Jakiś czas temu napisałem tekst poświęcony programowi nauczania przygotowanemu przez firmę HackerU oraz uczelnię Collegium Da Vinci. Zastanawiałem się w nim czy możliwe jest wejście w branżę cyberbezpieczeństwa po niespełna rocznym procesie kształcenia. Na pierwszy rzut oka wydaje się to raczej niemożliwe. Pierwsza edycja wspólnego przedsięwzięcia HackerU i poznańskiej uczelni spotkała się też z pewnymi zarzutami dotyczącymi kwestii organizacyjnych. W podsumowaniu tamtego tekstu uznałem jednak, że z ostateczną oceną warto byłoby się wstrzymać do czasu, aż pierwsi absolwenci zakończą naukę i będą w stanie dokonać całościowej oceny.
Minął mniej więcej rok od czasu pierwszego naboru i tak się szczęśliwie złożyło, że udało mi się nawiązać kontakt z jednym ze studentów, którzy w maju 2021 roku zakończyli naukę w ramach kursu i chętnie podzielił się on swoimi spostrzeżeniami. Ustaliliśmy, że aby ocena była w miarę pełna i obiektywna, ja przygotuję pytania, a on postara się na nie rzetelnie odpowiedzieć. Poniżej znajdziecie zapis tego wywiadu.
Pytanie: Z jakiego poziomu startowałeś – czy miałeś doświadczenie w IT lub security, a jeśli tak to jakie? Ile ewentualnie lat w jakiej dziedzinie wcześniej się kształciłeś lub pracowałeś?
Do kursu przystąpiłem z praktycznie niewielką wiedzą dotyczącą cyberbezpieczeństwa. Wcześniej nie pracowałem w branży IT. Interesowałem się jedynie słynnymi atakami hackerskimi na duże organizacje i przedsiębiorstwa.
Pytanie: Kiedy zacząłeś naukę z kursem HackerU?
Przygodę z HackerU rozpocząłem w kwietniu 2020. Już wtedy widziałem, że pandemia zdezorganizuje życie codzienne i zmieni także moje plany. Byłem zmuszony zamknąć własną działalność i zacząć robić coś bardziej perspektywicznego i odpornego na warunki zewnętrzne.
Pytanie: Którą wersję kursu przerabiałeś RedTeam czy BlueTeam i czy miałeś wpływ na wybór grupy, czy została ona narzucona?
Początkowo chciałem dołączyć do grupy Blue Team, jednak okazało się, że w pierwszej edycji wystartuje tylko program Red Team. Ta ścieżka była rozszerzona o moduł Python for ethical hacking. Z perspektywy czasu uważam, że wprowadzenie do Pythona było zdecydowanie potrzebne, szczególnie, że wcześniej miałem kontakt tylko z Basic’iem i Pascal’em.
Pytanie: Jak poszły Ci pierwsze dwa etapy weryfikujące? Jak wyglądały kwalifikacje do kolejnych etapów i czy miałeś z nimi jakieś problemy?
Mój egzamin po pierwszym etapie zaginął. Po dwóch tygodniach bez odpowiedzi okazało się, że muszę go zaliczyć ponownie. Było trudniej, ponieważ było więcej pytań otwartych. Koniec końców zaliczyłem i zostałem zakwalifikowany do kolejnego etapu.
Drugi etap zaliczyłem bez większych problemów. Jednak miałem małą przygodę. Przy ostatnim pytaniu odświeżyłem przeglądarkę i wyczyściło mi zawartość wszystkich formularzy. Ostatnie 20 minut w pośpiechu odtwarzałem zawartość formularzy. I znowu się udało.
Pytanie: Jak wyglądał przebieg nauki, a przede wszystkim jaki był Twój odbiór w porównaniu do oczekiwań przed kursem. Ile zajęć było online, ile stacjonarnie (o ile w ogóle takie były). Jak często odbywały się zajęcia i ile trwały?
Pracowaliśmy w cyklach wykładów weekendowych. Od początku sierpnia 2020 do połowy maja 2021 każda sobota i niedziela po 8 godzin. Kurs miał tylko, albo aż 4 przerwy na święta w sierpniu, listopadzie, grudniu i kwietniu.
Nauka zorganizowana była tylko zdalnie, co moim zdaniem miało ogromne zalety. Przede wszystkim ze względu brak konieczności poświęcania dodatkowego czasu i środków na dojazdy do uczelni.
Pytanie: Czy następowały jakieś zmiany w programie/harmonogramie w stosunku do tego co ustalono na wstępie? Czy były to zmiany istotne, powodujące np. niedotrzymanie zapisów umowy?
Było kilka zmian związanych z brakiem możliwości wykonania niektórych zadań laboratoryjnych, a nawet ich symulacji w środowisku laboratoryjnym prowadzącego. Czas ten wypełniliśmy jednak pracowicie szlifując umiejętności na platformach CTF.
Pytanie: Jak dawałeś sobie radę z materiałem? Czy wymagało to Twojej dodatkowej pracy poza zajęciami? Domyślam się, że pewnie tak, więc daj też proszę znać jak dużo własnej pracy musiałeś poświęcić na rozwój?
Po ilości zajęć, można wnioskować, że przekazanego materiału było odpowiednio dużo. I to prawda. Należało sobie w jakiś sposób narzucić własny harmonogram i studiować niezrozumiałe zagadnienia poza kursem. Ja pracowałem średnio 40h w tygodniu (poniedziałek-piątek) w zależności od dostępnego czasu.
Pytanie: Czy w programie zajęć były przewidziane zadania do wykonania poza zajęciami lub wskazane materiały do przerobienia? Czy może sam musiałeś uzupełniać wiedzę szukając treści na własną rękę?
Program kursu HackerU Red Team Specialist zakładał wykonanie odpowiednich zadań, głównie typu CTF i zgromadzenie minimalnej liczby punktów na platformie Cywar. Mi udało się osiągnąć punktowe minimum na 3 miesiące przed zakończeniem kursu.
Szukanie wiedzy i chęć do nauki własnej to lwia cześć profesji etycznego hackera. Technologia rozwija się tak dynamicznie, że bez samodyscypliny i zaangażowania szybko możemy zostać w tyle. Także tylko szukanie wiedzy na własną rękę prowadzi do wymiernych rezultatów.
Pytanie: Czy był jakiś podział na bardziej i mniej zaawansowanych, czy nauka dla wszystkich przebiegała tak samo? Chodzi mi głównie o dostosowanie formy i programu do różnego poziomu wiedzy uczestników. Jak sobie z tym radzono?
Grupa była bardzo zróżnicowana, jeżeli chodzi o poziom podczas rozpoczęcia kursu. Ja plasowałem się na początkowym etapie gdzieś na końcu składu, czyli w czwartej dziesiątce na 40 studentów.
Pamiętam, że początkowo, prowadzący czekali za outsiderami, ale po połowie kursu poziom był już wyrównany.
Pytanie: Jak wyglądała weryfikacja wiedzy studentów? Czy były jakieś testy i egzaminy w trakcie kursu, czy tylko jakiś test na koniec? Jak to wyglądało – testy, zadania online, egzaminy?
Oprócz platformy Cywar, każdy moduł podsumowany był egzaminem składającym się z 20 pytań: 15 zamkniętych i 5 otwartych. Egzamin przygotowany był w języku angielskim i także po angielsku należało udzielać odpowiedzi. W sumie należało zaliczyć 9 egzaminów ze średnim wynikiem 70%.
Pytanie: Ile w sumie trwała nauka w ramach kursu od pierwszych zajęć do jego ukończenia?
Kurs obejmował 580h lekcyjnych licząc wszystkie etapy wraz z kursem kwalifikacyjnym.
Pytanie: Czy udało Ci się znaleźć lub zmienić pracę po ukończeniu kursu i czy otrzymałeś ofertę pracy od HackerU zgodnie z umową? Jeśli tak to jakie kryteria należało spełnić aby otrzymać pracę?
Obecnie jestem na etapie aktywnego poszukiwania pracy.
Pytanie: Jeśli zaoferowano Ci pracę, to jak to wyglądało? Konkretne stanowisko za określoną stawkę, czy możliwość jakiegoś wyboru, negocjacji?
Prowadzę rozmowy w temacie pracy dodatkowej na niepełny wymiar czasu pracy z firmą zajmującą się cybersecurity.
Pytanie: Jak byś ocenił całe przedsięwzięcie? Jesteś zadowolony? Zdecydowałbyś się ponownie? Polecasz?
Mocną stroną kursu jest przerobiony szeroki zakres tematyczny, gdzie każdy może wybrać coś interesującego dla siebie. Według mnie rolą kursu jest nakierowanie i zainteresowanie studentów danym zagadnieniem. Następnie tylko systematyczna praca własna oraz determinacja może prowadzić do oczekiwanych efektów.
Kurs uczy z pewnością poszukiwania rozwiązań na własną rękę z pomocą znanych, albo nieznanych jeszcze narzędzi. Ale przede wszystkim umiejętności radzenia sobie w przypadkach, kiedy po prostu „nie działa”.
Jeżeli miałbym ponownie zostać studentem HackerU to na pewno bym się zdecydował. Kurs polecam osobom, które chcą zmienić zawód lub po prostu się dokształcić. Ci pierwsi będą mieli trochę więcej do nadrobienia, ale dla chcącego nic trudnego.
Pytanie: Jeśli mógłbyś coś poprawić, to co byś zmienił?
Dobór pewnych wykładowców w pierwszej edycji okazał się nietrafiony. Posiadali oni wprawdzie bardzo dużą wiedzę, ale mieli problemy z przejrzystym jej przekazaniem. Po otrzymaniu od studentów takiego feedbacku, HackerU szybko stanęło na wysokości zadania. Zorganizowanie nowych, sprawdzonych wykładowców zajęło 2 tygodnie i pozwoliło wrócić do zaplanowanych ram kursu.
Pytanie: Czy pojawiły się jakieś dodatkowe, nieprzewidziane koszty?
Nie.
Podsumowanie
Z powyższej rozmowy wynika, że osoba, która dysponuje odpowiednią motywacją i dużą ilością czasu (40 godz. własnej pracy tygodniowo) jest w stanie ukończyć kurs pomimo braku wcześniejszego doświadczenia w branży IT. Po dodatkowych pytaniach dowiedziałem się jeszcze, że mój rozmówca jest absolwentem Politechniki Poznańskiej na kierunkach związanych z inżynierią materiałową oraz zarządzaniem jakością i wcześniej pracował w branży produkcyjnej.
Mam nadzieję, że ten wpis pomoże podjąć decyzję tym, którzy zastanawiają się nad zmianą kariery i zadają sobie pytanie czy to w ogóle możliwe. Moim zdaniem i zdaniem mojego rozmówcy da się to zrobić. Nikt jednak nie może obiecać, że będzie to łatwe.
Jeśli interesuje Cię rozwój kariery w kierunku cyberbezpieczeństwa, koniecznie zostaw też poniżej swój e-mail. Przygotowujemy unikalny program e-mail mentoringu dla osób takich jak Ty. Szczegóły poznasz już wkrótce.
A gdzie szukać pracy?
Jeśli natomiast jesteś już na etapie szukania swojej pierwszej pracy, polecam Twojej uwadze agregator ogłoszeń Jobble, który zawiera oferty pracodawców z ponad 70 krajów, w tym z Polski. Znajdziesz go pod adresem: https://pl.jooble.org/praca-online
Brakuje informacji czy absolwent kursu podchodził i zdał egzamin OSCP.
A jeśli tak to za którym razem i na ile HackerU mu w tym pomogło…
Ciekawe, czy po ponad 12 mies. znalazł pracę i jak wygląda obecnie jego sytuacja.