Бро, сел разбирать эту площадку как следует — от AttackBox’а до сертификатов. TryHackMe позиционирует себя как игровая платформа для обучения кибербезопасности, но давай посмотрим, что там на самом деле под капотом. Платформа обслуживает более 4 миллионов пользователей и 700+ корпоративных клиентов, предлагая интерактивные лабы, CTF-челленджи и структурированные пути обучения. Основная фишка — геймификация процесса обучения через очки, бейджи и стрики, что делает скучную теорию более увлекательной. Однако есть и серьёзные технические косяки в архитектуре безопасности платформы, которые мы разберём детально.
Техническая архитектура и инфраструктурные решения
AttackBox: облачная боевая машина
Главная киллер-фича TryHackMe — это AttackBox, Ubuntu-машина в облаке, которая избавляет от необходимости разворачивать собственную Kali. Это реально удобно для новичков, у которых нет мощного железа или желания возиться с виртуалками. AttackBox доступен через браузер одним кликом и уже напичкан всеми необходимыми тулами для пентеста.
Но есть нюанс — бесплатные пользователи могут использовать AttackBox только час в день. Для серьёзной работы нужна премиум-подписка за $10.50 в месяц. Альтернатива — подключение через VPN к их сети, что доступно бесплатно без ограничений по времени.
Сетевая архитектура и её уязвимости
Тут начинается самое интересное. В 2021 году исследователь Иван Глинкин обнаружил критическую уязвимость в сетевой архитектуре TryHackMe. Виртуальные стенды могли видеть абсолютно всех пользователей в сети и атаковать их машины. Исследователь продемонстрировал это, просканив подсети и обнаружив живые IP-адреса других пользователей:
|
1 |
for ip in {1..254}; do ping -w 1 10.9.5.$ip | grep -i "ttl"; done |
Затем проверил доступность портов:
|
1 |
for ip in $(cat ips.txt); do nc -nvw 1 $ip 80; done |
И обнаружил машины других пользователей с дефолтными паролями и открытыми сервисами. TryHackMe отреагировала на багрепорт хамством и баном аккаунта исследователя вместо исправления проблемы.
Образовательный контент и методология
Структурированные пути обучения
TryHackMe предлагает несколько основных треков:
Pre Security Learning Path — базовый курс на 40 часов, покрывающий основы сетей, Linux, Windows. Идеален для тех, кто вообще не знает, с какой стороны подойти к кибербезопасности.
Complete Beginner — 64-часовой курс, включающий базовый Linux, веб-безопасность, сетевую безопасность, скриптинг и privilege escalation. После прохождения студент должен понимать фундаментальные концепции.
Web Fundamentals Training — трёхчастный курс по веб-уязвимостям: теория работы веб-приложений, основные уязвимости и инструменты эксплуатации.
Cyber Defense Training — для синей команды: управление угрозами, мониторинг безопасности, реагирование на инциденты, форензика.
Геймификация и мотивация
Платформа использует игровые механики для поддержания интереса. Пользователи зарабатывают очки за решение задач, поддерживают стрики через ежедневные челленджи, получают бейджи за достижения. Это работает — пользователи отмечают высокую мотивацию к обучению.
Особенно эффективны регулярные события типа «Advent of Cyber» — 24-дневные CTF-соревнования с ежедневными задачами. Каждый день выходит новый челлендж с видео-туториалом и пошаговыми инструкциями.
Практическая ценность для скиллдевелопмента
Реальные сценарии vs учебные задачи
Пользователи отмечают, что TryHackMe хорошо балансирует теорию и практику. Лабы симулируют реальные атаки и защиту, что даёт hands-on опыт. Платформа регулярно обновляется с учётом последних CVE и векторов атак.
Однако есть ограничения. Как отмечают в сравнительных обзорах, TryHackMe больше подходит новичкам, чем продвинутым пользователям. Для тех, кто уже имеет опыт, контент может показаться слишком простым по сравнению с Hack The Box или другими платформами.
Сертификация и карьерные перспективы
TryHackMe предлагает сертификаты по завершении треков. Насколько они котируются у работодателей — вопрос спорный, но это плюс к резюме. Новая PT1 сертификация представляет практический экзамен без multiple choice — только hands-on симуляции реальных пентест-сценариев.
Пользователи отмечают, что после TryHackMe им легче проходить собеседования, особенно технические интервью. Платформа даёт понимание основ, которые можно развивать дальше.
Сравнительный анализ с конкурентами
TryHackMe vs Hack The Box
По сравнению с HTB, TryHackMe более дружелюбна к новичкам. HTB сложнее, меньше подсказок, больше ориентирована на продвинутых пользователей. TryHackMe предоставляет подробные walkthrough’ы и пошаговые инструкции.
Преимущества платформы
-
Низкий порог входа: не нужно мощное железо благодаря AttackBox
-
Структурированное обучение: чёткие треки и прогрессия
-
Активное комьюнити: Discord с верификацией аккаунтов
-
Регулярные обновления: новые комнаты и челленджи
-
Бизнес-решения: корпоративные дашборды и аналитика
Недостатки и ограничения
-
Проблемы безопасности: серьёзные уязвимости в сетевой архитектуре
-
Ограниченный продвинутый контент: больше для новичков
-
Нестабильное VPN-подключение: отвалы на бесплатном тарифе
-
Платный доступ: основной контент требует подписки
Заключение
TryHackMe — это solid платформа для входа в кибербезопасность, особенно для тех, кто только начинает свой путь. Геймификация и структурированные треки действительно помогают освоить базовые концепции без стресса. AttackBox решает проблему с железом, а hands-on подход даёт практические навыки.
Но есть серьёзные косяки с безопасностью, которые платформа игнорирует, прикрываясь ToS’ом. Для продвинутых пользователей контент может быть слишком простым. И да, за нормальный функционал придётся платить.
В итоге: для новичков — отличная стартовая площадка, для профи — скорее дополнительный ресурс. Главное — не забывать про основы opsec’а и не полагаться слепо на безопасность платформы.
Советы:
-
Перед началом работы смени дефолтные пароли на своей Kali —
passwdи не ленись -
Если используешь AttackBox, помни: логи могут удаляться после перезагрузки стенда
-
Попробуй
wfuzz -w /usr/share/wordlists/SecLists/Discovery/DNS/subdomains-top1mil-5000.txtдля поиска поддоменов -
Если тормозит VPN — переходи на premium или используй собственную машину
