Sola Gratia, Sola Fide, Sola Christus, Sola Scriptura, Soli Deo Gloria
Setelah mendapatkan OSCP, OSWE, dan OSEP, berikutnya saya ingin mendapatkan OSED, karena akan sekalian mendapatkan OSCE3. Sebenarnya tidak ada pekerjaan yang menurut saya membutuhkan OSED saat ini, tapi karena ada waktu luang, ya kenapa nggak dicoba.
Dulu saya pernah sharing tentang Security Certification Roadmap. Ini adalah berbagai sertifikasi security yang bisa dipilih.
Lanjutkan membaca “Pengalaman Sertifikasi OSED”OffSec adalah perusahaan yang membuat Kali Linux dan Exploit DB serta memberikan sertifikasi security. Berbeda dengan kebanyakan sertifikasi security lain, sertifikasi ini sifatnya praktis, dan berlaku selamanya (tidak perlu update/retake setiap beberapa tahun). Sebelum masuk ke tipsnya, saya ingin cerita tentang apa itu ujian OffSec.
Di profesi saya yang lain (sebagai programmer/developer), saya suka memberikan test atau ujian praktis pemrograman untuk membuktikan bahwa programmer memang beneran bisa memprogram. Di dunia pentest, ini agak lebih sulit, karena target pentest bisa sangat luas, seseorang yang kebetulan menemukan bug IDOR di Google atau Facebook (mungkin sudah ahli di bidang web) mungkin akan bengong ketika diminta testing Active Directory (bidang red team). Ujian Offsec ini menurut saya yang paling dekat dengan dunia nyata untuk melihat wawasan seorang pentester.
Sebagai pembanding sertifikasi security yang lain, silakan lihat link berikut ini. Informasinya lengkap, bahkan ada informasi biaya jika mouse dihover di atas masing-masing sertifikasinya. Untuk pentest dan exploitation bisa dilihat di kanan atas adalah sertifikasi dari Offsec.
Sebelum ujian, ada materi/kelas Offsec, sifatnya belajar mandiri dengan diberi diktat dan video serta forum diskusi. Kita bisa sekedar membayar untuk mendapatkan materinya saja tanpa perlu ujian. Untuk mendapatkan sertifikasi, kita perlu mengambil ujiannya.
Ujiannya memang tidak murah, belasan hingga puluhan juta rupiah. Tapi setelah mendapatkan sertifikasi ini, Anda akan bisa “balik modal” dalam hitungan bulan.
Ujian Offsec ini cukup mendekati dunia nyata, bukan soal pilihan ganda, dan bukan sekedar mengikuti instruksi. Ada cukup banyak sertifikasi yang diberikan, yang cukup populer adalah: OSCP, OSWE dan OSEP (yang semuanya ini sudah saya ambil). Selain tiga itu, masih ada lagi beberapa sertifikasi yang lain.
Lanjutkan membaca “Tips Umum Ujian Offsec (OSCP, OSWE, OSEP)”OSEP adalah sertifikasi dari Offsec untuk pentester berpengalaman (Offsec Experienced Penetration Tester). Tidak seperti ketika saya mengambil OSCP dan OSWE yang langsung sukses, saya gagal dua kali ujian, dan baru berhasil hari ini.
Meskipun kecewa pada diri sendiri karena tidak langsung sukses, menurut saya pengalamannya tetap perlu dituliskan. Dari pencarian singkat saya, sepertinya belum ada tulisan sertifikasi OSEP dalam bahasa Indonesia yang saya temukan di internet. Semoga tips yang saya tuliskan bisa berguna supaya yang membaca ini tidak perlu mengambil 3 kali seperti saya.
Lanjutkan membaca “Pengalaman sertifikasi OSEP”Pertengahan tahun lalu saya sudah mendapatkan sertifikasi Offensive Security Certified Professional (OSCP) dan ceritanya sudah saya tuliskan di sini. Sampai saat ini saya masih tetap bekerja full time sebagai programmer dan pekerjaan security tetap hanya pekerjaan part time bagi saya, jadi sebenarnya saya tidak perlu mengambil sertifikasi lagi.
Tapi karena faktor diskon, saya jadi mengambil Offensive Security Web Expert (OSWE). Di akhir tahun 2019 ada diskon besar untuk sertifikasi OSWE, tadinya harganya 1400 USD (kurs saat ini: 21 juta kalau dirupiahkan), tapi menjadi 999 USD saja. Kebetulan saya juga punya voucher 50 USD dari offsensive security dan vouchernya bisa dipakai di atas diskonnya, jadi biayanya bisa berkurang hingga menjadi 949 USD (saat ini: 14 juta kalau dirupiahkan). Seperti ketika OSCP, Xynexis mendukung saya dalam pembiayaan sertifikasi ini. Biaya OSWE saat ini adalah 1400 USD untuk akses lab 30 hari.
Untuk memperjelas: nama sertifikasinya adalah Offensive Security Web Expert (OSWE) dan nama course yang diperlukan adalah Advanced Web Attacks And Exploitation (AWAE). Dulu pelatihan AWAE ini hanya diberikan offline saja, tapi sejak tahun lalu bisa diambil online. Dulu pelatihan offline AWAE di Blackhat 2018 di Singapore harganya 5000-5500 SGD atau sekitar 53-58 juta rupiah dengan kurs saat ini, yang hanya beda tipis dengan kurs 2018.
Saya mendaftar tanggal 19 Desember 2019, dan mendapatkan akses lab mulai 12 Januari 2020. Saya sama sekali tidak ingat mengenai sertifikasi ini. Sampai mendapatkan peringatan tanggal 14 Januari bahwa akses akan segera ditutup jika saya tidak mendownload materinya.
Lanjutkan membaca “OSWE”Posting ini akan membahas pengalaman saya mengambil sertifikasi Offensive Security Certified Professional (OSCP). OSCP merupakan sertifikasi di bidang security yang fokusnya adalah pentesting. Kebanyakan sertifikasi security hanya merupakan pertanyaan pilihan berganda, tapi dalam OSCP ujiannya adalah praktik langsung dengan mendapatkan akses ke 5 mesin dalam sebuah lab dalam waktu 23 jam 45 menit. Tidak ada soal pilihan ganda sama sekali. Setelah itu peserta perlu menulis laporan dalam 24 jam berikutnya untuk menjelaskan bagaimana bisa mendapatkan aksesnya.
Sebelum Agustus 2018 OSCP ini ujiannya tidak diawasi. Jadi seseorang diberi akses VPN ke lab, lalu ditunggu hasilnya besok. Hasilnya: banyak orang curang, memakai joki, meminta bantuan, dsb. Akhirnya sekarang OSCP ini diawasi dengan webcam dan screen sharing (istilahnya: proctored).
Buat yang tidak ingin membaca detail: saya lulus dengan akses lab 30 hari (saya hanya pakai sekitar 3 minggu) dan lulus di ujian pertama dengan skor 100 poin. Total biaya untuk sertifikasi ini dengan akses lab minimum dan sekali ujian langsung lulus adalah: 800 USD (~11 jt rupiah).
Sebenarnya bagi saya pribadi, sertifikasi ini tidak terlalu perlu. Saya masuk ke dunia security tanpa sertifikasi apa-apa. Berbagai tulisan berbahasa Inggris yang ada di blog saya tinyhack.com dan berbagai karya di github dan tulisan di blog ini sudah lebih dari cukup untuk mendapatkan tawaran pekerjaan di berbagai negara. Saya sendiri saat ini masih kerasan di Chiang Mai dalam bidang software development dan belum berniat pindah ke mana-mana.
Karena saya tidak memiliki tekanan mendapatkan sertifikasi ini, saya tidak memiliki beban sama sekali dalam mengerjakan lab dan ujiannya. Dan ini membuat saya bisa mengerjakan dan mendapatkan sertifikasinya dengan relatif mudah.
Lanjutkan membaca “OSCP”