Voglio diventare un... Penetration Tester
La cybersecurity è al centro dell’attenzione di tutte le aziende: richiede competenze tecniche trasversali e, soprattutto, tanta curiosità.
Oggi Simone Onofri ci racconta come funziona questo settore e cosa vuol dire diventare un Penetration Tester!
Descriviti in 100 parole
Sono Simone, Director in una azienda di Cyber Security, dove svolgiamo attività di Penetration Testing e Red Teaming.
Sin da piccolo sono stato affascinato dai Computer e la curiosità mi ha spinto a smontare e rimontare software per capirne il funzionamento. Leggevo qualsiasi cosa mi capitasse tra le mani e ho cominciato a sviluppare.
Un bel giorno, mi si sono aperte le porte di Internet e mi sono addentrato su IRC dove - con diversi amici - abbiamo imparato l’assembly e a fare reversing. Amici che poi ho ritrovato in questo lavoro dopo tanti anni.
La passione mi ha dato la forza di trasformare il tutto in un lavoro.
Ho cominciato a sviluppare e a gestire reti, sempre focalizzandomi sugli aspetti di sicurezza. Da li attività sempre più sfidanti, la gestione di progetti sempre più grandi fino a dove sono ora.
In cosa consiste il ruolo di Penetration Tester?
Un Penetration Tester è una persona che simula un attacco, applicando un metodo e utilizzando strumenti e tecniche specifiche.
Spesso si lavora in solitaria, ma è in team che si ottengono i risultati migliori, in particolare su bersagli complessi (si pensi ad una rete di una grande organizzazione) dove ognuno è specializzato su un aspetto specifico.
Qual è la soft skill più importante che deve possedere una Penetration Tester?
Un noto motto nell’ambiente è “Try Harder”, quindi impegnarsi sempre di più quando affrontiamo un problema fino a che non lo risolviamo, senza demordere ai primi insuccessi e sfruttando, man mano che si fanno le prove, quello che viene definito il pensiero laterale o andare “Out of the box”.
Inoltre, lavorando in team, avere uno spirito collaborativo e di condivisione e’ fondamentale.
La maggior parte di noi utilizza i social per parlare dei propri successi, ma la realtà è che siamo quel che siamo grazie al 90% dei nostri errori. Racconta il tuo più grande fallimento da quando lavori nel settore, che però ti ha reso ciò che sei.
Mi ricollego al punto precedente.
Eravamo con un collega all’estero. L’attività era molto importante e sfidante, durata due settimane. Alla fine della prima settimana non avevamo trovato nulla di interessante ed eravamo un po’ demoralizzati, ma nonostante questo non ci siamo persi d’animo con un po’ di pensiero “out of the box” e condividendo le nostre idee e perplessità abbiamo trovato finalmente una nuova vulnerabilità che – una volta sfruttata – ci ha permesso di portare a casa ottimi risultati.
Da questo ho imparato a non arrendermi di fronte le difficoltà e che se non so una cosa oggi, la saprò domani… e che non devo mai pensare di sapere già tutto e – quando si impara – e’ fondamentale collaborare e condividere i propri dubbi.
Come fare per diventare una Penetration Tester?
Per diventare un Penetration Tester è necessario sviluppare un buon mix di competenze.
Come dice un amico: “un buon tester è spesso un buon sistemista e un buon sviluppatore, un ottimo tester è spesso un ottimo sistemista e un ottimo sviluppatore”.
Dobbiamo “conoscere il nostro nemico”, quindi se stiamo attaccando una rete Windows, dobbiamo sapere come e’ fatta e come si configura, se stiamo attaccando una rete quali sono i protocolli, come funzionano e come sono implementati.
Quindi: linguaggi di programmazione, i sistemi, i protocolli di rete e il funzionamento delle reti.
Inoltre anche una conoscenza di quelle che sono le metodologie specifiche di test (e.g. OWASP Testing Guide, OSSTMM, PTES, NESCOR, ATT&CK, NIST…).
Non può mancare la padronanza degli strumenti, che spesso ci facciamo da soli tramite un linguaggio come Python o Powershell.
Come percorso sicuramente è utile avere delle basi teoriche ma in generale è cruciale fare pratica e “sporcarsi le mani”.
Quindi è bene fare dei laboratori come anche partecipare ai Capture The Flag – che possono essere anche un interessante luogo di incontro dove conoscere persone coi nostri stessi interessi.
Pensando alle certificazioni spesso sono utili – preferendo quelle che hanno un risvolto pratico – sia per arricchire il proprio Curriculum – che come obiettivo per motivarsi.
Ultimo ma di non poca importanza, quando si fa un test dobbiamo saper spiegare e presentare i nostri risultati, quindi un po’ di “Technical Writing” non fa male.
Parlando di successi, qual è il tuo prossimo obiettivo? Quale ruolo vorresti ricoprire entro i prossimi 3 anni?
Continuare a lavorare col team su attività sempre più sfidanti, mantenendo un ambiente sereno e collaborativo.
Conosci il tema gender gap in ambito STEM? Se sì, come fare per superarlo?
Purtroppo questo è un ambiente prevalentemente maschile, e qualcuno dice per come sia stata presentata al grande pubblico la sicurezza informatica, come nel film War Games (1993). Ma se pensiamo al film Matrix (1999), non possiamo non fare riferimento all’importanza Trinity e alle sue competenze tecniche.
Ma tornando nel mondo reale - e indietro nel tempo – dobbiamo ricordarci di Margaret Hamilton: alla guida del suo team ha programmato il sistema di guida di Apollo che ha permesso nel 1969 a Neil Armstrong e a Buzz Aldrin di atterrare in sicurezza sulla Luna.
In tempi più recenti, pensando a quando lavoravo in HP, Meg Whitman ha guidato l’azienda attraverso uno dei suoi più grandi split tra HP e HPE – e di HPE è ancora CEO. I n ambito Security ho spesso notato che le Donne che lavorano nell’ambito sono molto competenti anche tecnicamente, come Valentina Palomitti (chompie), al momento Lead Security Researcher in una nota azienda americana. Questo a dimostrare che il Gender Bias è – come da traduzione letterale – un semplice pregiudizio.
Nel mio piccolo, ho sempre cercato di collaborare e assumere ragazze evitando la disparità di stipendi e trattamenti particolari ma di basarmi direttamente sulle competenze tecniche e sul potenziale di ogni persona.
Altro aspetto, che faccio nel mio quotidiano, è monitorare eventualmente problematiche di harassment e garantire una cultura del rispetto sia all’interno del team di lavoro e dell’azienda come anche dai clienti.