Há aproximadamente um ano atrás eu decidi iniciar meus estudos sobre Segurança da Informação, procurando bastante na internet acabei me deparando com um curso que prometia entregar além da teoria necessária, um ambiente prático que me ajudaria a consolidar os conhecimentos adquiridos. Após pesquisar bastante sobre pessoas que já faziam parte ou que já haviam concluído o treinamento da Desec, senti que poderia ser uma boa oportunidade de iniciar meu aprendizado na área. Fazia pouco tempo desde que eu havia me formado na faculdade de Análise de Sistemas por isso eu já tinha um certo conhecimento nas áreas de redes e programação, porém não sabia praticamente nada sobre segurança.
O treinamento da Desec é dividido em quatro partes, na primeira, eles dão acesso a uma série de vídeo-aulas que irão dar uma boa base teórica para que na segunda parte você consiga concluír exercícios de fixação, praticamente apenas com o conhecimento adquirido nas aulas é possível concluir os exercícios e conseguir o certificado do Curso de Pentest Profissional, só que o mais interessante vem em seguida.
Na terceira parte do treinamento, a Desec da acesso via VPN a um ambiente (a Corp Network) recheado de hosts com as mais variadas tecnologias para o aluno invadir e conseguir acesso a um arquivo confidencial, é a partir daí que tudo fica interessante, nesse momento apenas o conhecimento adquirido nas aulas por si só já não basta, o aluno é obrigado a aprender a pesquisar por conta própria. Nesse momento é hora de conhecer tecnologias que você nunca ouviu falar, pesquisar e entender como elas funcionam, se são vulneráveis, se é possível explorar de alguma forma ou se houve um erro do sysadmin, do desenvolvedor ou de algum outro usuário que vão lhe permitir ganhar acesso ao ambiente. Tudo isso para pontuar em uma plataforma gameficada que te permite verificar como está seu progresso em relação aos outros alunos.
Ownar toda a Corp Network foi um grande desafio pra mim, como disse antes eu não tinha praticamente nenhum conhecimento na área, algumas máquinas eu demorei meses para encontrar uma forma de explorar e/ou escalar privilégios, mas após 1 ano (trabalhando durante o dia e estudando na Corp a noite) consegui concluir todas as máquinas e partir para a ultima fase.
A quarta e última fase do treinamento é o exame final para tirar a certificação. A Desec Certified Penetration Tester (DCPT) é a primeira certificação de pentest da América Latina, para conquista-la foi preciso capturar o arquivo confidencial em 5 hosts combinando técnicas como buffer overflow, web hacking, escalação de privilégios, dentre outras em aplicações diferentes rodando em sistemas operacionais diferentes e tudo isso em 24 horas. Na primeira tentativa de realizar o exame, tive alguns problemas técnicos porém o suporte prontamente corrigiu o problema e me deu outra tentativa na qual fui aprovado, no final foi necessário enviar um relatório detalhado descrevendo passo a passo o processo de pentest como se fosse realmente para um cliente final.
O caminho foi longo e trabalhoso, principalmente pra quem tinha pouco tempo por dia para investir como foi meu caso, mas só tenho a agradecer a toda a equipe da Desec pela qualidade do treinamento, do ambiente e do suporte sempre que necessário.
