Это копия, сохраненная 26 марта 2017 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
Унижаем трукриптодаунов, пилим свои истории успеха поИБэ, рассказываем прохладные и смищные истории: как начинали карьеру в мухосранской конторке, как проводили аудиты по ISO 27001 и СТО БР ИББС, реализовывали проекты и жрали в ресторанах, а также хуесосим калигоспод и мистеров хуеботов.
F.A.Q.
Пока допиливается. Но как только, так сразу.
>Прошлый тред: https://arhivach.org/thread/190594/
>Первый тред: http://arhivach.org/thread/42689/
>Второй тред: http://arhivach.org/thread/104980/
>Третий тред: http://arhivach.org/thread/171358/
> что меня ждёт после выпуска?
Работа без перспективы карьерного роста, а начальником в 99% случаев будет какой-нибудь бывший военный, мент или фсбшник.
Половину всего забыл уже, с этим ссаным цирком.
А как же ликбез? Я пинтестером хочу быть. Мечта детства блять. Поясните что люди делают после универа и какая будет работа.
Будешь делать ТЗ, в 800 страниц, возиться в фз 152, пп 1119, фз 149, фстэк 19, 21. Это лишь малая часть
А если я не юрист? А аудиты делать хочу. Уязвимости искать. А ты про какую-то бюрократию рассказываешь. Как такая работа называется?
> Мечта детства
> пинтестером хочу быть
> аудиты делать
> Уязвимости искать
> какая будет работа
> после универа
> Я пинтестером хочу быть
> Как такая работа называется?
> А как же ликбез?
> Мечта детства
А при чём тут лис?
Ну и соответственно по CCNA Security Certification?
Увидел тред, проиграл. Вспомнил, как на работе заставляли проходить ежегодный тест от ИБ. Практически дословно один из вопросов:
> Вы идете и находите флешку с логотипом Банка, на ней написано, что там чрезвычайно важная информация. Как поступите?
> Вставлю в свой компьютер и посмотрю
> Не буду трогать и пройду дальше
> Пойду к коллеге и посмотрим на его компьютере
> Сообщу в СБ
Собственно этим вы и занимаетесь, да?
Если бы...
>находите флешку с логотипом Банка, на ней написано, что там чрезвычайно важная информация.
Сообщу руководству банка, что в СБ далбаебы сидят.
на стулья сажаем
Давненько я уже на бордах не сижу, но вкачусь в тред.
Имею образование по комплексной защите информации, но после вуза был слишком дик, решил что в ИБ идти не хочу, слишком много ответственности и гемора, потому работал в основном админом в хостингах.
Недавно подвернулась вакансия пентестера, начал читать по вопросу и внезапно понял что интерес к ИБ не угас, а пентест манит еще и меньшей скукой по сравнению с дефолтным ИБ отделом. До того занимался подобным только в школе, еще и на уровне скрипт киддиса, правда уже тогда исповедовал вайтхак и репортил хозяевам серверов. Единственное, время было тяжелое, на инет лишнего бабла никто не давал и я тырил сначала карточки для диалапа, потом у провайдера инет, грешен.
Но за все время админства подзабылось уже все, хотя и приобрелись более полезные навыки в виде системного и практического знания о построении инфраструктур, освоил скриптовые языки(больше мне не нужно было для админских целей и кодинг не совсем мое) и тд.
В итоге мне дико пожелалось работать в этой сфере, пообщался с работодателем и устроился, бросив все свои текущие насиженные и пригретые места работы.
В связи с этим освежаю в памяти знания по ИБ и взлому, потому есть пара вопросов вам:
1) Собрал довольно много инфы по ИБ и пентесту, но объективно на изучение всего этого уйдет уйма времени. Потому буду благодарен советам от практикующих пентестеров/ИБшников что прочитать и изучить в первую очередь. Интересует: всякая организационная работа по ИБ(нормативные документы, модели построение систем ИБ и тд), пентест веба, пентест сетевой инфраструктуры, пентест *nix и ПО под него. Интересует именно обучение тому, как ищут дыры белые люди, а не использование эксплоитов, уточню на всякий случай.
2) Так же буду благодарен совету, к каким адекватным сообществам по ИБ и пентесту можно примкнуть для обмена опытом?
Если есть какие-то вопросы - задавайте, отвечу по возможности, никаких подробностей работы описывать, ессно, не буду.
бля, а кто-нить группы/форумы/чатики по иб (пентест интересует) знает? Ну только не те где школьнички учетки вк взламывают и не чернуху всякую.
>Кто-нибудь сдавал CCNA? Как к нему подготовиться? Что читать и где взять лабы
Хоспадзе, cybrary.it. И комптии, ссна, циспы и прочая лабуда там есть. Все есть, 21 век епта.
По ссна еще и на хабре инфы дофигища.
нужно
ты должен понимать что происходит на том конце, без этого ничего дельного ты не найдешь, кроме самых простых вещей
А что тогда изучать?технологий то много,или нужно дома стать php-макакой,и этого хватит?
безопасник - враг человека.
безопасник - профессиональный параноик.
Почему сеть медленно работает? Потому что она безопасная. Почему нельзя установить %softname%? Потому что небезопасно.
Если безопасник враг человека, тот этот челевек - дрянь
Весь мир будет против меня, я прав есть жи, я вдохновляюсь этим, есть жи (C)
Мимо КамаПуля-безопасник
Ну маст хэв это понимание html и того что такое DOM и с чем его едят, JS - туда же, SOP, AJAX. Это по клиентсайду.
По серверсайду там сложнее, ты должен примерно представлять какой может быть архитектура приложения, какой путь вообще проделывают те или иные данные, как они кодируются/декодируются/санитайз как происходит и зачем. Ну и помимо этого всякие SQL, XSS и что с этим можно делать, иньекции чего бывают и почему, те же %0D %0A зачем нужны например. Ну бля, я заебусь тебе тут пояснять. Кароч ты должен знать что там внутри блядь, иначе чего-то лучше отраженной XSS тебе не видать.
Но, дам тебе ахуенный бесплатный совет - если у тебя просто так не возникает желания разобраться что там за дерьмо и почему - скорее всего нихуя у тебя не выйдет (как и у большнитсва людей что-то начинающих), а если выйдет то хуёво.
Ну и php макакой стать тоже вполне вариант, не сказать чтоб остро необходимый, но лишним не будет.
>безопасник - профессиональный параноик
ну это ты хуйню ляпнул
проф параноики это те кто блэчит
бесопаснику в целом нет смысла параноить, ну и важные/чувствительные данные можно сунуть куда-то вне основной машины и не параноить.
Вот уж нихуя. Дело в том, что я работал в айти-консалтинге, в том числе мы делали (ну лично я не делал, но видел) аудит ИБ. Блядь, я такого насмотрелся, прости г-споди. В одной российской нефтяной компании на полном серьёзе настроили смену паролей в АД раз в ТРИ НЕДЕЛИ. ТРИ СУКА НЕДЕЛИ.
Я уж молчу, что на самом деле мне не известно НИ ОДНОГО случая крупного инцидента ИБ, произошедшего по техническому проёбу. Никто не нанимает хацкеров. Блядь, забудьте это. 10 из 10 инцидентов ИБ - это либо несознательный проёб сотрудника, либо сознательный подкуп оного.
>>737859
Самая хуйня состоит в том, что такие как ты хуячат юзабилити. Потому что безопасность противоположна удобству. А топ-менеджменту всегда объясняют, что не дай б-же утечёт что-то врагу. ПИЗДА БУДЕТ. Потом безопасники на этом утверждаются и стабильно пилят бонусы.
сегодня обнаружил кучу мокрописек и васянства, админам пох естесна, "ЛИШЬ БИ РАБОТАЛА, ЗОЧЕМ ЧЕТ ЕЩЁ ДЕЛАТЬ, ИЩО СЛОМАЕТСЯ ЖИ", а мне-то и надо всего-лишь, чтобы было везде охуенно, да сидеть админить секу и похекать хеку, ну и посраться чуть
> Я уж молчу, что на самом деле мне не известно НИ ОДНОГО случая крупного инцидента ИБ, произошедшего по техническому проёбу.
Охлол раз.
> 10 из 10 инцидентов ИБ - это либо несознательный проёб сотрудника, либо сознательный подкуп оного.
Охлол два.
>>738868
Не слушай этого кукаретика. На промышленные сетки и всякие АСУ ТП всем действительно посрать кроме военных хакиров, а этих всякие "аудиты ИБ" точно хуй вычислят. А вот в банках это пиздос. Сам перекатился полгода назад в банковскую сферу ИБ и натурально охуел. Бешено вспоминаю все, чему учили. Интересно, но пиздец-пиздец. Слава Аллаху-Будде и Макаронному монстру, что еще не встречал серьезных атакующих, т.к. знаю, что дыр дохуя, в т.ч. нелатаемых.
Помощь нужна? Может сможем обменяться инфой полезной по ИБ, без конкретики о работе. Сам сейчас примерно в такой же ситуации, на поиск и освежение в памяти инфы из вуза уходит довольно много времени.
лол, блядь, и ты будешь заливать, что в банках пекутся про ИБ? Я когда смотрел на то, как Сбер запускает свой СбербанкОнлайн, я плакал... да что там, до сих пор кровь из глаз.
По сравнению с обычным крупным наебизнесом в РФии пекутся. 10 лет в сфере, как-никак.
Аноний, не трать время же. Сотрудник любой сферы, свято уверен в офигенной необходимости своей профессии. Обсуждаете вкусовщину какую-то.
Охлол. Не надо тут кукарекать. То, что ИБ в 95% профанация я еще к 3 курсу понял. Но работать в этой сфере мне это никак не мешает.
Нет.
> Какие нынче модные векторы атак есть?
Ничто не ново под луной. По мне СИ - основной и самый эффективный вектор.
бэкграунд какой у тебя? че знаешь/умеешь?
anon]}!.anonov17ANUSgmaLlnilPUNCTUMco69wm
>>742779
Чем глубже ты изучаешь основы и знаешь как что работает до мелочей - тем лучше ты специалист. Советую их и изучать, остальное на работе изучишь, там будет ясно что конкретно тебе будет нужно.
>>742505
Почитай райтапы по CTF(описания их прохождения), особенно комплексные, тебе станет ясно что направление для изучения задать очень сложно. Но если очень сильно хочется, то учи основы по сетям, изучай какое ПО используется в конторах, его основы, очень хорошо бы шарить в кодинге хотя бы на базовом уровне, что бы уметь читать чужой код. Вообще, без реального опыта работы с реальными инфраструктурами очень сложно будет. И да, читай методологии пентеста, большую часть не поймешь, но что-то полезное 100% осядет в голове.
Чмокнул в щечку.
Сисам всегда дорога.
Ну кинь конечно.
любая деятельность легче, чем ИБ
Для корочки пойдет, чо. А так везде развод, хули ты хотел, чтобы из тебя специалиста сделали что ли?
Мне чисто получить диплом о том что у меня есть высшее и все. Учиться я буду естественно сам
Порыскал на счет него оказывается что там дипломы не гос образца дают так что нахуй туда идти
У них в мае отобрали аккредитацию, там целая кулстори. С конца сентября вроде как восстановили. Но тенденция не очень, ебанная параша, если вы понимаете о чем я.
https://www.youtube.com/watch?v=f_4pkFlX0Ww
Ну смари, мутили ребята по полной в госвузах с заочкой на самом деле то же самое, знаю о чем говорю Принимали без ЕГЭ. Шел июнь 2015. Закономерно их выебали. Я им звонил год назад и меня послали сдавать ЕГЭ, тип без него никак. Ок. В мае 16-го по результатам проверки у них отбирают гос.аккредитацию https://web.archive.org/web/20160530194916/http://obrnadzor.gov.ru/ru/press_center/news/index.php?id_4=5633 , что они успешно оспаривают, потому что там пиздец
http://www.mk.ru/social/2016/06/09/op-op-op-podpisali.html
https://www.youtube.com/watch?v=guP4KMKFlZA
и в конце сентября выходит распоряжение https://vk.com/doc123511468_437943176?hash=c248626d359114e450&dl=040b95ac58616ae630
Сама аккредитация у них до 19-го года http://cdn.mti.edu.ru/svedenija/Akkr_08.07.2014.pdf
Существуют давно, бабки рубят исправно, а они, как известно, решают многое. Думаю, все будет хорошо.
Вполне вероятно, что им не позволят дальше работать в том виде, в каком они есть сейчас. Тем более, сейчас набирают обороты СДО местечковых вузов, более осязаемых, так сказать, поэтому их следует подвинуть.
>>724109
>>724128
>>724143
>>724152
>>724291
>>724457
>>742505
>>748578
>>747593
>>748910
>>749010
Бля, тред новичков и школьников. Я ебал.
Тестировщик ПО, погугли зарплаты, хех.
Универ хуйня, учись сам и лезь в баг баунти для начала
Иди в бе, животное. Там еще пока обязательные пасскоды не ввели.
Сам щас работаю джава-макакой.
Активно фапаю на все, что связано с ИБ. Есть голубая мечта -- перекатиться в безопасники, но меня всегда интересовала только тема пентестинга. Знакомый кун закончил шарагу по иб-шной специальности и я спросил его "Чего ты не идешь работать по специальности, раз закончил?", а он говорит, что в лучшем случае ему достанется участь писать гайды по придумыванию паролей для бухгалтеров (возможно, он напиздел, конечно).
Короче, анон, есть ли смысл пытаться перекатиться или оставаться в родном джава тырпрайзе? Сложно ли будет? Имеет ли какой-то вес предыдущие профессии в ит-сфере?
алсо, есть ит-вышка (не иб)
Да он толком и не постигал, ибо ни дня не работал по специальности в итоге. Потому, у меня и возникли сомнения в правдивости его слов. Хотя, он так же сказал, что работу в этой сфере, в принципе, хер найдешь и в это верится с большей охотой.
А вот те пацаны, которые ежегодно ездят на всякие PHD и т.п. мероприятия, они в быту кто?
Или там онли киберэлита, которым повезло?
Я просто сам знаю, что, например, в программирование без проблем можно вкатиться (если есть мотивация и эта мотивация обусловлена не только деньгами) и даже поиметь успех, а что с вашей сферой?
У меня для тебя плохие новости про участников phd. Половина приглашений туда дается представителям компаний, купившим подписку на max patrol.
Ну дак это и чистый пентест. Разве что надо небольшой репорт написать. И больше никакой волокиты.
Почему именно пентест? Почему не анализ кода, раз ты шаришь в джаве?
Алсо, сейчас вакансий на пентест просто до задницы. По факту - работа сплошь из плюсов, бумажной волокиты минимум (отчеты только). В пентест есть всегда смысл перекатываться.
Вакансии пентестеров видел только в позитив технолоджи, больше не видел на хедхантере.
Да много где есть, просто через хэдхантер не очень хотят набирать. Нужно напрямую в конторы писать с сопроводительными письмами. Либо пробовать конторы со стажировкой, типа Digital Security.
(помимо 152-ФЗ )
Направление деятельности конторы?
Протсо мало крадут. Красть надо больше.
В частности интересуют питонисты. Что нужно знать, чтобы попасть к вам?
Да, я как раз в позитив работаю с недавних пор. (у них летний мини курс по ИБ был, с отбором на работку)
Вообще знание от вакансии на которую ты претендуешь зависит.
Но раз тебя питон интересует, то тебе следует просто пойти и начать хуи за деньги, хотя и тут у тебя ничего не выйдет, ведь питонист - не человек.
Иди на хуй.
Все зависит от позиций и проекта! Питонисты очень нужны!
П.с. аоследние время очень много уделяем времени по Питонячим конфам!
Ваш PT!
Правильно.
Ещё бы, у нас в отделе в специальной папке лежат скрины всех этих тестов с правильными ответами. Всем плевать, ибо начальнику не надо, чтобы мы тратили рабочее время на работу над ошибками и повторный тест.
Srsly? Блять а я задрачиваю пенцест и всякие околоиб штуки и мечтаю о том, что бы там выступить ((((( Ну ты сломал мою мечту пиздец(
>>757206-кун
В мире ИБ по крайней мере в Рашке разочарований слишком дохуя, братюнь. Я вот жалею, что перед поступлением на специальность не просчитал все подводные.
Не так давно закончил ВУЗ, специальность профильная, общий стаж около 3х лет, из них: 1год корп-хелпдеск, 1год - админ в филиале федеральной сети (швидусы, виртуалки, эникей, бюджет, платежи, скуд, видеонаблюдени.. и на игре дудец), около полугода работаю "по специальности", торговая сеть 500+ юзеров, плюс еще столько же персонала без комплюкатеров. Занимаюсь всем: пишу прохладные инструкции, юзаю DLP, пользую позитивным сканером, бегаю как УЦ-макак по бухгалтерии с токенами, админю видеонаблюдение, пытаюсь организовать нормальные корп.стандарты по ИБ. (работы в общем хватает). С ЗП по нашей мухосрани хватает, 50к на руки.
Но моё маня-мировозрение и мысли, подсказывают, что годик два, и мне захочется куда-то дальше вырастать, становиться большим и сильным.
Вопрос, в целом состоит в том, какие варианты и куда можно податься дальше? (сразу скажу, что к тыжпрограммированию у меня не стоит, несколько раз пытался).
Расскажите, как вырастали вы как специалисты, что применяли, мб где обучались или ещё что?
Может есть примеры куда развиваться и как.
(прочитал 4 архивных и этот)
Кроме шуток. Как раз готовлю плацдарм. Все эти подзаконные акты, постоянное общение с гебней, бывшими вояками, заебало в край. Тем более понимаю, что ничего полезного ни себе, ни людям я не несу, от слова совсем.
C деньгами, да. В целом какой-то базовый набор практических умений добавится. Куда развиваться дальше, пока в мыслях.
Собственно, вот и попросил помощи :)
Интересует вопрос, каким образом можно "найти трактор", при условии, что по знаниям и должностью я отношусь ближе к "пиджакам". Скила погромиста у меня к сожалению нет, да и если честно никогда на это не стояло. В технического специалиста в виде "network security engineer" возможно перекатиться, но это займет 2-3 года, мб больше, плюс ко всему нужна будет релокация внутри России.
Да и в целом интересно, что для этого нужно... получение сертификатов: CISA / CISM, CISSP, COBIT, ITIL, SO / IEC 27000. (про знание англ я писать тут не буду...уровень advance явно нужен).
В какие страны можно планировать перебраться ? (что и почему меня не устраивает тут, думаю многим понятно:) ).
В первом треде читал про то как один анон перекатился из сибири в ДС, работать в BIG4, после планировал (перебраться) в Нидерланды.
Расскажите, кто пытался, или планирует, или уже...
Прошу помощи ;)
в зависимости от направления, если веб то протоколы и owasp top 10 как от зубов, понимание экплоитинга уязвимостей, разбор кода php, java (бэк енд), вопросы могут быть различными, но основу и базу должен знать.
>>771651
ctf не панацея, единицы от туда приходят к нам. Потом приходиться натаскивать!
Поставь себе kali и ты уже мамкин-пентестер.
цтф даем минимальную базу знаний и вектор развитя в котором тебе интересно будет двигаться, лично сам упарываю веб, кому-то нарвиться реверс, кто-то силен в экплонитнге шиндос машин.
Ваш PT
Ты подожди. Вот щас вотчдогс2 выйдет, вот тогда начнется пиздос от мамкиных хакеров, желающих взломать веб-камеру еот или светофор
А что был прецендент с первым вотчдогсом?
Как мне получить хоть какое-то значимое образование в сфере ИБ?
Первое-гуманитарное. Не отговаривай и не спрашивай почему я этого хочу.
Я поступал и закончил. 5 дней было. Пары были с 18.55 до 22. Преподы были адекватными, нормальными и молодыми в основной своей массе. Много практиков.
Присоединяйся к конфе, ты можешь быть полезен и найти пользу в общении с умными людьми.
товарищ майор... ну хватит
Да, параллельно работал по специальности сначала в обслуживании СКУД и видео, потом в чистый ИБ ближе к концу курсов перекатился. Я туда пошел после армии и 3-мя курсами Бауманки за плечами. Учился 4 года, т.к. засчитали мне только первый курс.
Да ты герой. Как бы не охуеть от такого графика. Надо было сразу после моего парашного вузика тоже поступать, а то я всё откладывал, а уже ближе к 30, био-быдло-проблемы всякие на носу.
У нас были 30+. Тут дело желания.
Заберу себе и припрячу до увольнения же.
Конечно пекуться. Только они, как и всё наше правительство, пекуться внутри, а не снаружи. До скулей в интернет-банке им дела нет, им за это не платят.
С таким то багажем имеет смысл задуматься о менторстве.
Тут вон перед уходом мне от финцерта рассылка пришла, мол ФСБ говорит, банки рассеюшки враги дудосить собираются. забил хуй и поехал в кабак
Щас будут их гнать ссаными тярпками, лол. Пара деятелей проведут конференции А МЫ ГОВОРИЛИ
Хочу вкатиться в компьютерную безопасность.
Заочно поступаю на инженера по информационным технологиям.
Хочу параллельно учебе получать опыт работы в сфере безопасности. Подскажите, где без профильного образования, студент может получить опыт работы в сфере ИБ?
В любом ФГУПе или НИИ на данной специальности. Если именно карьеру строить, как специалист, собираешься, начинай смазывать трактор.
>желательно с опытом работы
>13 500 — 17 000 руб.
шляпа все это.
Начинал с 17к, сейчас ~50.
Сменил 3 работы, общий стаж 2 года.
Навыков пограмиста 0
Смотря кто спрашивает.
Ну в целом товарищ >>804883 прав, но отчасти.
Конечно мне в большей части фортануло со сменами работ, возможно сейчас бы так и сидел в тех.под. за 25к :D (это у меня с 17 вырасло за год). - если кому интересно, могу рассказать.
Занимаюсь на самом деле всем, должность ИБшника тут уже существует лет 5, но сцука, прошлые товарищи нихуй не делали, и в итоге мне сейчас нужно начинать все с нуля.
Как было сказано выше - бумажки, это неотъемлемая часть (модели угроз, инструкции, положения и т.п. - разработать нужно всё). Дальше идёт DLP, отчётики смотрю,бью по рукам. Немного ебли с клиент-банковскими приложениями и эЦоПэ. Видеонаблюдение - бью ссаными тряпками подрядчика, чтоб подчинил, заменил, настроил. Иногда за эконом.без, ковыряюсь, КА в спарке проверить, справки на нового сотрудника навести. Ну и так по мелочи.
В целом позиция мЕнеджера, и технического скила много не растёт, что меня немного угнетает. т.к. хуй пойми куда потом податься, подсиживать своего директора...не дальновидная перспектива, в местные тырпрайзы нужны кгбшники или хз чо, да и зп там от 35к
Кароч перспективы мои дальнейшие туманные, тоже думаю как и чо, правда чем занимаюсь, мне нравится :)
Если может кто посоветовать, то wellcome
с хуяли?
Я сам кого хочу могу послать. Тут ведь в все можно решать в правовом поле, если кто-то что-то не хочет делать, или выебывается, дела решаются через голову. Конечно все это выглядит не очень красиво, но хули делать.
Но пока прецедентов не было.
Мы с ними в целом как братишки... обмазываемся.
Где-то я им помогу, где-то они мне. Наживать себе врагов в виде оити не есть хорошо.
В целом же замечу, что ИБ это ебучая политика. Постоянно находишься на фронте столкновений ИТ, СБ и тупо руководителей. Но по мне лучше быть ближе к ИТ, руководителям на тебя похуй, а СБ само подставит, если что.
Заканчиваю вышеупомянутую специальность. Причём не в заспанном, а в топ ВУЗе страны епт.
Что могу сказать? Почти весь поток прогает. Из киберзащитников, 1-3 человека максимум. Самое полезное что было за все эти года это пару даб, отдалено связанных с обнаружением сетевых атак, лекции по qa&qc (да-да), у и курс по сетям. Все остальное - матан,тфкп,теорвер,диффуры,крипта(пару лаб по не). Все это заебись знаю. Учусь на отлично. Но вот понимаю что спецуху и близко не ебу. Все что было на лекция по якобы спецухе это модели разграничения доступа, модели управления доступом (одно и тоже мб), уязвимости ОС.
В прогу не хочу.
Что скажешь/ посоветуешь?
Пока ввиду отсутствия знаний рассматриваю как работу сисадмина/пентестера
Остальные дают какие-то оторванные от реальности знания и ноль практических навыков, в итоге выпускник ничего толком не умеет, втч. и зарабатывать бабло.
работаю системным аналитиком. всегда была интересна тема иб, но вообще много чем приходилось интересоватся и заниматься, поэтому в ит щитаю многосторонее развит. на этой волне случайно попал в крупную секурную компани.
есть смысл развиваться в иб, или в сисанализе остаться. в
перспективе у нас есть куда расти хоть в этом направлении, хоть в том
Пфф. В рашкосфере ИБ шарага уровня университета Урюписка.
>>815200
Завтра распишу. Писать много, а с телефона влом.
опытные аноны, подскажите
имеет ли смысл углубляться в иб и все такое + по возможности пробовать вкатиться в ctf, или забить и развиваться в проганье?
>имеет ли смысл углубляться в иб и все такое
Сейчас распишу простыню, а дальше сам для себя решишь, братишка.
И так, как и обещал >>815983 начну.
10 лет в сфере ИБ. Работал, как в сугубо техническом направлении ПЭМИНы, закладки и прочая недошпионская хуйня, так и непосредственно в ИБ.
Так вот, ответственно заявляю за РФ. ИБ серьезно занимаются следующие: гэбня, военные и кое-что из правительства вроде МИДа, топ-конторы уровня Газпрома да и вообще нефтегаз/металлургия и прочее сырье, выкачиваемое из родной земельки, совсем немного серьезных банков из топ-10, в том числе ЦБ но там уже распиздяйства хватает. Всё. Ну т.е. вот совсем всё. Остальные 99.99% организаций под "ИБ" понимают бумагомарание всех родов вроде клепания тонны бумаг под 152-ФЗ, 382П и прочих высеров Кожевниковой, Валуева и ко, или это если совсем повезет руление "групповыми политиками в домене" или каким-нибудь корпоративным антивирусом. Даже не макспатролом, который стоит, как чугунный мост, а если его и используют, то как банальный инвентризатор наличия/отсутствия обновлений трустори.
ИБ как таковое, если вы будете внимательно анализировать вышеозначенный список, у нас хоть как-то теплится только если есть бабло на это самое ИБ. В остальных случаях это ненужный придаток на границе ИТ/СБ без особенно видных результатов для современных гендиров. А так, давным давно складывается ощущение, что у нас и без ИТ с СБ обходились бы, но приходится по минимуму тратить на это бабло в первом случае, чтобы была хоть какая-то инфраструктура, а во втором, чтобы совсем уж нагло не воровали А воруют у нас почти все и всё, что плохо или хорошо лежит, это если кто еще не вырос из школьных мозгов, и не осознал этого забавного факта из жизни хомосапиенсов в джунглях современной России.
И так, после краткого введения в "месте ИБ в бизнесе современной России". Распишу, что вас таки ожидает в карьером плане. А в карьером плане, если у вас за спиной нет Академии водителей гелендвагенов или военного вуза с последующей работой по специальности на государство и погоны, будет жопа. Максимум, подчеркну, максимум, что тебе светит - быть специалистом за жалкие 2 килобакса. Но при этом впахивать будешь, аки конь. Но чаще в Россиюшке 2 килобакса - предел мечтаний. На деле зп будет в районе 1К максимум и то в ДС. Начальником не станешь почти никогда. Знаешь почему? Потому что начальниками у тебя будут ребята, как раз таскавшие погоны. Либо с васильковым кантом, либо вообще со звездами. Это такой прямой намёк "как правильно строить карьеру ИБ в России".
А теперь по основным направлениям.
Классическое ИБ чем скорее всего будешь заниматься с 90% долей вероятности - регулярное чтение законов и подзаконных высеров, клепание регламентирующих документов по этому поводу, участие в никому не нужных совещаниях, общение на перекурах с быдлоадминами из ИТ или быдлосапогами из СБ, а может и с теми и с другими, попойки с контролирующими твою говноконтору проверяющими. Классический менеджер без задач в общем. ЗП до 80К деревянных в ДС.
Всеми обожаемый тут пентест - контор, которые ими занимаются, 3.5. Рынок по объемам на уровне комариного хуя. Пентест почти никогда тут не заказывают, ибо никто не хочет оголять свою жопу. Все живут до первого инцидента. А если он и случится, стараются его замалчивать до последнего.
криптография - тут все на самом деле очень грустно. Разрабатывать тебе ничего не дадут, т.к. это автоматом попадает под 99-ФЗ http://clsz.fsb.ru/license.htm. Если хочешь что-то серьезное делать - быть невызедным и работать за копейки на родное государство. В 99% же случаев в частном секторе - будешь тупо админить распределение ключей, что на уровне где-то сраного эникея. ЗП соответствующая 30 килорублей максимум.
Техническая ИБ так же попадает под вышенаписанное. Если повезет, дадут поводить по губам нелинейным локатором или помониторить радиоэфир, хех. Но опять же, таких спецов нужно 3.5 калеки. Зп в районе 1К баксов. Ранняя импотенция и облысение гарантированы.
ИБ при разработке ПО нахуй никому не нужно, особенно в мире современного макакодинга, надо быстрее "хуяк-хуяк и в продакшен", а не ловить утечки и переполнения буфера. Тут 100% надо смазывать трактор.
антималварь - все уже занято. Есть достаточно инсайдов, что малварь давно пишут сами антималварьщики. Пока будешь набивать скилы, посадят.
Отака хуйня, малята.
Это кратко. Сегодня помониторю тред. Задавайте ваши ответы.
>имеет ли смысл углубляться в иб и все такое
Сейчас распишу простыню, а дальше сам для себя решишь, братишка.
И так, как и обещал >>815983 начну.
10 лет в сфере ИБ. Работал, как в сугубо техническом направлении ПЭМИНы, закладки и прочая недошпионская хуйня, так и непосредственно в ИБ.
Так вот, ответственно заявляю за РФ. ИБ серьезно занимаются следующие: гэбня, военные и кое-что из правительства вроде МИДа, топ-конторы уровня Газпрома да и вообще нефтегаз/металлургия и прочее сырье, выкачиваемое из родной земельки, совсем немного серьезных банков из топ-10, в том числе ЦБ но там уже распиздяйства хватает. Всё. Ну т.е. вот совсем всё. Остальные 99.99% организаций под "ИБ" понимают бумагомарание всех родов вроде клепания тонны бумаг под 152-ФЗ, 382П и прочих высеров Кожевниковой, Валуева и ко, или это если совсем повезет руление "групповыми политиками в домене" или каким-нибудь корпоративным антивирусом. Даже не макспатролом, который стоит, как чугунный мост, а если его и используют, то как банальный инвентризатор наличия/отсутствия обновлений трустори.
ИБ как таковое, если вы будете внимательно анализировать вышеозначенный список, у нас хоть как-то теплится только если есть бабло на это самое ИБ. В остальных случаях это ненужный придаток на границе ИТ/СБ без особенно видных результатов для современных гендиров. А так, давным давно складывается ощущение, что у нас и без ИТ с СБ обходились бы, но приходится по минимуму тратить на это бабло в первом случае, чтобы была хоть какая-то инфраструктура, а во втором, чтобы совсем уж нагло не воровали А воруют у нас почти все и всё, что плохо или хорошо лежит, это если кто еще не вырос из школьных мозгов, и не осознал этого забавного факта из жизни хомосапиенсов в джунглях современной России.
И так, после краткого введения в "месте ИБ в бизнесе современной России". Распишу, что вас таки ожидает в карьером плане. А в карьером плане, если у вас за спиной нет Академии водителей гелендвагенов или военного вуза с последующей работой по специальности на государство и погоны, будет жопа. Максимум, подчеркну, максимум, что тебе светит - быть специалистом за жалкие 2 килобакса. Но при этом впахивать будешь, аки конь. Но чаще в Россиюшке 2 килобакса - предел мечтаний. На деле зп будет в районе 1К максимум и то в ДС. Начальником не станешь почти никогда. Знаешь почему? Потому что начальниками у тебя будут ребята, как раз таскавшие погоны. Либо с васильковым кантом, либо вообще со звездами. Это такой прямой намёк "как правильно строить карьеру ИБ в России".
А теперь по основным направлениям.
Классическое ИБ чем скорее всего будешь заниматься с 90% долей вероятности - регулярное чтение законов и подзаконных высеров, клепание регламентирующих документов по этому поводу, участие в никому не нужных совещаниях, общение на перекурах с быдлоадминами из ИТ или быдлосапогами из СБ, а может и с теми и с другими, попойки с контролирующими твою говноконтору проверяющими. Классический менеджер без задач в общем. ЗП до 80К деревянных в ДС.
Всеми обожаемый тут пентест - контор, которые ими занимаются, 3.5. Рынок по объемам на уровне комариного хуя. Пентест почти никогда тут не заказывают, ибо никто не хочет оголять свою жопу. Все живут до первого инцидента. А если он и случится, стараются его замалчивать до последнего.
криптография - тут все на самом деле очень грустно. Разрабатывать тебе ничего не дадут, т.к. это автоматом попадает под 99-ФЗ http://clsz.fsb.ru/license.htm. Если хочешь что-то серьезное делать - быть невызедным и работать за копейки на родное государство. В 99% же случаев в частном секторе - будешь тупо админить распределение ключей, что на уровне где-то сраного эникея. ЗП соответствующая 30 килорублей максимум.
Техническая ИБ так же попадает под вышенаписанное. Если повезет, дадут поводить по губам нелинейным локатором или помониторить радиоэфир, хех. Но опять же, таких спецов нужно 3.5 калеки. Зп в районе 1К баксов. Ранняя импотенция и облысение гарантированы.
ИБ при разработке ПО нахуй никому не нужно, особенно в мире современного макакодинга, надо быстрее "хуяк-хуяк и в продакшен", а не ловить утечки и переполнения буфера. Тут 100% надо смазывать трактор.
антималварь - все уже занято. Есть достаточно инсайдов, что малварь давно пишут сами антималварьщики. Пока будешь набивать скилы, посадят.
Отака хуйня, малята.
Это кратко. Сегодня помониторю тред. Задавайте ваши ответы.
Норм расписал, спасибо что не поленился всю эту простыню писать. Расскажи какие скилы заграницей ценят и в каких направлениях, если не сложно.
>антималварь - все уже занято. Есть достаточно инсайдов, что малварь давно пишут сами антималварьщики. Пока будешь набивать скилы, посадят.
Обосрался.
Разговорный ангельский, знание и умение в матешу и алгоритмы. Ну и никсы таки в фаворе.
Честно у меня пригорает, хотя я начал понимать куда вкатываюсь спустя нескольких месяцев мониторинга HH и "работы по спец".
В треде тут часто зависаю, читаю, пишу о своих 50кг в мухосрани.
По сути занимаюсь "классическим ИБ", сейчас пока молодой и много нихуя не надо, денег хватает, хотя пизжю, не хватает.
А дальнейшие перспективы меня пугают... мой непосредственный начальник в погонах, с кем приходится сталкиваться с других компаний, или про кого рассказывает мой босс, тоже все в погонах. Если открыть вкладку "резюме" на HH и шерстить по разделу "безопасность" или "ит-комп.безопасность", почти 90% это "господа офицеры" - а им чо заебись, в 40 откинулись и пошли до 60 дальше шуршать. Хотя в большей части специалисты из них так себе... только на словах и львах толстах...
Самое что обидное, в универе жил в своем маня-мире и думал, что вот закончу, стану дохуя специалистом и всем меня сразу захотят, а через 2-3-5лет, буду мега спецом по ИБ, и получать сотни нефти.. в реалиях ЭрЭфии творится лютый пиздец.
И вот у меня встает вопрос, мб стоить куда-то перекатываться? В какую-то эконом.безопасность - хотя блять там тоже погоны, и хуй знает, что они делаю, кроме как дрочат в спарке.
В быдлоадмины уходить, чот дико не стоит, ибо крутить цыски, длинки и прочую хуету что-то не стоит, небольшой опыт был, не особо вставило...
В тыжпограмисты, вполне вариант, только тут у меня вопрос ко всем, как умудриться в катиться в отрасль без сильного проеба в ЗП, в какую часть пограмистов и на чем? (если учиться на базе остаточного универа), я бы согласился проебать 10-15к из своей зп и уйти в пограмисты, точно зная, что ха год мб 2 я отобью это.
В общем делитесь советами идеями, у кого и чо ?
Иногда хочется попробовть попроситься в PT или ДиджиталСесурити... или еще куда...
Антоши, давайте пообсуждаем... ибо ну хуй знает, я чувствую что начинаю тупеть, перекладываю бумажки))) хочется ведь вырасти все же.. а не жить в маня мире...
кароч хелп и все дела..
p.s. извините за кривой подчерк, пишу на спине убитого товарища
Честно у меня пригорает, хотя я начал понимать куда вкатываюсь спустя нескольких месяцев мониторинга HH и "работы по спец".
В треде тут часто зависаю, читаю, пишу о своих 50кг в мухосрани.
По сути занимаюсь "классическим ИБ", сейчас пока молодой и много нихуя не надо, денег хватает, хотя пизжю, не хватает.
А дальнейшие перспективы меня пугают... мой непосредственный начальник в погонах, с кем приходится сталкиваться с других компаний, или про кого рассказывает мой босс, тоже все в погонах. Если открыть вкладку "резюме" на HH и шерстить по разделу "безопасность" или "ит-комп.безопасность", почти 90% это "господа офицеры" - а им чо заебись, в 40 откинулись и пошли до 60 дальше шуршать. Хотя в большей части специалисты из них так себе... только на словах и львах толстах...
Самое что обидное, в универе жил в своем маня-мире и думал, что вот закончу, стану дохуя специалистом и всем меня сразу захотят, а через 2-3-5лет, буду мега спецом по ИБ, и получать сотни нефти.. в реалиях ЭрЭфии творится лютый пиздец.
И вот у меня встает вопрос, мб стоить куда-то перекатываться? В какую-то эконом.безопасность - хотя блять там тоже погоны, и хуй знает, что они делаю, кроме как дрочат в спарке.
В быдлоадмины уходить, чот дико не стоит, ибо крутить цыски, длинки и прочую хуету что-то не стоит, небольшой опыт был, не особо вставило...
В тыжпограмисты, вполне вариант, только тут у меня вопрос ко всем, как умудриться в катиться в отрасль без сильного проеба в ЗП, в какую часть пограмистов и на чем? (если учиться на базе остаточного универа), я бы согласился проебать 10-15к из своей зп и уйти в пограмисты, точно зная, что ха год мб 2 я отобью это.
В общем делитесь советами идеями, у кого и чо ?
Иногда хочется попробовть попроситься в PT или ДиджиталСесурити... или еще куда...
Антоши, давайте пообсуждаем... ибо ну хуй знает, я чувствую что начинаю тупеть, перекладываю бумажки))) хочется ведь вырасти все же.. а не жить в маня мире...
кароч хелп и все дела..
p.s. извините за кривой подчерк, пишу на спине убитого товарища
Лично я дрочу связку C/Python и nix поглубже.
> как умудриться в катиться в отрасль без сильного проеба в ЗП
Либо параллельно фрилансером, либо таки смириться и проебать в зп на годик-два.
pizdoooooos
походу, либо все же угорать по проге, либо tructor
алсо, спасибо тебе, анон, хоть это и печально, но лучше сразу быть готовым к такому
Аналитика, ИТ-консалтинг, ПМ, продажи в ИТ. Там хоть деньги есть. И карьера.
Защита контор с экономическими преступлениями, например. Или защита мутных дельцов от технических разведок и прочих ОРМ.
Братиш, у меня для тебя плохие новости, но именно в описанных тобой конторках бывшего офицерья наоборот еще больше. Ибо у них есть связи
Хуй знает отвечал мне ты или нет, но повторю свой вопрос.
Итак, я работаю системным аналитиком. Но в ИТ развивался в разных направлениях: и кодить могу, и тесты писать, и веб апи поднять, и брд написать, а про срс вообще молчу - хлеб мой родной. Опыта в этом плане дохуя, бывало что и архитектурные решения принимал. Темой ИБ интересовался чуть более, поэтому знаком и с терминологией и со спецификой. Так же проходил курсы про криптографии, когда работал на госпроектах, но больше нигде не пригодилось.
Случайно попал в контору, которая занимается антималварой и пентестом. Бумагомарательсвом не занимаемся, даже спецификация на довольно большую систему пишется на 5 листах, без всяких титульных листов, содержания и всякого другого оформления. Потому что готовый работающий продукт важнее правильно оформленной и исчерпывающей документации.
Погонов у нас нет от слова совсем. Самый главный англичанин, который никаких академий не заканчивал. Вообще очень много реально молодых и умных ребят, в том числе иностранцев. Мне есть чему у них поучится, чем я и занимаюсь.
Поэтому хочу спросить у опытных людей:
Остаться в анализе и развиваться в этом направлении, к примеру, до руководителя проектов,
Или подучиться и заниматься компьютерной и кибер безопасностью, расти как технический специалист.
Прошу не отвечать в духе "в рашке все плохо, пора валить". Это не входит в скоуп моего вопроса.
Совсем забыл про второй вопрос
Вообще-то по образованию я экономист, но моя тяга к познанию и то, что технологии даются мне без особых трудностей - позволило мне сделать такую карьеру.
У меня УЖЕ есть опыт, УЖЕ есть интересная работа, УЖЕ есть хорошая зарплата. Поэтому мне не особо охота сидеть за партой в этой вашей академии пятерку лет, чтобы потом иметь возможность заниматься бумажной и не нужной работой типа разработкой регламентов политик и обучать персонал как этим пользоваться.
Мне хочется заниматься анализом и исследованием по и систем на наличие уязвимостей? поэтому хотелось бы как-то системно получить знания в этом напралении. Я видел курсы повышения квалификации в разных топовых институтах в направлении компьютерной безопасности и криминалистики. Можете что-то посоветовать?
Или может просто пойти на курсы CEH (например в Специалист) и сдать на сертификат? Или можно самостоятельно учиться?
Деньги не проблема. У меня есть правило, что в год я должен потратить месячную зарплату на свое образование, а получаю я 150-200к, так что деньги в бюджете заложены. А вот времени свободного всегда мало. поэтому еще раз повторюсь, что не собираюсь получать корочку в течении пяти лет. мне нужны реальные и практические знания.
> Хуй знает отвечал мне ты или нет, но повторю свой вопрос.
Я расписал среднюю температуру по больнице в России.
> Итак, я работаю системным аналитиком.
Ты походу очень хуевый системный аналитик, раз не умеешь читать, что написано.
> Но в ИТ развивался в разных направлениях: и кодить могу, и тесты писать, и веб апи поднять, и брд написать, а про срс вообще молчу - хлеб мой родной.
Ну прям человек-пароход. Лидера митол группы разве что забыл.
> Опыта в этом плане дохуя, бывало что и архитектурные решения принимал.
Ты уж определись, кто ты, аналитик или ПМ.
> Темой ИБ интересовался чуть более, поэтому знаком и с терминологией и со спецификой.
Я тоже терминологию нейрохирургии знаю, я нейрохирург?
> Так же проходил курсы про криптографии, когда работал на госпроектах, но больше нигде не пригодилось.
Я вообще проиграл с этого предложения, если честно. Курсы secretnet'a проходил? Как флешку вставить?
> Случайно попал в контору, которая занимается антималварой и пентестом.
Рад за тебя.
> Бумагомарательсвом не занимаемся, даже спецификация на довольно большую систему пишется на 5 листах, без всяких титульных листов, содержания и всякого другого оформления. Потому что готовый работающий продукт важнее правильно оформленной и исчерпывающей документации.
Ты хоть читай, что пишут. Про бумагомарание было указано только со стороны работы сферического отдела ИБ в сферической конторе в вакууме, а не на стороне интегратора.
> Погонов у нас нет от слова совсем. Самый главный англичанин, который никаких академий не заканчивал.
Дай угадаю, на деле контора - филиал западной?
> Вообще очень много реально молодых и умных ребят, в том числе иностранцев. Мне есть чему у них поучится, чем я и занимаюсь.
Без комментариев после твоего же
> Опыта в этом плане дохуя
> Поэтому хочу спросить у опытных людей:
> Остаться в анализе и развиваться в этом направлении, к примеру, до руководителя проектов,
Ты уже должен быть взрослым дядей с таким бэкграундом покормлю и решать за себя сам.
> Или подучиться и заниматься компьютерной и кибер безопасностью, расти как технический специалист.
Перспективы "специалиста" в РФ тебе обозначили.
> Прошу не отвечать в духе "в рашке все плохо, пора валить". Это не входит в скоуп моего вопроса.
Судя по натыканным в твой "спич" англицизмам твое подсознание думает иначе.
>>818598
> Совсем забыл про второй вопрос
> Вообще-то по образованию я экономист, но моя тяга к познанию и то, что технологии даются мне без особых трудностей - позволило мне сделать такую карьеру.
> У меня УЖЕ есть опыт, УЖЕ есть интересная работа, УЖЕ есть хорошая зарплата. Поэтому мне не особо охота сидеть за партой в этой вашей академии пятерку лет, чтобы потом иметь возможность заниматься бумажной и не нужной работой типа разработкой регламентов политик и обучать персонал как этим пользоваться.
Очень толсто, если честно.
> Мне хочется заниматься анализом и исследованием по и систем на наличие уязвимостей? поэтому хотелось бы как-то системно получить знания в этом напралении.
Местные курсы тебе никаких системных знаний не дадут от слова совсем.
> Я видел курсы повышения квалификации в разных топовых институтах в направлении компьютерной безопасности и криминалистики. Можете что-то посоветовать?
По форензике на русском языке всего 2 книги, одна из которых переводная. В русском же опусе полкниги описывают, как писать отчеты ручками.
> Или может просто пойти на курсы CEH (например в Специалист) и сдать на сертификат? Или можно самостоятельно учиться?
Тебе сколько лет, вот честно?
> Деньги не проблема. У меня есть правило, что в год я должен потратить месячную зарплату на свое образование, а получаю я 150-200к,
Тебе расписали вилки зп в ИБ.
>А вот времени свободного всегда мало.
Времени сидеть на двощах при этом у тебя достаточно.
> поэтому еще раз повторюсь, что не собираюсь получать корочку в течении пяти лет. мне нужны реальные и практические знания.
Тебе не кажется, "аналитик", что ты сам себе уже на все ответил?
> Хуй знает отвечал мне ты или нет, но повторю свой вопрос.
Я расписал среднюю температуру по больнице в России.
> Итак, я работаю системным аналитиком.
Ты походу очень хуевый системный аналитик, раз не умеешь читать, что написано.
> Но в ИТ развивался в разных направлениях: и кодить могу, и тесты писать, и веб апи поднять, и брд написать, а про срс вообще молчу - хлеб мой родной.
Ну прям человек-пароход. Лидера митол группы разве что забыл.
> Опыта в этом плане дохуя, бывало что и архитектурные решения принимал.
Ты уж определись, кто ты, аналитик или ПМ.
> Темой ИБ интересовался чуть более, поэтому знаком и с терминологией и со спецификой.
Я тоже терминологию нейрохирургии знаю, я нейрохирург?
> Так же проходил курсы про криптографии, когда работал на госпроектах, но больше нигде не пригодилось.
Я вообще проиграл с этого предложения, если честно. Курсы secretnet'a проходил? Как флешку вставить?
> Случайно попал в контору, которая занимается антималварой и пентестом.
Рад за тебя.
> Бумагомарательсвом не занимаемся, даже спецификация на довольно большую систему пишется на 5 листах, без всяких титульных листов, содержания и всякого другого оформления. Потому что готовый работающий продукт важнее правильно оформленной и исчерпывающей документации.
Ты хоть читай, что пишут. Про бумагомарание было указано только со стороны работы сферического отдела ИБ в сферической конторе в вакууме, а не на стороне интегратора.
> Погонов у нас нет от слова совсем. Самый главный англичанин, который никаких академий не заканчивал.
Дай угадаю, на деле контора - филиал западной?
> Вообще очень много реально молодых и умных ребят, в том числе иностранцев. Мне есть чему у них поучится, чем я и занимаюсь.
Без комментариев после твоего же
> Опыта в этом плане дохуя
> Поэтому хочу спросить у опытных людей:
> Остаться в анализе и развиваться в этом направлении, к примеру, до руководителя проектов,
Ты уже должен быть взрослым дядей с таким бэкграундом покормлю и решать за себя сам.
> Или подучиться и заниматься компьютерной и кибер безопасностью, расти как технический специалист.
Перспективы "специалиста" в РФ тебе обозначили.
> Прошу не отвечать в духе "в рашке все плохо, пора валить". Это не входит в скоуп моего вопроса.
Судя по натыканным в твой "спич" англицизмам твое подсознание думает иначе.
>>818598
> Совсем забыл про второй вопрос
> Вообще-то по образованию я экономист, но моя тяга к познанию и то, что технологии даются мне без особых трудностей - позволило мне сделать такую карьеру.
> У меня УЖЕ есть опыт, УЖЕ есть интересная работа, УЖЕ есть хорошая зарплата. Поэтому мне не особо охота сидеть за партой в этой вашей академии пятерку лет, чтобы потом иметь возможность заниматься бумажной и не нужной работой типа разработкой регламентов политик и обучать персонал как этим пользоваться.
Очень толсто, если честно.
> Мне хочется заниматься анализом и исследованием по и систем на наличие уязвимостей? поэтому хотелось бы как-то системно получить знания в этом напралении.
Местные курсы тебе никаких системных знаний не дадут от слова совсем.
> Я видел курсы повышения квалификации в разных топовых институтах в направлении компьютерной безопасности и криминалистики. Можете что-то посоветовать?
По форензике на русском языке всего 2 книги, одна из которых переводная. В русском же опусе полкниги описывают, как писать отчеты ручками.
> Или может просто пойти на курсы CEH (например в Специалист) и сдать на сертификат? Или можно самостоятельно учиться?
Тебе сколько лет, вот честно?
> Деньги не проблема. У меня есть правило, что в год я должен потратить месячную зарплату на свое образование, а получаю я 150-200к,
Тебе расписали вилки зп в ИБ.
>А вот времени свободного всегда мало.
Времени сидеть на двощах при этом у тебя достаточно.
> поэтому еще раз повторюсь, что не собираюсь получать корочку в течении пяти лет. мне нужны реальные и практические знания.
Тебе не кажется, "аналитик", что ты сам себе уже на все ответил?
Забыл добавить для тебя, как воннаби криминалисту, что опять же, благодаря законодательству РФ все внятные учебники по прикладной криминалистике и ОРД находятся под грифами ДСП и выше, на озоне их не купишь.
> Ты походу очень хуевый системный аналитик, раз не умеешь читать, что написано.
так и у тебя не видно зачатков ума, если ты постоянно описываешь среднюю температуру и отвечаешь формально, не понимая моей конкретной ситуации и абсолютно точного вопроса
> Ты уж определись, кто ты, аналитик или ПМ.
ПМ ни разу не принимает архитектурные решения, это либо делает архитектор, либо тимлид, если опыта предостаточно. ПМ - управленец, он занимается управлением сроками, бюджетами и рисками и прочими ресурсами. Ведет коммуникацию с заинтересованными лицами, контролем качества, и созданием отчетных документов.
Это тебе для общего развития так сказать.
>Я тоже терминологию нейрохирургии знаю, я нейрохирург?
Если ты уже работаешь в хирургии ассистентом, то почему бы и нет. Начинай учится.
>Я вообще проиграл с этого предложения, если честно. Курсы secretnet'a проходил? Как флешку вставить?
Практическая реализация регламентов деятельности удостоверяющего центра и настройка компонентов "КриптоПро УЦ"
Эксплуатация и техническое обслуживание PKI на основе ПАК «КриптоПро УЦ»
Использование электронной подписи и развертывание PKI на основе Удостоверяющего центра КриптоПро
Использование ЭП и PKI на основе УЦ КриптоПро и Windows Server
>Дай угадаю, на деле контора - филиал западной?
У нас нет филиалов, один офис. Но компания по сути нидерландская, владелец гражданин Сингапура, который родился, учился и живет в Москве, управленец англичанин.
>Ты уже должен быть взрослым дядей с таким бэкграундом покормлю и решать за себя сам.
Я так и сделаю, когда у меня будет достаточно информации.
> Перспективы "специалиста" в РФ тебе обозначили.
Очень рад за вас. Но среднее по больнице меня не интересует.
>Судя по натыканным в твой "спич" англицизмам твое подсознание думает иначе.
Заказчики то в основном европейцы, они по-русски ни бе ни ме, поэтому ничего удивительного тут нет.
>Тебе сколько лет, вот честно?
около 30. ты ведь не думал, что я весь этот опыт за пару лет после универа набрал
>Тебе расписали вилки зп в ИБ.
Тимлид-антималварщик у нас получает больше 500к + компенсация питания и оплату парковки + оплата спортзала 100% + очень хороший пакет ДМС.
А есть еще эксперт, который в нашей структуре выше, он получает еще больше + ездит на международные конференции за счет компании, но при этом он не является руководителем, у него нет подчиненных, и он занимается только своей непосредственной работой.
так что свое мнение о том, что некуда расти - оставь при себе. я не спрашивал у тебя, есть ли возможность расти куда то в компании, где я работаю.
>Времени сидеть на двощах при этом у тебя достаточно.
Да, как раз хочу направить его в нужное русло и потратить с пользой.
> Забыл добавить для тебя, как воннаби криминалисту, что опять же, благодаря законодательству РФ все внятные учебники по прикладной криминалистике и ОРД находятся под грифами ДСП и выше, на озоне их не купишь.
Мне не надо ничего покупать. Я просто скажу своему руководителю, что мне нужен такой-то учебник. Далее уже не мои проблемы как и где его будут доставать. Если нет на русском, подойдет и на английском. Я без проблем читаю и пишу техническую документацию на английском.
> Ты походу очень хуевый системный аналитик, раз не умеешь читать, что написано.
так и у тебя не видно зачатков ума, если ты постоянно описываешь среднюю температуру и отвечаешь формально, не понимая моей конкретной ситуации и абсолютно точного вопроса
> Ты уж определись, кто ты, аналитик или ПМ.
ПМ ни разу не принимает архитектурные решения, это либо делает архитектор, либо тимлид, если опыта предостаточно. ПМ - управленец, он занимается управлением сроками, бюджетами и рисками и прочими ресурсами. Ведет коммуникацию с заинтересованными лицами, контролем качества, и созданием отчетных документов.
Это тебе для общего развития так сказать.
>Я тоже терминологию нейрохирургии знаю, я нейрохирург?
Если ты уже работаешь в хирургии ассистентом, то почему бы и нет. Начинай учится.
>Я вообще проиграл с этого предложения, если честно. Курсы secretnet'a проходил? Как флешку вставить?
Практическая реализация регламентов деятельности удостоверяющего центра и настройка компонентов "КриптоПро УЦ"
Эксплуатация и техническое обслуживание PKI на основе ПАК «КриптоПро УЦ»
Использование электронной подписи и развертывание PKI на основе Удостоверяющего центра КриптоПро
Использование ЭП и PKI на основе УЦ КриптоПро и Windows Server
>Дай угадаю, на деле контора - филиал западной?
У нас нет филиалов, один офис. Но компания по сути нидерландская, владелец гражданин Сингапура, который родился, учился и живет в Москве, управленец англичанин.
>Ты уже должен быть взрослым дядей с таким бэкграундом покормлю и решать за себя сам.
Я так и сделаю, когда у меня будет достаточно информации.
> Перспективы "специалиста" в РФ тебе обозначили.
Очень рад за вас. Но среднее по больнице меня не интересует.
>Судя по натыканным в твой "спич" англицизмам твое подсознание думает иначе.
Заказчики то в основном европейцы, они по-русски ни бе ни ме, поэтому ничего удивительного тут нет.
>Тебе сколько лет, вот честно?
около 30. ты ведь не думал, что я весь этот опыт за пару лет после универа набрал
>Тебе расписали вилки зп в ИБ.
Тимлид-антималварщик у нас получает больше 500к + компенсация питания и оплату парковки + оплата спортзала 100% + очень хороший пакет ДМС.
А есть еще эксперт, который в нашей структуре выше, он получает еще больше + ездит на международные конференции за счет компании, но при этом он не является руководителем, у него нет подчиненных, и он занимается только своей непосредственной работой.
так что свое мнение о том, что некуда расти - оставь при себе. я не спрашивал у тебя, есть ли возможность расти куда то в компании, где я работаю.
>Времени сидеть на двощах при этом у тебя достаточно.
Да, как раз хочу направить его в нужное русло и потратить с пользой.
> Забыл добавить для тебя, как воннаби криминалисту, что опять же, благодаря законодательству РФ все внятные учебники по прикладной криминалистике и ОРД находятся под грифами ДСП и выше, на озоне их не купишь.
Мне не надо ничего покупать. Я просто скажу своему руководителю, что мне нужен такой-то учебник. Далее уже не мои проблемы как и где его будут доставать. Если нет на русском, подойдет и на английском. Я без проблем читаю и пишу техническую документацию на английском.
>Практическая реализация регламентов деятельности удостоверяющего центра и настройка компонентов "КриптоПро УЦ"
>Эксплуатация и техническое обслуживание PKI на основе ПАК «КриптоПро УЦ»
>Использование электронной подписи и развертывание PKI на основе Удостоверяющего центра КриптоПро
>Использование ЭП и PKI на основе УЦ КриптоПро и Windows Server
Проиграл с этого криптографа.
>Тимлид-антималварщик у нас получает больше 500к + компенсация питания и оплату парковки + оплата спортзала 100% + очень хороший пакет ДМС.
>А есть еще эксперт, который в нашей структуре выше, он получает еще больше + ездит на международные конференции за счет компании, но при этом он не является руководителем, у него нет подчиненных, и он занимается только своей непосредственной работой.
Ну у них и спрашивай тогда, а не на двощах, раз они такие охуительные ребята. Тебя один раз уже в говно собственное потыкали. Видимо, понравилось.
Больше на твои высокопарные высеры, полные лулзов для людей, которые хоть немного в теме, серьезно отвечать тут никто не будет.
>около 30. ты ведь не думал, что я весь этот опыт за пару лет после универа набрал
С виду, что ты пишешь, как рассуждаешь, особенно по поводу процессов учебы, я бы тебе, как продвинутому маняфантазеру, больше 20 бы не дал никогда. Вот от слова совсем.
Про криптографию ты такую пушку написал, что даже комментировать нечего.
И да, из серьезных нидерландских контор, занимающихся антималварью есть только одна - AVG, вот только у неё офиса в Рассеюшке нет. Такие дела.
Я аналитик, а не криптограф. Для моих обязанностей достаточно было знать как это работает, ну и умение развернуть удостоверяющий центр тоже было полезно. Придумывать новые новые алгоритмы шифрования в мои обязанности не входило.
>>819107
Я уже спросил, но в силу ряда причин, их мнение не является независимым.
Ок. Давай я буду 20тилетним мамкиным маняфантазкром. В моем манямирке есть системный анализ и антималвар. Больше ничего! В манямирке из аналитика можно стать тимлидом, или архитектором, или ПМ. В антивалваре можно стать тимлидом или экспертом. В каком направлении развиваться, если больше интересует не деньги, именно работа, то есть становление экспертом в своей области?
PS. Я же написал что у нас только один офис - в Москве. А то, что компания зарегистрирована в Нидерландах не означает, что у меня нас там головной или какой-то другой офис. Такие дела, поэтому не надо искать буквы между строк, где их нет.
Слишком размыто ответил, я про технические больше спрашивал, а то что ты перечислил, я и так умею.
>В каком направлении развиваться
Ты напоминаешь героя стиха Маяковского "пусть меня научат".
Все твои посты так и кричат. "Мне уже под сраку лет, а я до сих пор не знаю, чем заниматься, подскажите, двачеры милые!".
Нееее
Меня раскусили, двадцатка мне максимум. Все посты об этом только и кричат.
Но если ты думаешь что человек должен в 17 лет определиться кем хочет быть, отучится пять лет на энто, и потом пахать в энтой сфере до гроба, не взирая на то, что со временем меняются интересы, ценности и вообще мировозрение - мне жаль тебя.
1. Правильно я понимаю, что любой более-менее крупный банк относится к К1 по классам защиты персональных данных?
2. Что будет, если в организацию с классом К1 внедрить СЗИ К2? К примеру, внедряем DMA (database activity monitoring), а их нихуя нет сертифицированных К1, все они идут по К2 включительно.
Спасибо, бро, как раз это я и реквестировал ещё в прошлом треде. Был готов к худшему. Мои опасения подтвердились. Тогда остаюсь в админах, наверное. Ещё как вариант попробовать свои силы в bug bounty, но особо иллюзий по этому поводу не питаю. Есть ли смысл вообще начинать? Это годится лишь для самопиара или можно и денег на этом заработать?
>Есть достаточно инсайдов, что малварь давно пишут сами антималварьщики.
Раз такое говоришь, так тащи пруф, да не один. Антималварщикам разве не достаточно устраивать шум и панику, связанные с реальными инцидентами и малварью?
>>817364
>Если открыть вкладку "резюме" на HH и шерстить по разделу "безопасность" или "ит-комп.безопасность", почти 90% это "господа офицеры"
В моём городе это обычные пиджаки. Обычно не указано даже что отслужили ли они в армейке или нет, не то, что про офицерские погоны.
>куда-то перекатываться
Если в программисты, то по деньгам ты потеряешь однозначно, если в джуны пойдёшь. Но платят им более-менее, лучше, чем большинству админов. По своему городу, опять же, сужу. Хотя крутые админы могут и по 50-60к(сравнимо с зарплатами программеров-мидлов) поднимать, но хуй на такую работу у нас устроишься, даже если по скиллам подходишь.
>Раз такое говоришь, так тащи пруф
Ну вот, например:
https://www.schneier.com/blog/archives/2015/08/did_kaspersky_f.html
Пойдет, или сам дальше с гуглом поиграешься?
Не хочу диванона просто, но лично знаю нескольких разрабов и тимлидов из русских антималварщиков. За парой пива они и не такие байки с лулзами травят. Им мне врать незачем.
Окей. Тема интересная. С гуглом дальше обязательно поиграюсь. Может и нарою чего интересного.
Спасибо!
гугл разве показатель?
Недавно какой-то говнобложик написал, что мелкософт продает PII левой компании. Новостные блоги стразу раструбили об этом всему миру, а гугл подхватил общий холивар. В итоге достоверная информация, что это все туфта липовая даже не попадала в поисковую выдачу.
Тебе никто ничего не навязывает, думай своей головой. Я не твои родители, убеждающие, что курить вредно.
Ты слишком большого мнения о себе. Я и не прошу у тебя ничего.
Пипл лженовости схавает. Сейчас нет разницы смотришь ли ты Первый канал или ищешь в гугле - везде недостоверная информация.
Какой же ты долбоеб
St 110 стоит ощутимо дешевле, St167 селективный - селективными кто пользовался?
Бери любой. Главный лайфхак в поиске закладок - в акте написать "на момент проверки закладок не обнаружено". И жопку прикрывает и мозг не ебет.
У меня доля в защищаемом бизнесе, так что есть действительный интерес сделать все по уму.
По образованию социолог. Занимаюсь анализом данных и бигдатой. Могу на питоне и на си.
Что курить? Куда идти?
Расскажи, как пробиться в интерпрайз?
Что нужно знать, уметь? Какие шансы если ты без погон ?
Думаю попробовать куда-то сюда перекатиться https://hh.ru/vacancy/11972923 какие подводные камни?
Какие ваши мнения, господин?
Сдавал около года назад за свои. Работодатель смотрел на это типа "НУ ЭТО ЖИ ТИБЕ НАДА". Думал, что смогу с этой бумажкой куда-нить перекатиться, но чет глуховато. OSCE нинужын.
Почему нет?
Если разбираешься в вебе, то попробуй hackerone, как вариант подработки/хобби/набивания опыта - вполне себе вариант.
Про погоны свожу к тому, что в моём городе большая часть рынка безопасников, будь то иб или эконом, занято выходцами из структур.
Мой непосредственный босс тоже оттуда. Через него собственно знаю как лично так и заочно ряд сотрудников крупных контор нашего города (которые можно подтянуть под интерпрайз), с некоторыми был на встречах "обмена опыта", все поголовно 40+, пенсионеры мвд, кгб. Они же и рассказывают, что руководство компаний сами заинтересованы в том, чтоб безопасность в компании поддерживали структурные выходцы. Мотивируется это тем, что у них [выходцев], есть различные связи, которые могут решить ряд вопросов и вот это вот все. Типичный пережиток конце 90х-нулевых, на мой взгляд.
Есть несколько локальных контор "ИБ", но одни занимаются проектирование и внедрением (лицензиаты и дилеры вендеров), вторые просто УЦ. Там на мой взгляд мне ловить нечего.
Добавлю к этому то, что при попытке устроится есть такая проблемная прослойка как HR, в большей части девочки с инвалидностью умственного труда, которые работают по чёткому шаблону и установкам.
В виду этого и интересуюсь, и прошу мнения (на дваче, лол), каким образом можно перекатиться в тырпрайз, и что в целом можно назвать таковым? У нас в компании около 1к сотрудников, из них чуть меньше половины пользуются ИР компании. Всю ИБ реализую в одну каску (плюс админы). Но я это тырпарйзом не назову. Да и ИБ в большей части - рукописи да DLP, МЭ настраивают одмины, СКУД как бы за мной, но обслуга на подряде, видеонаблюдение тоже за мной - но только по бумагам, все делает подядчик и контролеры.
Так вот возвращаясь к моему вопросу, какие знания, умения, навыки требуются для позиции безопасника в энтерпрайзе, и как на ваш взгляд необходимо пробивать себе нишу? (вариант - позвоночной связи рассматриваю, но уж больно не хочется).
>>825898
>>825897
промазал...
плюс так же приглашаю в тред PT-куна, касаемо вопроса "Думаю попробовать куда-то сюда перекатиться https://hh.ru/vacancy/11972923 какие подводные камни?"
>в вебе
Выбирать больше не из чего?
И достаточно ли задрачивать CTF и что-то вроде root-me для того, чтобы научиться искать реальные уязвимости уже для bug bounty?
Там же вроде просто репост новости. Бывшие сотрудники обвинили - Каспер отрицает.
Не нашёл треда по криптографии, спрошу здесь. Кто такой Уитерниц, лол? Нам давали его как автора примитивного метода вычисления хэша у сообщения, но эта скотина не гуглится как автор от слова совсем.
Будешь строчить write-up поcле пентеста, куча отчетности и графиков в word, excel. Стандартно на такой должности проходят OSCP сертификацию.
from PT
Не знаю, но думаю у ребят много технологий для этого, плюс вирусные аналитики и реверсеры целыми днями шарят код, 0day.
П.с. PT не очень хорошо относиться к этой конторе, хотя из-за хантинга, хотя с колегами общаемся, все норм
Дядечка, но есть же у нас фирмы пентеста, которые за бугор свои услуги продают, не? У них вроде заебато же всё
Всякие DS, PT, ERPscan
Плюс антивирусы
Не? Как жить то дальше?
>начальник
>зп 30к дерева
>Что лучше взять
нынче модно ставить 5ghz wifi микрофоны в таком ключе 167 пойдет лучше так как 110 не умеет выше 2.5ghz.
а вообще оба говно. Да и в целом подход к вопросу не правильный для транспорта
>И почему это неправильный подход?
Всё чему учат безопасников в российских учебных заведениях можно сходу забывать- во-первых это говно мамонта как перфоленты,а во-вторых преподаватели в большинстве своем не работали предметно на практике. Любой случайный башковитый технарь, попавший в обеспечение, знает на порядок больше выпускника профильного вуза. Это свершившийся факт, к сожалению. масленникова почитай он хоть и криптач,но кухню готовки дебилов описал хорошо.
Применительно транспорта могу рассказать смешную историю: все выходцы ФСО или насмотревшиеся на них в кино охранники,чтобы было круто как у "спецслужб", пытаются внедрить осмотр днища транспорта на пп с использованием досмотровых зеркал. И невникая в суть,что досмотровое зеркало экстренная хуйня,просто чтобы не пачкать костюм, делают это долбоебы даже на стационарных объектах. При этом еще в середине 90- было такое агенство герат,проводило и опубликовало результаты исследования на предмет обнаружения пп под бампером автомобиля. Взяли муляж гранаты Ф1,сделали из нее "сюрприз" изогнули скобу в обратную сторону,вынули чеку и подвесили за скобу с внутренней стороны бампера. За больше чем сто проверок на разных объектах больше половины которых были госы обнаружили гранату только один раз. У долбоеба охранника отвалилось зеркало от штатива и он полез его доставать. И все это происходило летом,а не зимой с комьями говна под днищем. Вот приблизительно такая же хуйня и закладками в транспорте. Транспорт сам по себе передвижная закладка для того кто умеет в мозг или хотя бы в гугл.
>Транспорт сам по себе передвижная закладка для того кто умеет в мозг или хотя бы в гугл.
Этому дебику виднее "где вести переговоры", бро. Пусть ебется, как хочет.
>Бери любой. Главный лайфхак в поиске закладок - в акте написать "на момент проверки закладок не обнаружено". И жопку прикрывает и мозг не ебет.
Ты случайно не из рн-без?! Подход характерный.
Чето перечитал и ржу.
что там может прикрыть?
Транспорт проверяют как? - стоящий на месте, зачастую и с выключенным двигателем,а в любой вменяемой закладке для транспорта уже лет 25 как предусмотрен разрыв элцепи при остановке. Хоть обпроверяйся. Нет движения транспорта-нет работы устройства. Лучше пожертвовать частью информации чем гарантированным сроком действия закладки. Для обнаружения выключенного устройства нужен совсем другой бюджет. Потом случайно найдут,поймут когда это было,а у них твоя бумажка того периода "на момент проверки закладок не обнаружено".
Помню пару лет назад всех безов достали спамом мегакурсов "клевогин и ко",похоже значительная часть безопасников теперь их выпускники.
>Ты случайно не из рн-без?
Нет. Совсем холодно. Сей лайфках мне затирал дядька из УОТМ гэбни.
На практике скорее действует, чем нет.
>На практике скорее действует, чем нет.
ну ты же понимаешь,что есть разница между проверкой для галочки или на результат.
Когда идет работа на результат никто не смотрит на дипломы и деньги-надо значит надо. Потому что репутация значит всё-обосрешься при означенном бюджете никто не будет спрашивать почему-бюджет взял значит должен отработать. А все эти бумажнофиксированные "я не я и жопа не моя" только расхолаживают нормальных специалистов-ты либо работаешь на полную,либо нет,если что-то не устраивает. Знаю случай когда объект исследования натурально утопили в бассейне чтобы доказать,что внутри неизвлекаемая закладка. Сможет убедить такое сделать "специалист" который бабки берет за "галочки"?! Да его нахуй заказчик пошлет,если не дурак.
Остуди свой пыл. Я не занимаюсь поиском закладок и всей прочей околонедошпионской хуетой. Давно просчитал все риски этого занятия и решил, что не для меня точно. В ИБ есть куда более интересные занятия, чем ползать по кабинетам с нелинейным локатором наперевес, а потом облысеть в 40 и наблюдать собственный келдыш на полшестого.
Про отписку в акте я написал как гэг на уровне байки. Даже не думал, что среди безопасничков бывают столь тугие в плане профессионального юмора.
>>840138
>>840439
Господа, у вас туннельное мышление, работайте над собой.
О чем вопрос?
>Что лучше взять на обнаружение закладок в служебном транспорте
Разве я где-то сказал, что собираюсь искать там утечку акустики? Нет. Один умный предположил, другие повторили.
Акустика будет закрыта речевым хором и гарнитурами, не волнуйтесь.
Логгеры будут закрыты шумелкой gps-глонасс.
Меня интересуют активные закладки, способные спозиционировать оперативный транспорт через сотовые сети либо радиолокацией в реальном времени. Вешать пелену на транспорт не считаю нужным.
Жду ваших мнений, спасибо.
>Остуди свой пыл. Я не занимаюсь поиском закладок ... келдыш на полшестого
и в метро,вокзале,аэропорту итд через рамку не ходишь?!
характеристики почитай,те что служебные, а не для народа.
>>840662
>Про отписку в акте я написал как гэг на уровне байки. Даже не думал, что среди безопасничков бывают столь тугие в плане профессионального юмора.
юмора не вижу,маневрирование -вижу
>>840805
>Жду ваших мнений, спасибо.
рулон алюминиевой фольги умножить на метраж внутренней поверхности.всё.
а так идиот,конечно.
металлодетекторы на кгц, нелинейники от 900 мгц и выше ггц. фольга какая-то, хуйня, малафья. поехавший штоле сука?
>способные спозиционировать оперативный транспорт через сотовые сети либо радиолокацией в реальном времени
Мобильные телефоны охранников и водятлов. с gps и хуяндекс-навигатором.
>в метро,вокзале,аэропорту итд через рамку
>>840866
>на кгц,
охранник супермаркета совсем не палится.
рамки безопасности уже лет 5 как везде терагерцовые-каждый прыщик на попе проходящей через рамку фитоняши разглядеть можно в режиме реального времени.
о
Инфа чисто на подумать.
Если ты думаешь, что ты такой крутой дядька, что твои перемещения будут отслеживать по закладке, то людям, которым это надо, проще воспользоваться услугами "мышек наружек". И по деньгам проще, и по организации.
>>840114
>>840439
>>840647
>>840837
>>841502
Заходит профи в тред и внепонятке охуевает от воплей дрочащей школоты. Ты чё реально думал здесь безы сидят?
Ох, и действительно, как я сам не додумался! изымем мобилы, спасибо за совет.
>>841511
А давай исключим НН и прочие оперативные мероприятия, и будет рассматривать только радиотехническую сторону вопроса? Что скажешь?
> Ох, и действительно, как я сам не додумался! изымем мобилы, спасибо за совет.
Тяжело тебе будет...
> А давай исключим НН и прочие оперативные мероприятия, и будет рассматривать только радиотехническую сторону вопроса? Что скажешь?
Скажу, что в твоей модели маняугроз будетмного темных и очевидных мест на которые ты не хочешь рассматривать. Право твое конечно, но медицина тут бессильна. Можешь Удав купить и с ним рассекать в машине.
Upd. Писать с телефона не мой конек, но смысл, надеюсь, ты понял.
Почему не даю полноты картины? Потому что не хочу деанон и лишнего внимания, если давать детали- там специфичная деятельность, которой в этой стране мало кто занимается.
У меня уже есть консультанты по орм, и мне не особо интересно тут эту тему поднимать.
Но технические средства не проч обсудить. Что за удав? Шумелка? Зачем мне шумелка на постоянку, кроме как на gps? Не проще обойтись st167?
Логгеры будут закрыты шумелкой gps-глонасс.
Меня интересуют активные закладки, способные спозиционировать оперативный транспорт через сотовые сети либо радиолокацией в реальном времени. Вешать пелену на транспорт не считаю нужным.
Вопрос- подойдет ли сюда st167, или что лучше применить?
Добавлю еще такой момент.
В принципе, существуют и сторонние способы позиционирования. Что про них слышно, кто сталкивался?
Допустим, работа gsm модуля трекера в пассивном режиме, где он будет собирать информацию о базовых станциях и качестве сигнала в такое-то время, после чего слив по запросу где-нибудь в X или K диапазонах, значительно выше рабочего диапазона той же стшки. Аналогично- трекер с записью wifi точек, последующий слив и аналитика.
Хорошо, давим все гражданские частоты позиционирования и радиосвязи.
Но остаются еще и специальные. Служебные спутниковые каналы L диапазона- можно использовать, надо давить. Нестандартные частоты спутников- есть ли по ним информация, или все согласно описанию L1-L5 GPS и аналогичных Глонасс?
Системы наземного позиционирования?
Коллеги, подскажите, какие курсы у информзащиты за счет работодателя пройти на перспективу???
Вводные - бывший сисадмин, сетевик, цискарь начального уровня, железячник, ныне в ИБ - настройка, инсталляция, проетирование. Что-то в этой области.
Все что у них не проходил, было по сути малоинформативным говном. Так что выбирай любую бумажку себе на стену. На курсерии и то больше узнаешь так-то.
Будет пустая трата времени, бро. Нерекомендую.
Forensic — компьютерно-криминалистическая экспертиза,
Reverse (reverse engineering) — анализ бинарного кода,
Pwn — эксплуатация уязвимостей,
Admin — навыки администрирования,
Network — знание сетевой инфраструктуры и протоколов,
Crypto — криптография,
Stegano — стеганография,
PPC (professional programming and coding) — олимпиадное программирование,
Web — поиск и использование веб-уязвимостей,
Misc — разное.
(это варианты того что бывает в CTF, и в целом используется в практической составляющей ИБ контор).
Можно заниматься на госслужбе, там все бумажки собирать, нормативку разрабатывать, знать большую часть руководящих документов (фстэка, фсб. ЦБ).
Можно в коммерческой среде работать, тут может быть от бумажек и ЭЦП, до всего и сразу.
(но прозе конечно теже вакансии на HH пошерстить, посмотреть, что требуется, все зависит от отрасли и скилла)
>Работа без перспективы карьерного роста, а начальником в 99% случаев будет какой-нибудь бывший военный, мент или фсбшник.
Раскрыл бы мне эту истину кто-нибудь раньше - хуй бы вкатывался в эту парашу. Год сижу в компашке на 100 рыл, начальник бывший мент. По ИБ работы хуй да нихуя, обзваниваю должников и работаю этаким коллектором. В их понимании это есть ИБ. Перспектив 0.
Ты постом не ошибся? Или сразу решил на последний вопрос ответить? Как потыкать в эо всё пальцем? Что делать если у меня нет и скорее всего не будет образование в иб, но скоро будет в ит? С чего начать чтобы вникнуть и потом самому решать куда двигаться? Может базовый курс или книжка? Что делать чтобы не быть как он? >>871525 Обязательно ли знание всех этих бумажек? На hh вроде висят всякие интересные работы. Как с такой работой свалить за бугор? И работ где не требуется опыт очень мыло есть. Везде минимум 1 год нужен. Что делать то?
После таких постов энтузиазма становится меньше. Хоть дай список литературы с чего начать.
Держи пасту:
КНИГИ
Поляков - Безопасность Oracle глазами аудитора: нападение и защита
Paul Wright - Protecting Oracle Database 12c
O'Connor - Violent Python
Seitz - Gray Hat Python
Гифт Джонс - Python в системном администрировании
Василенко О. Н. - Теоретико-числовые алгоритмы в криптографии
ССЫЛКИ
Стандарты:
http://www.pentest-standard.org/index.php/Main_Page
https://www.owasp.org/index.php/Main_Page
https://www.pcisecuritystandards.org/
http://www.cbr.ru/credit/gubzi_docs/st-10-14.pdf
http://www.27000.org/
CTF и прочие хак-тренажёры:
https://ctftime.org/
https://xakep.ru/2015/04/17/exploit-exercises/
https://habrahabr.ru/company/pentestit/blog/261569/
https://stackoff.ru/resursy-dlya-tex-u-kogo-cheshutsya-ruki-i-mozg/
https://github.com/ctfs - райтапы(разбор заданий)
Конференции:
https://defcon.org/
http://blackhat.com/
http://www.phdays.ru/
http://zeronights.org/
https://csaw.engineering.nyu.edu/
http://conference.hitb.org/
http://nullcon.net/website/
http://hack.lu/
http://www.codegate.org/
Блоги:
http://shell-storm.org/ - есть райтапы для CTF и база шеллкодов под разные архитектуры
http://expdev-kiuhnm.rhcloud.com/
http://passing-the-hash.blogspot.ru/
http://raz0r.name/
https://cyberoperations.wordpress.com/
https://www.corelan.be/
Сайты:
http://www.cvedetails.com/
https://www.offensive-security.com/
https://www.exploit-db.com/
http://www.vulnerability-lab.com/
https://xakep.ru/
http://www.securitylab.ru/
https://securelist.ru/ - осторожно, присутствует реклама продуктов лаборатории Касперского
https://forum.antichat.ru/ - в основном ценность имеют старые статьи
https://rdot.org/ - отпочковался от античата, вроде подаёт признаки жизни
https://habrahabr.ru/hub/infosecurity/ - для дополнительного чтения
Интервью:
http://blogerator.ru/page/izvestnyj-programmist-pokonchil-zhizn-samoubijstvom-aaron-shvarc-aaron-swartz-prichina-smerti-podrobnosti-detali-pochemu - несколько видео внутри(Аарон Шварц)
http://blogerator.ru/page/evangelie-ot-myshhha-kris-kasperski-intervju-1 - Крис Касперски
http://blogerator.ru/page/edrian-lamo-hakerskaja-teorija-schastja-intervju - Эдриан Ламо
http://echo.msk.ru/programs/arsenal/1691688-echo/ - Алексей Марков(президент Эшелона)
Курсы:
https://academy.yandex.ru/events/system_administration/kit_2014/
http://ocw.mit.edu/courses/electrical-engineering-and-computer-science/
Интернет вещей:
https://habrahabr.ru/company/intel/blog/187706/ - просто хотел показать, что есть такая операционка. Взлетит или нет - вопрос времени.
https://securelist.ru/analysis/obzor/22001/internet-veshhej-kak-ya-xaknul-svoj-dom/
https://habrahabr.ru/company/pt/blog/275853/
https://securelist.ru/analysis/obzor/27244/uchimsya-zhit-v-internete-veshhej/
Анонимность, анти-анонимность и бэкдоры:
https://forum.antichat.ru/threads/5093/
https://habrahabr.ru/post/191448/
https://habrahabr.ru/post/190396/
https://xakep.ru/2013/10/03/mozhno-li-doveryat-vpn-setyam-svoi-sekrety/
http://javascript.ru/unsorted/id
https://xakep.ru/2015/01/30/user-web-tracking-howto/
https://xakep.ru/2007/12/05/41412/
https://habrahabr.ru/company/neuronspace/blog/264235/
https://habrahabr.ru/company/pt/blog/191384/
http://www.securitylab.ru/analytics/482547.php
http://www.securitylab.ru/analytics/432914.php
http://www.securitylab.ru/contest/437841.php
http://www.securitylab.ru/contest/438339.php
https://xakep.ru/2011/12/26/58104/
https://xakep.ru/2011/03/29/55194/
https://habrahabr.ru/company/neuronspace/blog/254671/
Google hacking:
https://freehacks.ru/showthread.php?t=2428
https://habrahabr.ru/post/283210/
Прочее:
https://learnxinyminutes.com/ - быстрое ознакомление с языком программирования
https://adsecurity.org/
https://securelist.ru/analysis/obzor/27338/russkoyazychnaya-finansovaya-kiberprestupnost-kak-eto-rabotaet/
https://securelist.ru/analysis/obzor/25509/kak-pryachut-eksplojt-paki-vo-flash-obekte/
https://habrahabr.ru/post/134638/ - о возможности проникновения во внутреннюю сеть через роутер
https://habrahabr.ru/company/eset/blog/303086/ - Control-flow Enforcement Technology
http://xakep-archive.ru/xa/118/080/1.htm - TLS(Thread Local Storage)
https://habrahabr.ru/company/mailru/blog/228681/ - вирусы
https://xakep.ru/2008/07/29/44663/ - System Management Mode
https://xakep.ru/2010/05/04/51978/ - System Management Mode
https://xakep.ru/2015/02/24/hack-admin-rules-linux/ - повышение привилегий в Linux
https://xakep.ru/2014/12/24/hack-admin-rules/ - повышение привилегий в Windows
https://forum.antichat.ru/threads/119047/ - Быстрый Blind SQL Injection
https://habrahabr.ru/post/122445/ - SSH
От себя добавлю
Эриксон Хакинг Искусство эксплойта 2е изд - убергоднота.
Мимо другой ИБшник, который тоже думает дропать это дерьмо по крайней мере в России
Держи пасту:
КНИГИ
Поляков - Безопасность Oracle глазами аудитора: нападение и защита
Paul Wright - Protecting Oracle Database 12c
O'Connor - Violent Python
Seitz - Gray Hat Python
Гифт Джонс - Python в системном администрировании
Василенко О. Н. - Теоретико-числовые алгоритмы в криптографии
ССЫЛКИ
Стандарты:
http://www.pentest-standard.org/index.php/Main_Page
https://www.owasp.org/index.php/Main_Page
https://www.pcisecuritystandards.org/
http://www.cbr.ru/credit/gubzi_docs/st-10-14.pdf
http://www.27000.org/
CTF и прочие хак-тренажёры:
https://ctftime.org/
https://xakep.ru/2015/04/17/exploit-exercises/
https://habrahabr.ru/company/pentestit/blog/261569/
https://stackoff.ru/resursy-dlya-tex-u-kogo-cheshutsya-ruki-i-mozg/
https://github.com/ctfs - райтапы(разбор заданий)
Конференции:
https://defcon.org/
http://blackhat.com/
http://www.phdays.ru/
http://zeronights.org/
https://csaw.engineering.nyu.edu/
http://conference.hitb.org/
http://nullcon.net/website/
http://hack.lu/
http://www.codegate.org/
Блоги:
http://shell-storm.org/ - есть райтапы для CTF и база шеллкодов под разные архитектуры
http://expdev-kiuhnm.rhcloud.com/
http://passing-the-hash.blogspot.ru/
http://raz0r.name/
https://cyberoperations.wordpress.com/
https://www.corelan.be/
Сайты:
http://www.cvedetails.com/
https://www.offensive-security.com/
https://www.exploit-db.com/
http://www.vulnerability-lab.com/
https://xakep.ru/
http://www.securitylab.ru/
https://securelist.ru/ - осторожно, присутствует реклама продуктов лаборатории Касперского
https://forum.antichat.ru/ - в основном ценность имеют старые статьи
https://rdot.org/ - отпочковался от античата, вроде подаёт признаки жизни
https://habrahabr.ru/hub/infosecurity/ - для дополнительного чтения
Интервью:
http://blogerator.ru/page/izvestnyj-programmist-pokonchil-zhizn-samoubijstvom-aaron-shvarc-aaron-swartz-prichina-smerti-podrobnosti-detali-pochemu - несколько видео внутри(Аарон Шварц)
http://blogerator.ru/page/evangelie-ot-myshhha-kris-kasperski-intervju-1 - Крис Касперски
http://blogerator.ru/page/edrian-lamo-hakerskaja-teorija-schastja-intervju - Эдриан Ламо
http://echo.msk.ru/programs/arsenal/1691688-echo/ - Алексей Марков(президент Эшелона)
Курсы:
https://academy.yandex.ru/events/system_administration/kit_2014/
http://ocw.mit.edu/courses/electrical-engineering-and-computer-science/
Интернет вещей:
https://habrahabr.ru/company/intel/blog/187706/ - просто хотел показать, что есть такая операционка. Взлетит или нет - вопрос времени.
https://securelist.ru/analysis/obzor/22001/internet-veshhej-kak-ya-xaknul-svoj-dom/
https://habrahabr.ru/company/pt/blog/275853/
https://securelist.ru/analysis/obzor/27244/uchimsya-zhit-v-internete-veshhej/
Анонимность, анти-анонимность и бэкдоры:
https://forum.antichat.ru/threads/5093/
https://habrahabr.ru/post/191448/
https://habrahabr.ru/post/190396/
https://xakep.ru/2013/10/03/mozhno-li-doveryat-vpn-setyam-svoi-sekrety/
http://javascript.ru/unsorted/id
https://xakep.ru/2015/01/30/user-web-tracking-howto/
https://xakep.ru/2007/12/05/41412/
https://habrahabr.ru/company/neuronspace/blog/264235/
https://habrahabr.ru/company/pt/blog/191384/
http://www.securitylab.ru/analytics/482547.php
http://www.securitylab.ru/analytics/432914.php
http://www.securitylab.ru/contest/437841.php
http://www.securitylab.ru/contest/438339.php
https://xakep.ru/2011/12/26/58104/
https://xakep.ru/2011/03/29/55194/
https://habrahabr.ru/company/neuronspace/blog/254671/
Google hacking:
https://freehacks.ru/showthread.php?t=2428
https://habrahabr.ru/post/283210/
Прочее:
https://learnxinyminutes.com/ - быстрое ознакомление с языком программирования
https://adsecurity.org/
https://securelist.ru/analysis/obzor/27338/russkoyazychnaya-finansovaya-kiberprestupnost-kak-eto-rabotaet/
https://securelist.ru/analysis/obzor/25509/kak-pryachut-eksplojt-paki-vo-flash-obekte/
https://habrahabr.ru/post/134638/ - о возможности проникновения во внутреннюю сеть через роутер
https://habrahabr.ru/company/eset/blog/303086/ - Control-flow Enforcement Technology
http://xakep-archive.ru/xa/118/080/1.htm - TLS(Thread Local Storage)
https://habrahabr.ru/company/mailru/blog/228681/ - вирусы
https://xakep.ru/2008/07/29/44663/ - System Management Mode
https://xakep.ru/2010/05/04/51978/ - System Management Mode
https://xakep.ru/2015/02/24/hack-admin-rules-linux/ - повышение привилегий в Linux
https://xakep.ru/2014/12/24/hack-admin-rules/ - повышение привилегий в Windows
https://forum.antichat.ru/threads/119047/ - Быстрый Blind SQL Injection
https://habrahabr.ru/post/122445/ - SSH
От себя добавлю
Эриксон Хакинг Искусство эксплойта 2е изд - убергоднота.
Мимо другой ИБшник, который тоже думает дропать это дерьмо по крайней мере в России
Не понял с чего начать. Возьму ту книгу с конца пасты. Спасибо.
Секретнеты, Даллас Локи, развертывание випнет/континент сетей, антивирусов и подобное говно. Интеграция СЗИ в существующие инф. Системы.
Решил ответить сразу на последний. Так как Каждая область требует отдельных навыков и умений. Плюс я старался дать ответ развернуто и не притягивая к РФ.
Как вариант для учебы и потыкать пальцем,можно поиграть в CTF. (сейчас почти в любой мухосрани есть тима, можно к иногородним присоедниться, тут дело не сложное... учить тебя конечно не будут, но подсказать могут.
ВО в области ИБ требуется в обязательном порядке, в гос.компаниях, а так же где имеет место быть лицензии от "контор".
ИТ образования достаточно, чтоб работать в ИБ - но тут нужно смотреть конкретные требования, например ПТ и Дсек - пишут, что обр ИБ (желательно), но кого знаю оттуда все пришли их погромирования.
Вкинуться можно с запроса в гугл, и поиграть в СTF, для начала хватит, чтоб было понимание. Можно всякие сервисы поюзать, или кейсы порешать.
Что бы не быть как >>871525 это не идти работать в говноконтору, а перекатываться в область "практического иб", а так все пишут правильно, почти везде в начальниках менты или кгб, особо не далекие клиенты, по работе занимаешься хуйней. У меня приблизительно так же, но я планирую каким-то образом перекатиться в ЭкономБезопасность, и уйти в сторону форензика. (что в кажется очень проблематичным).
За бугор с такой работой валить можно, но опять же кому ты там нужен, это раз, второе что считать забугром (украина-цэ европа?), но думаю вопрос спорный, да и тебе он не нужен пока, т.к. не знаешь анг, если бы знал, то загуглил бы это.
Опыт работы в ИБ это довольно скользкая тема - все зависит куда ты хочешь устроится и чем заниматься. В тот же ПТ можно устроиться приложив небольшое портфолио из своих работ, или показать что ты не мамкинхацкер, а умеешь что-то делать, так же например показать свой рейт в ЦТФ (это тоже котируется). Можно писать напрямую руководителям направлений или на форумах с ними пересекаться.
Если говорить работе в "обычном ИБ", то забудь про эту тему, там тебя сожрут нахрен. Да и вот тут >>817217 все довольно внятно описано.
Кароч, ИБ эникей. Сколько нынче платят?
Ну так и так основная масса нормальных книг на ангельском.
Везде опыт работы нужен, если смотреть на сайтах с вакансиями.
Есть какой-нибудь бесплатный онлайн CTF по окончанию которого дадут сертификат? Или как в это вкатываться?
Ресурсы Хакердома:
https://ulearn.azurewebsites.net/Course/Hackerdom
http://training.hackerdom.ru/
Курс молодого бойца от Андрея Петухова:
https://docs.google.com/document/d/13zgZ_CRRHADwxf41mSSSuoJQLkMc67TXxpYLoW6lRak/edit#
Курс CTF на Физтехе
https://github.com/xairy/mipt-ctf
Анализ безопасности веб-проектов: https://stepic.org/course/Анализ-безопасности-веб-проектов-127/
Базовый курс по архитектуре компьютеров: https://stepic.org/course/Введение-в-архитектуру-ЭВМ-Элементы-операционных-систем-253/
http://itsecwiki.org
http://kmb.ufoctf.ru/
http://resources.infosecinstitute.com/tools-of-trade-and-resources-to-prepare-in-a-hacker-ctf-competition-or-challenge/
Ассемблер в Linux для программистов C:
https://ru.wikibooks.org/wiki/Ассемблер_в_Linux_для_программистов_C
Статьи:
http://pycode.ru/2011/01/ctf/
http://cyberleninka.ru/article/n/o-sorevnovaniyah-ctf-po-kompyuternoy-bezopasnosti
Подкасты на русском:
Квант безопасности — http://nikitarrr.podfm.ru/securitynews/
Открытая безопасность — http://www.open-sec.ru/
Диалоги поИБэ — http://risspa.podster.fm/
Noise Security Bit — http://noisebit.podster.fm/
Securit13 Podcast — securit13.libsyn.com
CTF тренировки/wargames:
http://ringzer0team.com/
http://root-me.org
http://canyouhack.it/
http://www.hackthis.co.uk
http://captf.com/practice-ctf/
https://ctf365.com/
http://smashthestack.org
http://overthewire.org/wargames/
https://microcorruption.com/login
https://exploit-exercises.com/
http://freehackquest.com/
Matasano Crypto Challenges - cryptopals.com
Огромное количество всего:
http://www.getmantra.com/hackery/
https://www.gitbook.com/book/isislab/hack-night/details
Полезные инструменты для CTF
http://webcache.googleusercontent.com/search?q=cache:gOdFvGbs7R8J:delimitry.blogspot.com/2014/10/useful-tools-for-ctf.html+&cd=1&hl=ru&ct=clnk
Полезные CTF репозитории на github:
CTF Field Guide https://trailofbits.github.io/ctf/
https://github.com/trailofbits/ctf
CTF framework used by Gallopsled in every CTF
http://pwntools.com
https://github.com/Gallopsled/pwntools
Some setup scripts for security research tools.
https://github.com/zardus/ctf-tools
A curated list of CTF frameworks, libraries, resources and softwares
https://apsdehal.in/awesome-ctf/
https://github.com/apsdehal/awesome-ctf
A general collection of information, tools, and tips regarding CTFs and similar security competitions http://ctfs.github.io/resources
https://github.com/ctfs/resources
Challenges for Binary Exploitation Workshop
https://github.com/kablaa/CTF-Workshop
Useful for CTFs, wargames, pentesting. Educational purposes.
https://github.com/bt3gl/My-Gray-Hacker-Resources
A curated list of awesome Windows Exploitation resources, and shiny things. Inspired by awesom
https://github.com/enddo/awesome-windows-exploitation
CTF write-up's
https://github.com/ctfs/write-ups-2014
https://github.com/ctfs/write-ups-2015
https://github.com/ctfs/write-ups-2016
Образовательные порталы:
http://www.pentesteracademy.com/
http://www.infosecinstitute.com/
http://opensecuritytraining.info/
http://securitytrainings.net/
Exploit Development Community
https://expdev-kiuhnm.rhcloud.com/
Ресурсы Хакердома:
https://ulearn.azurewebsites.net/Course/Hackerdom
http://training.hackerdom.ru/
Курс молодого бойца от Андрея Петухова:
https://docs.google.com/document/d/13zgZ_CRRHADwxf41mSSSuoJQLkMc67TXxpYLoW6lRak/edit#
Курс CTF на Физтехе
https://github.com/xairy/mipt-ctf
Анализ безопасности веб-проектов: https://stepic.org/course/Анализ-безопасности-веб-проектов-127/
Базовый курс по архитектуре компьютеров: https://stepic.org/course/Введение-в-архитектуру-ЭВМ-Элементы-операционных-систем-253/
http://itsecwiki.org
http://kmb.ufoctf.ru/
http://resources.infosecinstitute.com/tools-of-trade-and-resources-to-prepare-in-a-hacker-ctf-competition-or-challenge/
Ассемблер в Linux для программистов C:
https://ru.wikibooks.org/wiki/Ассемблер_в_Linux_для_программистов_C
Статьи:
http://pycode.ru/2011/01/ctf/
http://cyberleninka.ru/article/n/o-sorevnovaniyah-ctf-po-kompyuternoy-bezopasnosti
Подкасты на русском:
Квант безопасности — http://nikitarrr.podfm.ru/securitynews/
Открытая безопасность — http://www.open-sec.ru/
Диалоги поИБэ — http://risspa.podster.fm/
Noise Security Bit — http://noisebit.podster.fm/
Securit13 Podcast — securit13.libsyn.com
CTF тренировки/wargames:
http://ringzer0team.com/
http://root-me.org
http://canyouhack.it/
http://www.hackthis.co.uk
http://captf.com/practice-ctf/
https://ctf365.com/
http://smashthestack.org
http://overthewire.org/wargames/
https://microcorruption.com/login
https://exploit-exercises.com/
http://freehackquest.com/
Matasano Crypto Challenges - cryptopals.com
Огромное количество всего:
http://www.getmantra.com/hackery/
https://www.gitbook.com/book/isislab/hack-night/details
Полезные инструменты для CTF
http://webcache.googleusercontent.com/search?q=cache:gOdFvGbs7R8J:delimitry.blogspot.com/2014/10/useful-tools-for-ctf.html+&cd=1&hl=ru&ct=clnk
Полезные CTF репозитории на github:
CTF Field Guide https://trailofbits.github.io/ctf/
https://github.com/trailofbits/ctf
CTF framework used by Gallopsled in every CTF
http://pwntools.com
https://github.com/Gallopsled/pwntools
Some setup scripts for security research tools.
https://github.com/zardus/ctf-tools
A curated list of CTF frameworks, libraries, resources and softwares
https://apsdehal.in/awesome-ctf/
https://github.com/apsdehal/awesome-ctf
A general collection of information, tools, and tips regarding CTFs and similar security competitions http://ctfs.github.io/resources
https://github.com/ctfs/resources
Challenges for Binary Exploitation Workshop
https://github.com/kablaa/CTF-Workshop
Useful for CTFs, wargames, pentesting. Educational purposes.
https://github.com/bt3gl/My-Gray-Hacker-Resources
A curated list of awesome Windows Exploitation resources, and shiny things. Inspired by awesom
https://github.com/enddo/awesome-windows-exploitation
CTF write-up's
https://github.com/ctfs/write-ups-2014
https://github.com/ctfs/write-ups-2015
https://github.com/ctfs/write-ups-2016
Образовательные порталы:
http://www.pentesteracademy.com/
http://www.infosecinstitute.com/
http://opensecuritytraining.info/
http://securitytrainings.net/
Exploit Development Community
https://expdev-kiuhnm.rhcloud.com/
гигов 300 баз скачай в диапазоне 152.152.0.0 - 152.152.255.255 и будет тебе сертификат и 25 тыщ руб ежемесячной премии пожизненно
>Эриксон Хакинг Искусство эксплойта 2е изд
Там к нему ещё диск прилагается. Нормально ли без него учиться, то есть без практики? Он с флешки не грузится, в виртуалке тоже не работает.
Есть убунту стандартная, может туда компилятор просто поставить или просто текст книги осознавать?
Хз, бувально месяц назад ради интереса запустил на virtualbox'e в 32 битной машине. Все работало. Чем хорош образ, листинги там один к одному в книге. Хотя в принципе даже на живой системе в 64 архитектуре закономерности проследить можно.
В virtualbox'e не могу примонтировать в настройках привода, ошибка "Could not get the storage format of the medium 'G:\disk.iso' (VERR_NOT_SUPPORTED)."
В VMWare Workstation при выборе уже из меню запуска ОС ошибка "kernel panic", может что-то не так делаю?
Диск с официального сайта качал, md5 сверял?
www.symbol.ru/library/hacking-2ed
Да, всё отлично!
Хули вылупился?
В тот же ПТ можно устроиться приложив небольшое портфолио из своих работ, или показать что ты не мамкинхацкер, а умеешь что-то делать, так же например показать свой рейт в ЦТФ (это тоже котируется).
Ребята еще раз повторяю ЦТФ это так для студентов, ваш рейтинг никого не волнует, особо не задрачивайтесь питайте надежды. Важно понимание реальных и практичных навыков!
Алсо ЦТФ и ИБ - https://www.youtube.com/watch?v=lqWh22ENS58
From PT!
Возможно я не так выразился. Я не утверждаю, что если у кандидата MMR over 9k, его сразу забирают. Но при прочих равных, это в любом случае показатель. И не в том, что человек такой крутой, а в той области, что он имеет представление.
Плюс добавлю само-фикс, да я подводил ближе все к вчерашним студентам + пару лет после. Пару раз пробовал пройти на стажировку (да-да, я бумажный обыватель в большей части), и меня постоянно спрашивали за CTF, играл или нет, что длела что решал и тд...
Знаю шапошно, т.к. работал в подразделениях ЭБ, но по линии ИБ, в т.ч. по содействию им. В общих чертах - перед тем как вкатиться, неплохо бы поработать опером в каком нибудь ОБЭПе или как там сейчас это называется, или в налоговой, собственно большинство из ЭБ - как раз бывшие опера. Неплохо надо знать бухгалтерское дело, схемы серых и не только проводок, как реализуются откаты и пр. Ну и быть юридически грамотным.
Да, я окончил радиотехникум "Инф. безопасность автоматизированных систем". Там ясно дали знать какая будет работа без службы. По этому хочу поступать в академию. История у меня хорошая, в школе отличном был, в техникуме тоже. Боюсь проебаться, отслужить и не поступить туда.
Так подавай доки сразу в Академию без армейки. Там один хуй первые 2 года на казарменном положении.
Я читал что военник нужен. Я немного волнуюсь конкуренции, но я вроде физ.подготовлен, ГТО скоро сдам. И + у меня нет в семье военных. Это тоже плохо.
Нихуя военник не нужен, чтобы туда поступать. Тебя наебали, братишка. Меня туда агитировали вообще в 17 лет поступать когда я в физмат лицее учился
http://www.academy.fsb.ru/i_priem_2016.html
> Для обучения по очной форме принимаются:
> граждане Российской Федерации, не проходившие военную службу, – в возрасте от 16 до 22 лет включительно
> граждане Российской Федерации, прошедшие военную службу, и военнослужащие, проходящие военную службу по призыву или по контракту, – до достижения ими возраста 24 лет.
Еще там требуют ЕГЭ. А мы его не будем писать. Но я знаю что его можно индивидуально сдать.
Окей, спасибо.
Я тебе настоятельно советую сходить в региональное управление Гебни по твоей Мухосрани и пообщаться с дежурным. Мол дать расклад, что почти закончил по нужной Родине спецухе и хочешь служить на ее благо. Там тебе и рекомендаций нарисуют, если им понравишься.
Ну так-то я могу сдать ЕГЭ. Я еще знаю 2 языка(с англ.). Думаю у меня все шансы есть.
И последнее что меня терзает. С детства имеется вегетососудистая дистания. Боюсь блядь что меня с этим развернут. Но с другой стороны, я же к ним не в оперативники стучусь.
а Test lab?Вроде она приближена к реальности или нет?
слушай, а туда берут во всякие ОБЭПы со спецухой из обычно вуза, а не при мвд и тому проч?
Я как-то заходил в кабинет приема, там все берут, даже кто не хотел.
Если профильная вышка есть, то берут. Вот про военник опять же не в курсе, как сейчас.
>>878828
В 2015 после универа ходил в главк областной, типа вот я такой крутой у меня есть ИБ образование топ.вуза нашей мухосрани, давайте я буду у вас тут работать и ловить любителей лолли и торренты закрывать.
Естественно был послан на хуй.
Товарищ подполковник мне объяснил:
1). В 2014 или около того вышел какой-то приказ, что на все позиции набирают только с ЮР.образованием, нет ЮР пиздуй ППСником или в ГАИ.
2). Наличие норм ВБ, ибо ты служишь, а просто так звание тебе клепать тебе никто не будет (про это более подробно можно на форумах мвд почитать, там есть кул.стори как кто-то пытается вкатиться к ним). (плюс меня не взяли в армейку, хотя даже не пытался скосить..)
2а). Идти в органы на гражданскую службу, глупо, имхо всяких "погонных ништяков" они лишены, плюс уровень ЗП другой.
3). Нет гарантий что ты был годен в армейку (и ты отслужил), и после ты сможешь пройти медкомиссию мвд. (там все резко по другому, опять же рекомендую почитать профильные форумы).
4). Просто с порога вкатиться сложно, т.к. все уже занято. Сестра служит капитаном (по малолеткам), точно так же пояснила про юр.обр, и дала понять, что в систему просто так без "связей" не пробиться. Это вам не полицейская академия в асашей. Плюс есть большое кол-во выпускников вузов МВД.
В общем не совсем простая тематика. Хотя это мой личный опыт, возможно кому-то повезет.
Так же была идея вписаться в ФСБ, это еще во время производственной практики (3 курс)
Ну дёрнуло меня, сначала написал со своего ПЯ им на официальное мыло, типо я такой-от учусь там-то хочу у вас практику проходить. Ждал-ждал ответа, не хватило терпения, через пару недель пошел в главное областное управление. На проходной сказал, что вот хочу на счет практики поговорить, уж больно мне интересно. Дежурный переписал мои данные и вызвал какого-то дяденьку. Через минут 5 пришел дядя в пиджаке и с усами, мы с ним минут 15 погворили, он мне сказал, что они могут брать только людей с академии т.к. гражданская служба не предусматривалась, и типа вот закончишь вуз, сходишь в армейку, наберешься опыта, станешь топ спецом, приходи поговорим. Ну и все распрощались я и ушел. Еще через пару недель получил ответ на почту, формулировка была точно такая же.
А спустя месяц мои документы из ВУЗа пропали..:) На полном серьезе, мне нужно было допник на курсы подписывать, а личного дела нет, нашлось через 4 месяца, как сказали в ВУЗе приходили дяди и забирали мое личное дело. Такие дела.
Мой сокурсник сразу после защиты сам ушел служить, его через родню пристроили в часть при кгб, он год оттаптал, ему обещали присторить в контору в итоге. Но после службы, и сбора документов, его 3 месяца крутили вертели в итоге тоже послали на йух. Через 3х лиц пробили, что вроде как не прошел полиграф, что и где точно история умалчивает.
А вот например во ФСТЭК вкатиться куда проще, правда ЗП там мизерная, у них на сайте в разделе противодействия коррупции можно посмотреть годовые доходы сотрудников. Суммы не внушительные, плюс хз какая работа. К ним и на практику и на работу брали, просили только допуск по 3й форме получить.
Так что анончики пробиться в погоны не так просто.
>>878828
В 2015 после универа ходил в главк областной, типа вот я такой крутой у меня есть ИБ образование топ.вуза нашей мухосрани, давайте я буду у вас тут работать и ловить любителей лолли и торренты закрывать.
Естественно был послан на хуй.
Товарищ подполковник мне объяснил:
1). В 2014 или около того вышел какой-то приказ, что на все позиции набирают только с ЮР.образованием, нет ЮР пиздуй ППСником или в ГАИ.
2). Наличие норм ВБ, ибо ты служишь, а просто так звание тебе клепать тебе никто не будет (про это более подробно можно на форумах мвд почитать, там есть кул.стори как кто-то пытается вкатиться к ним). (плюс меня не взяли в армейку, хотя даже не пытался скосить..)
2а). Идти в органы на гражданскую службу, глупо, имхо всяких "погонных ништяков" они лишены, плюс уровень ЗП другой.
3). Нет гарантий что ты был годен в армейку (и ты отслужил), и после ты сможешь пройти медкомиссию мвд. (там все резко по другому, опять же рекомендую почитать профильные форумы).
4). Просто с порога вкатиться сложно, т.к. все уже занято. Сестра служит капитаном (по малолеткам), точно так же пояснила про юр.обр, и дала понять, что в систему просто так без "связей" не пробиться. Это вам не полицейская академия в асашей. Плюс есть большое кол-во выпускников вузов МВД.
В общем не совсем простая тематика. Хотя это мой личный опыт, возможно кому-то повезет.
Так же была идея вписаться в ФСБ, это еще во время производственной практики (3 курс)
Ну дёрнуло меня, сначала написал со своего ПЯ им на официальное мыло, типо я такой-от учусь там-то хочу у вас практику проходить. Ждал-ждал ответа, не хватило терпения, через пару недель пошел в главное областное управление. На проходной сказал, что вот хочу на счет практики поговорить, уж больно мне интересно. Дежурный переписал мои данные и вызвал какого-то дяденьку. Через минут 5 пришел дядя в пиджаке и с усами, мы с ним минут 15 погворили, он мне сказал, что они могут брать только людей с академии т.к. гражданская служба не предусматривалась, и типа вот закончишь вуз, сходишь в армейку, наберешься опыта, станешь топ спецом, приходи поговорим. Ну и все распрощались я и ушел. Еще через пару недель получил ответ на почту, формулировка была точно такая же.
А спустя месяц мои документы из ВУЗа пропали..:) На полном серьезе, мне нужно было допник на курсы подписывать, а личного дела нет, нашлось через 4 месяца, как сказали в ВУЗе приходили дяди и забирали мое личное дело. Такие дела.
Мой сокурсник сразу после защиты сам ушел служить, его через родню пристроили в часть при кгб, он год оттаптал, ему обещали присторить в контору в итоге. Но после службы, и сбора документов, его 3 месяца крутили вертели в итоге тоже послали на йух. Через 3х лиц пробили, что вроде как не прошел полиграф, что и где точно история умалчивает.
А вот например во ФСТЭК вкатиться куда проще, правда ЗП там мизерная, у них на сайте в разделе противодействия коррупции можно посмотреть годовые доходы сотрудников. Суммы не внушительные, плюс хз какая работа. К ним и на практику и на работу брали, просили только допуск по 3й форме получить.
Так что анончики пробиться в погоны не так просто.
Спасибо большое за стори. Так-то собираюсь отслужить в армейки, полностью здоров, нет вредный привычек вся хуйня. Так же очень хочу вписаться в ФСБ, но исходя из твоей стори и жизненного тлена, выходит так, чтобы пойти на норм гражданскую работу приветствуется опыт службы под погонами, а на погонах, с гражданской вышкой идешь на хуй(ну или если ты заебатый спец чего добиться сразу нельзя). Ч за тленка? Грустненько, может потом взять вторую вышку академии фсб, хуле. Только денег, увы, на все не хватит. В любом случае, что ты сейчас то делаешь?
Судя по твоему рассказу в цру проще попасть чем в фсб. У них сразу на сайте вакансии выложены и требования в них прописаны. Единственные требования общее для всех вакансий это иметь гражданство и пройти интервью.
ну знаешь ли, написано одно, а в жизни то совсем другое бывает.
> CISSP
Ахуеть у них там разбег. Для это сертификата нужно 5 лет опыта и огромный багаж знаний. В минимальных требованиях только 1 год. Под эту вакансию куча разных спецов подходит. Они либо на интервью психологически, физически, полиграфические экзамены и прочая хуйня многих отсеивают либо всем желающим хватает места.
Школьный.
>Там один хуй первые 2 года на казарменном положении
Нихуя подобного. Вечером после учебы пиздуешь домой или в общагу.
Как тред еще не помер?
мимо опчик
Ну 16 лет назад было именно так.
Судя по тому, как ты задаешь вопросы, я бы не стал заморачиваться темой ИБ вообще.
https://russian.rt.com/russia/news/354948-cib-fsb-sotrudnichestvo-cru
Лол.
Пошли они нахуй. Самые неадекватные HR на рынке.
Сомневаешься? Там рили дохера таких. Если про бывшего минфина видосы гуляли вербовочные,то сколько рядовых сотрудников и офицеров в теме одному богу известно.
Есть кто может расписать текущую ситуацию за экспертов, веб, пентесты, аналитику?
Я-то не сомневаюсь. Я в курсе. Это для тех, кто еще верит в какую-то "романтику ИБ". Хотите пощекотать очко - welcome.
Мне аж страшно стало,я бы слово в слово так ответил.
> Ребята, верните меня на работу.
ты нахуй не нужен,счас "клевогин и ко" клепают на потоке стада "специалистов" и дипломы выдают. не умеют правда нихуя,но когда это в рф это кого-нибудь останавливало
Во всех больших компаниях в России, с которыми имел дело, ИБшники занимались написанием кучи бумаг, рассмотрением матриц доступа, периодическим запугиванием пользователей и закрыванием каких-нибудь новых требований на бумаге.
Что предлагается делать в вашей большой компании? Какие навыки важнее? Зарплата примерная?
В чём крутость проявляется?Вилка? А то звучит как сделайте мне работу и отсосите мне хер
Заранее спасибо.
Нет, насмотрелся фильмов про разведчиков, но в ФСБ так и не взяли. Если серьезно, то в моей сфере происходят массовые сокращения, а учитывая общую экономическую тенденцию в стране, это не предел. В числе ряда других специальностей, ИБ будет востребована и далее.
ИБ сокращают только в путь целыми отделами. Специалисты с 5+ годами опыта по полгода-год не могут найти работу по спецухе. И это в ДС. Так что успехов.
В Новой, что явный антипод. Но кто я такой, чтобы спорить с таким триплом.
http://safe.cnews.ru/news/top/2016-08-09_rashody_na_ib_vyrastut_na_79_v_2016_g
Мировые расходы на информационную безопасность в 2016 г. достигнут $81,6 млрд. Это на 7,9% больше по сравнению с 2015 г.
Другое дело, что спецы-васяны нахуй не нужны. Основные расходы пойдут на сертифицированные программы с одной кнопкой "сделать безопасно" под управлением аутсорса. В такой ситуации перекатываться может только полный дебил.
Хлопцы, а кто-то пробовал выкатываться из отрасли ?
Кроме в админов и программистов.
А то работа надоедает - кругом бывшие погоны, не дают моему пердаку покоя.
Как Чо, сразу "госдолг США", "вот у нас в армии", "а чо эт кнопка не работает", "напиши инструкцию" и другой около совко-воякский менталмтетный жаргонизм. Думаю более подробно многие из вас знают не по наслышке.
Я сначала прикинул в сторону эконом.без - так там тоже бывшие обэповцы или опера сидят, или хлопцы с конторы.
Просто мне кажется я начинаю тупеть, ничего по работе нового не использую, навыки не прокачиваются. Бумажное самообразование в нашей отрасли особо не канает.
По этому, исходя из моего бреда, прошу вас излить душу, и поведать как дела у вас, как на передовой. ...
В мире - безусловно. Но мы-то в большинстве своем в Россеюшке.
>Что делать?
1. Проводить аудиты безопасности веб-приложений
2. Внедрять контроли безопасности
3. Взаимодействовать с разработчиками и менеджерами сервисов для устранения обнаруженных уязвимостей
4. Выступать консультантом в вопросах информационной безопасности
5.Участвовать в исследовательской работе
>Какие навыки?
1. Базовое понимание принципов построения и работы веб-приложений.
2. Знание области типовых угроз и уязвимостей веб-приложений, в частности, перечисленных в OWASP Top 10.
3. Стандарт PCI DSS.
4. Навыки ручного и автоматизированного тестирования безопасности веб-приложений.
5. Опыт программирования на скриптовых языках (Bash, Python, Ruby).
6. Опыт работы с UNIX/Linux-системами.
7. Опыт работы в этой области не менее года.
>Зарплата
На собеседовании.
>Как только заказать взлом фирмы или человека будет так же просто, как закладку травы купить
Или когда проёбы в безопасности регулярно будут приводить к пиздецу и это будет предаваться огласке. Или нет, всем всё равно будет похуй.
На linkedin.
> Где искать работу с практикой, а не с бумажками?
надо самому формировать рынок,покуда нет рынка услуг it безопасности на нем и рулят бывшие майоры.
владельцы бизнеса считают "если бывший, то со связями,а значит что-то может" и похуй мороз, что он карту города смотрит на сайте "как проехать к фирме пряники на вынос".этот долбоеб не знает, что это гугл карты,каждый раз когда ему нужно посмотреть дорогу он идет на пряники. это же блядь показатель. зато бумажками, сертификатами и удостоверениями обложился,щеки раздувает,вместо эл.системы доступа нанял дополнительного вахтёра, AOR-8200mk3 называет рацией итп.
откуда бизнесу знать,что так быть не должно?! надо создавать пакетные предложения по безопасности и двигать в бизнес.
но подозреваю,что действующие майоры не дадут. нужно что-то масштабное чтобы выкинуть их с рынка.
Двачую. Фундаментальная печалька нашей специальности. Победит это разве что время...
>карту города смотрит на сайте "как проехать к фирме пряники на вынос".этот долбоеб не знает, что это гугл карты,каждый раз когда ему нужно посмотреть дорогу он идет на пряники
ахуенно!
>нужно что-то масштабное чтобы выкинуть их с рынка
только массовые взломы спасут рынок. если взломов нет- нахуя вы нужны тогда?
производители антивирусов пишут вирусы, производители автосигнализаций делают грабберы на китайские брелки, охранные предприятия сопровождают рейдерские захваты. учитесь.
>1. Проводить аудиты безопасности веб-приложений
>2. Внедрять контроли безопасности
0) Интегратор что-ли?
1) Чем, какие методы используете?
2) Какие именно продукты?
>>894037
>3. Стандарт PCI DSS.
Что конкретно? Я вот читал его например. Мало людей, которые реально в нём шарят и помнят все изменения в версиях
1) Подтянуть кодинг
2) Запилить какой-нить проектик так или иначе связанный с ИБ.
Подскажите, чего бы такого можно сделать. Хотел сначала написать кейлоггер, но потом нагуглил, что за такое можно получить сгуху
А как это отменяет то, что это все еще вредоносное ПО? В УК нет уточнений по поводу того, на какую страну оно нацелено.
По определение незаконно то, что вредит. Если не вредит, то можно. А на законы других стран плевать.
> за такое можно получить сгуху
если пишешь вредоносное,то сгуха,а если исследовательское,то ты молодец,познающий новое
а то читаю тред и мне плохо
мимо студентота, уже думаю о том, что надо будет в погроммисты
у вас же надеюсь нет всего этого с "погонами"?
алсо, сложно ли попасть, нормальное ли начальство, зп, прочие плюшки?
думал о стажировочке через safeboard и дальнейшим вкатыванием, но что-то кажется это длинный и сложный путь. Если можешь и знаешь, поясни и про это
у нас мало бумажной работы. это связано с тем, что нужно сделать продаваемый продукт, и никто не будет его покупать, если он хуево работает либо неюзабелен, зато на него исписано кучу мукалутуры.
но гемора хватает. ты же понимаешь, продукты делаются для всего мира и они должны соблюдать законы всех стран. В этом плане российский рынок самый простой. у нас только вводятся всякие регулирования и законы, которые на в ес и сша уже давно.
ты ведь понимаешь, что про нормальное начальство ответ бесполезен? в компании - овер3к сотрудников и какой тебе руководитель попадется ты узнаешь только поработав с ним.
Попасть не просто и не сложно, но обы кабы не берут, поэтому ты должен быть хорошим специалистом в своем направлении, а на некоторых должностях не только в своем. Хотя есть ограничение одно - без вышки не берут.
зп и плюшки хорошие. заплатят ровно сколько сколько попросишь, если ты конечно столько реально столько стоишь. со мной не торговались.
Если ты молодой с кучей временем, хорошим багажем и небольшими требовниями - вперед в стажировку. постоянно проводится по разным направлениям. компания часто выращивает сотрудников для себя, ибо на рынке глухо.
Но вообще, это не стартам какой-нибудь хибстерский. средний возраст более 30. у большинства тут семьи дети и интересы соответствующие.
>никто не будет его покупать, если он хуево работает либо неюзабелен, зато на него исписано кучу мукалутуры
Здесь есть тред маркетологов? Им надо показать. Пусть посмеются.
пояснишь что-нибудь о них?
>>903462
спасибо. Может в следующем году учебном, я же студентота пока попробую на стажировку
разметкой проебался
>>903462
>пояснишь что-нибудь о них?
>>903531
>спасибо. Может в следующем году учебном, я же студентота пока попробую на стажировку
Ну ладно хоть не везде все так ужасно, как в трее выше
Без опыта не возьмут. Наверно А если у них такие же требования как и у нас, то им будет похуй из какой страны специалист если у него 5 лет опыта. И искать работы пока работаешь как-то стрёмно. Вот если работаешь в российском офисе компании, а потом переводишься в какой-нибудь американский, то тут может и можно получить гражданство. Короче реквестирую советы если с первого дня работы целью стоит не заработать деньги, а свалить за бугор.
Опыт работы с бумагами по российскому законодательству? Да хоть 10 лет тут сиди, но на западе ты начнёшь с нуля. Поэтому нет смысла терять время на то, что тебе не нужно в достижении цели.
Если же ты молодой, то тем более нет смысла терять время. У меня есть реальный знакомый, который послу универа поехал посуду мыть в Макдаке. Через год работал веб-макакой, сейчас в силиконовой долине (это не удача, а 6 лет упорного труда).
За 5 лет ты женишься, обзаведёшься детьми, родители вдруг постареют и будут несамостоятельны, а так же найдётся ещё 1000 причин почему ты уже не захочешь уезжать или это будет сделать уже гораздо сложнее, чем сейчас.
Вообщем, совет я тебе дал.
Но так так ты не можешь определиться с приоритетами, то следовать ему вряд ли сможешь.
Тебе нельзя. Знаешь почему? "лишь однажды" - вот поэтому.
Я с февраля хотел по собеседованиям. В июле устроился. В неделю чекал по две-три вакансии. Думаешь красивая барышня из hr сама к тебе приползёт.
Так подвел, думаешь совсем дурак? Ясен хрен подводил за каждую предыдущую должность, что я больше по ИТ. Да вот только в строчках резюме везде в должностях предательское "специалист ИБ" или смежное.
Валить в Нерезиновск или за бугор?
>>901790
>только массовые взломы спасут рынок.
Взломы то есть, но если инцидент и замечен, то замалчиваться он будет до последнего. Сейчас мы вообще имеем парадоксальную ситуацию: все с одной стороны боятся злобных хакеров, которые спиздят все твои деньги, удалят все данные и опубликуют твоё домашнее порно, с другой на практике кладут длинный и толстенный хуище на свою безопасность, в лучшем случае надеясь на волшебную пилюлю условного Касперского. Если брать организации, то там в основном делают только то, что вынуждены делать по закону. Сводится всё в первую очередь к выпуску макулатуры, которой можно прикрыть жопу перед регуляторами. Что-то большее - дополнителные затраты, на которые ещё сложнее решиться во время затянувшегося криздеца. Да что безопасность, после Намкрыша расходы и на IT в целом сокращались очень много где. Какие-то улучшения были возможны, ходили слухи о рассмотрении закона об обязательном аудите безопасности для некоторых контор, сфер деятельности, но из-за всем известных событий и их последствий отложили это дело на потом. Недавно вот снова всплывала эта тема, где-то в конце прошлого года.
Да хоть хуй моржовый.
Кто тебе мешает написать в резюме, что ты такой-то ИТ специалист с такими-то текущими обязанностями и продавать себя кем хочешь?
На собеседовании ты просто поразишь всех своими пиздатыми знаниями (я ведь надеюсь они у тебя реально есть, и ты хочешь в ИТ не просто плтому что хорошо там, где тебя нет). А твою трудовую HR в последнюю очередь увидет, а им то вообще похуй что там у тебя написано.
Ну еба на! Что ж ты за специалист ИБ такой, если не можешь наебать систему.
> А в какую контору ломиться студенту чтобы через 5 лет свалить на запад?
в любую западную,но перед поучиться там же на западе,благо учеба в каком-нибудь mit выйдет дешевле
За бугор конечно. Сейчас же в дс прописку не требуют. Надо топу приехать и бегать по вакансиями пока не возьмут. А чтобы куда-то дольше свалить нужно job offer получить. Иначе будет как у того посудомойщика из кремниевой долины. Сам планировал найти работу в крупной конторе где есть стажировки и копить опыт. Потом получить какой-нибудь крутой сертификат и с ним пытаться на запад валить. Проблема что перед тем как приехать и ходить по собеседованиям нужна виза, а её по любому пустяку могут не дать. А если и дадут, то ещё до того как найдёшь работы все сбережения могут кончиться. Джоб оффер гарантирует визу, но как его получить дистанционно?
>>904797
Самому на обучение в mit накопить? И дешевле чего это?
Дешевле чего? Не понимаю. Из альтернатив только макдак предложили.
ебанутый что ли?
в mit на инженера учиться от 5 до 35 в год стоит в зависимости от направления
вот такие короткие курсы на целевой диплом $595 за 6 недель учебы
https://mitprofessionalx.mit.edu/courses/course-v1:MITProfessionalX+CSx+2017_T1/about
прикладные щорт программы можно по 3-4k$ за неделю купить
это не говоря о том что MIT OCW учебу с реальными дипломами бесплатно набрать можно
https://ocw.mit.edu/courses/electrical-engineering-and-computer-science/6-857-network-and-computer-security-spring-2014/
не хочешь mit полно других - Bellevue University Master of Science in Cybersecurity 2 годичный курс $19,620
учитывая nsa-шность вуза не факт конечно,что из России возьмут студента,но попробовать стоит.
в крайнем случае онлайн учеба практически во всех есть http://www.csoonline.com/article/2950119/it-careers/so-you-want-a-masters-degree-in-cybersecurity.html
ну и стоит ли упоминать,что любой диплом американского вуза будет ценится западным работодателем выше чем дипломы самых топовых российских вузов.
Или например в гос.секторе типа мэрий или администраций?
Кто может плюсы и минусы привести? (интересует больше регуляторы, конкретно ФСТЭК и РКН).
> побольше про разные вузы почитать?
ты читатель чтоли?
бери лучший usf.edu 300-700$ в час и смотри откуда пришли преподы,откуда больше пришло туда и иди учиться. сэкономишь кучу денег
Ладно, бро, не буду с тобой спорить. Мнение твое тоже учту, хоть ты местами слишком категоричен и видимо мало варился на кухнях собеседований в ИТ конторы.
в ит почти 15 лет.
в в трудовой у меня уже нет места для новых записей, поэтому к ней пришита еще одна трудовая как вкладыш - но возможно это все равно мало по твоим меркам.
Первое место работы у меня было служба поддержки местного провайдера. Следующее место: специалист по скзи в банке.
Как думаешь, получил бы я это место, если бы написал в резюме, что работаю оператором в калл-центре и большая часть моей работы заключается в том, чтобы сказать клиенту, что он забыл заплатить за интернет?
анончик, лушче подучить master's degree или курсы пройти? или в идеале курсы потом степень? как дела обстоят с получением степени после наших вузов? если у меня есть специалитет по 090103, могу ли я получать master's degree? или надо на их бакалавра учиться? получится ли смазать трактор с курсами указанными тобой?
>после наших вузов? если у меня есть специалитет
российские дипломы где-то кроме рф признаются?
Иран признаёт дипломы мфти, но это скорее исключение и каждый случай будет рассматриваться отдельно.
>Во всех странах подписавших Гаагскую конвенцию
маняфантазии.съезди в америку,канаду или западную европу и попробуй там устроится на работу по специальности инженером или врачом. российские дипломы не принимают не только потому что это говно,которое можно получить ни разу ни посетив вуз,но и потому что даже названия специальностей, по которым готовят в рф, не соответствуют западным.
Ты дебил што ле? Вопрос был какой?
Где признают российский диплом - я на него дал компетентный ответ.
А то что работодатели хуй ложили на диплом - за океаны летать не нужно. В Москве предостаточно контор где тебя пошлют нахуй если ты не заканчивал МГУ, МГТУ или ВШЭ
Про 70 я загнул, год стоит 50к
http://catalog.mit.edu/mit/graduate-education/costs/
Что не так уж и дешего, и когда я говорил про стоимость я имел ввиду ввиду graduate education, так как от курсов пользы будет в разы меньше. Так как почти вся информация доступна бесплатно + связи какие то получить при онлайн образовании стремятся к 0. Что насчет мита, то я не нашел у них программу graduate degree для computer security/cyber security, хотя два года назад оно было и стоило как я и писал ранее около 70к в год.
> там уже сидит тащ. майор
выкинь его.знаю минимум пять случаев когда нового иб-шника взяли, уволив предыдущего по статье.но во всех случаях увольнению предшествовала беседа претендента с директором или владельцем бизнеса.во время беседы выкладывались косяки текущего иб. знаю также несколько случаев когда беседа не задалась и претенденты имели сильные проблемы,один вообще на сгущенку уехал.
>знаю минимум пять случаев когда нового иб-шника взяли, уволив предыдущего по статье
>знаю также несколько случаев когда беседа не задалась и претенденты имели сильные проблемы,один вообще на сгущенку уехал
Предлагаешь ему испытать свою удачу?
> уволив предыдущего по статье
> сильные проблемы
> один вообще на сгущенку уехал
Больше на хуйню похоже. Но если так, то зачем вообще безопасником идти если потом на сгуху большой шанс уйти?
>Больше на хуйню похоже. Но если так, то зачем вообще безопасником идти если потом на сгуху большой шанс уйти?
зачем шофером идти-вдруг задавишь кого,зачем бухгалтером -вдруг обсчитаешься,зачем врачом-вдруг таблетки неправильные пропишешь?
каждый сам выбирает свою дорогу,иди по ней достойно и не уедешь на сгуху.
Бизнес-процессы хоть как-то связаны с обработкой ПДн? я не про отдел кадров и бухгалтерию с зарплатами
Админ-эникейщик занимается аттестацией ИСПДН. Омг, либо шли нахер их, либо проси должность + оклад нормальный.
Вот этого двачую.
Ты дебил? Тебе прямой вопрос задали, относительно которого тебе дальше скакать: обработка ПДн физлиц входит в бизнес-процесс твоей шараги?
>Мне надо всего-лишь понять что надо подготовить и сколько будет стоить поебола, аттестовать я сам не могу же.
Аттестовать ты конечно не можешь, это делают спец. органы. Но подготовка документов и вот этого всего - дело безопасников, которые получают явно другие деньги. Я бы на твоем месте хуй забил и сказал, что это не в моей компетенции
Самый простой вариант:
- Ищешь конторы которые имеют лицензию на аттестацию по ПДн.
- Набираешь (пишешь), говоришь мы "ооо рога копыта", хотим аттестоваться.
Дальше есть основной вариант событий:
- Накидывают вам смету.
- Заключаете договор.
- Ребятки приезжают проводят аудит, дают рекомендации, что и как нужно сделать.
- Исправляете и разрабатываете всю необходимую документацию, плюс добавляете железо, если такого нет.
- Как все готово, приезжают еще раз, проводят аттестацию, выдают нужную вам бумагу.
Как еще вариант, аудит можно заказать у другой компании, или подготовиться самостоятельно, для начала прочитать ФЗ 152, ПП 1119, РД ФСТЭК: Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год, Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год (это как основные)
На счёт 152го, желательно найти документ с комментариями.
При разработке модели угроз для примера можешь нагуглить "Частные модели угроз".
Но опять же если никогда с этим не работал, в универе еще не рассказали и вот это вот все, будет довольно анусайно. И лучше сразу обратиться к лицензиатам для выполнения всего комплекса работ.
Ссыль с предыдущего треда: http://readmanuals.github.io/
>Самый простой вариант:
>- Ищешь конторы которые имеют лицензию на аттестацию по ПДн.
>- Набираешь (пишешь), говоришь мы "ооо рога копыта", хотим аттестоваться.
>
>Дальше есть основной вариант событий:
>- Накидывают вам смету.
>- Заключаете договор.
>- Ребятки приезжают проводят аудит, дают рекомендации, что и как нужно сделать.
>- Исправляете и разрабатываете всю необходимую документацию, плюс добавляете железо, если такого нет.
>- Как все готово, приезжают еще раз, проводят аттестацию, выдают нужную вам бумагу.
>
>Как еще вариант, аудит можно заказать у другой компании, или подготовиться самостоятельно, для начала прочитать ФЗ 152, ПП 1119, РД ФСТЭК: Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год, Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год (это как основные)
>На счёт 152го, желательно найти документ с комментариями.
>При разработке модели угроз для примера можешь нагуглить "Частные модели угроз".
>Но опять же если никогда с этим не работал, в универе еще не рассказали и вот это вот все, будет довольно анусайно. И лучше сразу обратиться к лицензиатам для выполнения всего комплекса работ.
Спасибо добрый человек, буду копать.
>>913442
Понятно что не в моей компетенции, но я хуй без вышки (пока-что), а на нынешней работе довольно тепло, так что посылать начальство как-то не хочется.
>>913388
Да входит, но работаем мы без всякой аттестации и лицензий, ибо заказчик не требует.
>
Мне кажется это не практичные книги. За исключением ГОСТОВ, НИСТОВ и прочего чтива на ночь, рекомендую:
1) Борис Бейзер - Тестирование черного ящика
2) Блинов — Информационная безопасность
3) Горбатов/Полянская — Основы технологии PKI
4) Саттон, Грин, Амини — Фаззинг: Исследование уязвимостей методом грубой силы
5) Поулсен - KingPIN
Искусство эксплойта весьма неплохая, зря ты так.
Особенно для старта.
Еще неплохие книги:
В.А. Сердюк - Организация и технологии защиты информации.
Бирюков А.а. - Информационная безопасность: защита и нападение
Джеймс Лэнс - Фишинг
Новак - Как обнаружить вторжение в сеть
Просис - Расследование компьютерных преступлений
Еще можно нашего Федотова - Форензику посоветовать, чтобы понять, какая это ебала у нас.
> Поулсен - KingPIN
Там хорошо прописано как проходило расследование у хороших парней. Это было даже интересней чем история ГГ. Есть моар таких книг?
все никак руки не доходили её прочитать. А первые переводы на хабре были слишком адские. Стоит читать?
Проблем с переводом почти нет. Можешь читать.
>Там хорошо прописано как проходило расследование у хороших парней. Это было даже интересней чем история ГГ. Есть моар таких книг?
Призраке в проводах, Искусство вторжения, Искусство обмана.
Это же всё книги митника. Он вообще социнжинерией занимался. И я хотел чтобы автор был не хакер, а тот кто поймал хакера.
>Какие данные у cloudflare утекли? С писке пострадавших сайтов есть форч и двач. Как это можно заюзать?
пароли от digitalocean, coinbase, patreon, news.ycombinator.com, medium, uber, zendesk, 10% других популярных сайтов и 5% остальных интернетов могли оказаться где угодно в публичных данных. если ты не знаешь, где и как искать проиндексированные данные брысь из треда.
Что за пароли? Я вообще в тред пришёл чтобы спросить где взять пароль от двача и что с ним можно сделать.
долбоеб там закешировано паролей больше 4 млн сайтов.
надеюсь ты после прочтения этого поста съебешь с этой хуйней из треда: идешь в поисковую систему например в гугль,но гугл уже заблокировал выдачу
ищешь "CF-Host-Origin-IP:" + "authorization" + "двачЪ" в Cache делаешь "view source" и ищешь "authorization".
профит
Профильное образование у сотрудника, который будет выполнять работы.
Ну а для тех кто не может в гугл - http://clsz.fsb.ru/license.htm
Гугл гуглом, а я спрашиваю, как это ИРЛ происходить будет.
Вопрос почти их этой серии.
Нашей компании в конце 2016 пришло уведомление, что РКН просит заполнить нас анкету на внесение нас в реестр обработчиков ПДн.
Разработана модель угроз, все вроде соотвествует требованиям.
Но я что-то очкую, расскажите, как проходят такие проверки? Ранее не приходилось сталкиваться.
Знаю только, что они о подобных выездных мероприятиях уведомляют за месяц.
чтобы резолвить адрес в ip он использует ping,первый раз его об этом спросили -продинамил вопрос, во второй раз спросили нахуя-аргументировал, что "nslookup могли подменить". бля это каким долбоебом надо быть чтобы имея достаточные права подменять nslookup, а не править hosts,вписывать свой dns итд.
переименовывает в винде хп системный файл и удивляется, что он работает. а что он сука должен был делать цветы из дисковода высунуть?
вся лекция -тупой и неграмотный пересказ содержимого лабы CEH. скачайте лабы с торрентов и сделайте их сами результат будет не хуже этих "курсов".
video.lisa-alisa.ru это вообще пиздец задачки уровня "мамкин наркоман не палится"
неужели есть кто-то кроме дебилов из госов кто ходит к нему учиться за свои кровные?
>чтобы резолвить адрес в ip он использует ping,первый раз его об этом спросили -продинамил вопрос, во второй раз спросили нахуя-аргументировал, что "nslookup могли подменить". бля это каким долбоебом надо быть чтобы имея достаточные права подменять nslookup, а не править hosts,вписывать свой dns итд.
>переименовывает в винде хп системный файл и удивляется, что он работает. а что он сука должен был делать цветы из дисковода высунуть?
Ну не знает человек как работает ping. Компетентные люди эту команду вообще не используют и забыли как страшный сон. Блин, как такие люди работу находят за норм деньги?
>Ну не знает человек как работает ping.Компетентные люди эту команду вообще не используют и забыли как страшный сон.Блин, как такие люди работу находят за норм деньги?
Все гораздо страшнее -этот человек преподает информационную безопасность http://www.specialist.ru/section/information-security
Курсы "специалист" в ПТУ им Дауна - это самый зашкварный зашквар в ДС. Давно было пора это знать.
>Все гораздо страшнее -этот человек преподает информационную безопасность http://www.specialist.ru/section/information-security
Господи. За эти деньги можно ВУЗ неплохой закончить по специальности.
>Почему постоянно говорят о катастрофической нехватке спецов?
Потому что специалистов не хватает,а вот выпускников всяких "специалистов" дохуя.
Если не считать всякие статьи про будущее этой сферы с положительными нихуя не сбывающимися прогнозами, то часто об этом говорят в интервью. Вот, например https://risspa.podster.fm/7
>>935621
И что ждёт этих специалистов? Бумажки, возможно ИБ-эникейство в добавок, а если повезёт, то DLP, отечественная криптопараша и может быть расследование инцидентов.
Все выпускники, с которыми я знаком, пошли в кодеры и тестеры, пара человек в админы. Преподы, ведущие предметы, связанные с практической безопасностью, работают или кодерами, или бумажниками. Представители разных контор приходят в вуз, чтобы набирать из студентов опять же кодеров. Спрашиваешь у преподов про вакансии - по специальности они могут предложить только защиту персональных данных.
-хочу в норм иб вуз
-пиздуй в nsaшный или в mit
Совсем поехали что-ли?
Почему, Какадемию водителей Гелендвагенов тоже же предлагают.
>И что ждёт этих специалистов?
Ты реально не понимаешь зачем идут за бумажками ИБ и можно без знаний?
Это как в анекдоте пистолет дали и крутись как хочешь. Бумажка даёт,например, возможность выступать экспертом в судах. Судебная экспертиза это бабло,баблищеееее. И всем похуй,что эксперт это клевогиннамбату ищет доказуху загрузившись с того же самого носителя реальная стори с хабра главное у эксперда бумажка есть,что он эксперт. Так почему бы не занести эксперту?!
В госах всяких эксперты имеют право вето на закупки оборудования.Как думаешь кому бабло поставщики несут.
Это Россия,здесь, по мнению чиновников, нахуй не нужна безопасность,здесь нужны рабочие места,где можно бабки сосать.
Где?
Форумы реверсеров и системных программистов:
https://wasm.in/
https://exelab.ru/
https://www.cs.fsu.edu/~redwood/OffensiveComputerSecurity/lectures.html - лекции FSU
https://www.cybrary.it/ - образовательная платформа
Или вдруг кто-нибудь в теме:
кандидаты с погашенной судимостью (но по очень плохой статье, хищение, 160) отсекаются автоматически?
(Не на должность безопасника, а вообще, на любую должность выше грузчика/дворника), хотя до этого работал в it макакой и хочется вкатиться именно в it.
А для этого достаточно иметь любого знакомого в органах, доступ к базе осужденных имеет и простой участковый?
Т.е. проверить меня практически любая фирма-шарага сможет? (хотя таким шарагам и не нужны it)
Нет, не любая. Но более-менее серьезная СБ имеет регулярно обновляемый Кронос или Дофин, а то и то и другое. Плюсом да, есть связи в органах. Так что тут тебе лотерея.
>Но более-менее серьезная СБ имеет регулярно обновляемый Кронос или Дофин
Спасибо, анон, я даже не знал, что есть такие программы, и человек так легко проверяется (фамилию вбил и всё видно)
Хоть какая-то информация теперь есть.
В гос. корпорации вход мне по умолчанию закрыт, ведь так? НИИ, почта, налоговая, да везде?
Как-то всё сильнее захватывает мысль, что можно ставить крест на дальнейшей жизни (официальной)
Хоть в трудовой записано увольнение по собственному (договорились на предприятии, что уволят так, а не по статье. Хотя вангую, что им просто лень было офорлять кипу бумаг), по факту трудовая книжка ни на что не влияет, потому что будет суд, будет статья, будет судимость а этого уже не исправить, время назад не повернуть, и вся эта информация пробивается всеми и много где.
Ну во-первых виноват сам.
Во-вторых тебе сказали, в некрупных компаниях всем похуй, можешь еще раз по скольскому пути потопать, хех.
>можешь еще раз по скольскому пути потопать, хех.
Вот уж что не нужно, то не нужно.
Статью имеет смысл получать за очень большую сумму, на которую за всю свою жизнь не заработаешь, но такие суммы распределяются сугубо между нужными людьми.
А за палку колбасы или пачку масла второй раз повторять это всё нет никакого желания.
Так что теперь на чужое и смотреть не хочется, мне б работать спокойно и зарабатывать.
А то что виноват, не отрицаю, я ж чистосердечное написал. Знал бы, что за хищение всё так серьезно будет, вернул бы всё, но о возможном наказании не знал вообще, дурачок, согласен.
А сумма? Неужели там можно что-то серьёзное украсть?
мими знакомый спиздил часть деньг предназначенных для обновления компов в школе когда попал туда работать по распределению
Можно, вот получилось же. Причем дыра вполне открытая была, просто всё на отъебись делается, в том числе и безопасность, тащат абсолютно все. Ну а меня заметили, долго ждали и вот, крупный размер, сумма большая.
Маня-фантазеры...
Чтоб пробить по долгам можно и тут http://fssprus.ru/iss/ip/
Так же сейчас большая часть решений по судебным делам выкладывается в открытый доступ, и так же можно пробить.
Кронос и долфин в большей части базы которые показывают глубину ваших глубин. Но сейчас с ними сложнее, более актуальные базы купить сложно.
Что касается вышеупомянутой статьи тут с большей вероятностью откажут, если компания больших размеров то там уже есть стандарты по выбору контрагента.
К тому же есть вероятность, что и на дворников и грузчиков не возьмут, т.к. эти товарищи тоже ответственные за ТМЦ.
> мими знакомый спиздил часть деньг предназначенных для обновления компов в школе когда попал туда работать по распределению
Передай этому ублюдку, что у детей воровать нехорошо.
Дофин многие держат только из-за относительно свежих мусорских сводок. Там лаг в полгода где-то в среднем.
А сводки это все, вплоть до приводов же.
>К тому же есть вероятность, что и на дворников и грузчиков не возьмут, т.к. эти товарищи тоже ответственные за ТМЦ.
С одной стороны всё так, а с другой стороны я же не подписывал договор на мат-ответственное лицо, вот с этого мне бомбит немного.
Похитил да, имущество чужое да, но при этом похищенное являлось расходными материалами и не числилось на балансе.
Наконец-то презентация про Россию, а не Москву. Только почему-то выводом стало "уходим от бумажной безопасности в сторону реальной", хотя даже в самой презентации не указано никаких предпосылок: всех заботят лишь требования регуляторов и изменений не предвидится. "Реальная" безопасность будет ещё больше перекладываться на админов.
Тоже интересует этот вопрос. Привлекался, дело было прекращено по 28 упк. Это тоже все в базе? С тех пор прошло очень много времени статьи 272, 273, 165 Пробивка идет только в крупных компаниях, в средних и более мелких копать не будут?
>статьи 272, 273
Как угораздило на такие попасть? Тоже редкость же.
Только на днях слышал информацию, что трудоустраивался такой тип (не ты ли?) и ему отказали в СБ.
Но компания крупная, а СБ особенно крупные, копают сильно.
Короче был я школьником, делал всякие сайты, сидел на форумах погромистах и пр. Там в одной теме чувак выложил программу с помощь которой можно было сидеть бесплатно в интернет, ну я дурень и воспользовался. Чуть посидел и перестал, но из ФСБ все-равно домой пришли. В суде дело закрыли в связи с деятельным раскаянием. Недавно много читал на эту тему, оказывается, что в Москве такие дела возбуждали в 96-98 годах, потом забили. Но я то из мухосрани, отделу К надо-же палки рубить.
Чувак, который устраивался не я, но и мне отказывали. Кстати, если не секрет, у этого чела были прошлые места работы, опыт есть?
Может честно все рассказать при трудоустройстве, авось поймут?
В том-то и дело. Из дома не выходил, слова никому не сказал, пальцем никого не тронул, а уголовка есть. После отказов совсем стал разбитым. Просто не знаю что делать, из-за такой хуйни вся жизнь сломана.
>Просто не знаю что делать, из-за такой хуйни вся жизнь сломана.
Так ещё и по малолетке, т.к. произошло всё очень давно, и даже на это без разницы всем.
>6.Погашение или снятие судимости аннулирует все правовые последствия, предусмотренные настоящим Кодексом, связанные с судимостью.
Зато смотри как красиво написано в УК, даже надежда появляется.
А походишь по собеседованиям и всё.
>Чувак, который устраивался не я, но и мне отказывали. Кстати, если не секрет, у этого чела были прошлые места работы, опыт есть?
Он на крупную должность устраивался, какой-то серьезный разработчик, т.е. умный парень. И зп соответствующая.
Но нет, отказ.
Сам я ещё не пробовал устраиваться, признаю. Но в интернетах пишут, что уровень не выше шараги ООО, любая более-менее фирма уже имеет либо СБ, либо знакомого человека в органах.
Информация по всем уголовным делам хранится в единой базе с 2007 года, как я нагуглил, удалить ее оттуда невозможно, удаляется автоматически по достижению возраста 80 лет.
У меня судимости нет дело прекращено на основании 28 УПК, такая информация в ИЦ хранится в течении 25 лет, но все-равно долго.
Блин, тот чел программист, у них с этим легче, есть крупные IT конторы, которые кандидатов по данным статьям пропускают. А я то не по этой спецухе, у меня банки, госслужба, всякие крупные АО, короче попал я. Может бухгалтером в ооо устроюсь.
Так а всё равно: дело ведь возбуждалось?
В интернетах вообще мрак пишут, будто бы никто разбираться не будет: есть в базе, значит не подходит.
Сбил кого-то на машине - отказ.
Кто-то и вовсе про свидетеля писал, что фигурировал в деле, а после этого отказы стали приходить.
Хрен знает, как дальше жить с этим. По сути получается, что в базы попал - и всё, либо ООО, либо ИП и свои мутки с бизнесом, лел
2. Собственная СБ с пробиваловом- дорогое удовольствие, в предприятиях до 50 человек ее зачастую вообще нет, 50-150 человек- бывший сотрудник мвд, который может далеко не все. Сам наблюдал случаи, когда людям с погашеной судимостью давали добро, как оказалось, просто проверяли по кредитным историям и обзванивали предыдущие места работы. Все потому, что не все безопасники умеют в пробивы, у них часто другая контора на подхвате за денежку, которая пробьет что надо. Директор конечно же не в курсе таких муток. Денежка ограничена, потому пробивают только тех, кого реально стоит.
3. С СБ можно договориться. Собеседование прошли, вас уведомили, что осталась проверка в СБ- сразу туда и идите. Вполне вероятно, что удастся договориться на взаимовыгодных условиях.
1. Т.е. в раскаяние и искупление вины ты не веришь?
И то, что к судимым автоматически идет превзятое отношение и заявляется прямо, что нет смысла брать судимого и проверять его, если и несудимых целая пачка желающих устроиться?
Но конечно же, никто прямо не скажет, что отказали именно из-за судимости, потому что это запрещено законом, лол. Но все всё понимают
2. Хотелось бы, чтоб было так. Ещё услышал такое мнение, что есть смысл открыть ИП на себя, якобы ИП проверяют как-то меньше.
Хотя не уверен, что это поможет при устройстве в средне-крупную компанию.
Хотя для меня лично цифры странные, но я и сам молодой, и работал только в одном месте, больше нигде. Контора на 2500 человек, подразделений полно, работы с утра до вечера полно. На моей поддержке наверно и было около 150 пк и человек, примерно так. +удаленка
3. Т.е. сразу говорить им, что было дело и судимость? Здесь вопрос в том, а зачем им дополнительный риск и заморачиваться с этим. Я им не знакомый, не товарищ, словам моим доверять они не могут, и более того, в рамках общества я словно прокаженный, уголовник ведь.
А выше пример про бесплатный интернет посмотри, это же вообще пиздец. Это заслуженное наказание? Справедливые последствия?
Пускай ты обвинишь меня в манямирке, но система неправильно работает на мой взгляд.
Не должно быть никаких ограничений, кроме исключительных мест, куда нельзя допускать осужденных по некоторым статьям (полиция, образование).
Все "пробития" должны фиксироваться и быть в рамках закона, а не так, чтобы прапор-дядя-вася купил диск с базой и теперь пробивает всех подряд.
Но и за рецидив наказание должно быть суровым, вплоть до очень сурового. Ошибся один раз - бывает. Устроился в хорошее место, снова повторил проступок - всё, отвечай по полной строгости.
А как сейчас: да ерунда полнейшая, сам факт возбуждения дела уже является черной меткой, и неважно, какая там статья, тяжесть и наказание.
1. Да похуй мне вообще на все и всех. Вы сами уебаны можете палиться перед HR своим поведением, мимикой, жестами, интонацией. Тут либо по науке определят, что есть проблемы с человеком, либо на интуиции отсекут.
2. Кто проверяет ИП, о чем ты? Нахуя тебе в крупную компанию принципиально? Чем тебе малый и средний биз не подходит, туда тебе в разы легче будет устроиться?
Ты кто вообще, IT? Пиздуй в контору аутсорс обслуживания пк, там важны практические навыки и нет никаких безопасников.
3. Иди и говори, что так и так, раскаялся, хотел бы работать и быть полезен дополнительно. Если отсидел- уведоми, что под операми ходил. Дальше зависит от СБ, но процент вероятности трудоустройства может значительно вырасти.
Как сотрудник занимающийся "пробивонами" могу чуть более развернуто про это сказать:
1). Первое что смотрят, это сайт судебных прист. Если у вас есть штраф за пдд или за распитие пиваса, то это ничего страшного, т.е. если суммы долгов 1-5к, это не сильно критично. Если у вас арбитражек до на сотни нефти, и долги по всем фронтам, можете забыть.
2). Дальше смотрим на должность которую вы претендуете, от этого зависит до какого уровня будут копать.
3). Заходим на сайты с решием судов, смотрим было ли что-то у вас или ваших родственников (если вы грузчик или низший манагер, то только вас, если вы повыше то можно и родню смотреть).
4). Потом можно в спарке вас глянуть, были ли вы учередителем или причастным к компаниям, что с этими компаниями. (если в анкете писали одно, а по факту второе, то ситуация не очень).
5). И вот где-то тут только подключаем все базы, где жили, что делали... например когда меня брали на должность, пробили что у моей жены 12 лет назад в школе украли телефон. Тут все от свежести баз зависит. Плюс прошу заметить отношение к вашей персоне меняется от статьи которая на вас висит, и сроках давности. Грабеж/кража/разбой/убийство - сразу идут лесом. Хулиганство - еще можно поговорить. Если вы мошенник, то тоже до свидание. Но опять же все от компании и должности.
6). Если вы устраиваетесь в рамках одного региона, безопасник проверяющий вас может спокойно обзвонить ваши прошлые места и все за вас узнать. Если вы например увольнялись после инцидента, а в анкете написали, что ушли из-за зп, это тоже проблемы для вас.
70. В итоге по совокупности получаем портрет кандидата, и принимаем решение о необходимости брать такого сотрудника в штат. В компаниях покрупнее нашей (у нас 1.5к человек), есть разработанные регламенты проверки и требования к должностям по итогу проверки.
Условием отказа может послужить все что угодно, по этому лучше анкету писать по максимуму и честно, если найдутся разногласия, это весомый повод не доверять вам.
Как тут писали выше - попробовать договориться - никто с вами даже разговаривать не будет, потерять работу, из-за взятки и попытки взять вас на работу, идея так себе. (единственный вариант, если за вас будут ходотайствовать начальство или дирекция).
Как сотрудник занимающийся "пробивонами" могу чуть более развернуто про это сказать:
1). Первое что смотрят, это сайт судебных прист. Если у вас есть штраф за пдд или за распитие пиваса, то это ничего страшного, т.е. если суммы долгов 1-5к, это не сильно критично. Если у вас арбитражек до на сотни нефти, и долги по всем фронтам, можете забыть.
2). Дальше смотрим на должность которую вы претендуете, от этого зависит до какого уровня будут копать.
3). Заходим на сайты с решием судов, смотрим было ли что-то у вас или ваших родственников (если вы грузчик или низший манагер, то только вас, если вы повыше то можно и родню смотреть).
4). Потом можно в спарке вас глянуть, были ли вы учередителем или причастным к компаниям, что с этими компаниями. (если в анкете писали одно, а по факту второе, то ситуация не очень).
5). И вот где-то тут только подключаем все базы, где жили, что делали... например когда меня брали на должность, пробили что у моей жены 12 лет назад в школе украли телефон. Тут все от свежести баз зависит. Плюс прошу заметить отношение к вашей персоне меняется от статьи которая на вас висит, и сроках давности. Грабеж/кража/разбой/убийство - сразу идут лесом. Хулиганство - еще можно поговорить. Если вы мошенник, то тоже до свидание. Но опять же все от компании и должности.
6). Если вы устраиваетесь в рамках одного региона, безопасник проверяющий вас может спокойно обзвонить ваши прошлые места и все за вас узнать. Если вы например увольнялись после инцидента, а в анкете написали, что ушли из-за зп, это тоже проблемы для вас.
70. В итоге по совокупности получаем портрет кандидата, и принимаем решение о необходимости брать такого сотрудника в штат. В компаниях покрупнее нашей (у нас 1.5к человек), есть разработанные регламенты проверки и требования к должностям по итогу проверки.
Условием отказа может послужить все что угодно, по этому лучше анкету писать по максимуму и честно, если найдутся разногласия, это весомый повод не доверять вам.
Как тут писали выше - попробовать договориться - никто с вами даже разговаривать не будет, потерять работу, из-за взятки и попытки взять вас на работу, идея так себе. (единственный вариант, если за вас будут ходотайствовать начальство или дирекция).
>Если вы например увольнялись после инцидента, а в анкете написали, что ушли из-за зп, это тоже проблемы для вас.
>Условием отказа может послужить все что угодно, по этому лучше анкету писать по максимуму и честно, если найдутся разногласия, это весомый повод не доверять вам.
Спасибо, анон
Цугцванг какой-то получается: и врать не хочется, потому как и так доверия больше нет, и правда такова, что после озвучивания никто и разговаривать дальше не станет.
Последний вопрос тогда: если дело ещё не возбуждено, но ОРМ проведены, эта информация пробивается? Т.е. если я приду устраиваться, со стыдом напишу, что сейчас не судим, и умолчу, что по факту всё впереди; может получиться или нет
Спасибо
Хотел прямо сейчас попробовать устроиться в одно место, которое очень понравилось, но оно выглядит очень серьезным (Федеральный центр - это же скорее всего государственное место?), непонятно как отпрашиваться к следователю и на сам суд, странно это будет выглядеть, только устроился и уже отпрашивается.
Или сидеть дома, пока всё это оформление проходит, ездить к следователю по вызову, готовиться к предстоящей сессии, и пробовать устраиваться, только когда станет известна дата суда.
статью бы озвучил для начала, и что инкриминируют.
Мы тут конечно и "безопасники", но не телепаты.
>>955871
к своему посту хотел добавить, что если вы прокосячились на работе, товарищи безопасники могут по городу про вас пустить новость, и вы в норм контору не устроитесь.
У нас так было с мошенником, после внесли его в черные списки кредитных организаций и ряда компаний.
Почти все безопасники выходцы из контор, и по большей части хорошие знакомые вне работы.
Так что мотай на ус.
>статью бы озвучил для начала, и что инкриминируют.
Говорили что 160 ч.3 будет.
А так не знаю, дело ещё не возбуждено, я даже у следователя еще не был. Только операм написал чистосердечное при задержании, всё рассказал, и отпустили домой.
СБ в течение очень долгого срока наблюдали (слышал, что специально ждали, пока накопится побольше) и поэтому такой крупный размер.
>товарищи безопасники могут по городу про вас пустить новость, и вы в норм контору не устроитесь.
Теперь же я слышал такой слух, что товарищи безопасники сами не рады, что дали делу официальный ход.
Мол нужно было припугнуть-всё похищенное вернул бы и написал по собственному.
А сейчас всё слишком сильно закрутилось (операм ведь тоже палка нужна, и очень нужна) и все официально, на тормозах не спустить.
Претензий у СБ (и предприятие, соответственно) ко мне не имеет, т.к. я всё возместил (всё изъяли) в полном объеме.
А так да, абсолютно все СБ из органов, это и не скрывается особо. Один из них даже при задержании присутствовал, всех там знает.
Т.е. если кратко, то: задержали опера - всё изъяли - всё рассказал в УВД - взамен на это уволили по собственному, а не по статье в трудовой - претензий у них нет - сижу дома, грущу и жду суда.
https://2ch.hk/wrk/res/799984.html#953085 (М)
Вот с этого поста я у представителей закона спрашивал некоторые вопросы, там всё более подробно написано.
Долги и суднбные решения понятно где искать. Это на халяву. А что ещё бесплатно можно найти?
на сайте сбис почти всю нужную инфу по юрлицам.
вконтакте и прочие быдлоклассники опять же в помощь.
Всякие Nomerorg и phonenumber.to
>попробовать договориться - никто с вами даже разговаривать не будет, потерять работу, из-за взятки и попытки взять вас на работу, идея так себе
Теперь слушайте и запоминайте- если видите молодого и шутливого сбшника, то с этим общаться смысла нет, он дальше компутеров и баз не видит. Если видите Ъ-опера - вот с этим и держите разговор. Если понравитесь- на работу попадете, но придется сосать ему хуй выполнять расширенный спектр задач.
маня-фантазер.
Если брать отдельно взятый случай и отдельно взятого СБшника, то ситуация возможно имеет место быть.
Еще раз повторюсь, все зависит от компании:
- Если компания федеральная, то требования там жёсткие, регламент объемный. Сотрудники со статьями проходят мимо.
- Если компания областного значения, то все зависит от их правильности и подхода к работе, руководства и ряда факторов.
>>956254
272 и 273 - довольно редкая в нашей сфере, но из опыта могу сказать, что в компании уровня тырпрайз, вход вам заказан.... Про мелкие компании - вопрос спорный.
165 - накладывает финансовые риски для компании, на руководящие и управляющие должности не возмут, должности где проходит ТМЦ тоже, на рабочие позиции при прочих равных или большом конкурсе тоже отказ.
>>956281
Тоже самое, что и по 165. Мало кто захочет связываться с человеком, который воровал. Это лишний геморрой. Логика простая, воровал - значит украдешь ешь, украдешь еще, значит потом тому же СБшнику тебя ловить, ему это не надо.
>>956440
Сыр в мышеловке. Бутылку Фемиды.
По Юрлицам - спарк (но он естественно не бесплатный, хотя всю аналитику по компаниям можно и ручками собирать, но это долго). По физикам - соц.сети дают хороший портрет кандидата.
Удаленно возьмут только пентестом, ресерчем, девелопером.
Если про "классический СБ", то тут только на местах.
>Удаленно возьмут только пентестом, ресерчем, девелопером.
Как раз то, что нужно. Тогда буду искать конторы, которые готовы на такое пойти, а как немного прокачаюсь, заведу мини-трактор до ДС.
Неделю домой идёт уже.
Но ведь 165 статья не хищение, более того 165 ч.1 была декриминализирована в 2012 году состав поменялся, теперь ее инкриминирует только года ущерб более 250 тыс. руб.
Что теперь не работать, если посидел чуть в интернете 9 лет назад? Пиздец
Понимаешь, статья гласит именно так.
Указанные слова, сразу бросаются в глаза и накладывает на вас репутационные издержки.
Как писал уже несколько раз: раз обманул, обманешь еще раз. По этому пробовать устраиваться в компании не сильно крупные.
В нашем мухосранске софтовых контор пруд-пруди, тыжпрограммисты всюду нужны, и во многих СБ как таковое отсутствует.
Да вот только я нихуя не програмизд,, а ко-ко экономист. Придется стреляться. По факту я в интернете с помощью программы посидел, соответственно провайдеру нанес имущественный ущерб без признаков хищения. Жопа горит от того, что 165 ч.1, как я выше писал, убрали из ук. Читал что некий хрен че-то с кабельным намудрил и смотрел платные каналы на халяву, ему только компутерные статьи влепили, так как это было 2013 году и изменения вступили в силу.
Судимости у меня нет дело закрыли на основании 28 УПК, может это как-то будет принято во внимание? Или всем пох?
>Судимости у меня нет дело закрыли на основании 28 УПК, может это как-то будет принято во внимание? Или всем пох?
Может с этого надо было начинать ?
Тут сугубо индивидуально, да и в целом проверки индивидуальные. Если дело есть в реестрах, то все от глубины-глубин СБ будет зависить.
Я бы на твоем месте, рассылал резюме, в анкете от HR писал этот пункт, только с пометкой, что судимости нет, дело закрыто и бла-бла, чтоб более понятнее было для СБ. (хотя тоже такой двуликий анус... с одной стороны ты сразу говоришь, что у тебя был вариант быть осужденным и в тоже время честный).
Сложный случай со сложной статьей, плюс все осложняет твой род деятельности, ибо будешь следить за фин.потоками компании...
В общем пробуй. Ну и сам по открытым источникам по пробивай про себя, есть ли решения суда и тд.
В открытых источниках все чисто. Проверял везде. В графе о судимости буду писать "судим не был". Лишнего пиздеть не буду, хотя пиздец как хочется выговориться, типо :"'это не то что вы подумали, это за бесплатный интернет!!!", лол
Кстати, раз ты уже начал, расскажи поподробней, что там за бесплатный интернет и тд.
Выше уже писал.
Короче был я школьником, делал всякие сайты, сидел на форумах погромистах и пр. Там в одной теме чувак выложил программу с помощь которой можно было сидеть бесплатно в интернет, ну я дурень и воспользовался. Чуть посидел и перестал, но из ФСБ все-равно домой пришли. В суде дело закрыли в связи с деятельным раскаянием. Недавно много читал на эту тему, оказывается, что в Москве такие дела возбуждали в 96-98 годах, потом забили. Но я то из мухосрани, отделу К надо-же палки рубить.
Через тех. логины провайдера сидел. Вот похожий случай:
https://habrahabr.ru/post/284708/
Могу только посочувствовать в такой ситуации.
Как вариант к анкете соискателя прикладывать справку об отсутствии судимости :)
>Как вариант к анкете соискателя прикладывать справку об отсутствии судимости
аааааааавтобан
Чем это обусловлено ?
В том смысле, что человеку, который ни разу не привлекался (как и я до текущего времени) даже в голову не пришла бы мысль об этой справке.
Ни одного привода, ни одного взаимодействия с органами вообще.
> регулярно обновляемый Кронос или Дофин
котлеты и табурет. какая взаимосвязь с вопросом?
первый это просто название субд популярной для горбушных баз,а второй это поисковая система к набору тех же горбушных баз данных,которые и самостоятельно можно из торентов скачать. никакого доступа к госбазам ни то ни другое не дает.
>>952177
>А для этого достаточно иметь любого знакомого в органах, доступ к базе осужденных имеет и простой участковый?
уже лет пять как все запросы фиксируются и только полный даун будет пробивать для кого-то,рискуя вызвать неподдельный интерес ССБ на предмет бизнесментовости. скажите спасибо дебилам , вписывавшим запросы в реальные уголовные дела.
А ты какие советы дашь?
Судя по всему таких "даунов" полно. Вот одного накрыли http://kommersant.ru/doc/3096103 Некоторое количество ментов пидорнули из органов за слив информации. Несмотря на это базы данных мвд практически прозрачны, у нас местный чоп оказывает такую услугу за мизерную плату. Есть еще форумы, там тож за денежку пробьют.
> Есть еще форумы, там тож за денежку пробьют.
что пробьют-то? с умным видом в базе, скачанной с торрентов, посмотрят и тебе скажут,что тебе самому мешает скачать и посмотреть? 600Gb архив гуляет в виде набора кронос баз и еще 2 Tb можно набрать разнородки.
Все это должно быть официально открытым-заплати денежку госагенству и получи нужную тебе справку онлайн, тогда и черный рынок этого говна исчезнет. А сейчас что происходит? каждый мудак начальственный считает своим долгом себя и свою семью из баз удалить, закон вон даже выпустили. Пока равенства не будет,то и будет такая хуйня происходить.
Где в мире не был, лежит себе спокойно справочник в телефонной будке с фамилиями адресами телефонами,а у нас блядь "пробить адрес".
Ореол вокруг этого "пробить" уже настолько воняет,что как только кто-то новый предлагает я ему обещаю ебальник разбить. Это же все следствия гнилой системы. Думаешь нахуя в стране столько документов? В штатах вон у человека соцномер,водительские права и пиздык. А в РФ каждый министр норовит новый вид документов выпустить,потому что выдача документов это бабло.
В данных есть госы,но даже они признают,что 99.9% собираемой о людях информации нахуй не нужна. Пробивщики же за ними крохи подбирают,авторитетно раздувая свои сопли. Оттуда и термин "пробить". Последнее время спецы его вообще не используют чтобы несравняться с маргиналами.
Но надо понимать, что во многих странах эти привлечения/судимости за какую-то хрень препятствием для работы не являются. В США работодатель не получит информацию о том, что соискатель привлекался по малолетству. В Израиле все данные из баз удаляются по истечению 5 лет со дня погашения судимости. Недавно дискавери смотрел, там была передача про условно-досрочное освобождение, глава комиссии по УДО рассказывал свою историю, типо он в школьные годы занимался шоплифтингом, хулиганил, полиция стала частым гостем в его доме. И ничего, теперь работает в органах. А у нас что? Я устроился на госслужбу, притащил им справку о судимости, там внизу приписочка "Факт о прекращении уголовного преследования" написаны статьи, и по какой причине дело было прекращено. Из-за этого меня оттуда пидорнули, хотя по закону имею полное право там трудиться. То же самое с врачами/учителями/преподами, их начали увольнять за судимости 20-ти летней давности. Чел 8 лет на хирурга учился, в 17 лет поймали с травой, влепили 228. ВСЕ. Диплом на помойку. Какой в этом смысл? Просто дикость.
В нормальных конторах есть отдел информационной безопасности. Именно отдел, а не специалисты по иб внутри айти отдела. Админам информационную безопасность доверять нельзя, ибо этим животным главное, чтобы всё работало и неважно какой ценой. Это тупые животные, не способные ни к какой интеллектуальной деятельности и по ошибке относящие себя к айтишникам. Но любой человек, если это не тётя срака из бухгалтерии, прекрасно осознаёт, что сисадмин - это как сантехник, это говночист обслуживающий настоящийх айтищников, таких как программеры и разгребающий говно за ними. Да и не тольок за ними, а за всеми подряд.
Приятного дня.
> Какой в этом смысл? Просто дикость.
Это для нормального человека дикость, а дебил на это оргазмирует. Как будто что-то суперсекретное подглядел, вуаеризм как он есть. Страна дом-2.
Пока люди не начнут срать на это,так оно и будет.
Благо нормальным коммерсам насрать на эту хуйню. Вывод- просто не ходить в госы.
>у нас местный чоп оказывает такую услугу за мизерную плату
Так это всё-таки законно или незаконно?
Если незаконно, как и через кого они пробивают?
Я просто хочу немного заранее понять, к чему мне быть готовым.
Допустим, в своем мухосранске искать работу я не буду, уеду в Москву.
И вот в Москве у меня будут отказы во всех местах, где пробивают информацию, или пробивают все-таки мало где.
Хотя смотрю вакансии, и все компании, как на подбор: старые, крупные.
Мелких фирм ООО практически нет, видимо своими эникеями справляются, кто по знакомству работает. >>723039 (OP)
>Благо нормальным коммерсам насрать на эту хуйню.
Однако не всем.
Судя по интернету, достаточно большой список компаний, где бан идет независимо от статьи, автоматически.
>Благо нормальным коммерсам насрать на эту хуйню. Вывод- просто не ходить в госы.
с хуя ли? чуть что сразу хайп в соцсетях поднимут, а сми подхватят
>И вот в Москве у меня будут отказы во всех местах, где пробивают информацию, или пробивают все-таки мало где.
Пробивают там, где есть безопасник.Безопасник говорит директору, что пробил через мвд фсб цру, а бабки кладет себе в карман. Все пробитие как правило на уровне чтения вконтактика.
>>962700
Главный серун it-треда теперь пожаловал сюда?
>Админам информационную безопасность доверять нельзя, ибо этим животным главное, чтобы всё работало и неважно какой ценой
Тут спорить не буду. Сам регулярно исправляю за другими админами(и за специалистом по защите информации тоже, который на самом деле полубумажник-полуадмин) детские проёбы в безопасности, а они ещё меня параноиком считают.
> > регулярно обновляемый Кронос или Дофин
> котлеты и табурет. какая взаимосвязь с вопросом?
Видно "профессионала", никогда не работавшего с Кронос-информ или Дофином напрямую. Эти конторы по подписке раз в квартал-полгода выдают свежие базы всего.
Двачую.
> Эти конторы по подписке раз в квартал-полгода выдают свежие базы всего.
маня-фантазии,разбивающиеся о волнорезы 98-ФЗ, 149-ФЗ, 152-ФЗ ипр
Маняфантазии пока тут только у тебя. Ты видимо не в курсе, как вообще эти законы работают на самом деле нет, а заодно в какой стране мы живем.
Да пусть уже утонет и воркач забудет навсегда про эту проклятую профессию
Это копия, сохраненная 26 марта 2017 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.