Domanda Domande sul percorso di studi

Stato
Discussione chiusa ad ulteriori risposte.

0xEi

Utente Iron
8 Marzo 2023
4
1
2
8
Ultima modifica:
Ciao, so che non è una domanda tecnica, ma non sapevo dove altro chiedere se non qui...

Mi piacerebbe entrare nel mondo della cybersecurity (più precisamente come pentester), e attualmente sto frequentando un'università di ingegneria per conseguire la laurea, ma non sono sicuro della scelta per due motivi...
Il primo è che non si fa nulla riguardante la sicurezza informatica, almeno fino alla magistrale; il secondo è che mi sono reso conto che non ho alcun interesse per i corsi che si svolgono, sia per la difficoltà dei corsi in se, sia perché a tutti gli effetti non sono convinto che le informazioni acquisite mi servano poi in questo mondo (premetto che non ne so molto, quindi è solo una supposizione).

So che queste domande ve le avranno poste già all'infinito, ma più che un post di 500 parole, gradirei consigli estratti dalla vostra esperienza personale e per chi stesse già per fare il classico arch user... Probabilmente 3/4 dei link che invierete sono indirizzati a post e discussione che ho già letto.

Detto ciò, passiamo alle domande:

1 - Ho davvero bisogno di continuare a frequentare l'università e conseguire la laurea per lavorare in questo settore?

(Cioè, vale la pena?)

2 - Ho letto che oltre alla laurea dovrei conseguire delle certificazioni... Se decido di lasciare l'università, da quale dovrei iniziare?

Se volete aggiungere informazioni sentitevi liberi di aggiungerle e chiedimi qualsiasi tipo di informazione.

Grazie in anticipo per tutte le risposte.
 
  • Love
Reazioni: 0xbro
1 - Ho davvero bisogno di continuare a frequentare l'università e conseguire la laurea per lavorare in questo settore?

(Cioè, vale la pena?)
Non voglio dilungarmi troppo perchè alla fine "more is less", ma diciamo che la laurea non ti dà tanto dal punto delle competenze tecniche, quanto piuttosto ti imposta dal punto della forma mentis. Poi in base a quanti progetti farete all'uni ti permette anche di mettere mano a diverse tecnologie a cui altrimenti potresti non mettere mai mano, quindi insomma funge un po' come una palestra. Tolto questo blocco di parole già sentite e risentite, credo che la vera utilità del pezzo di carta sia... beh, il pezzo di carta in sè. Non è strettamente necessario avere questo pezzo di carta per lavorare nel settore (personalmente non ho laurea ma lavoro come penetration tester da 3/4 anni), ma averlo garantisce una "corsia preferenziale" nonché permette di venir assunto anche in più aziende rispetto a un semplice diplomato (sì, ci sono alcune aziende, non molte, che accettano solamente laureati).

Vale la pena sbattersi ad arrivare fino alla laurea (e possibilmente laurearsi con un voto alto)?
Secondo il mio punto di vista sì, ma non troppo, e bisogna tenere in conto anche altri elementi:
  • Scuola superiore frequentata: se hai fatto un ITIS informatico. le basi le hai già acquisite, per cui può valere la pena valutare di puntare su altre strade specialistiche piuttosto che rifare le stesse cose i primi anni di uni e poi specializzarti su tematiche un po' lontane alla materia (che poi attualmente molte università stanno introducendo in magistrale un ramo di security, per cui può valere la pena seguirlo)
  • Lavoro italia/estero e stipendi: in italia la differenza salariale tra diplomato e laureato non è molta, anzi per molti versi quasi nulla. Diverso è all'estero, dove ci sono anche differenze non trascurabili tra le due figure. In questo caso la laurea sarebbe un bell'incentivo
  • Percorso in accademia post studi: se nel futuro volessi fare un PhD in materia o proseguire con la ricerca accademica, beh credo che si debba avere la laurea, per cui in questo caso il percorso mi sembra abbastanza ovvio
  • Ambienti sociali: l'uni ti permette di conoscere altre persone potenzialmente interessate alla security, entrare a far parte di team di CTF universitari e di socializzare maggiormente con persone con i tuoi stessi interessi. Penso che sia una delle opportunità più interessanti che le istituzioni offrano e spesso è sottovalutata come cosa
Per farla quindi ancora più breve: sì, ne vale la pena, non tanto per le competenze dirette acquisite quanto più per tutto ciò che è di contorno (e che alla fine dei conti vale più di quanto ti insegnino direttamente).

2 - Ho letto che oltre alla laurea dovrei conseguire delle certificazioni... Se decido di lasciare l'università, da quale dovrei iniziare?
Farò l'arch user, perdonami (non per te ma per chi, in futuro, leggerà questa discussione senza aver letto le altre discussioni del forum) :)


Il percorso che suggerisco sempre a chi vuole fare penetration test (o comunque security dal punto di vista offensive) è:
eJPT (Junior Penetration Tester, per iniziare a masticare un po' la materia) --> OSCP (standard di mercato, ti apre davvero moltissime porte ed è quasi un must-have)

Nel mentre fai anche tante CTF su HackTheBox e piattaforme simili (trovi una discussione apposita sul forum) e metti le mani in pasta, ma questo immagino tu lo sappia già
 
  • Mi piace
  • Incredibile
Reazioni: d1git4lex e fennek
Non voglio dilungarmi troppo perchè alla fine "more is less", ma diciamo che la laurea non ti dà tanto dal punto delle competenze tecniche, quanto piuttosto ti imposta dal punto della forma mentis. Poi in base a quanti progetti farete all'uni ti permette anche di mettere mano a diverse tecnologie a cui altrimenti potresti non mettere mai mano, quindi insomma funge un po' come una palestra. Tolto questo blocco di parole già sentite e risentite, credo che la vera utilità del pezzo di carta sia... beh, il pezzo di carta in sè. Non è strettamente necessario avere questo pezzo di carta per lavorare nel settore (personalmente non ho laurea ma lavoro come penetration tester da 3/4 anni), ma averlo garantisce una "corsia preferenziale" nonché permette di venir assunto anche in più aziende rispetto a un semplice diplomato (sì, ci sono alcune aziende, non molte, che accettano solamente laureati).

Vale la pena sbattersi ad arrivare fino alla laurea (e possibilmente laurearsi con un voto alto)?
Secondo il mio punto di vista sì, ma non troppo, e bisogna tenere in conto anche altri elementi:
  • Scuola superiore frequentata: se hai fatto un ITIS informatico. le basi le hai già acquisite, per cui può valere la pena valutare di puntare su altre strade specialistiche piuttosto che rifare le stesse cose i primi anni di uni e poi specializzarti su tematiche un po' lontane alla materia (che poi attualmente molte università stanno introducendo in magistrale un ramo di security, per cui può valere la pena seguirlo)
  • Lavoro italia/estero e stipendi: in italia la differenza salariale tra diplomato e laureato non è molta, anzi per molti versi quasi nulla. Diverso è all'estero, dove ci sono anche differenze non trascurabili tra le due figure. In questo caso la laurea sarebbe un bell'incentivo
  • Percorso in accademia post studi: se nel futuro volessi fare un PhD in materia o proseguire con la ricerca accademica, beh credo che si debba avere la laurea, per cui in questo caso il percorso mi sembra abbastanza ovvio
  • Ambienti sociali: l'uni ti permette di conoscere altre persone potenzialmente interessate alla security, entrare a far parte di team di CTF universitari e di socializzare maggiormente con persone con i tuoi stessi interessi. Penso che sia una delle opportunità più interessanti che le istituzioni offrano e spesso è sottovalutata come cosa
Per farla quindi ancora più breve: sì, ne vale la pena, non tanto per le competenze dirette acquisite quanto più per tutto ciò che è di contorno (e che alla fine dei conti vale più di quanto ti insegnino direttamente).


Farò l'arch user, perdonami (non per te ma per chi, in futuro, leggerà questa discussione senza aver letto le altre discussioni del forum) :)


Il percorso che suggerisco sempre a chi vuole fare penetration test (o comunque security dal punto di vista offensive) è:
eJPT (Junior Penetration Tester, per iniziare a masticare un po' la materia) --> OSCP (standard di mercato, ti apre davvero moltissime porte ed è quasi un must-have)

Nel mentre fai anche tante CTF su HackTheBox e piattaforme simili (trovi una discussione apposita sul forum) e metti le mani in pasta, ma questo immagino tu lo sappia già
Quindi la laurea, se ho capito bene, non è strettamente fondamentale però aiuta.
Il punto è che nemmeno io sono convinto della scelta che ho fatto perché mi danno la classica impressione tante chiacchiere e poco lavoro, non so se mi spiego, si è vero che per esempio almeno nel mio corso dovrebbero esserci lezioni di reti o calcolatori, ma si trovano al terzo anno e quindi mi sembra uno "spreco" di tempo. Per quanto riguarda il discorso dei compagni di corso, si qualcuno c'è magari di interessato all'informatica, ma appunto in modo più generale oppure legato al mondo della programmazione.
Le superiori purtroppo per questioni di mancanza di iscritti non ho avuto la possibilità di frequentare un ITS e nemmeno uno scientifico, però dovrei averle un minimo di basi da autodidatta principalmente.
 
Ultima modifica:
Quindi la laurea, se ho capito bene, non è strettamente fondamentale però aiuta.
Il punto è che nemmeno io sono convinto della scelta che ho fatto perché mi danno la classica impressione tante chiacchiere e poco lavoro, non so se mi spiego, si è vero che per esempio almeno nel mio corso dovrebbero esserci lezioni di reti o calcolatori, ma si trovano al terzo anno e quindi mi sembra uno "spreco" di tempo. Per quanto riguarda il discorso dei compagni di corso, si qualcuno c'è magari di interessato all'informatica, ma appunto in modo più generale oppure legato al mondo della programmazione.
Le superiori purtroppo per questioni di mancanza di iscritti non ho avuto la possibilità di frequentare un ITS e nemmeno uno scientifico, però dovrei averle un minimo di basi da autodidatta principalmente.
Se non hai seguito un itis informatico allora mi sento di consigliarti di proseguire con l'università, soprattutto per poter acquisire delle competenze di base molto solide. Se uno ha delle basi solide, sopra poi può costruirci quello che vuole, sia da auto-didatta, sia tramite l'esperienza pratica; ma se uno non ha nemmeno le basi solide diventa difficile riuscire a seguire gli aspetti più tecnici (soprattutto poi dal punto di vista pratico).

Dal mio punto di vista la laurea non è strettamente fondamentale SOLO se prima si ha già avuto un percorso di studio in un ITIS informatico, altrimenti credo che sia fondamentale.



Se hai del tempo per sentire un'oretta di podcast, ti consiglio di ascoltare il video qua sotto in cui argomento un po' meglio ciò di cui stiamo discutendo. Non è per fare pubblicità, credo invece che questo confronto tra me e Leonardo (che è laureato) possa tornare utile un po' a tutti coloro che sono in dubbio:



Vedi: https://www.youtube.com/watch?v=K9DlurKN_gI&ab_channel=LeonardoTamiano
 
Se non hai seguito un itis informatico allora mi sento di consigliarti di proseguire con l'università, soprattutto per poter acquisire delle competenze di base molto solide. Se uno ha delle basi solide, sopra poi può costruirci quello che vuole, sia da auto-didatta, sia tramite l'esperienza pratica; ma se uno non ha nemmeno le basi solide diventa difficile riuscire a seguire gli aspetti più tecnici (soprattutto poi dal punto di vista pratico).

Dal mio punto di vista la laurea non è strettamente fondamentale SOLO se prima si ha già avuto un percorso di studio in un ITIS informatico, altrimenti credo che sia fondamentale.



Se hai del tempo per sentire un'oretta di podcast, ti consiglio di ascoltare il video qua sotto in cui argomento un po' meglio ciò di cui stiamo discutendo. Non è per fare pubblicità, credo invece che questo confronto tra me e Leonardo (che è laureato) possa tornare utile un po' a tutti coloro che sono in dubbio:


Vedi: https://www.youtube.com/watch?v=K9DlurKN_gI&ab_channel=LeonardoTamiano

grazie mille per le delucidazioni e grazie mille per avermi fatto conoscere un altro plugin da installare su emacs...
 
  • Love
Reazioni: 0xbro
Una laurea in ingegegneria fa comunque tanto, questa professione é e sará sempre piú ricercata, ergo fa comodo, ma per lavorare nella sicurezza informatica non é essenziale anzi, servono corsi piú specifici.
Il network, la conoscenza di persone con gli stessi interessi e con diverse capacitá nelle universitá é la cosa piú importante e non la puoi trovare da nessun altra parte.
Alcuni corsi non sono interessanti i primi anni ma fidati che quando inizierai a fare cose piú pratiche e specifiche gli stimoli arriveranno e parecchi, ti parlo per esperienza personale. Mi sono appassionato di cose che pensavo fossero per me inutili e molto noiose.
Inoltre sempre per esperienza personale ti dico che alcune cose, se non fosse stato per l'uni, da autodidatta non mi sarei mai messo a studiarle; questo forse per la mia mancanza di dedizione estrema, ma penso valga per la maggiorparte delle persone (magari anche per te :) )
Spero di esserti stato utile, di sicuro di meno di 0xbro ahahah
 
  • Mi piace
Reazioni: 0xEi
Confermo quanto detto sopra: il contenuto all’università è importante, ma secondario: l'informatica si evolve talmente velocemente che è impossibile starci dietro. Dal punto di vista del contenuto sicuramente ti insegna delle cose che non studieresti per conto tuo, ma che possono tornare utili, ma soprattutto, il come studiare queste materie ti da un metodo, specialmente se i professori sono bravi e ti seguono.

Per esempio, ho fatto un esame su come i query planner dei database ottimizzano le query. Di per se, qualcosa che non uso quotidianamente, ma ho imparato tantissimo su una serie di argomenti adiacenti (da come considerare i limiti hardware (e.g., come fai il sort di un array che non sta in RAM?), a come fare benchmark, a tanti altri argomenti), e ho visto persone incredibilmente appassionate su argomenti di nicchia. Un'esperienza impagabile.

Ma, il vantaggio maggiore con il senno di poi sono state le relazioni e le opportunità costruite: ho fatto un colloquio per il CERT di Siemens perché il mio professore mi ha consigliato al team leader, ho conosciuto il responsabile dei programmi bug bounties di Huawei, e via cosi. Ancora adesso, ad anni di distanza, ho tantissimi contatti con compagni di studio. Il networking è fondamentale.

La cosa divertente? Ho fatto la magistrale in una delle migliori università d'Europa, con una specializzazione in Security Engineering, e sono finito a lavorare su tutt'altra robe. La posizione per il CERT di Siemens la rifiutai perché la sede era troppo lontana da casa mia, e con il tempo mi sono spostato sul cloud. Il mondo è fatto cosi, ti porta sempre in direzioni diverse. Come diceva Eisenhower, "Plans Are Worthless, But Planning Is Everything". Quindi, giusto che pensi a cosa vuoi fare e raccogli informazioni, ma sappi che poi la vita avrà risvolti inaspettati ;-)

In bocca al lupo!
 
Confermo quanto detto sopra: il contenuto all’università è importante, ma secondario: l'informatica si evolve talmente velocemente che è impossibile starci dietro. Dal punto di vista del contenuto sicuramente ti insegna delle cose che non studieresti per conto tuo, ma che possono tornare utili, ma soprattutto, il come studiare queste materie ti da un metodo, specialmente se i professori sono bravi e ti seguono.

Per esempio, ho fatto un esame su come i query planner dei database ottimizzano le query. Di per se, qualcosa che non uso quotidianamente, ma ho imparato tantissimo su una serie di argomenti adiacenti (da come considerare i limiti hardware (e.g., come fai il sort di un array che non sta in RAM?), a come fare benchmark, a tanti altri argomenti), e ho visto persone incredibilmente appassionate su argomenti di nicchia. Un'esperienza impagabile.

Ma, il vantaggio maggiore con il senno di poi sono state le relazioni e le opportunità costruite: ho fatto un colloquio per il CERT di Siemens perché il mio professore mi ha consigliato al team leader, ho conosciuto il responsabile dei programmi bug bounties di Huawei, e via cosi. Ancora adesso, ad anni di distanza, ho tantissimi contatti con compagni di studio. Il networking è fondamentale.

La cosa divertente? Ho fatto la magistrale in una delle migliori università d'Europa, con una specializzazione in Security Engineering, e sono finito a lavorare su tutt'altra robe. La posizione per il CERT di Siemens la rifiutai perché la sede era troppo lontana da casa mia, e con il tempo mi sono spostato sul cloud. Il mondo è fatto cosi, ti porta sempre in direzioni diverse. Come diceva Eisenhower, "Plans Are Worthless, But Planning Is Everything". Quindi, giusto che pensi a cosa vuoi fare e raccogli informazioni, ma sappi che poi la vita avrà risvolti inaspettati ;-)

In bocca al lupo!
Ti ringrazio molto per il parere, ma in ogni caso la probabilità che lascerò perdere con l'università è molto alta e il motivo non sono nemmeno le materie informatiche, bensi quelle matematiche, purtroppo i vari esami di analisi non li ho dati, e altri esami tra cui fisica e probabilità hanno come requisito il conseguimento dell'esame di analisi.

Purtroppo matematica non è il mio campo di interesse e quindi oltre alla difficoltà della materia in se non ho proprio le facoltà di concentrarmi su di una materia che a me non piace. E inoltre non vorrei ritrovarmi tra 1/2 anni a dare ancora gli esami del primo anno quando avrei potuto concentrarmi su altro e magari aver già iniziato a lavorare.

In ogni caso valuterò bene la situazione e al massimo vi terrò aggiornati.
 
Stato
Discussione chiusa ad ulteriori risposte.