Penetration tester

Kogo szukamy:

Poszukujemy sprawnej technicznie, samodzielnej, błyskotliwej osoby, której pasją jest przełamywanie zabezpieczeń. Potrafiącej spojrzeć na problemy szerzej niż z perspektywy OWASP TOP 10, ASVS, jakiejkolwiek innej metodyki, standardu czy dokumentu. Nie musi być to senior, mistrz świata lub osoba z 10-cioma certyfikatami. W wyjątkowych przypadkach może być to junior, pod warunkiem, że to jego pasja, szybko się uczy i nie będzie się bał zagłębiania w nowe tematy.

Co oferujemy:

• Pracujemy w środowisku, w którym liczy się wiedza techniczna, a nie liczba posiadanych certyfikatów, sława w branży czy liczba śledzących Cię osób na twitterze.
• Nie chodzimy na kompromisy jeżeli chodzi o naszą pracę. Stawiamy na jakość naszych testów, w każdym projekcie pasywnie biorą udział wszyscy członkowie naszego zespołu, zgłaszając pomysły, które pomagają spojrzeć na problem z innej perspektywy i prowadzą do znalezienia nowych ścieżek ataku. Przeprowadzamy modelowanie zagrożeń.
• Mamy najlepszy i najbardziej kompetentny na świecie dział office, który zadba o to, by można było skupić się na swoich zadaniach! Będziesz wiedzieć co masz robić i otrzymasz niezbędne nietechniczne wsparcie. W większości nasze projekty opierają się o manualne testy, nie będziesz operatorem Nessusa lub innego narzędzia na etat. ;) Też nienawidzimy MS Worda, dlatego napisaliśmy własne narzędzie do generowania raportów, które większość roboty robi za nas!
• Jesteśmy firmą rozproszoną - nasza praca to nie wieczny „home office”. Tworzyliśmy firmę od początku w oparciu o zdalną współpracę. Korzystamy ze wszystkich zalet takiej formy, oszczędzamy czas na dojazdy do pracy. Mamy osoby, które spędzają lato nad morzem, bo lubią. Mamy takie, które pracują z byłych miast wojewódzkich, bo są lokalnymi patriotami. Mamy osoby, które pracują z terenów wiejskich, bo lubią po pracy patrzeć na pole. Dzięki nastawieniu na taką współpracę mamy też wypracowane metody komunikacji, narzędzia i procedury, które umożliwiają nam efektywne działanie i wymianę wiedzy! Nikt z nas nie siedzi zamknięty w sobie, z obrażoną miną, ze słuchawkami na uszach, nie odzywając się do nikogo przez cały dzień, jak to ma często miejsce w open space lub pracy stacjonarnej… Zdobyliśmy zaufanie Klientów więc stacjonarnie testujemy ich tylko „od święta”. Jeżeli masz dosyć samolotów i ciągłych służbowych podróży, zapraszamy!
• Integracje - pracujemy w środowisku zdalnym, ale to nie znaczy, że się nie widujemy. Kilka razy w roku urządzamy sobie spotkania, podczas których mamy okazję odwiedzić różne miasta w Polsce np. odkryć mroczne tajemnice Łodzi, zwiedzić śląskie kopalnie lub kajakami eksplorować wrocławski odcinek Odry. Oprócz tego, jest to okazja by zwyczajnie porozmawiać o życiu, i powalczyć o przetrwanie w parku linowym czy escape roomie.
• Delegujemy odpowiedzialność - każdy z członków naszego zespołu prowadzi wybrane projekty, w których pełni funkcję lidera, będącego odpowiedzialnym za jego realizację. Będziesz kontaktował się z Klientem, dbał o poszczególne etapy projektu oraz podejmował decyzje, bez uciążliwego czekania aż zyskasz aprobatę dla swoich działań. Jeżeli lubisz być samodzielny i odpowiedzialny, bo przynosi Ci to satysfakcję, LT to idealne miejsce dla Ciebie! Jeżeli potrzebujesz mieć „kwit” na każde swoje działanie, są miejsca, gdzie spełnisz się lepiej… ;)
• Jesteśmy małą firmą i taką chcemy pozostać - dzięki temu wypracowaliśmy atmosferę, specyficzne poczucie humoru i kulturę pracy, które bardzo sobie cenimy. Pozwala to nam na większą swobodę działania zarówno wewnątrz firmy, jak i we współpracy z Klientami. Umożliwia to nam również realizację projektów, które są dla nas ciekawe i chcemy w nich uczestniczyć, m.in. telemedycyna, badanie prototypów fizycznych urządzeń, red teaming, rozwiązania wiodących firm na rynku. Odrzucamy propozycje współpracy, gdzie musielibyśmy działać wbrew naszym wartościom np. ze szkodą dla jakości pracy. Sprawnie rozwiązujemy problemy pracowników, a ważne dla rozwoju firmy decyzje podejmujemy szybko, uwzględniając przy tym opinie członków zespołu.
• Szczerość - stawiamy na otwartą komunikację, jesteśmy szczerzy wobec siebie. Pozwala nam to na osobiste doskonalenie się i przekłada się na jakość naszej pracy oraz nasze relacje. Czasem trzeba schować swoje ego do kieszeni i przetrawić na spokojnie rzeczy, z którymi się nie zgadzamy. Zdajemy sobie sprawę, że nie jest to łatwe, dlatego pracujemy z osobami, które potrafią przyjąć krytykę i skorzystać z niej, a także samemu szczerze powiedzieć, gdy widzą pole do poprawy.
• Czasem popełniamy błędy - traktujemy je jako okazję do wzrostu, otwarcie o nich opowiadamy, analizujemy przyczyny, nie szukamy winnych. Szukamy zmian systemowych, które pozwolą nam optymalizować nasze działania w przyszłości.
• Okazję do udziału w projektach od „a” do „z” - każdy pracownik może zobaczyć jak wygląda proces wyceniania (ofertę oczywiście przygotuje dział office!), jak wygląda techniczna realizacja projektu, co dzieje się po jego zakończeniu i jak przekłada się to na namacalną wartość dla naszych Klientów.
• Pracę z prawdziwymi pasjonatami (potrafimy przeglądać wszystkie filmy na youtube, żeby zbadać ekrany programistów po to aby odkryć kluczowy katalog; potrafimy spędzić kilka dni szukając błędów w grach, żeby zdobyć roota; znajdujemy błędy w popularnym oprogramowaniu; występujemy na konferencjach w kraju i za granicą dzieląc się swoją wiedzą).
• Wspieramy rozwój wszystkich członków naszego zespołu poprzez udział w konferencjach, wewnętrznych i zewnętrznych szkoleniach. Mamy ze sobą stały kontakt przy realizacji projektów, który umożliwia nam ciągłe doskonalenie się, a także ogromną wewnętrzną bazę wiedzy. Nasz ulubieniec to cotygodniowe szkolenia, prowadzone przez każdego członka zespołu. Czasem rozmawiamy o meandrach zachowania procesorów, czasem o websocketach, a czasem o pająkach, przepisie na sukces w teleturniejach telewizyjnych lub tym, jak działają jelita. ;) Mamy również budżet na zakup książek i innych pomocnych materiałów. Jeśli zechcesz, możesz brać udział w dyskusjach o tym jak działa świat, ekonomia, społeczeństwo. Dzielimy się streszczeniami książek, podcastów czy prezentacji.
• Możliwość udziału w wewnętrznych badaniach (research & destroy) - wspieramy w rozwijaniu własnych projektów związanych z bezpieczeństwem. Wyniki tych prac publikujemy na konferencjach lub na naszym blogu.
• Normalna atmosfera pracy, polubimy będziemy tolerować Twój dres i klapki.
• Elastyczny czas pracy - nie pracujemy sztywno od 8 do 16, jesteśmy elastyczni w doborze godzin (z zachowaniem core hours w środku dnia).
• Dbamy o to, żebyśmy nie pracowali po godzinach. Bardzo szanujemy czas prywatny naszych pracowników. Nie narzucamy się podczas urlopów.
• Jak wszyscy, mamy pakiet medyczny.
• ... z oczywistych względów nie pochwalimy się natomiast piłkarzykami, stołem do ping ponga, świeżymi owocami, pizzą ani wegańskim, sojowym latte. Wierzymy, że nasi pracownicy są samodzielni i sami są w stanie sobie zapewnić to, co lubią ;). (oczywiście poza integracjami - wtedy wegańskiego leczo nie brakuje!).

Czego wymagamy:

• Doświadczenia - wymagamy komercyjnego doświadczenia, niekoniecznie w świecie security, docenimy pracę z infrastrukturą sieciową, programowaniem, cloudem, devopsowaniem lub innymi obszarami IT!
• Samodyscypliny - będziemy dbać o Twój rozwój techniczny, jednak musisz wykazać się też sporą samodyscypliną wynikającą ze specyfiki pracy zdalnej. Musisz potrafić priorytetyzować zadania, nie zamiatać problemów pod dywan i wydajnie pracować, gdy nikt nad Tobą nie stoi i nie klepie po ramieniu.
• Chęci nauki i stałego rozwijania się - uważamy, że bycie pentesterem to nie tylko praca, ale w pewnym zakresie również styl życia. Musisz stale uzupełniać swoją wiedzę i pielęgnować w sobie ciekawość, która wciąż motywuje do pytania „dlaczego?”.
• Znajomości technik przełamywania bezpieczeństwa aplikacji webowych i (aplikacji mobilnych lub infrastruktury). oraz silnej chęci rozwoju w innych obszarach bezpieczeństwa. Około 70% Twojej pracy będzie wiązało się z aplikacjami webowymi, zdarzają się jednak również inne projekty, w których będziesz musiał poszerzyć swoją wiedzę z innych obszarów.
• Umiejętności programowania - na poziomie, który umożliwia zrozumienie kodu w popularnych językach oraz tworzenie narzędzi wspierających testy
• Znajomości systemu GNU/Linux - na poziomie, który umożliwia swobodne poruszanie się po systemie
• Potrafisz opisać podatność w języku polskim i angielskim - ważne, abyś potrafił czytelnie dokumentować znalezione przez siebie podatności oraz jasno komunikować się z Klientem lub innymi członkami zespołu.

Jakie będą Twoje obowiązki:

• Wykonywanie testów bezpieczeństwa:
• głównie aplikacje webowe (ok. 70% czasu pracy)
• ale również nauka i rozwój w obszarze sieci, aplikacji mobilnych, sprzętu… (ok. 30%)
• opisywanie znalezionych podatności
• Udział w tajnych operacjach - czasem chcemy zdjąć dresy, włożyć strój ninja i wykonać misję specjalną. Wrzucić pendrive przez płot, pojeździć po mieście autem z czarnymi szybami, przejść potrójną ścianę ognia czy znaleźć 0-day w rozwiązaniach, których używa Klient!
• Przeważająca część Twojego czasu pracy będzie skupiona na szukaniu podatności - nie spędzisz czasu na spotkaniach czy rzeźbiąc dokumenty w edytorze tekstów. Nasi pracownicy cenią sobie stosunek pracy technicznej do całej reszty.
• Szukamy osoby, która posiada cechy takie jak:
• Umiejętność wyszukiwania błędów na poziomie co najmniej OWASP Top 100
• Odpowiedzialność
• Samodyscyplina
• Chęć nauki
• Chęć gry w pierwszej lidze!
• Entuzjazm do pracy
• Umiejętność podstawowej komunikacji w języku angielskim (opis podatności)
• Umiejętność komunikacji i pracy w grupie
• Szczerość
• Umiejętność przyznania się do błędu
• Biegłość przynajmniej w jednym obszarze (mobilne, www, sieci, ...)
• Znajomość wielu technologii (na przeciętnym poziomie) (Linux, Java, PHP, iOS...)
• Umiejętność tworzenia narzędzi wspomagających pentesty
• Umiejętność dokumentacji swojej pracy
• Głębokie techniczne zrozumienie podatności z danych obszarów
• Umiejętność wyszukiwania podatności na bazie kodu źródłowego
• Umiejętność pracy bez nadzoru
• Techniczne zrozumienie podatności (w całości!)
• Doświadczenie (lub ekwiwalent je zastępujący - np. trzecie oko pozwalające znajdować podatności)
• Stale uzupełniana wiedza o najnowszych błędach/zagrożeniach
• Znakomita umiejętność komunikacji i pracy w grupie
• Umiejętność realizacji projektów od "a" do "z"
• Dobra umiejętność komunikacji w języku angielskim (komunikacja z podmiotami zew.)
• Proaktywne działanie

Jak wygląda nasz proces rekrutacyjny:

Proces rekrutacyjny podzielony jest na kilka etapów, transparentnie przedstawiamy go poniżej:

• Zadanie wstępne - ok. 20-45 minut. Jeżeli sprawi Ci trudność, to raczej jeszcze nie jest czas na dalszą aplikację! Ale kibicujemy w rozwoju, chętnie zobaczymy Twoje rozwiązanie i podeślemy kilka wskazówek jak się rozwinąć!
• Zadanie właściwe - ok. 2 godziny + 1-2 godziny na sfinalizowanie go
• Rozmowa - ok. 30-75 minut rozmowy i rozwiązywania zadań kanałem audio-video :)

Przy założeniu, że przejdziesz przez wszystkie etapy, całość rekrutacji powinna zająć od 3 do 6 godzin.