mike_vazovski сказал(а):
Всем крутым бобрам этого заведения общенародный салам лексус!
Не думаю что из этой статьи выйдет какой то бабах нонсенс, но... как говорится, такая мудрая мысль только у меня и Майкла Джексона.
История касается саморазвития, очковтирательства со стороны инфоцыган которые обещают всеголишь за 120 тысяч деревянных научить тебя пенетрации (веб приложений), SOC аналитике (вас чикибамбонят а мы смотрим как куколды) и прочие банальной вещи из разряда криминалистика, сети и OSINT.
Давайте я попробую рассказать свою историю длиной три года. История в философии обучения и восприятия материала. Для меня новый опыт, я не верю в бога, но верю в судьбу. Каждому из нас встречаются нужные люди, полезная информация и все на самом то деле не случайно)))Год первый - чем больше читаешь книжек, тем умнее. Не работает. Начал ручками ковыряться в базовых моментах линукса - окэй, с пивом пойдет, но стимула нет. А что если монетизировать стимул саморазвиваться? Давай попробуем. Тебе пишет дяденька по отклику из белой фриланс площадки. Здравствуйте, я купил курс за 150 К на скил боксе но так и не стал анальным хакером с зарплатой 200К, все также работаю в пятерочке, помогите мне взломать OWASP Juice Shop.
Представьте обезьянку которая хлопает руками - это я. И тут меня накрывает мысль - вот он стимул. Поясняю: тебя человек просит пройти за него курс за 150К на которые тебя впадлу брать кредит (зачем брать образовательный кредит если за тебя его взял мамонт) и еще говорит, я заплачу тебе. И тут у тебя самого в голове включается режим цыгана. Ты говоришь - Я того все какой специалист, любой каприз за ваши деньги. Тебе скидывают качественный материал, дают доступ к материалам, просто бери и решай.
Тут есть тонкая грань, это дело каждого. Я жду в том числе негативной критики о том, какой я жопошник.
Ну так вот. Осознавая груз ответственности перед человеком по ту сторону экрана, свой низкий уровень грамотности в данных вопросах и предоставленной для тебя возможностью - ты заряжаешь человеку стоимость своих услуг 1500-2500 (в зависимости от сложности) червонцев за полтора часа своей мозговой деятельности, и 15К за решение дипломной работы, которая заключается в расследовании образа дампа ПЗУ в формате .E01. За это время, образно говоря, полторы недели по 1.5 часа в день ты напрягаешь свои мозги, играешь в ролевые игры с дик пиком(. deepseek.com), gpt( chatgpt.com), квином(chat.qwen.ai), файндом(phind.com) и прочими твоим виртуальными друзьями, потомучто... но кто нафиг кроме них тебе реально поможет если ты в разговоре с ними представишься: инвалидом которому нужны деньги, юным химиком в виртуальной игре "Мефедронщик", или ублюдком хакером который в противоположном мире спасает человечество от обфусцированных reverse-shell полезных нагрузок.Год второй, на пике репететиторства, консультаций и выполнения работ по написанию, разработке, аналитике, пробивам, и прочей хуете начинаешь рисовать в голове свой roadmap.sh
Отфильтровав ненужный шлак, определив свои интересы ты просто за вечерние вечера под пивом делаешь 40-60К в месяц. Согласитесь, этого вполне достаточно молодому телу чтобы покрыть базовые движняки и не питаться дошираками. Никакой ответственности за черные дела, потому-что это только образовательная деятельность. И в принципе то все окей. (в принципе)
Винстон, мы идем не по ой дорожке. МЫ научились на лету обучаться, мы научили искать полезную информацию и отрабатываем атаки в формате взлома настроенного самими же нами киберполигона на VmWare Esxi который добродушно предоставил нам очередной мамонт из питерского политеха из факультета кибербезопасности. Окээээй. Что дальше? Мы научились пользоваться CraxMap шмекс пэкс фекс Exec, мы поняли что нижнее белье windows - это smb, GPO, BlueKepp и EthernalBlue. Ну вы меня поняли.
В чем собственно проблема?
На этом этапе мы имеем:
Навыки поиска информации
Навыки знания о том, что такое Github, как на нем что то искать, находить и использовать в своих целях
Можем разобраться в командной строке, админ морде управления
Мы знаем что такое клиент-серверная архитектура
Мы своими руками умеем ковыряться и админить AD
Мы своими ручками умеем отправлять пакеты, снифить их, умеем работать с трафиком
Мы умеем пользоваться фреймворками для создания ВПО, понимаем что такое payload (мешок с говном)
Мы можем абстрактно сообразить как работают механизмы автоматизации на bash, python или как это сделать через GUI
Мы научились экономить на своем впн, прокси и обходим региональные блокировкиОбобщим известные нам направления:
- Администрирование
- Линукса и Виндовс в понимании концепции ядра ОС
- Веб
- OSINT
- Форензика
- Разработка, анализ, эксплуатация и обфускация ВПО
- Социальная инженерия
- Телеграмм боты в понимании концепции клиент-сервер, API и Big Data
- (тут не полный список, позже дополню)
Особняком стоят источники:
- deepseek.com
- chatgpt.com
- chat.qwen.ai
- phind.com
Отдельно хочу выделить две вещи: replit.com и cursor.com - с использованием данных тело движений вы можете сначала через GPT писать промпт запросы с техзаданием, а затем это тех задание скармливать в эту мясорубку и она вам будет выплевывать файл проект который с установлением зависимостей, баз данных и прочей дрочи будет выдавать полностью рабочий проект.
Это лично мой опыт, мои грабли и моя история. Я готов признавать неточности которые я тут пишу, но все же - какие есть. Пускай этот роадмап даст ответы между строк тем, кто что то пропустил на своем пути.
Вроде бы уже легче пишется. Идем дальше.
Дальше - разъеб. Начинается покер. https://github.com/Orange-Cyberdefense/GOAD - Нет, это не игры престолов, Боров!
Если досконально - тут стек технологий виртуализации и еще кое чего. Docker, Ansible, Vagrant, HyperV, VmWare - матрешка, по факту
Воедино за минимальное время разворачивается лес доменов и хостов Active Directory на которых можно отработать все возможные вектора атак.
Вот только вопрос, а план у нас есть?
Ясен х*й, вот же он orange-cyberdefense.github.io/ocd-mindmaps
Что мы имеем? Мы имеем критическую массу навыков и опыта, до сих пор без черных дел. Но тут все как в той истории. Мы своей энергетикой и навыками привлекаем других, более способных ребят, не скажу что в моем случае это отбитые уголовники которых ищет ФБР, но они что-то знают. Они Умнее, способнее, они аккуратные, они двуми строчками из контекста разговора придают тебе смысл твоих действий, учат консервативности и критическому мышлению. Становится тяжелее уснуть, Ты реально чтото знаешь и понимаешь что с чем связано.
Как то раз я наткнулся на канал маминых хакеров, hackyourmom.com/en Что сказать? У меня много мыслей по этому поводу, Пока что они останутся при мне. Жду вашего мнения.
Третий год
Очередное перегорание с оговорочкой. Я умею. Я понимаю. Я осознаю ответственность, Я хочу копать глубже.
Что мне для этого нужно:
Промпт инжиниринг для автоматизации скриптов
Применение консервативных инструментов, минимум интерфейса
Еще более критическое мышление
Нужен качественный досуг без алко и веществ. Я никогда не употреблял и не буду, иногда прибухиваю, однако сейчас пришел к тому что самое эфективное - спорт, ЗОЖ и хороший сон.
Нужно уметь искать в примитивных инструментах альтернативное применение. Приведу очень простой пример и вы все сами поймете.
Тривиальная задача - напиши поисковик по типу Шодана или Фофы. Нет, без API, напиши черт возьми парсер который будет искать таргеты и по плагинам тебе отсвечивать дырки в сервере. Думаю, если ты сможешь это сделать, стоит будет говорить о комерческой выгоде?)
Вот и я о том же.
прошу строго не судить, всех несогласных во мнении читателей жду в комментах! спасибо за внимание
©Майк Вазовски
Нажмите, чтобы раскрыть...
Не по тематике конечно, много воды, чуть страдает подача, ну а так прикольно...