Здравствуйте, Andrew.W Worobow, Вы писали:
AWW>Здравствуйте, мыщъх, Вы писали:
AWW>>>То есть если вы только начинаете, то мой вам совет — сумейте разглядеть что безопасники это не просто не хакеры, а примерно как разведчики и ДПС-ники. М>>а авторы монографий по баллистике тогда у нас кто? я ж не спорю. я пытаюсь понять сущность вашей аналогии. AWW>В твоем возрасте уже пора самому выдавать такие аналогии, ну типа стать взрослым. Ж)
только хотел стать взрослым, как вдруг обнаружил, что трава кончилась. решил остаться ребенком.
М>>вы еще скажите что в софт-айсе сидеть не интересно и дизасм это тоска и печаль. AWW>Это тут вообще не причем.
это безопасность. и это интересно. не всем, конечно. и безопасность не только это.
AWW>Про стволы что-то не интересно. А как тебе по сусликам пострелять?
купил минень суслика в натуральную величину. вернее, это я думал, что купил суслика. а там написано prairie dog. но на собаку что-то не слишком похоже. полез на ютуб. а на ютубе мне говорят, что у этих самых сусликов очень интересная социальная организация и еще более интересный язык. кстати, один из немногих языков животных которые ученые более или менее дешифровали. как же по таким стрелять? я лучше по людям. тем более, что в сша это легально. лицензии на отстрел выдают и даже доплачивают за это. какой интерес стрелять в безоружного суслика? намного интереснее охотиться на вооруженных бандитов. у меня даже пули специальные есть. тройной шок. войдет в ногу выйдет через моск.
AWW>Это я не к началу беседы призываю, а лишь только говорю, что в Киеве бузина.
это у вас "как разведчики и ДПС-ники". кстати, могу вам сказать, что разведчиком быть скучнее, чем ДПС-ником. откройте мемуары любого разведчика. это вообще тоска печаль. у ДПСников хоть какое-то развлечение. типа одна машина врезалась в другую. кровища там, кишки по деревам. а у разведчиков утомительная рутина. да хотя бы кассовый фильм тридцать после полуночи посмотрите. не документальный, но близко.
AWW>Если ты в безопасности в США, то я старик Хотабыч.
судя по бороде, это я хотабыч.
AWW>Извини, за резкость, что-то злой я сегодня.
чтобы злым не быть нужно стрелять из автомата. потому что это ментальная тренировка такая. а лучше из снайперской винтовки. и побольше.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, pestis, Вы писали:
P>Здравствуйте, Sharov, Вы писали:
S>>АНБ и прочие гебухи. Там кучи крутейших математиков с крутыми зарплатами.
P>Это миф. В госконторах, даже американских, нет и никогда не было хороших зарплат. Тем более для математиков.
О том и речь, что госконторы, особенно в области безопасности, любят порождать такие мифы. Чтобы народ
ломом не валил только из-за денег. С зарплатами там все в порядке. Еще раз -- на безопасности никто экономить не будет,
разумеется и пилить никто не даст. Такими вещами не шутят.
М>безопасность это очень специфическая область. это программисты даже в 21 веке могут юзать дельфи. работает же. или вот java. или флеш. есть мнение, что по крайней мере одно из двух загибается, но даже когда оно полностью загнется, то все равно специалист найдет себе место. кобол же ведь так и не умер.
все-таки, в безопасности больше денег, чем, например, в простой разработки под вэб или под десктоп? я знаю, что эта область большая, но, в целом как?
Здравствуйте, ramar, Вы писали:
R>Здравствуйте, мыщъх, Вы писали:
М>>безопасность это очень специфическая область. это программисты даже в 21 веке могут юзать дельфи. работает же. или вот java. или флеш. есть мнение, что по крайней мере одно из двух загибается, но даже когда оно полностью загнется, то все равно специалист найдет себе место. кобол же ведь так и не умер.
R>все-таки, в безопасности больше денег, чем, например, в простой разработки под вэб или под десктоп? я знаю, что эта область большая, но, в целом как?
Думается мне, что в безопасности без своих людей не обойтись, если хочется устроится на большую зп.
Касаемо денег, то больше всего бабок крутится в финансах, соответственно это либо квантом становится, либо Java учить
R>>все-таки, в безопасности больше денег, чем, например, в простой разработки под вэб или под десктоп? я знаю, что эта область большая, но, в целом как?
AS>Думается мне, что в безопасности без своих людей не обойтись, если хочется устроится на большую зп. AS>Касаемо денег, то больше всего бабок крутится в финансах, соответственно это либо квантом становится, либо Java учить
так, не мешай, мыщъх лучше знает да еще и ответил не так, как я спросил: не "много ли денег в самой безопасности", а "много ли в безопасности их в сравнение в вэбом или десктопом"? в частности, на фрилансе.
Здравствуйте, Sharov, Вы писали:
S>О том и речь, что госконторы, особенно в области безопасности, любят порождать такие мифы. Чтобы народ S>ломом не валил только из-за денег. С зарплатами там все в порядке. Еще раз -- на безопасности никто экономить не будет, S>разумеется и пилить никто не даст. Такими вещами не шутят.
Заранее извиняюсь, но Ваши рассуждения похожи на рассуждения ботана, лет десять
проторчавшего за учёбой, и теперь пытающегося убедить себя что это не напрасно.
С чего Вы взяли, что неэкономия на безопасности-это платить очень высокие зарплаты?
Вообще, высокая зрплт-это инструмент конкурентной игры между коммерческими организациями
на гражданке за обладание тем или иным полезным кадром. Методы привлечения кадров в гос. структуры,
тем более в структуры, связанные с гос. безопасностью, полностью отличаются от тех, что приняты
на гражданке в коммерческих организациях. Этих методов Вам лучше не знать, потому что
они, в принципе, по сути своей, не отличаются от тех, что описаны Солженициным в его повествованиях по советскую гебню,
и ни в коем случае не основывается на привлечении исключительно размером денежных вознаграждений.
Исключением может быть только имеющаяся практика стимуляции исследований грантами. Но это уже никак не
принцип стабильной оплаты в виде постоянного оклада, а есть принцип разовой оплаты за разовое достижение.
И так не только в РФ, так во всех странах. Безопасность ведь, какое тут привлечение какими-то зрплт, там всё
сложнее, ведь такими вещами не шутят.
Здравствуйте, ramar, Вы писали:
R>Здравствуйте, мыщъх, Вы писали:
R>все-таки, в безопасности больше денег, чем, например, в простой разработки под вэб или под десктоп?
в безопасности сильно меньше людей. их настолько мало, что практически все знают друг друга. если не лично, то по заочно. поэтому все деньги, какие только есть, распределяются между существенно меньшим числом людей.
однако, не следует недооценивать высоту порога вхождения. допустим, вы решите написать текстовой редактор. что вам для этого надо? ничего (кроме знаний). а если вы решите заточить фаервол или антивирус? вам нужны сэмплы. а где их брать?! конечно, можно пойти путем yara. сделать движок круче чем у других и лицензировать его на выгодных для вас условиях. хотя движок это намного ближе к математике, чем к безопасности, но без понятия о безопасности вы не сможете реализовать фичи, которые реально востребованы.
R> я знаю, что эта область большая, но, в целом как?
пока вы думаете, она все больше и больше становится. очень многие игроки на этом поле — гос. сектор. денег больше чем в банках. пускай и не лично в ваш карман. но вы как бы в этой цепочке. вы по любому в цепочке, потому что заниматься вебом без базовых понятий о безопасности -- это кидать своих клиентов на бабки. не те, которые они вам заплатили (это ж копейки), а которые они потеряли или потеряют. некоторые фирмы после атак были вынуждены свернуть деятельность и закрыть лавочку. потому что упали и не поднялись.
и еще. для размышлений. можно купить книгу дракона, прочитать и написать компилятор. и он даже будет работать. а вот если вы купите книгу по безопасности, то вам могут дотошно объяснять модель безопасности java, ни слова не обмолвись о том, что там дыра на дыре и архитектура порочная и неправильная. если вы попробуете выстрелить из пистолета в ногу, то вам этого не дадут. потому что у вас руки отрезаны по самие локти. при этом любой другой человек с руками не из жопы подходит к вам, вынимает у вас пистолет из кобуры и отстреливает вам яйца. и зачем было отрезать руки по локоть, не убрав пистолет?
это я к тому, что в нормальном программировании можно читать с компилятором в руках. прочитал абзац и попытался реализовать абстрактную концепцию в конкретной программной реализации. если она не работает -- кто-то из двух неправ. или вы, или автор. или оба. а вот в безопасности можно долго читать полную лажу, будучи в полной уверенности, что так оно и есть. к тому же литературы по безопасности с одной стороны слишком много, а с другой стороны ничего и не посоветуешь.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, мыщъх, Вы писали:
М>Здравствуйте, ramar, Вы писали:
R>>Здравствуйте, мыщъх, Вы писали:
R>>все-таки, в безопасности больше денег, чем, например, в простой разработки под вэб или под десктоп? М>в безопасности сильно меньше людей. их настолько мало, что практически все знают друг друга. если не лично, то по заочно.
ты знаешь моего знакомого, про которого я писал в первом посте?
М>однако, не следует недооценивать высоту порога вхождения. допустим, вы решите написать текстовой редактор. что вам для этого надо? ничего (кроме знаний). а если вы решите заточить фаервол или антивирус? вам нужны сэмплы. а где их брать?! конечно, можно пойти путем yara. сделать движок круче чем у других и лицензировать его на выгодных для вас условиях. хотя движок это намного ближе к математике, чем к безопасности, но без понятия о безопасности вы не сможете реализовать фичи, которые реально востребованы.
если я решил бы провести анализ сайта на уязвимости? этого не так уж и сложно в сравнение с тем, что ты описал и получение этих знаний не займет так много времени.
R>> я знаю, что эта область большая, но, в целом как? М>пока вы думаете, она все больше и больше становится. очень многие игроки на этом поле — гос. сектор. денег больше чем в банках. пускай и не лично в ваш карман. но вы как бы в этой цепочке. вы по любому в цепочке, потому что заниматься вебом без базовых понятий о безопасности -- это кидать своих клиентов на бабки.
я не думаю, я уже учу. базовые-то будут.
М>это я к тому, что в нормальном программировании можно читать с компилятором в руках. прочитал абзац и попытался реализовать абстрактную концепцию в конкретной программной реализации. если она не работает -- кто-то из двух неправ. или вы, или автор. или оба. а вот в безопасности можно долго читать полную лажу, будучи в полной уверенности, что так оно и есть. к тому же литературы по безопасности с одной стороны слишком много, а с другой стороны ничего и не посоветуешь.
ты ведь не про вэб? а, если взять вэб, то как Егор Х., которому 20 с небольшим, работает на фрилансе в области вэб безопасности? и деньги неплохие получает. да, его все знает, повезло, прославился из-за гитхаба пару лет назад, но, я сомневаюсь, но он знает супер много — то, что обычному человеку не подсилу.
Здравствуйте, мыщъх, Вы писали:
М>Здравствуйте, ramar, Вы писали:
R>>Здравствуйте, мыщъх, Вы писали:
R>>все-таки, в безопасности больше денег, чем, например, в простой разработки под вэб или под десктоп? М>в безопасности сильно меньше людей. их настолько мало, что практически все знают друг друга. если не лично, то по заочно. поэтому все деньги, какие только есть, распределяются между существенно меньшим числом людей.
М>однако, не следует недооценивать высоту порога вхождения. допустим, вы решите написать текстовой редактор. что вам для этого надо? ничего (кроме знаний). а если вы решите заточить фаервол или антивирус? вам нужны сэмплы. а где их брать?! конечно, можно пойти путем yara. сделать движок круче чем у других и лицензировать его на выгодных для вас условиях. хотя движок это намного ближе к математике, чем к безопасности, но без понятия о безопасности вы не сможете реализовать фичи, которые реально востребованы.
Кто такой yar? Почему ближе к математике? Где про енто можно почитать?
М>это я к тому, что в нормальном программировании можно читать с компилятором в руках. прочитал абзац и попытался реализовать абстрактную концепцию в конкретной программной реализации. если она не работает -- кто-то из двух неправ. или вы, или автор. или оба. а вот в безопасности можно долго читать полную лажу, будучи в полной уверенности, что так оно и есть. к тому же литературы по безопасности с одной стороны слишком много, а с другой стороны ничего и не посоветуешь.
Здравствуйте, Sharov, Вы писали:
S>Здравствуйте, мыщъх, Вы писали:
S>Кто такой yar? Почему ближе к математике? Где про енто можно почитать? http://plusvic.github.io/yara/ ближе к математике потому без них даже исходники не понять, не говоря уже о том, чтобы написать такое самостоятельно. конечные автоматы, лексеры, парсеры, компиляторы...
S> Брюс Шнайер? Я сам правда не читал, но...
а вы почитайте. особенно ту его часть, в которой он описывает свое разочарование, возникающее в силу бездонной пропасти, отделяющую теорию от практических реализаций.
кроме того, криптография это очень узко и в этой области все жутко зарегламентированно. человеку с улицы однозначно ничего не светит.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, ramar, Вы писали:
R>Здравствуйте, мыщъх, Вы писали:
М>>в безопасности сильно меньше людей. их настолько мало, что практически все знают друг друга. если не лично, то по заочно. R>ты знаешь моего знакомого, про которого я писал в первом посте?
если вы назовете [stage] name знакомого, то мой ответ будет намного более определенный. а еще см. выделенное. оценку кол-ва безопасников можно сделать исходя из кол-ва продаж уникальных и специфических тулз. получаем нижнюю границу в 10,000 world wide. верхняя граница это где-то 30,000. как-то так.
R> если я решил бы провести анализ сайта на уязвимости? R> этого не так уж и сложно в сравнение с тем, что ты описал R> и получение этих знаний не займет так много времени.
а мужики-то и не знают! если это так просто, то почему в сайтах все еще есть дыры? КО подсказывает, что тут одно из двух: владельцам дырявых сайтов на это наплевать, а если не наплевать, то там уже до вас искали и не по одному разу.
R> да, его все знает, повезло, прославился из-за гитхаба пару лет назад, R> но, я сомневаюсь, но он знает супер много — то, что обычному человеку не подсилу.
см. выделенное. это -- ключ к успеху в любой области фриланса. я уже писал вам, что разрабатывать что-либо для веба без (базовых) понятий о безопасности -- это все равно что ездить на автомобиле без знания пдд. то есть ездить-то можно, но до поры до времени. следовательно, представление о безопасности у вас уже есть. так же вы владеете по меньшей мере одним языком программирования. надеюсь, есть (минимальный) опыт администрирования: типа установить обновления безопасности к вордпрессу или другой фигне.
но, повторюсь, искать дыры это все равно что искать клады. ищут многие, но находят не все.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
R>У меня знакомый есть, который работал в офисе со мной раньше как "безопасник", в теперь фрилансит в этой области.
а как можно фрилансить в этой области?
тут побезопасил немного, там побежал побезопасил?
или он типа код валидирует на безопасность?
характер фрилансерства не могу понять
R>P.S. Изучить я имею ввиду именно на серьезном уровне, чтобы эти знания и умения потом продавать.
"Купи мою шаварму... купи мою шаварму... там не покупай — тут покупай..."
но вообще-то учатся в прагматическом постсоветском мире конечно ради бабла
R>>всякие атаки с использованием сокетов, типа syn-flood, на асме их что-ль писать? М>все украдено до нас. питон чем не подходит? обоснуйте
М>from socket import socket, AF_PACKET, SOCK_RAW М>s = socket(AF_PACKET, SOCK_RAW)
всякие arp spoofing и другие сетевые атаки я всегда вижу написанными на С, на питоне не видел. Может, он слишком медленный для этого?
Почему именно Питон, почему не Perl?
R>всякие arp spoofing и другие сетевые атаки я всегда вижу написанными на С, на питоне не видел. Может, он слишком медленный для этого? R>Почему именно Питон, почему не Perl?
Можете поверить, можете проверить, но python справится с наполнением shdbuf
очереди сокета не медленнее, чем нижележащие слои ядра и прошивок контроллеров
буду отправлять пакеты из очереди приёмнику.
Здравствуйте, smeeld, Вы писали:
S>Здравствуйте, ramar, Вы писали:
R>>всякие arp spoofing и другие сетевые атаки я всегда вижу написанными на С, на питоне не видел. Может, он слишком медленный для этого? R>>Почему именно Питон, почему не Perl?
S>Можете поверить, можете проверить, но python справится с наполнением shdbuf S>очереди сокета не медленнее, чем нижележащие слои ядра и прошивок контроллеров S>буду отправлять пакеты из очереди приёмнику.
Здравствуйте, ramar, Вы писали:
R>Здравствуйте, мыщъх, Вы писали:
R>всякие arp spoofing и другие сетевые атаки я всегда вижу написанными на С, на питоне не видел.
ну там смотрите:
from scapy.all import *
import time
arp=ARP(op=op,psrc=spoof,pdst=victim,hwdst=mac)
while 1:
send(arp)
time.sleep(2)
это законченный скрипт. он даже работать если ему дать рута.
R> Может, он слишком медленный для этого?
под питон есть шустрый JIT и даже компилятор питона в си. конечно, на выходе последнего жуткий фарш, но он работает и это главное. но вы очевидно путаете спуфинг с досом.
R>Почему именно Питон, почему не Perl?
потому что тренд. под питон сейчас можно найти библиотеки на все случаи жизни, хотя это не отменяет других языков. метасплоит писан на руби. но перл уже давно не тренд, хотя местами очень даже востребован.
и тут мы подходим к понимаю того, что безопасникам нужно знать туеву фучу языков. потому что если обнаружилась дыра в java, то вы не можете позволить себе роскошь ее игнорировать. причем, знать java возможно потребуется на уровне байт кода, т.к. у вас даже при хорошем раскладе сэмпл бинаря, причем с обфускацией. декомпиляторы не справляются.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, SaprXM, Вы писали:
R>>У меня знакомый есть, который работал в офисе со мной раньше как "безопасник", в теперь фрилансит в этой области.
SXM>а как можно фрилансить в этой области? SXM>тут побезопасил немного, там побежал побезопасил? SXM>или он типа код валидирует на безопасность? SXM>характер фрилансерства не могу понять
Пример -- тестирование на проникновение. Когда я заканчивал вуз по специальности кб, была такая модная тулза nesus со
своим скриптовым языком nasl, где все это дело можно автоматизировать, писать библиотеки и т.д. Что модно сейчас я не знаю.
Но фрилансить можно, главное наработать репутацию.
Здравствуйте, мыщъх, Вы писали:
М>Здравствуйте, Sharov, Вы писали:
S>>Здравствуйте, мыщъх, Вы писали:
S>>Кто такой yar? Почему ближе к математике? Где про енто можно почитать? М>http://plusvic.github.io/yara/ ближе к математике потому без них даже исходники не понять, не говоря уже о том, чтобы написать такое самостоятельно. конечные автоматы, лексеры, парсеры, компиляторы...
При всем уважении, не флейма ради, но выделенное это все-таки cs.
S>> Брюс Шнайер? Я сам правда не читал, но... М>а вы почитайте. особенно ту его часть, в которой он описывает свое разочарование, возникающее в силу бездонной пропасти, отделяющую теорию от практических реализаций.
Разумеется пропасть. Не было бы ее, чтобы делал ты и тебе подобные? Есть теория и есть практика. Красиво и хорошо все только в учебниках.
Нет никакого CS, за пределами сферы влияния праздных академиков (аудитории ВУЗов и журнальчики о сферических ослах под кайфом)
которые не осилили деятельность ни в чистой математике, ни в практической разработке ПО.
Конечные автоматы-раздел теории автоматов-дискретка.
лексеры, парсеры, компиляторы-связаны с математической логикой, её теорией формальных языков, не являются теорией,
являются набором алгоритмов и приёмов, выработанных в процессе решения различных задач разработки ПО на практике.
