E’ una delle domande che più spesso si sente fare.
Studiare, provare, riprovare, e provare ancora. Tenersi aggiornati. Scambiare informazioni. Studiare ancora. Non so se sia la ricetta “universale” ma sicuramente è quanto credo dovrebbe fare chiunque voglia entrare nel mondo della sicurezza informatica e del pentesting.
Ovviamente esistono anche corsi specifici che possono portare ad acquisisre una certificazione specialistica nel settore, ad esempio quelli tenuti da Tiger Security relativi alla certificazione OSCP (Offensive Security Certified Professional) o da @Mediaservice.net relativi alla certificazione OPSA (OSSTMM Professional Security Analyst).
Chi volesse avere una guida autorevole nel proprio percorso formativo può senz’altro rivolgersi a queste aziende, tenendo però ben presente che lo strumento migliore siete voi, con la vostra volontà, la vostra intelligenza, la vostra curiosità.
Siete ancora qui? Createvi un laboratorio di test con delle macchine virtuali, ad esempio utilizzando una delle distribuzioni ed applicazioni realizzate appositamente per studiare ed esercitarsi come badstore, Damn Vulnerable Linux o Damn Vulnerable Web Application,(ed anche webgoat di OWASP e metasploitable) ed iniziate i vostri esperimenti, magari utilizzando gli strumenti contenuti in BackTrack o BackBox.
E ricordatevi che l’Hacker non è un criminale.
Se volete saperne di più venite ad Orvieto il 16 luglio prossimo, per la quinta edizione di CAT – Cracca al Tesoro, il contest che mette in gioco gli hacker in una vera e propria “caccia al tesoro” dove gli indizi sono nascosti dietro le vulnerabiltà inserite nei server bersaglio appositamente installati nelle reti wireless nascoste in tutto il centro storico dallo Staff di CAT; è una occasione unica per mettere alla prova le proprie capacità, confrontarsi, imparare, crescere.
PS: Le iscrizioni (gratuite) sono già aperte!
😛 mi ricorda una domanda di un utente di qualche giorno fa sulla Italian Security Mailing List!
Eh… La domanda è frequente 🙂 Mi è stata posta anche durante la videochat che ho tenuto giorni fa su oilprojet.org. Approfitto del commento per aggiungere alla lista degli strumenti utili il progetto Webgoat di OWASP, una serie di lezioni sul testing della sicurezza dei siti web che mette a disposizione una applicazione web volutamente insicura sulla quale esercitarsi.