Offensive Security Certified Professional

La Offensive Security Certified Professional (tradotto, Professionista Certificato Offensive Security), abbreviata in OSCP, è una certificazione di hacking "etico" offerta dalla Offensive Security, che attesta la conoscenza nel campo deila sicurezza informatica, specificatamente nei test di penetrazione e nella proficienza nella distro Kali Linux (ex Backtrack).^[1][2]

L'OSCP è una certificazione pratica sul penetration testing, che richiede ai partecipanti di violare e penetrare attraverso alcune macchine live in un ambiente di laboratorio controllato.^[3][4]

È una delle poche certificazioni che richiede una conoscenza evidente in campo pratico delle competenze di penetration tester.^{[senza fonte]}

Corso OSCP

Il corso che ora fa capo alla certificazione OSCP nacque nel 2006 ed era originariamente chiamato "Offensive Security 101". Tuttavia, il nome si rivelò fuorviante: in inglese la locuzione "101" indica i corsi per principianti assoluti, mentre l'OS101 per quanto coprisse le basi del pentesting era comunque rivolto ad un pubblico di utenti avanzati e professionisti.

Il nome venne quindi modificato in "Pentesting With BackTrack" nel dicembre 2008, e successivamente in "Penetration Testing With Kali Linux" (PWK) quando Backtrack divenne Kali Linux.^[5]

Il corso PWK, come il nome lascia intendere, copre le tecniche più comuni di attacco utilizzate nei penetration test ed è basato sulla distro Kali Linux. Il corso si svolge online, con lezioni teoriche composte da video e dispense in PDF ed esercitazioni pratiche su macchine virtuali studiate ad hoc. Sono anche disponibili lezioni live.^[1][6]

Sfida OSCP

Una volta completato il corso, gli studenti sono idonei ad affrontare la sfida per la certificazione.

I candidati vengono messi di fronte ad un ambiente virtuale a loro sconosciuto e hanno a disposizione 24 ore di tempo per completare con successo le richieste d'esame. Saper gestire il tempo a disposizione, tenendo conto delle necessità fisiologiche e del ristoro fisico, emotivo e mentale, viene considerato parte integrante della prova.^[3]

Le prove vengono svolte sotto la supervisione del personale Offensive Security, di persona oppure tramite webcam e condivisione dello schermo, in modo tale da assicurarsi che il candidato abbia una effettiva conoscenza pratica delle tecniche di hacking etico oggetto dell'esame. ^[7]

Al termine dell'esame viene richiesto di stilare un rapporto esaustivo^[8] sulle tecniche utilizzate, che deve includere alcuni files specifici variabili da esame a esame. Gli elaborati vengono revisionati da una commissione di certificazione e gli esiti si hanno in genere entro 72 ore.^[3][9]

Ri-certificazione

La OSCP non richiede una ri-certificazione.

Tuttavia, dato che il materiale didattico e le prove d'esame vengono costantemente aggiornate, chi ha conseguito la OSCP da più di tre anni deve integrare il materiale già in proprio possesso con quello attuale, ripetendo l'esame finale per mettersi alla prova.^[10]

Validità della OSCP

La Offensive Security Certified Professional è una certificazione molto nota e altamente rispettata nell'ambiente della cybersecurity.^[11]

A proposito di essa, nel 2019 J.M. Porup della CSO online ha dichiarato che

(EN)

«[...] has the reputation as one of the most difficult penetration testing certifications out there, with a grueling 24-hour exam that requires students to hack a variety of machines on a test network.»

(IT)

«[...] ha la reputazione di essere una delle più difficili certificazioni di penetration testing disponibili, con un estenuante esame di 24 ore che richiede agli studenti di hackerare una serie di macchine in una rete di test.»

(^[12])

Nel 2020, il professionista della cybersecurity Matt Day ha illustrato l'esame per la OSCP spiegando che

(EN)

«[...] you need to get a 48 hour supply of food, water, and coffee, arrange an undisturbed, quiet area of your house to take the exam, schedule to take off of work for two days, arrange any notes or resources, verify your internet connection, and tell your family you’ll see them in two days.[...] if you’re not a skilled penetration tester with strong networking and Linux skills, you won’t even know where to start.»

(IT)

«[...] bisogna avere una scorta di 48 ore di cibo, acqua e caffè, organizzare una zona della casa silenziosa e dove non essere disturbati, prendere due giorni di ferie dal lavoro, preparare qualsiasi appunto o risorsa [necessario], verificare la connessione ad internet e dire alla tua famiglia che vi rivedrete tra due giorni. [...] se non sei un penetration tester capace, con notevoli competenze nell'ambito del networking e di Linux, non saprai nemmeno da dove cominciare.»

(^[13])

Rispetto ad altre certificazioni

La OSCP vale 40 crediti al fine dell'ottenimento della certificazione CPE rilasciata dalla (ISC)².^[3]

Viene inoltre considerata equivalente a una certificazione CREST massima (Level 2, Track 3).^[3][14]

Note

1. PWK and the OSCP Certification, su offensive-security.com. URL consultato il 23 ottobre 2020.
2. ^ The Ethical Hacker Network - OSCP (Offensive Security Certified Professional) Certification, su ethicalhacker.net. URL consultato il 12 aprile 2012 (archiviato dall'url originale il 19 febbraio 2012).
3. PWK and OSCP Frequently Asked Questions, su offensive-security.com. URL consultato il 23 ottobre 2020.
4. ^ OSCP (Offensive Security Certified Professional) Training and Challenge, su SecuriTeam Blogs. URL consultato il 23 ottobre 2020.
5. ^ Chris Merritt, Certification Spotlight: Offensive Security's OSCP (PDF), in IAnewsletter, vol. 15, n. 2, Information Assurance Technology Analysis Center, 2012, pp. 24–25. URL consultato il 23 ottobre 2020 (archiviato dall'url originale il 16 dicembre 2018).
6. ^ Elwood.net http://www.elwood.net/post/39599202/offensive-security-oscp Archiviato il 7 luglio 2015 in Internet Archive.
7. ^ Offensive Security Online Exam Proctoring, su offensive-security.com. URL consultato il 23 ottobre 2020.
8. ^ (EN) Naman Rastogi, Penetration Testing Report | VAPT Report | Sample PDF Report, su www.getastra.com. URL consultato il 24 giugno 2021.
9. ^ Sample Penetration Testing Report (PDF), su offensive-security.com. URL consultato il 23 ottobre 2020.
10. ^ PWK 2020 Update, su offensive-security.com. URL consultato il 24 ottobre 2020.
11. ^ Is the OSCP Worth It? Cost, Comparision, Benefits, su startacybercareer.com. URL consultato il 24 ottobre 2020.
12. ^ https://web.archive.org/web/20200327224907/https://www.csoonline.com/article/3336068/oscp-cheating-allegations-a-reminder-to-verify-hacking-skills-when-hiring.html
13. ^ https://web.archive.org/web/20200306000424/https://startacybercareer.com/7-reasons-you-cant-compare-the-pentest-and-oscp/
14. ^ CREST Certification Equivalency Recognition Programmes, su crest-approved.org. URL consultato il 24 ottobre 2020 (archiviato dall'url originale il 21 ottobre 2020).

Collegamenti esterni

• (EN) Sito ufficiale, su offensive-security.com.  

  Portale Informatica: accedi alle voci di Wikipedia che trattano di informatica