Alcune lezioni dopo il secondo tentativo, riuscito, di certificarmi OSCP

Sono passati poco più di quattro mesi da questo post e molte cose sono cambiate e moltissime altre stanno per cambiare.

Photo by Ferruccio Berti

Sono passati poco più di quattro mesi da questo post e molte cose sono cambiate e moltissime altre stanno per cambiare.

Andiamo con ordine, perché certificarmi per l’OSCP? Diciamo che attorno tra il 2006 ed il 2008, ero in una fase di burnout decisamente importante. All’epoca di penetration test, almeno nel posto dove lavoravo io, se ne facevano veramente pochi. I clienti erano più interessanti a rassicuranti slide sul processo di sviluppo sicuro e quello fu chiesto. Mentre il mondo evolveva da una parte, cercavo di ricostruire pian piano stimoli e passioni che avevano subito un po’ troppi strattoni. Per i dettagli, solo davanti ad una birra.

OSCP quindi per riprendere un discorso con la sicurezza offensiva, lasciato in stand by da troppo tempo. Era un aspetto nel quale non mi sentivo preparato, quindi era logico approfondire di più.

Ho sempre detto, e lo sostengo anche dopo sabato sera, quando è arrivata la email che iniziava con “Dear Paolo, we are happy to inform you…“, che le certificazioni fini a se stesse non servono a nulla. Se ora, con il mio motto “Try harder” in mano, tornassi quello di inizio 2017, avrei buttato via tempo e soldi e fatto perdere a mia moglie e ai miei figli l’energia spesa per supportarmi in questa impresa.

Sì, perché a 30 anni, quando sei single, magari un po’ di tempo per studiare e bucare a destra e a manca non ti… oh… devo riscrivere manca. A 41 anni, con moglie e 2 figli, bhé… diciamo che “Try harder” non è solo un motto lasciato lì. D’altra parte serve molto supporto e molta comprensione anche da chi ti sta attorno. Soprattutto il giorno dell’esame e quello successivo.

Dicevamo, fermarsi qui sarebbe inutile e stupido. Visto che nulla ti viene regalato per caso, sarà un 2018 diverso dove spero di riuscire a costruire finalmente la mia strada.

In attesa delle novità…

Cosa ho imparato

  1. Usate una versione di Kali di quanti bit volete… l’importante è che fate degli snapshot regolarmente.
  2. Aggiornate i tool che vi servono e state attenti ai dist-upgrade. Consideratela come il vostro server di produzione, un aggiornamento del kernel può dare parecchio stress, soprattutto a pochi giorni dall’esame.
  3. Scrivetevi il vostro tool di recon o enumeration. Non per rifare il lavoro di altri, ma per capire bene le varie fasi del processo. Poi magari vi viene qualche idea buona e potete integrare tool esistenti.
  4. Studiate. Guardate video di chi è più bravo di voi. Iscrivetevi su HackTheBox, scaricate macchine da VulnHub e studiate, studiate tanto.
  5. Non abbiate paura di fallire. Riprovate. Riprovate con più convinzione fino a quando non riuscirete.

Enjoy!

comments powered by Disqus