Проработав в вэбе лет 5, половина из которых на фрилансе, зная еще другие языки не для вэба, в том числе С, я подумал: "А не начать ли мне изучать самому информационную безопасность по-немногу?" Например, ту ее часть, которая связана с самим вэбом или с сетями. Там порог вхождения выше, людей меньше, денег, вроде, больше, сама область, как мне сказали, в том числе kaa.python, перспективная. На фрилансе тоже можно будет работать. У меня знакомый есть, который работал в офисе со мной раньше как "безопасник", в теперь фрилансит в этой области.
Что думаете? Что входит в понятие азов?
P.S. Изучить я имею ввиду именно на серьезном уровне, чтобы эти знания и умения потом продавать.
Здравствуйте, ramar, Вы писали:
R> ту ее часть, которая связана с самим вэбом или с сетями. Там порог вхождения выше, людей меньше, денег, вроде, больше, >kaa.python, перспективная.
Вы представляете кто такие безопасники? Это не те, которые обвешались дипломами об окончании
специализации в ИБ, и далее только и занимаются тем, что тычут мышкой в касперов и иксспайдеров
в банках, изображая из себя супер спецов.
Спец в ИБ-это тот, кто за время N исследует инфраструктуру, найдёт способы получения
несанкционированного доступа, контроля. Настоящие спецы оказывают разовые услуги по
исследованию инфраструктур на на наличие таких брешей. Вы понимаете, что здесь необходима
самая широкая компетенция практически во всём, начиная от админства сервисных прог,
и заканчивая спеками протоколов, алгоритмов, и их реализациями в рaзных ОС. Возможности могут
быть как результат ошибок или недочётов в самых разных лучаях, начиная от некорректной настройки
сетевого сервиса, и заканчивая недосмотром в реализации протокола в ядре. Такое под силу только очень
увлечённым или обладающими врождёнными особенностями мышления.
Здравствуйте, smeeld, Вы писали:
S>Здравствуйте, ramar, Вы писали:
R>> ту ее часть, которая связана с самим вэбом или с сетями. Там порог вхождения выше, людей меньше, денег, вроде, больше, >>kaa.python, перспективная.
S>Вы представляете кто такие безопасники?
да
Здравствуйте, smeeld, Вы писали:
S>Здравствуйте, ramar, Вы писали:
R>> ту ее часть, которая связана с самим вэбом или с сетями. Там порог вхождения выше, людей меньше, денег, вроде, больше, >>kaa.python, перспективная.
S>Вы представляете кто такие безопасники?
Вы представляете кто такие программисты? Это не те, которые обвешались дипломами об окончании специализации в разработке ПО, и далее только и занимаются тем, что тычут мышкой в visual studio и eclipse на работах, изображая из себя супер спецов. Спец в разработке ПО -это тот, кто за время N поставит задачу, рассчитает время, необходимое для разработки, найдет способы решения возникающих сложностей. Настоящие программисты оказывают разовые услуги по разработке ПО. Это нужно родиться программистом и иметь такой способ мышления. Если вы сейчас об этом спрашиваете, то, скорее всего, ваше время уже ушло.
R>Вы представляете кто такие программисты? Это не те, которые обвешались дипломами об окончании специализации в разработке ПО, и далее только и занимаются тем, что тычут мышкой в visual studio и eclipse на работах, изображая из себя супер спецов. Спец в разработке ПО -это тот, кто за время N поставит задачу, рассчитает время, необходимое для разработки, найдет способы решения возникающих сложностей. Настоящие программисты оказывают разовые услуги по разработке ПО. Это нужно родиться программистом и иметь такой способ мышления. Если вы сейчас об этом спрашиваете, то, скорее всего, ваше время уже ушло.
Совершенно верно, разница между истинными безопасниками (считай хакерами, без умения взломать не может быть понимания как взломать и или защитить)
и истинными разрабами только в том, что у первых уровень сложности выполняемых задач на порядок выше.
В среднем, справедлива следующая иерархия:
Низшая ступень-умеющие пользоваться и настраивать существующее ПО: юзеры/админы.
Средняя ступень-умеющие разрабатвать новое ПО: разрабы алгоритмов, механизмов, структур и их реализаций.
Высшая ступень-умеющие находить ошибки в существующих алгоритмах, механизмах, структурах и их реализациях,
разрабатывать автоматизацию эксплуатации уязвимостей в целях получения несанкционированного контроля, доступа,
внедрения доп. функционала: безопасники или чёрные шляпы.
Здравствуйте, smeeld, Вы писали:
S>Здравствуйте, ramar, Вы писали:
R>> ту ее часть, которая связана с самим вэбом или с сетями. Там порог вхождения выше, людей меньше, денег, вроде, больше, >>kaa.python, перспективная.
S>Вы представляете кто такие безопасники? Это не те, которые обвешались дипломами об окончании S>...
Еще крайне и крайне желательно иметь неплохой математический бэкграунд,
поскольку криптография суть крайне серьезная математика.
S>Еще крайне и крайне желательно иметь неплохой математический бэкграунд, S>поскольку криптография суть крайне серьезная математика.
С криптопротоколами или криптоалгоритмами как раз всё просто. Они все базируются на базовых фундаментальных
понятиях и соотношениях из теории чисел или дискретки, и на уровне математической теории, как свою составлющую,
все имеют однозначную строгую оценку взламываемости. Да и 100% всех "громких" обнаруженных ошибок в системах, связанных с
криптографией, являются ошибками реализации, не имеющие никакого отношения к самим криптопротоколам или криптоалгоритмам.
Здравствуйте, ramar, Вы писали:
R>Проработав в вэбе лет 5, половина из которых на фрилансе, зная еще другие языки не для вэба, в том числе С, я подумал: "А не начать ли мне изучать самому информационную безопасность по-немногу?" Например, ту ее часть, которая связана с самим вэбом или с сетями. Там порог вхождения выше, людей меньше, денег, вроде, больше, сама область, как мне сказали, в том числе kaa.python, перспективная. На фрилансе тоже можно будет работать. У меня знакомый есть, который работал в офисе со мной раньше как "безопасник", в теперь фрилансит в этой области.
Вижу что я не совсем верно доносил мысль. Необходимости в знании самой информационной безопасности на серьезном уровне (как, например, kochetkov.vladimir) для разработчика нет. Для разработки достаточно иметь просто общие представления как в сфере ИБ, так и смежных (сети, драйвера и т.д.). Эта область, да, перспективная, но платят тут не только и не столько за знания этих технологий (в крайнем случае мне). Куда более ценным является умение планировать, координировать работы и оперативно закрывать дыры. Но это в любой сфере ценно, просто в случае ИБ эти навыки легче продать, чем в ряде других областей
KP>Вижу что я не совсем верно доносил мысль. Необходимости в знании самой информационной безопасности на серьезном уровне (как, например, kochetkov.vladimir) для разработчика нет.
Может, я тоже неправильно донес мысль. Я хочу изучить не того, чтобы что-то понимать в ней как разработчик и делать меньше ошибок. Я именно про серьезный уровень и говорю. Для того, чтобы этот уровень потом продавать.
Здравствуйте, smeeld, Вы писали:
S>Здравствуйте, ramar, Вы писали:
S>Высшая ступень-умеющие находить ошибки в существующих алгоритмах, механизмах, структурах и их реализациях, S>разрабатывать автоматизацию эксплуатации уязвимостей в целях получения несанкционированного контроля, доступа, S>внедрения доп. функционала: безопасники или чёрные шляпы.
Здравствуйте, smeeld, Вы писали:
S>С криптопротоколами или криптоалгоритмами как раз всё просто. Они все базируются на базовых фундаментальных S>понятиях и соотношениях из теории чисел или дискретки, и на уровне математической теории, как свою составлющую, S>все имеют однозначную строгую оценку взламываемости.
Здравствуйте, Skorodum, Вы писали:
S>простых чисел построены все RSA-подобные алгоритмы шифрования.
Вот о том и речь. Про RSA известно точно-взламываемый, что сводится к факторизации числа, которое входит
в состав каждого из ключей, время которого зависит только от вычислительных мощностей.
Известны соотношения, определяемые алгоритмами факторизации, которые определяют время, при имеющейся мощности,
которое займёт факторизация. Криптостойкость RSA определяется соотношением (имеющеяся мощность)/(время факторизации)
S>2. Как вы думаете, где работают криптоаналитики?
Выявляют использование некриптостойких шифров, и изучают вопросы
взлома таковых в приемлемые сроки и приемлемыми средствами.
Здравствуйте, smeeld, Вы писали:
S>Здравствуйте, Skorodum, Вы писали:
S>>простых чисел построены все RSA-подобные алгоритмы шифрования.
S>Вот о том и речь. Про RSA известно точно-взламываемый, что сводится к факторизации числа, которое входит S>в состав каждого из ключей, время которого зависит только от вычислительных мощностей. S>Известны соотношения, определяемые алгоритмами факторизации, которые определяют время, при имеющейся мощности, S>которое займёт факторизация. Криптостойкость RSA определяется соотношением (имеющеяся мощность)/(время факторизации)
Еще раз: пока нет строгого математического доказательтва сложности задачи факторизации числа. Это значит, что возможно будет изобретен алгоритм рещающий эту задачу, например, за константное время. Это к тому, что в криптографии все совсем не просто.
S>>2. Как вы думаете, где работают криптоаналитики?
S>Выявляют использование некриптостойких шифров, и изучают вопросы S>взлома таковых в приемлемые сроки и приемлемыми средствами. Где люди занимаются этим профессионально full-time? Вы видели хоть одну такую вакансию? Вот и результатов их работы вы тоже не увидите.
Здравствуйте, smeeld, Вы писали:
S>В среднем, справедлива следующая иерархия: S>Низшая ступень-умеющие пользоваться и настраивать существующее ПО: юзеры/админы. S>Средняя ступень-умеющие разрабатвать новое ПО: разрабы алгоритмов, механизмов, структур и их реализаций. S>Высшая ступень-умеющие находить ошибки в существующих алгоритмах, механизмах, структурах и их реализациях,
В общем случае — отлаживать сложнее, чем программировать, особенно если ошибки может и нет
S>разрабатывать автоматизацию эксплуатации уязвимостей в целях получения несанкционированного контроля, доступа, S>внедрения доп. функционала
Это уже просто разработка ПО.
Здравствуйте, ramar, Вы писали:
R>Проработав в вэбе лет 5,
сейчас львиная доля атак так или иначе связана с вебом. и на клиенте, и на сервере. так что знания веба в безопасности очень даже востребованы, хотя это даже не вершина айсберга, а очень малая его часть. да и сама информационная безопасность очень широкое понятие.
если говорить об анализе атак, то тут как правило требуется определенный уровень допуска и ни о какой удаленке речь в принципе не идет. потому что вас пускают в закрома. удаленно можно заниматься тестами на проникновение, но тут (за редкими исключениями) платят мало, хотят много, а гарантий, что вы найдете хотя бы маленькую дырочку у вас нет. даже если вы найдете дырищу размером со слона, вам скажут, что это фича и все.
R> зная еще другие языки не для вэба, в том числе С,
си вам потребуется в последнюю очередь. php, javascript, python, ruby, sql, asm...
R> ту ее часть, которая связана с самим вэбом или с сетями
искать дыры на вебе намного проще если вы сами для него разрабатывали. вам легко поставить себя на место разработчика сайта некоторого банка (например), и почувствовать в каком направлении рыть и где разработчики могли срезать углы. а если вы еще и в курсе, что банковские системы сплошь и рядом разрабатываются не банками и собираются из конструкторов, то найдите дыру в одном и продайте ее многим.
R> Что думаете? Что входит в понятие азов?
область настолько обширная, что понятие азов не существует, даже если мы говорим о вебе. типичная веб атака на пользователя это когда ему сбрасывают святую троицу сплоитов: pdf, swf, jar. то есть нужно знать java, java-script, flex, формат pdf. внутри java-script там будет шелл-код. значит, нужно знать асм и ось.
R>P.S. Изучить я имею ввиду именно на серьезном уровне, чтобы эти знания и умения потом продавать.
если вы уже работаете в вебе, то должны разбираться в безопасности на глубоком и серьезном уровне. даже страничка кота мурзика выступает объектом атаки и мурзика может спасти лишь то, что там только статический хмтыл и даже гостевой книги нет. а потому атаковать его затруднительно. а вот интернет-магазин это просто находка для хакеров. и как разработчик магазина вы должны быть в курсе основных векторов атак. а потому ваш вопрос мне кажется в высшей степени странным. что вам сейчас мешает продавать свои знания и умения под вывеской "безопасность"?
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
R>>P.S. Изучить я имею ввиду именно на серьезном уровне, чтобы эти знания и умения потом продавать. >>а потому ваш вопрос мне кажется в высшей степени странным. что вам сейчас мешает продавать свои знания и умения под вывеской "безопасность"?
то, что я этом пока слаб. но, даже если бы я знал это на достаточном уровне, просто достаточном, но непрофессиональном, то разве можно так прийти в какой-нибудь интернет-магазин и сказать "а давайте-ка я проверю ваш магазин на уязвимости?" меня никто не знает, я самоучка в этой области, результата моей работы не будет так видно, как результата работы программиста. а, если я ничего не найду там, то, они могут подумать, что зря платили. или надо сначала поискать втихую, а потом сообщить им "а у вас есть уязвимость, заплатите — скажу где"?
еще раз, результат труда программиста виден: можно самому мутить проекты и создать открытые проекты на гитхаб (что я и делаю), клонировать.... а результат работы "безопасника" — что? то есть, как они рекламируют себя и подтверждают своию квалификацию, кроме того, что некоторым из них удается взломать всякие майкрософты?
Здравствуйте, мыщъх, Вы писали:
R>> зная еще другие языки не для вэба, в том числе С, М>си вам потребуется в последнюю очередь. php, javascript, python, ruby, sql, asm...
