W dzisiejszych czasach cyberbezpieczeństwo odgrywa kluczową rolę w ochronie naszych danych, systemów i prywatności. Coraz więcej osób, zarówno początkujących, jak i profesjonalistów, poszukuje skutecznych sposobów na naukę i rozwijanie swoich umiejętności. Dziedzina cyberbezpieczeństwa dynamicznie się zmienia, a zagrożenia stają się coraz bardziej wyrafinowane. Aby nadążyć za tymi zmianami i skutecznie chronić dane oraz systemy, niezbędne jest ciągłe doskonalenie swoich umiejętności. Jedną z najpopularniejszych platform edukacyjnych jest właśnie TryHackMe. W artykule tym przedstawię swoją opinię jako użytkownika premium. Postaram się także odpowiedzieć na pytanie czy w ogóle warto wykupić płatną wersję.
Spis treści
Czym jest TryHackMe
Większość tradycyjnych kursów online o tematyce cyberbezpieczeństwa zazwyczaj skupia się na teorii. Owszem jest to bardzo ważne, zwłaszcza na początku nauki. Jednak z czasem przychodzi taki moment, że trzeba wypróbować i przećwiczyć zdobytą wiedzę w praktyce. To właśnie dzięki ćwiczeniom praktycznym nasza wiedza staje się bardziej ugruntowana. Oczywiście nie wolno nam testować zabezpieczeń systemów do którym nie mamy uprawnień. Należy również pamiętać o tym, że jeśli nie mamy doświadczenia i nie wiemy co dokładnie robimy, możemy podczas testów trwale uszkodzić dany system. Niestety może wiązać się to z przykrymi konsekwencjami.
I tu właśnie z pomocą przychodzi TryHackMe. Jest to platforma edukacyjna, która łączy naukę teorii z praktyką. Do dyspozycji otrzymujemy kontrolowane środowisko w którym możemy testować zdobytą wiedzę.
Należy w tym miejscu zaznaczyć, że platforma TryHackMe jest dostępna w języku angielskim. Nie ma dostępnego polskiego tłumaczenia. Jednak nie uważam tego za minus, ponieważ osoby wkraczające w cyberbezpieczeństwo powinny znać język angielski, gdyż większość dokumentacji i poradników jest dostępna w tym właśnie języku.
Podział na ścieżki, moduły i pokoje
Cały materiał, który jest dostępny na TryHackMe jest podzielony dla ścieżki tematyczne (Learning Paths):
Jest to bardzo przydatne zwłaszcza dla początkujących osób. Platforma oferuje szeroki wachlarz ścieżek, które pomagają systematycznie zdobywać wiedzę i doświadczenie w wybranych dziedzinach cyberbezpieczeństwa. Do wyboru mamy ścieżki, które są przygotowane z myślą o początkujących osobach, a także o tych bardziej zaawansowanych. Uważam to za dobre posunięcie, ponieważ początkujące osoby nie muszą się zastanawiać od czego powinny zacząć. Przy każdej ścieżce znajduje się informacja odnośnie poziomu trudności:
Poszczególne ścieżki podzielone są moduły. Przykładowo ścieżka Web Application Pentesting zawiera moduły (sekcje) takie tak:
- Authentication,
- Injection Attacks,
- Advanced Server-Side Attacks,
- Advanced Client-Side Attacks,
- HTTP Request Smuggling.
Każdy moduł składa się z pokoi (rooms), np. moduł Advanced Client-Side Attacks składa się z pokoi takich jak:
- XSS,
- CSRF,
- DOM-Based Attack,
- CORS & SOP,
- Challenge „Whats Your Name?”
Pokój z kolei składa się z teorii oraz zadań . Dodatkowo w każdym pokoju mamy dostęp do maszyny, na której możemy testować nasze umiejętności, tzw. AttackBox.
Jak widzisz całość jest logicznie uporządkowana i przez to bardzo łatwo jest się odnaleźć na początku swojej przygody z THM 🙂
Jak działają pokoje (rooms)
Tak jak już wcześniej wspomniałam materiał, który jest dostępny na TryHackMe jest podzielony na pokoje (rooms). Można powiedzieć, że są to odrębne środowiska laboratoryjne. Każdy z pokoi skupia się na danym temacie.
Dostępne są pokoje, które dostarczają nam wiedzę teoretyczną, a także środowisko laboratoryjne w którym możemy to przećwiczyć. Teoria jest często przeplatana zadaniami. Najczęściej są to zadania CTF, w których musimy zdobyć ukrytą flagę, czyli określony ciąg znaków, który potem musimy wpisać w specjalnie przygotowanym do tego polu. Jeśli flaga jest prawidłowa, zadanie jest oznaczane jako zaliczone.
Drugą grupę stanowią pokoje w których nie znajdziemy już wstępu teoretycznego, a jedynie same zadania CTF. Po prostu są to specjalnie przygotowane systemy, które celowo mają wprowadzone luki bezpieczeństwa, poprzez które należy włamać się i zdobyć ukryte flagi.
Czym jest AttackBox
AttackBox jest to wirtualne środowisko dostępne na platformie TryHackMe, które umożliwia użytkownikom przeprowadzanie testów penetracyjnych i rozwiązywanie zadań bez potrzeby posiadania własnej infrastruktury. To po prostu maszyna wirtualna uruchamiana z poziomu TryHackMe, w której użytkownicy mogą przeprowadzać ataki, eksperymentować z narzędziami bezpieczeństwa oraz testować aplikacje i systemy w izolowanym środowisku.
Uważam, że jest to bardzo fajna opcja dla początkujących osób, które nie są jeszcze biegłe w konfiguracji swojego własnego środowiska Linuxowego. Niestety rozwiązanie to ma pewne wady. Po pierwsze czasem potrafi się „wysypać”. Niestety zdarzyło mi się to kilka razy. Po drugie działamy na „obcym” systemie, który nie jest przez nas skonfigurowany. Po trzecie AttackBox potrafi czasem zamulać.
Właśnie z tego powodu wolę podłączyć poprzez OpenVPN swoje własne środowisko Kali Linux postawione na maszynie wirtualnej. Może brzmi skomplikowanie, ale w rzeczywistości jest to banalnie proste, a nauka na TryHackMe staje się dużo przyjemniejsza.
Jakie są zalety i wady TryHackMe
Uważam że sporą zaletą jest duża przejrzystość platformy. Podział na ścieżki, moduły i pokoje jest całkiem logiczny i wprowadza duże ułatwienie dla osób początkujących. Niestety niektóre pokoje są przypisane do kilku ścieżek. Przykładowo jeśli rozwiążesz wszystkie zadania z wybranej ścieżki zobaczysz, że masz postępy także na kilku innych ścieżkach. Tak więc pokoi jest trochę mniej niż mogło by się wydawać na pierwszy rzut oka.
Bardzo fajny jest podział pokoi zależności od poziomu trudności. Jednak tu także nie zawsze się to sprawdza. Parę razy mi się zdarzyło, że moduł oznaczony jako łatwy w rzeczywistości okazywał się nieco bardziej zaawansowany.
Środowisko AttackBox jest świetnym dodatkiem. Dzięki temu można od razu testować swoją wiedzę, bez potrzeby konfiguracji własnego środowiska. Niestety AttackBox ma swoje ograniczenia, o których wcześniej pisałam. Jednak i tak uważam, że jest to super dodatek.
Poziom merytoryczny danych modułów jest różny. Widać, że szykowały je różne osoby. Niektóre moduły są przygotowane w wyczerpujący i mega profesjonalny sposób, a inne nieco odbiegają od nich jakościowo. Mimo wszystko całość oceniam na mocną piątkę.
Bardzo fajna jest wyszukiwarka modułów. Za jej pomocą możemy przeszukiwać moduły pod kątem fraz, a także stopnia trudności.
Po ukończeniu danej ścieżki otrzymujemy certyfikat. Niestety nie ma on dużej wartości na rynku pracy, z uwagi na fakt, że na stronie THM przy każdym module są dostępne writeupy. Oprócz tego rozwiązania poszczególnych zadań znajdziemy w sieci.
Czym się różni płatna wersja od darmowej
TryHackMe jest dostępne w 3 pakietach: Free, Premium, Business. Pakiet Free jak sama nazwa wskazuje jest bezpłatny, natomiast Premium oraz Business są płatne. Ja jednak skupię się na tańszej wersji Premium.
Bezpłatna wersja ma swoje ograniczenia, które z czasem bywają uciążliwe. W wersji bezpłatnej mamy dostęp tylko do pokoi, które są oznaczone jako free. Często pokoje te są przeznaczone dla osób początkujących. Bardziej zaawansowane treści są płatne. Decydując się na daną ścieżkę musisz mieć na uwadze to, że będziesz mieć dostęp tylko do początkowych modułów. Tak więc jeśli chcesz przejść przez całą ścieżkę, musisz mieć wykupione konto premium.
W wersji darmowej jest ograniczenie w dostępie do AttackBox. Darmowe konta mają dostęp tylko przez godzinę w danym dniu. Ja jednak nie lubię korzystać z AttackBox. Dużo lepiej pracuje mi się na własnym systemie poprzez OpenVPN. Tak więc uważam, że spokojnie można obejść to ograniczenie.
W wersji premium otrzymujemy też szybsze maszyny, co przekłada się na komfort korzystania z serwisu.
Dużym zaskoczeniem było dla mnie to, że kupując wersję premium nie otrzymałam faktury. Obecnie jest tak, że tylko kupując konto business otrzymamy fakturę. Jednak dostałam odpowiedź z supportu, że z czasem może wprowadzą zmiany w tym zakresie.
Czy warto wykupić konto premium na TryHackMe?
Jeśli dopiero zaczynasz swoją przygodę z THM, uważam że na początek warto przetestować platformę w wersji bezpłatnej. Akurat w wersji free mamy dostęp do najłatwiejszych modułów. Dzięki temu sprawdzisz, czy odpowiada Ci taka forma szkoleń.
Warto wykupić konto premium, jeśli planujesz intensywnie korzystać z THM. Wtedy na pewno się to opłaci. Czasami można natrafić na promocję, zwłaszcza na Black Friday.
Ogólnie rzecz biorąc THM zawiera dużo teorii i zadań praktycznych, jednak nie można traktować tego jako jedynego źródła wiedzy. Warto poszerzać swoją wiedzę korzystając z książek, a także innych serwisów takich jak PortSwigger czy HackTheBox. Jednak uwaga ta dotyczy także pozostałych serwisów.