من شغلم را به خاطر کار کردن در کانال یوتیوب و باگ‌‏بانتی رها کردم!

من شغلم را به خاطر کار کردن در کانال یوتیوب و باگ‌‏بانتی رها کردم!

موضوع این محتوا چیست؟ 

خب، چیزی که من در رابطه با شبکه اجتماعی نمی‌‏پسندم این است که باعث ایجاد حس بی‌‏ارزشی در ما می‌‏گردد. این احتمال وجود دارد که اگر همین الان فید توییترتان را باز کنید، توییت‌‏هایی مثل«من امروز X دلار کسب کردم» یا «من در عرض دو ساعت 3 آسیب‌‏پذیری بحرانی گزارش کردم» و مواردی مشابه را مشاهده می‌کنیم. خود من نیز هر از چند گاهی چنین کاری را انجام می‏دهم، اما در کل این کار را دوست ندارم و می‏دانم کمکی به هیچ کس نمی‌‏کند. از سوی دیگر افرادی همچون Shubs را می‌‏بینم که مسیر سفر خود را به ما نشان می‏دهد و من بسیار، بسیار به این کار احترام می‌‏گذارم. و من هم واقعاً دوست دارم که کاری مشابه یا حتی بهتر انجام دهم، چرا که از همین حالا می‏خواهم سفرم را از همان ابتدا برایتان به نمایش بگذارم.

چقدر زمان صرف باگ بانتی می‏کنم؟

چه تعداد آسیب‌‏پذیری پیدا کرده‌‏ام؟

چه برنامه‌‏ها و روش‌‏های متفاوتی برای من کارساز هستند؟

فکر می‏کنم ارزش این کار چند سال بعد و پس از اینکه تجربه زیادی کسب کردم و موفق شدم، بیشتر خود را نشان دهد.

امروز قرار است که به شما نشان دهم که پس زمینه سفر امنیت فناوری‌اطلاعات من به چه صورت است و چطور توانستم با داشتن یک کانال یوتیوب کوچکی، شغل تست نفوذم را رها کنم. امیدوارم لذت ببرید!

من سفر امنیت اطلاعات خود را تقریباً دیر شروع کردم، یعنی درست پیش از رفتن به دانشگاه. ابتدا CTF ها را کشف کردم که بسیار برایم شگفت‏انگیز و جالب بودند. در ادامه متوجه شدم که شغلی تحت عنوان تست نفوذگر وجود دارد که در آن زمان با خود فکر کردم چیزی شبیه CTF ها باشد، با این تفاوت که در مقابل انجام آن مبلغی به شما پرداخت می‏شود. اما در آن زمان نمی‏دانستم که چقدر ورود به این فیلد کاری می‏تواند دشوار باشد. با خودم فکرکردم به چندین سال دانشگاه و چندین سال تجربۀ برنامه‏‌نویسی نیاز دارم و تنها پس از گذراندن آن‏ها است که می‏توانم آرزوی تست نفوذگر شدن را داشته باشم؛ اما اشتباه می‏کردم.

شروه به باگ بانتی

پس از سال اول دانشگاه، همزمان با یادگیری امنیت در اوقات فراغتم، در سال دوم به عنوان یک تست نفوذگر شغلی یافتم. این قضیه شبیه یک رویا بود، ولی من هرگز حس نکردم انقدر خوب هستم که دیگر نیازی به یادگیری نداشته باشم. در کل، من معتاد یادگیری هستم. می‏خواهم همه چیز را درباره ابزار امنیت IT، از سازمان‏دهی زمان گرفته تا چیزهای ساده‏تری مثل کندن پوست پرتقال یاد گرفته و بهینه‏سازی کنم. من واقعاً می‏خواهم این کار را تا جایی که می‏توانم انجام دهم و به نظر می‏رسد باگ بانتی ایده‌‏آل ترین گزینه برایم باشد؛ چرا که در این حوزه تا وقتی که ریکان زیادی انجام ندهید، قادر نخواهید بود یک آسیب‏پذیری XSS ساده نیز در پارامتری رایج بیابید.

شروع باگ بانتی

رایت‏‌آپ‏های خوب خیلی زیادی در این حوزه وجود دارد که من مطالب بسیاری از آن‏ها یاد گرفتم و این گونه بود که کانال شرح گزارش‏های باگ بانتی متولد شد. من این کانال را ایجاد کردم تا سفر یادگیری خودم را مستند کرده و یک برند شخصی برای خود داشته باشم تا شاید چندین سال بعد که از انجام تست نفوذ خسته شدم، بتوانم از آن استفاده کنم. اما با مرور سریع یک سال و نیم گذشته، متوجه می‏شوم که به نوعی در حال انجام این کار به صورت تمام وقت بوده‌‏ام.

شروع به باگ بانتی

من نمی‏خواستم هر دوی این کارها (کانال یوتیوب و شغل تست نفوذ) را به طور همزمان پیش ببرم چرا که این امر زمان زیادی از من می‏گرفت. در عوض تصمیم گرفتم که شغلم را رها کنم، هر چند که تقریباً هیچ پولی به عنوان درآمد از یوتیوب به دست نمی‌‏آوردم. در حقیقت کانال یوتیوب برایم جذاب‏تر بود و من برنامۀ مشخصی برایش نداشتم، فقط می‏خواستم بدانم در صورت سرمایه‌‏گذاری زمانی بیشتر بر روی کانال و باگ‌‏بانتی چه اتفاقی خواهد افتاد.

آیا مقدار پولی که هم اکنون کسب می‏کنم از میزان حقوقی که به عنوان تست نفوذگر دریافت می‏کردم بیشتر است؟ قطعاً خیر! با این حال من هنگامی که شغلم را ترک کردم، نزدیک به درآمد یک سال در حسابم پس‌‏انداز داشتم، و اکنون با توجه به این که در حال استفاده از پس اندازم هستم، در وضعیت بسیار راحتی به سر برده و احتیاجی به پول درآوردن ندارم. هر چیزی که از طریق بانتی‌‏ها، BBRE پرمیوم یا معاملات اسپانسری به دست می‌‏آورم، به نوعی برایم به عنوان پاداش به حساب می‌آید.

هم اینک تمرکز من بر روی رشد و یادگیری بوده و امیدوارم در ادامه پول را نیز به دنبال خود داشته باشد. در حقیقت به نظر می‏رسد اوضاع به همین روال نیز پیش برود، چرا که تقریباً چهار ماه گذشته است و در این مدت نه تنها پس اندازم سوخته و تمام نشده، بلکه در واقع ماه به ماه در حال افزایش مقدار این ‏پس‌‏ا‏نداز نیز هستم. جدا از موضوع بانتی‌‏هایم، مایلم از مشترکین BBRE پرمیوم و شرکت‏هایی نظیر Detectify که اسپانسر محتوای این کانال هستند نیز تشکر کنم.

مسئله شگفت‌‏انگیز دیگر این است که حالا من رئیس خودم هستم و اوقات فراغت بیشتری دارم. با وجود این که هر از گاهی تصمیم می‏گیرم دوباره استخدام شده و ماه به ماه حقوق پایداری داشته باشم، باز هم از این که چنین ریسکی کرده و توانستم تجربه چنین زندگی را داشته باشم، بسیار خوشحالم.

دلیلی که این کانال و خبرنامه را ایجاد کردم، کمبود محتوای باکیفیتی است که مخصوص مبتدیان نباشد. هر چند که برخی مربیان بازاریابی معتقدند من اشتباه می‏کنم چرا که مبتدیان همواره بیشترین مخاطبان دوره‏‌ها هستند. خود من نیز موافقم که برگزاری دوره امنیت وب برای افراد مبتدی، صرفه اقتصادی بهتری برایم خواهد داشت. اما مسئله این است چیزی که من هم اکنون در حال انجام آن هستم برایم جالب‏تر بوده و این بیشتر از هر چیز دیگری برایم اهمیت دارد.

همین قضیه در مورد BBRE پریمیوم نیز صادق است. اگر به محتوای کاملاً مقدماتی علاقه ندارید، می‏توانید آنجا با من امنیت وب یاد بگیرید. من زیاد در بازاریابی خوب نیستم، در نتیجه چند صد مشترک در BBRE پریمیوم ندارم؛ اما آنچه حائز اهمیت است این است که همین افراد کم نیز برای حضورشان  در آنجا بسیار خوشحالند.

ممکن است بپرسید باگ ‏بانتی کجای همه این صحبت‌‏ها قرار دارد؟ از همان روز اولی که شروع به یادگیری باگ بانتی کردم، بسیار برایم جذاب بود. امکان کار کردن از هر کجای دنیا، امکان مدیریت زمان توسط خودم و در نهایت امکان دریافت پاداش بر اساس کارایی (نه بر اساس زمان اختصاص یافته)، همه آن چیزی بود که من واقعاً دوست داشتم انجام دهم. به خصوص این که عمیقاً معتقدم اگر برای باگ بانتی زمان بگذارم، موفق خواهم شد.

اما در این مسیر اشتباهات زیادی نیز مرتکب شدم. در ابتدا من مهارت‌‏های امنیتی لازم را نداشتم. در ادامه، با توجه به این که قبلاً تست نفوذگر بودم، با رویکرد تست نفوذ به باگ بانتی نزدیک شدم و تصورم این بود که باگ بانتی آسان است، ولی آسان نبود. علاوه‌براین، با در نظر گرفتن تحصیل تمام‌وقت و کار پاره‌وقت، زمان زیادی برای انجام باگ‌‏بانتی نداشتم. از زمانی که این کانال را ایجاد کردم، شرایط بدتر هم شد و من حتی دیگر نمی‏خواستم زمان باقیمانده از روزم را صرف باگ بانتی کنم. ازاین‌رو، اگر چه من خود را یک تست نفوذگر عالی می‏دانم و مهارت‏های امنیت وب خوبی نیز دارم، در حوزه باگ بانتی همچون بسیاری از شما فقط یک مبتدی به حساب می‌آیم.

شروع باگ بانتی

از حالا به بعد می‏خواهم تقریباً 50 درصد از زمانم را صرف تولید محتوا و 50 درصد بقیه را صرف باگ بانتی کنم، هر چند که زیاد در برقراری این تعادل خوب نیستم. به هر حال، من نیز در حال یافتن باگ‌‏هایی هستم که قطعاً حس شگفت‌‏انگیزی را در من ایجاد می‌کنند. من در این مجموعه، مسیر سفرم را به همراه مقادیر دقیق، زمان سپری شده و… با شما به اشتراک خواهم گذاشت.

از زمانی که دیوید شوتز مهمان پادکستم بوده، بر روی یک برنامه عمومی باگ بانتی در هکروان، بدون انجام ریکان و صرفاً با هدف درک عملکرد اپلیکیشن متمرکز شده‏‌ام. می‏توانید تا یک ماه آینده منتظر اپیزود بعدی من باشید که در آن نتیجه سپری کردن 100 ساعت روی این برنامه را برایتان به نمایش خواهم گذاشت. تا این لحظه، حدود 60 ساعت از این مدت زمان را سپری کرده‏‌ام و فعلاً نمی‏خواهم بگویم که این تجربه دقیقاً به چه شکل در حال سپری شدن است؛ همین قدر بدانید که پس از صرف تنها 2 ساعت هانتینگ بر روی این برنامه، اولین باگ آن را پیدا کردم.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *