Poszukiwany pentesterka/pentester WWW, Security Ninja (忍者)
Rozumiemy, że zmiana pracy to ważna sprawa w życiu. Dlatego wierząc w transparentność i komunikację, przygotowaliśmy ogłoszenie, które powinno odpowiedzieć na sporo pytań.
Kim jesteśmy?
Od ponad 16 lat jesteśmy mistrzami świata w testowaniu bezpieczeństwa! Jesteśmy małym, eksperckim zespołem. Skupiamy się na technicznych aspektach, lubimy ciekawe projekty, stawiamy na jakość wykonywanych przez nas testów. Czym się zajmujemy i kto jest naszym Klientem, sprawdzisz na naszej stronie internetowej.
Kogo szukamy?
Poszukujemy sprawnej technicznie, samodzielnej, błyskotliwej osoby, której pasją jest przełamywanie zabezpieczeń. Potrafiącej spojrzeć na problemy szerzej niż z perspektywy OWASP TOP 10, ASVS, jakiejkolwiek innej metodyki, standardu czy dokumentu. Nie musi być to senior, mistrz świata lub osoba z 10-cioma certyfikatami. W wyjątkowych przypadkach może być to junior, pod warunkiem, że to jego pasja, szybko się uczy i nie będzie się bał wgłębienia w nowe tematy.
Co oferujemy:
- Pracujemy w środowisku, w którym liczy się wiedza techniczna, a nie liczba posiadanych certyfikatów, sława w branży czy liczba śledzących Cię osób na twitterze.
- Nie chodzimy na kompromisy jeżeli chodzi o naszą pracę. Stawiamy na jakość naszych testów - każdy z projektów realizowany jest przez minimum dwie osoby. W każdym projekcie pasywnie biorą udział wszyscy członkowie naszego zespołu, zgłaszając pomysły, które pomagają spojrzeć na problem z innej perspektywy i prowadzą do znalezienia nowych ścieżek ataku. Przeprowadzamy modelowanie zagrożeń.
- Mamy najlepszy i najbardziej kompetentny na świecie dział office, który zadba o to, żebyś mógł skupić się na swoich zadaniach! Będziesz wiedział co masz robić i otrzymasz niezbędne nietechniczne wsparcie. W większości nasze testy opierają się o manualne testy, nie będziesz operatorem Nessusa lub innego narzędzia na etat. ;) Też nienawidzimy MS Worda, dlatego napisaliśmy własne narzędzie do generowania raportów, które większość roboty robi za nas!
- Jesteśmy firmą rozproszoną - nasza praca to nie wieczny “home office”. Tworzyliśmy firmę od początku w oparciu o zdalną współpracę. Korzystamy ze wszystkich zalet takiej formy, oszczędzamy czas na dojazdy do pracy. Mamy osoby, które spędzają lato nad morzem, bo lubią. Mamy takie, które pracują z byłych miast wojewódzkich, bo są lokalnymi patriotami. Mamy osoby, które pracują z terenów wiejskich, bo lubią po pracy patrzeć na pole. Dzięki nastawieniu na taką współpracę mamy też wypracowane metody komunikacji, narzędzia i procedury, które umożliwiają nam efektywne działanie i wymianę wiedzy! Nikt z nas nie siedzi zamknięty w sobie, z obrażoną miną, ze słuchawkami na uszach, nie odzywając się do nikogo przez cały dzień, jak to ma często miejsce w open space lub pracy stacjonarnej… Zdobyliśmy zaufanie Klientów więc stacjonarnie testujemy ich tylko “od święta”. Jeżeli masz dosyć samolotów i ciągłych służbowych podróży, zapraszamy!
- Integracje - pracujemy w środowisku zdalnym, ale to nie znaczy, że się nie widujemy. Kilka razy w roku urządzamy sobie spotkania, podczas których mamy okazję odwiedzić różne miasta w Polsce np. odkryć mroczne tajemnice Łodzi, zwiedzić śląskie kopalnie lub kajakami eksplorować wrocławski odcinek Odry. Oprócz tego, jest to okazja by zwyczajnie porozmawiać o życiu, i powalczyć o przetrwanie w parku linowym czy escape roomie.
- Delegujemy odpowiedzialność - każdy z członków naszego zespołu prowadzi wybrane projekty, w których pełni funkcję lidera, będącego odpowiedzialnym za jego realizację. Będziesz kontaktował się z Klientem, dbał o poszczególne etapy projektu oraz podejmował decyzje, bez uciążliwego czekania aż zyskasz aprobatę dla swoich działań. Jeżeli lubisz być samodzielny i odpowiedzialny, bo przynosi Ci to satysfakcję, LT to idealne miejsce dla Ciebie! Jeżeli potrzebujesz mieć “kwit” na każde swoje działanie, są miejsca, gdzie spełnisz się lepiej… ;)
- Jesteśmy małą firmą i taką chcemy pozostać - dzięki temu wypracowaliśmy atmosferę, specyficzne poczucie humoru i kulturę pracy, które bardzo sobie cenimy. Pozwala to nam na większą swobodę działania zarówno wewnątrz firmy, jak i we współpracy z Klientami. Umożliwia to nam również realizację projektów, które są dla nas ciekawe i chcemy w nich uczestniczyć m.in. telemedycyna, badanie prototypów fizycznych urządzeń, red teaming, rozwiązania wiodących firm na rynku. Odrzucamy propozycje współpracy, gdzie musielibyśmy działać wbrew naszym wartościom np. ze szkodą dla jakości pracy. Sprawnie rozwiązujemy problemy pracowników, a ważne dla rozwoju firmy decyzje podejmujemy szybko, uwzględniając przy tym opinie członków zespołu.
- Szczerość - stawiamy na otwartą komunikację, jesteśmy szczerzy wobec siebie. Pozwala nam to na osobiste doskonalenie się i przekłada się na jakość naszej pracy oraz nasze relacje. Czasem trzeba schować swoje ego do kieszeni i przetrawić na spokojnie rzeczy, z którymi się nie zgadzamy. Zdajemy sobie sprawę, że nie jest to łatwe, dlatego pracujemy z osobami, które potrafią przyjąć krytykę i skorzystać z niej, a także samemu szczerze powiedzieć, gdy widzą pole do poprawy.
- Czasem popełniamy błędy - traktujemy je jako okazję do wzrostu, otwarcie o nich opowiadamy, analizujemy przyczyny, nie szukamy winnych. Szukamy zmian systemowych, które pozwolą nam optymalizować nasze działania w przyszłości.
- Okazję do udziału w projektach od “a” do “z” - będziesz mógł zobaczyć jak wygląda proces wyceniania (ofertę oczywiście przygotuje dział office!), jak wygląda techniczna realizacja projektu, co dzieje się po jego zakończeniu i jak przekłada się to na namacalną wartość dla naszych Klientów.
- Pracę z prawdziwymi pasjonatami (potrafimy przeglądać wszystkie filmy na youtube, żeby zbadać ekrany programistów po to aby odkryć kluczowy katalog; potrafimy spędzić kilka dni szukając błędów w grach, żeby zdobyć roota; znajdujemy błędy w popularnym oprogramowaniu; występujemy na konferencjach w kraju i za granicą dzieląc się swoją wiedzą).
- Wspieramy rozwój wszystkich członków naszego zespołu poprzez udział w konferencjach, wewnętrznych i zewnętrznych szkoleniach. Mamy ze sobą stały kontakt przy realizacji projektów, który umożliwia nam ciągłe doskonalenie się, a także ogromną wewnętrzną bazę wiedzy. Nasz ulubieniec to cotygodniowe szkolenia, prowadzone przez każdego członka zespołu. Czasem rozmawiamy o meandrach zachowania procesorów, czasem o websocketach, a czasem o pająkach, przepisie na sukces w teleturniejach telewizyjnych lub tym, jak działają jelita. ;) Mamy również budżet na zakup książek i innych pomocnych materiałów.
Jeśli zechcesz, możesz brać udział w dyskusjach o tym jak działa świat, ekonomia, społeczeństwo. Dzielimy się streszczeniami książek, podcastów czy prezentacji.
- Będziesz brał udział w wewnętrznych badaniach (research & destroy) - wspieramy w rozwijaniu własnych projektów związanych z bezpieczeństwem. Wyniki tych prac publikujemy na konferencjach lub na naszym blogu.
niekorporacyjna normalna atmosfera pracy, polubimy będziemy tolerować Twój dres i klapki.
- Elastyczny czas pracy - nie pracujemy sztywno od 8 do 16, jesteśmy elastyczni w doborze godzin (z zachowaniem core hours w środku dnia).
- Dbamy o to, żebyśmy nie pracowali po godzinach. Bardzo szanujemy czas prywatny naszych pracowników. Nie narzucamy się podczas urlopów.
- Jak wszyscy, mamy pakiet medyczny.
- ... z oczywistych względów nie pochwalimy się natomiast piłkarzykami, stołem do ping ponga, świeżymi owocami, pizzą ani wegańskim, sojowym latte. Wierzymy, że nasi pracownicy są samodzielni i sami są w stanie sobie zapewnić to, co lubią ;). (oczywiście poza integracjami - wtedy
pizzywegańskiego leczo nie brakuje!).
Czego wymagamy
- Samodyscypliny - będziemy dbać o Twój rozwój techniczny, jednak musisz wykazać się też sporą samodyscypliną wynikającą ze specyfiki pracy zdalnej. Musisz potrafić priorytetyzować zadania, nie zamiatać problemów pod dywan i wydajnie pracować, gdy nikt nad Tobą nie stoi i nie klepie po ramieniu.
- Chęci nauki i stałego rozwijania się - uważamy, że bycie pentesterem to nie tylko praca, ale w pewnym zakresie również styl życia. Musisz stale uzupełniać swoją wiedzę i pielęgnować w sobie ciekawość, która wciąż motywuje do pytania “dlaczego?”.
- Znajomości technik przełamywania bezpieczeństwa aplikacji webowych i (aplikacji mobilnych lub infrastruktury). oraz silnej chęci rozwoju w innych obszarach bezpieczeństwa. Około 70% Twojej pracy będzie wiązało się z aplikacjami webowymi, zdarzają się jednak również inne projekty, w których będziesz musiał poszerzyć swoją wiedzę z innych obszarów.
- Potrafisz opisać podatność w języku polskim i angielskim - ważne, abyś potrafił czytelnie dokumentować znalezione przez siebie podatności oraz jasno komunikować się z Klientem lub innymi członkami zespołu.
Jakie będą Twoje obowiązki
- Wykonywanie testów bezpieczeństwa:
- głównie aplikacje webowe (ok. 70% czasu pracy)
- ale również nauka i rozwój w obszarze sieci, aplikacji mobilnych, sprzętu… (ok. 30%)
- opisywanie znalezionych podatności
- Udział w tajnych operacjach - czasem chcemy zdjąć dresy, włożyć strój ninja i wykonać misję specjalną. Wrzucić pendrive przez płot, pojeździć po mieście autem z czarnymi szybami, przejść potrójną ścianę ognia czy znaleźć 0-day w rozwiązaniach, których używa Klient!
- Przeważająca część Twojego czasu pracy będzie skupiona na szukaniu podatności - nie spędzisz czasu na spotkaniach czy rzeźbiąc dokumenty w edytorze tekstów. Nasi pracownicy cenią sobie stosunek pracy technicznej do całej reszty.
Widełki płacowe
- Junior - 4 000 - 7 500 PLN
- Umiejętność wyszukiwania błędów na poziomie co najmniej OWASP Top 100
- Odpowiedzialność
- Samodyscyplina
- Chęć nauki
- Chęć gry w pierwszej lidze!
- Entuzjazm do pracy
- Umiejętność podstawowej komunikacji w języku angielskim (opis podatności)
- Umiejętność komunikacji i pracy w grupie
- Szczerość
- Umiejętność przyznania się do błędu
- Mid - 7 000 - 12 000 PLN
- Posiada cechy i umiejętności charakterystyczne dla poziomu Juniora, a oprócz tego:
- Biegłość przynajmniej w jednym obszarze (mobilne, www, sieci, ...)
- Znajomość wielu technologii (na przeciętnym poziomie) (Linux, Java, PHP, iOS...)
- Umiejętność tworzenia narzędzi wspomagających pentesty
- Umiejętność dokumentacji swojej pracy
- Głębokie techniczne zrozumienie podatności z danych obszarów
- Umiejętność wyszukiwania podatności na bazie kodu źródłowego
- Umiejętność pracy bez nadzoru
- Techniczne zrozumienie podatności (w całości!)
- Doświadczenie (lub ekwiwalent je zastępujący - np. trzecie oko pozwalające znajdować podatności)
- Stale uzupełniana wiedza o najnowszych błędach/zagrożeniach
- Znakomita umiejętność komunikacji i pracy w grupie
- Umiejętność realizacji projektów od "a" do "z"
- Dobra umiejętność komunikacji w języku angielskim (komunikacja z podmiotami zew.)
- Proaktywne działanie
- Senior - 11 000 PLN - ∞
- Posiada cechy i umiejętności charakterystyczne dla poziomu Juniora i Mid, a oprócz tego:
- Biegłość przynajmniej w kilku obszarach (mobilne, www, sieci, ...)
- Znajomość i doświadczenie w pracy z wieloma technologiami
- Swobodna umiejętność tworzenia narzędzi wspomagających pentesty (programowanie)
- Umiejętność wsparcia mniej doświadczonych członków zespołu
- Umiejętność szybkiego uczenia się nowych technologii
- Publikacje (konferencje, podatności, artykuły...)
(podane kwoty dla B2B netto z uwzględnieniem płatnych dni urlopowych, stawki odpowiednio przy umowie o pracę)
Oprócz pensji mamy także dodatki za prowadzenie szkoleń dla Klientów oraz kwartalną premię uzależnioną od wyników finansowych firmy.
Zanim wyślesz aplikację
Nasza rekrutacja jest oparta w dużej mierze o zadania praktyczne (raczej Cię nie zapytamy "gdybyś miał być jakąś klasą błędów, jaką byś był i dlaczego?"). Zanim wyślesz aplikację, zapoznaj się z prezentacją i upewnij się, że rozumiesz problemy tam poruszane: https://www.slideshare.net/logicaltrust/pentester-fakty-i-mity
Zadanie rekrutacyjne
Na stronie http://task.zostansecurity.ninja/ znajduje się zadanie, którego rozwiązanie da Ci adres, na który wysłać należy swoją aplikację. Odpowiemy na każde zgłoszenie!
Prosimy o dodanie poniższego lub podobnego zdania w CV:
“Zgodnie z art.6 ust.1 lit. a ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (Dz. Urz. UE L 119 z 04.05.2016) wyrażam zgodę na przetwarzanie danych osobowych zawartych w mojej ofercie pracy dla potrzeb aktualnej rekrutacji. Oświadczam, że codziennie przez miesiąc zrobię 10 przysiadów czytając na głos poniższe opisy RODO.”
Zgodnie z art. 13 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (Dz. Urz. UE L 119 z 04.05.2016) informuję, iż:
- administratorem Pani/Pana danych osobowych jest Logicaltrust Sp. z o.o. Sp. k. - al. Aleksandra Brücknera 25-43, 51-411 Wrocław,
- kontakt z Administratorem Danych Osobowych - ado@logicaltrust.net,
- Pani/Pana dane osobowe przetwarzane będą w celu rekrutacji - na podstawie Art. 6 ust. 1 lit. a ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. oraz Kodeksu Pracy z dnia 26 czerwca 1974 r.
- Pani/Pana dane osobowe przechowywane będą przez okres tej rekrutacji
- posiada Pani/Pan prawo do żądania od administratora dostępu do danych osobowych, prawo do ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do cofnięcia zgody
- ma Pani/Pan prawo wniesienia skargi do organu nadzorczego
- podanie danych osobowych jest obligatoryjne w oparciu o przepisy prawa a w pozostałym zakresie jest dobrowolne