Una carriera nei test delle penne è una cosa rara. Di solito inizi con una carriera in una società di consulenza aziendale e in qualche modo finisci con il team di sicurezza. Inoltre, un serio test delle penne spesso riguarda tanto la sicurezza fisica e l'aderenza alle policy in generale quanto il software. Un sacco di ciò che devi imparare è appreso "sul posto di lavoro", in un lavoro o in un altro.
Consiglio vivamente di non pianificare in modo specifico una carriera nei test delle penne e invece di prepararmi a diventare un guru / oracolo della sicurezza e del software in qualsiasi azienda i tuoi viaggi ti portino. Se conosci davvero le tue cose (non solo fingi), allora tendi a farti notare e ad individuare un lavoro interessante. Se quello che ti piace, allora è una buona cosa. Si traduce anche in competenze altamente negoziabili per i concerti futuri. Le piccole aziende possono avere meno del lavoro interessante da fare, ma hai una maggiore possibilità di essere scelto per farlo.
Come suggerito, le abilità di sicurezza sono acquisite attraverso l'esperienza piuttosto che l'osmosi mentale. La sicurezza riguarda tutto il " getcha " che non avresti catturato a meno che non fossi stato qui prima, ma dall'altra parte del recinto. E ci sono molti modi (legali) per imparare il mestiere. Open-source è sempre un punto di partenza utile. Quasi tutto di importanza può essere avuto gratuitamente una volta che hai un computer decente. Ad esempio, le macchine virtuali consentono di creare complesse configurazioni di rete senza hardware di leasing.
Forse la cosa più importante; trascorri del tempo libero attorno a persone che fanno cose che vuoi conoscere. Le persone con cui lavori, per esempio. Sii gentile e cerca di essere d'aiuto, ma assicurati di non infastidirli. È incredibile quali abilità utili puoi raccogliere se tieni le orecchie aperte e molte persone vogliono solo qualcuno che le ascolti. Anche le connessioni personali sono il fattore più importante nell'aprire le porte per un lavoro nuovo e interessante.
Utilizza il tuo tempo libero per qualcosa di utile . Programmazione, lettura, hacking hardware, ecc. C'è una ragione per cui non entri in questo campo senza goderti quello che fai: è perché non saresti qui se passassi il tuo tempo libero a fare qualcos'altro.
Per quanto riguarda le lingue: C non è opzionale, ma è un posto terribile da cui iniziare. È spietato e inutile e ti fa cadere dritto in profondità. Python è sia utile che semplice, il che lo rende una buona idea. Perl è anche probabilmente non opzionale, anche se è leggermente meno semplice. È importante comprendere .NET e Java, ma non è fondamentale che tu sia bravo a programmare per loro. Una volta che sai come programmare, le nuove lingue diventano molto più facili. Ma la programmazione prende un tipo di pensiero strutturale astratto che è molto difficile da imparare per alcune persone. La sicurezza IT generale tende a fare molto affidamento su Linux / BSD poiché le persone IT preferiscono solitamente. Ma la sicurezza aziendale di solito si affida molto a Windows per motivi che gli antropologi stanno ancora cercando di capire.
As a side note, take what you hear on SN with something of a grain of salt. It's certainly an interesting show primarily because Leo is extraordinarily skilled at what he does. But Steve is as confident when he's wrong as he is when he's right, and his ideas and suggestions are a little off-kilter. I still listen to it for the news primarily because the alternatives are so painful on the ears, and in fact I've contributed an unusually large percentage of the featured "feedback". But still, bear in mind that the accuracy is only about as good as the average newspaper story -- you only notice where the mistakes are when you already know the subject matter. And I occasionally find myself shouting "no no no" at my computer when I listen to it. Though he's probably no worse than your average eccentric officemate.