelé un pirate informatique. Le problème ici est différent: vous devrez également accepter que vous êtes devenu un pirate en répondant simplement à 125 questions correctement. Malgré l'absurdité de la situation, cet examen est extrêmement populaire en Occident et est tout simplement nécessaire pour des postes individuels, en particulier dans les secteurs public et militaire.
D'un autre côté, il y a le grand et terrible SANS et leur programme Cyber Guardian. Cela semble très cool, le certificat d'achèvement, comme je pense, est personnellement présenté par M. Keanu Reeves à son image populaire. Et il n'y a qu'un seul inconvénient - le coût de plusieurs milliers de dollars pour tout le plaisir.
Reste le dernier - OSCP. Beaucoup de choses ont été écrites sur cette certification, maintenant c'est mon tour.
Ainsi, après avoir traversé le déni, la colère, les négociations et la dépression, vous commencez à vous préparer à la capitulation. Pour l'avenir, je veux dire que vous passerez toutes ces étapes plus d'une fois dans le processus de préparation, d'ailleurs dans un ordre différent et même dans des combinaisons bizarres.
Après avoir payé le cours, vous obtenez un fichier pdf lourd, plusieurs fichiers vidéo avec des commentaires et l'accès à un laboratoire virtuel. Cela ne vous dérange pas encore? C'est vrai, il n'y aura pas de «formation» ici. Le fichier PDF contient des informations de référence sur les utilitaires que vous connaissez probablement déjà: nc, curl, find et similaires, ainsi que brièvement sur la boîte à outils de distribution de Kali Linux. À proprement parler, vous avez donné de l'argent pour l'opportunité d'apprendre par vous-même, et le laboratoire virtuel vous y aidera.
Au total, le laboratoire virtuel compte un peu moins de 60 machines: postes de travail, serveurs membres, mailers, sites web et bien plus encore. Au départ, je comptais faire un peu plus de la moitié pour évaluer le niveau de difficulté des tâches de l'examen. Mais que je trompe, au final a tout fait. Dans le même temps, le réseau vit sa propre vie, les utilisateurs s’écrivent des lettres et vont sur les pages Web, et les serveurs se demandent des informations.
De plus, le réseau est divisé en sous-réseaux séparés par des pare-feu, et à un moment donné, vous pouvez même accéder au lieu saint des saints. Il m'a fallu un peu moins de 40 jours pour récupérer toutes les voitures. Bien sûr, il y a pas mal de tâches qui passent et il y a de vrais monstres. Google qui sont Pain, Sufferance et Humble. Pour chacun d'eux, cela m'a pris beaucoup de temps. Il y a encore gh0st, mais c'est une voiture de style CTF, et elle est sérieusement hors du contexte général.
La description du cours indique que vous n'avez besoin d'aucune expérience sérieuse pour commencer à pratiquer. Mais en réalité, ce n'est pas le cas. Il est peu probable que les spécialistes novices se chargent de cette tâche et les ingénieurs expérimentés conviennent à des bagages très différents. Un spécialiste de la cryptographie expérimenté traitera facilement de la souffrance, un DBA chevronné découvrira Humble en 10 minutes et un administrateur Linux expérimenté écrasera Pain en deux.
Dans tous les cas, vous passez la plupart du temps à étudier et à expérimenter. C'est tout l'OSPC. Pendant que vous serez engagé dans des machines de laboratoire, vous aurez l'opportunité de communiquer avec les mêmes étudiants sur le forum. Cependant, les indices là-bas sont interdits et le meilleur que vous entendez est "Essayez plus fort!". Motivation moyenne.
Le temps dans le réseau de laboratoires prendra inévitablement fin et le temps viendra de réserver du temps pour l'examen. Et c'est peut-être là la plus grande différence entre le cours OSCP et tous les autres. Pas de questions, pas de «mettre dans le bon ordre», pas de «choisir la réponse la plus correcte». Rien de tout cela ne se produira. Il y aura un jour pour pirater 5 serveurs et un jour pour rédiger un rapport sur la façon dont vous l'avez fait. C’est tout.
Cette année, d'ailleurs, les règles ont un peu changé, et maintenant vous aurez besoin d'une webcam pour passer l'examen. Un représentant d'Offensive Security se connectera et surveillera ce qui se passe sur votre écran, ainsi que directement dans la salle. Ce n'est pas particulièrement gênant et après 15 minutes, vous l'oubliez. Hélas, c'est une conséquence inévitable de la popularité de l'examen et à la suite de tentatives de tricherie.
Dans mon cas, l'examen a duré 12 heures depuis le début jusqu'à l'accès au dernier serveur. J'ai passé quelques heures de plus à revérifier toutes les actions entreprises et à enregistrer des captures d'écran. Bingo!
Et maintenant une petite critique que l'on retrouve sur le réseau.
Tout d'abord, cher. C’est tout. Mais quelles sont les alternatives? Les cours SANS sont encore plus chers, et je n'ai entendu personne les acheter pour leur propre argent.
Deuxièmement, ils n’enseignent rien. C'est vrai, le cours OSCP seul n'enseigne rien. Dans le livre, les outils de base sont analysés de manière très superficielle, et vous saviez presque certainement tout ceci et cela, et je suis généralement silencieux sur les vidéos. Mais l'essence du cours est différente - vous devez tout vous apprendre, et pour cela toutes les conditions sont créées. Il y a trop de matière pour tenir dans un manuel.
Troisièmement, les vieilles voitures. C'est également vrai. Si je ne me trompe pas, le système d'exploitation le plus récent que j'ai rencontré sur le réseau de laboratoire était Windows Server 2012R2. Je regarde les choses de cette façon: de nouvelles vulnérabilités sont découvertes chaque jour. Imaginez combien coûterait le cours s'il était mis à jour quotidiennement? La principale chose que ce cours peut enseigner est la méthodologie, et elle est absolument indépendante de l'âge des vulnérabilités détectées. À l'examen, d'ailleurs, la situation est l'inverse - de nouvelles machines Windows 10, des noyaux de noyau linux corrigés et des trucs comme ça.
Quatrièmement, l'examen ne teste aucune connaissance. Ici, je suis obligé d'accepter, quoique partiellement. En fait, l'examen ne teste pas tant vos compétences en tant que telles, il teste vos compétences en gestion du temps, votre capacité à travailler dans des situations stressantes et votre multitâche. Le plus important est de savoir comment suivre la méthodologie et ne pas se laisser distraire lorsque la solution semble déjà évidente. Après 10 heures à l'écran, la logique peut commencer à échouer, l'attention est dispersée et vous commencez à tourner en rond. C'est là que vos connaissances fondamentales, ainsi que la capacité de distraire et de regarder le problème sous un autre angle, seront utiles.
Et ensuite? La sécurité offensive elle-même n'offre aucune des prochaines étapes de la certification. Séparément, il y a un examen sur la sécurité des réseaux sans fil, des applications Web et un peu à part est un examen pour les développeurs d'exploits.
Un certificat est, bien sûr, super, mais en fait, le meilleur que vous pouvez apprendre du cours OSCP est la connaissance. Des connaissances qui deviendront inévitablement obsolètes si vous cessez de vous engager de façon indépendante dans vos études.
Sergey Polunin ,
Chef d'équipe, Département de conception, Gazinformservice LLC
Le blog de Sergey en anglais peut être lu
ici.