Кот Абсолютный

Можно. Но УК РФ, ст. 273 тут недаром привели :) От четырех до семи (лет).

Насколько знание предмета "Теория и конструкция автомобиля" (TиКА), которое учащиеся автотрансопртных техникумов зовут "Тут и конец автомобилистам" - нужна для того, чтобы его водить? Да ни на сколько. Вот примерно так.
ИБ - это огромная область, знание низкоуровневого программирования нужно обычно для пентеста либо для разработки драйверов к некоему специфичному железу. ИБ вообще может быть не связано с программированием - это зависит от размера конторы. Но в небольших конторах ИБ-шник как правило на вершине пирамиды доступа и кого попало туда не поставят.

1. А Вы ,что реально указали реквизиты карты с деньгами? Ну вы тогда, батенька, тово... Это примерно настолько же мудрый поступок, как идти поздно вечером городской окраиной и рассчитывать не получить в бубен :) Разумеется, для покупок в тырнете нужна отдельная карта, на которой обычно нет денег.
2. Нет.
3. Нет. Только перевыпуск карты, а он может быть платный. Еще один аргумент за то, чтобы иметь отдельную карту для платежей - она обычно вирутальная, и перевыпуск ее ничего не стоит :)
4. Можно настроить даже так, чтобы любая операция требовала контрольного звонка в колл-центр и одобрения голосом. Причем отключить этот режим можно только личным визитом в офис.

Уголовный Кодекс РФ

работу в филиале российского банка

Если в дальнейшем намереваетесь работать в банках - стоит поработать здесь. Банки - очень такая специфичная среда, у них очень много своих требований, знаний, которые не получить нигде, кроме как в другом банке

работа на предприятии - выполнение 187 ФЗ

Работать придется скорее всего больше с бумагами - грызть нормативку, читать-писать инструкции. КИИ - вещь такая весьма особенная себе. Потребуется знание законодательства в прилежащей области и даже знание текущего политического момента - КИИ возникло не на пустом месте, оно напрямую увязано с импортозамещением и прочими такими вещами. Если собираетесь работать в госструктурах, на заводах - Вам сюда

есть подозрение, что на ПК могли подменить корневой сертификат

Ну так идете в хранилище корневых сертификатов и просматриваете все, пытаясь найти тот, который поставил злоумышленник. Гугл тут при чем? У него явно больше одного сервера, а у каждого сервера свой сертфиикат.

как мне тогда гарантированно убедится, что сертификат валиден?

Валидность сертификата - это проверка факта, что данный сертификат выпущен одним из CA, которые размещены в хранилище доверенных корневых сертификатов (ну еще проверка срока действия). И все.

Если без MitM - увидит факт соединения, адрес, метку времени, обьем трафика
Если с MitM - увидит все, как если бы шифрования не было

ИБ - огромная область, "чудище зело обло, огромно, озорно, стозевно и лаяй..." (С)

Если собираетесь заниматься дырами в яббле - ну тогда нормальный выбор. Если дырами в линухе или винде - сомнительный. Ладно там софт, в большей степени нужны будут знания того, как работает ось и возможность проверять свои догадки. А как их проверять на ноуте с ябблом? Виртуалка далеко не всегда вариант - как вот например спектру на ней проверить? :)

Ну, обычно, в датацентры ставят нормальные серверные сервера, у которых есть iKVM/iLO/iDRAC (названия разные - суть одна - плата, которая позволяет по тырнету управлять компом - зайти в BIOS, сделать начальную настройку оси, залезть в настройки RAID-контроллера, буде есть таковой.
Но это все для нормального серверного сервера. Для "сервера-из-рабочей-станции" ничего такого нет. Да, есть некоторые модели матерей, поддерживающие удаленное управление. Но для обычного компа нет и не предвидится никакой железки, которую можно было бы вставить в тачку, даже за сто тыщ мильенов.

Внимание вопрос, через так 7-8 лет, будет ли востребованной профессия пентестера?

Нет такой профессии. Есть специалист по ИБ, работающий по направлению поиска уязвимостей. И эта профессия имеет множество особенностей. Потребность в таких спецах невысока, требования просто заоблачные, но если им таки стать - деньги просто перестают существовать как необходимость (равно как и необходимость поиска работы).

Проблема в том, что стать им оооочень непросто. Вы должны знать как работает то, что Вы собираетесь тестить - лучше тех людей, которые настраивали и устанавливали систему. А это очень много разных знаний.

И возможно ли что через 5 лет учебы и практики, я смогу зарабатывать в программе bug bounty приличные деньги, имею ввиду буду ли я лучше конкурентов, и стоит ли надеется на программу как основной заработок?

Да кто ж знает-то? С вопросом "что будет через пять лет" - к Господу Иисусу, пожалуйста, он точно знает (но вряд ли скажет)

И как стать пентестером с нуля?

Учиться. В том числе получить вышку по направлению ИБ.

Стоит ли читать книги по взлому и т.д. если им уже больше 3 лет?

Конечно! Как Вы думаете, зачем юристы изучают судебную практику по уже законченным делам? Методологию нарабатывают, то есть определяют, какими методами был достигнут результат.

Идейку подкинуть?

Программная реализация блокировки работоспособности компьютера в зависимости от того, лежит ли неподалеку определенный телефон.

Ну то есть - я пришел, сел, положил телефон на стол, неподалеку от компа, разлочил комп и поехал работать. Если я не положил телефон - комп не работает

sssd - сервис, который позволяет выполнять аутентификацию и авторизацию по различным источникам информации (AD, LDAP, etc). Обычно используется для подключения к домену Windows при невозможности/нежелании ставить самбу.
Не уверен, что в логах по умолчанию есть что-то ценное, но конечно же, если хотите можете выложить обезличенную версию

Есть бесплатная программа с открытым кодом способная надёжно зашифровать папку?

Внезапно - есть :) Даже две. На выбор - pgp и openssl. Вот тольк одна бяда - ты не указал, от кого собираешься защищаться.
Если от мамы - хватит и rar с паролем.
Если от работодателя - хватит и разговора с директором по безопасности (после чего сам все расшифруешь :) )
Если от государства - горячий паяльник в #опе - очень неприятная штука, зато вскрывает любые средства защиты

И где больше програмирования?

Нигде. Его там вообще может не быть.

ИБ - это огромная область, в которой направлений, поднаправлений и субподнаправлений примерно столько же, сколько в системном администрировании. Некоторые из них - про программирование, а некоторые - сугубо про людей. А в небольших конторах ИБ-шник, как правило один, ну редко два-три. И он делает все, в том числе и "про людей" тоже. И работа запросто может оказаться неприятной, грязной (в моральном смысле), крайне неэстетичной.

А также бумаги, бумаги, бумаги... Не лишним также будет знание законодательства.

В идеальном сферическом мире хостер, конечно же согласился бы пошерстить логи, возможно был нашел IP и возможно бы удалось привлечь кого-то к ответственности.
В реальном мире финский хостинг CreaNova весьма сомнительно, что чем-то кроме #опы пошевелит. Здесь затруднилось бы даже государство, а обычному челу без связей просто никак от слова совсем.

Мы против контроля в Интернет - говорили они - мы за анонимность! Тор, i2p и ... ... ... (тут каждый подставляет то, что считает нужным) - это наше все!
...пока эта самая анонимность не начала поворачиваться к ним #опой.