Quanto è utile o benefico partecipare ai concorsi CTF per la mia carriera in sicurezza?

6

Sì, ci sono già delle ottime domande e risposte sui concorsi CTF su StackExhange Security. Ma prima di scendere nella tana del coniglio confrontando tutti i CTF là fuori, cercando di trovare una squadra da unirsi, e viaggiando a una conferenza per partecipare a un concorso CTF, mi piacerebbe sentire alcune opinioni su quanto possa essere utile per la mia carriera

Una delle mie maggiori preoccupazioni è che voglio imparare le reali capacità di testare le penne, non solo ora per rompere i puzzle di offuscamento del codice e per irrompere in servizi TCP immaginari.

    
posta Luke Sheppard 20.08.2012 - 08:36
fonte

3 risposte

8

I CTF sono davvero ciò che li fai (come molte altre cose nella vita).

Networking non sai mai con chi stai parlando a questi eventi o quale tipo di opportunità si presentano con le persone con cui lavori. Non sai mai chi noterà le tue abilità in questo tipo di eventi. Puoi avviare un'azienda con persone della tua squadra CTF o incontrare qualcuno che ti offre un ottimo (e) lavoro.

Come sembra : ho messo le vittorie per alcuni dei CTF che ho fatto sul mio curriculum (suppongo che io sia il diverso tipo di persona di sicurezza menzionata da bethlakshmi :-)) e questo è quasi sempre di ciò che i potenziali datori di lavoro mi chiedono.

Di solito fanno domande come

1) Che cosa hai fatto per la tua squadra?

2) Hai mai lavorato con technology they want ?

Domande sul colloquio abituali, ma sinceramente vogliono sentire parlare dell'esperienza e possono usarlo come un modo per convalidare "Questo ragazzo conosce davvero le cose che sono elencate nel suo curriculum".

Le tue paure Direi anche che la rottura di servizi TCP immaginari e di enigmi divertenti è importante per essere un buon tester di penna. Le persone che hanno le competenze per rompere quei puzzle comprendono non solo il modo di testare le penne, ma anche il "perché le cose funzionano" dietro il test delle penne. I potenziali datori di lavoro ti vedranno più desideroso di risolvere nuovi problemi, yada, yada.

Risposta È per te? Immagino che dovrai provarlo. Posso dirti che è un ottimo modo per divertirsi, fare nuove amicizie e imparare più sicurezza. Per lo meno avrai persone nel tuo team che aiuteranno a migliorare le tue capacità di test delle penne. Secondo me ne vale la pena. Per l'avanzamento di carriera ... dipende molto da dove si trova oggi la tua carriera e da dove vuoi che sia domani.

    
risposta data 20.08.2012 - 15:31
fonte
2

Posso dire di non aver mai visto qualcuno con questo nel proprio curriculum, ma in quel momento ci sono molti tipi diversi di addetti alla sicurezza. Ho assunto persone di tipo test di penna, cioè persone che sono più concentrate nel demolire il muro, non nel costruirlo più in alto ... ma principalmente i miei team sono stati composti da muratori e analisti, quindi è un punto giusto che Non sono il migliore da chiedere, poiché il mio lavoro richiede raramente il reclutamento a questo gruppo demografico.

Penserei che la combinazione del social network che costruisce e pensi a far crollare le cose sarebbe utile, e che lo stai facendo in modo legale e sanzionato è importante. Penso che siamo passati oltre i giorni in cui crackare un sistema aziendale in stile Kevin Mitnick sarebbe stato tutt'altro che un ostacolo, quindi se stai cercando un modo per incontrare persone con interessi simili e ottenere un po 'di tempo in quest'area , Direi che è una buona cosa.

Dirò che l'unica cosa che mi manca è che i problemi di sicurezza organizzativa sono raramente semplici quanto il lato tecnico (piuttosto complicato). Vendere la tua scoperta, spiegare alla direzione, documentarla e dimostrare di aver fatto tutte le ricerche che puoi fare sono importanti per un lavoro in questo campo come le prime abilità di testare la penna ... e non sono sicuro di alcuna forma di lo scenario di gioco ti porterà lì ...

    
risposta data 20.08.2012 - 15:23
fonte
2

Nel Regno Unito, e ottenere la trazione in un paio di altri paesi è il test CREST. Potrebbe essere visto come una sorta di cattura della bandiera, ma con un ambiente molto reale e stimolante che la tua capacità di comprendere e penetrare è valutata contro.

Ottenere CREST test cert è lo standard di test di penetrazione riconosciuto nel Regno Unito, quindi questo aiuterà definitivamente il tuo CV nei test di sicurezza.

Per i CTF in generale, possono essere visti come utili extra sul tuo CV, ma dipenderanno da dove vuoi andare. Non sarebbe una delle prime cose che cercherò, ma potrebbe essere un buon inizio di conversazione.

    
risposta data 23.08.2012 - 17:54
fonte

Leggi altre domande sui tag