Перейти в информационную безопасность - О работе

Здравствуйте, ramar, Вы писали:

R>Проработав в вэбе лет 5,
сейчас львиная доля атак так или иначе связана с вебом. и на клиенте, и на сервере. так что знания веба в безопасности очень даже востребованы, хотя это даже не вершина айсберга, а очень малая его часть. да и сама информационная безопасность очень широкое понятие.

если говорить об анализе атак, то тут как правило требуется определенный уровень допуска и ни о какой удаленке речь в принципе не идет. потому что вас пускают в закрома. удаленно можно заниматься тестами на проникновение, но тут (за редкими исключениями) платят мало, хотят много, а гарантий, что вы найдете хотя бы маленькую дырочку у вас нет. даже если вы найдете дырищу размером со слона, вам скажут, что это фича и все.

R> зная еще другие языки не для вэба, в том числе С,
си вам потребуется в последнюю очередь. php, javascript, python, ruby, sql, asm...

R> ту ее часть, которая связана с самим вэбом или с сетями
искать дыры на вебе намного проще если вы сами для него разрабатывали. вам легко поставить себя на место разработчика сайта некоторого банка (например), и почувствовать в каком направлении рыть и где разработчики могли срезать углы. а если вы еще и в курсе, что банковские системы сплошь и рядом разрабатываются не банками и собираются из конструкторов, то найдите дыру в одном и продайте ее многим.

R> Что думаете? Что входит в понятие азов?
область настолько обширная, что понятие азов не существует, даже если мы говорим о вебе. типичная веб атака на пользователя это когда ему сбрасывают святую троицу сплоитов: pdf, swf, jar. то есть нужно знать java, java-script, flex, формат pdf. внутри java-script там будет шелл-код. значит, нужно знать асм и ось.

R>P.S. Изучить я имею ввиду именно на серьезном уровне, чтобы эти знания и умения потом продавать.
если вы уже работаете в вебе, то должны разбираться в безопасности на глубоком и серьезном уровне. даже страничка кота мурзика выступает объектом атаки и мурзика может спасти лишь то, что там только статический хмтыл и даже гостевой книги нет. а потому атаковать его затруднительно. а вот интернет-магазин это просто находка для хакеров. и как разработчик магазина вы должны быть в курсе основных векторов атак. а потому ваш вопрос мне кажется в высшей степени странным. что вам сейчас мешает продавать свои знания и умения под вывеской "безопасность"?

Здравствуйте, ramar, Вы писали:

R>Вы представляете кто такие программисты? Это не те, которые обвешались дипломами об окончании специализации в разработке ПО, и далее только и занимаются тем, что тычут мышкой в visual studio и eclipse на работах, изображая из себя супер спецов. Спец в разработке ПО -это тот, кто за время N поставит задачу, рассчитает время, необходимое для разработки, найдет способы решения возникающих сложностей. Настоящие программисты оказывают разовые услуги по разработке ПО. Это нужно родиться программистом и иметь такой способ мышления. Если вы сейчас об этом спрашиваете, то, скорее всего, ваше время уже ушло.

Совершенно верно, разница между истинными безопасниками (считай хакерами, без умения взломать не может быть понимания как взломать и или защитить)
и истинными разрабами только в том, что у первых уровень сложности выполняемых задач на порядок выше.
В среднем, справедлива следующая иерархия:
Низшая ступень-умеющие пользоваться и настраивать существующее ПО: юзеры/админы.
Средняя ступень-умеющие разрабатвать новое ПО: разрабы алгоритмов, механизмов, структур и их реализаций.
Высшая ступень-умеющие находить ошибки в существующих алгоритмах, механизмах, структурах и их реализациях,
разрабатывать автоматизацию эксплуатации уязвимостей в целях получения несанкционированного контроля, доступа,
внедрения доп. функционала: безопасники или чёрные шляпы.

Здравствуйте, ramar, Вы писали:

R>Здравствуйте, мыщъх, Вы писали:

R>все-таки, в безопасности больше денег, чем, например, в простой разработки под вэб или под десктоп?
в безопасности сильно меньше людей. их настолько мало, что практически все знают друг друга. если не лично, то по заочно. поэтому все деньги, какие только есть, распределяются между существенно меньшим числом людей.

однако, не следует недооценивать высоту порога вхождения. допустим, вы решите написать текстовой редактор. что вам для этого надо? ничего (кроме знаний). а если вы решите заточить фаервол или антивирус? вам нужны сэмплы. а где их брать?! конечно, можно пойти путем yara. сделать движок круче чем у других и лицензировать его на выгодных для вас условиях. хотя движок это намного ближе к математике, чем к безопасности, но без понятия о безопасности вы не сможете реализовать фичи, которые реально востребованы.

R> я знаю, что эта область большая, но, в целом как?
пока вы думаете, она все больше и больше становится. очень многие игроки на этом поле — гос. сектор. денег больше чем в банках. пускай и не лично в ваш карман. но вы как бы в этой цепочке. вы по любому в цепочке, потому что заниматься вебом без базовых понятий о безопасности -- это кидать своих клиентов на бабки. не те, которые они вам заплатили (это ж копейки), а которые они потеряли или потеряют. некоторые фирмы после атак были вынуждены свернуть деятельность и закрыть лавочку. потому что упали и не поднялись.

и еще. для размышлений. можно купить книгу дракона, прочитать и написать компилятор. и он даже будет работать. а вот если вы купите книгу по безопасности, то вам могут дотошно объяснять модель безопасности java, ни слова не обмолвись о том, что там дыра на дыре и архитектура порочная и неправильная. если вы попробуете выстрелить из пистолета в ногу, то вам этого не дадут. потому что у вас руки отрезаны по самие локти. при этом любой другой человек с руками не из жопы подходит к вам, вынимает у вас пистолет из кобуры и отстреливает вам яйца. и зачем было отрезать руки по локоть, не убрав пистолет?

это я к тому, что в нормальном программировании можно читать с компилятором в руках. прочитал абзац и попытался реализовать абстрактную концепцию в конкретной программной реализации. если она не работает -- кто-то из двух неправ. или вы, или автор. или оба. а вот в безопасности можно долго читать полную лажу, будучи в полной уверенности, что так оно и есть. к тому же литературы по безопасности с одной стороны слишком много, а с другой стороны ничего и не посоветуешь.

Здравствуйте, Sharov, Вы писали:

S>Еще крайне и крайне желательно иметь неплохой математический бэкграунд,
S>поскольку криптография суть крайне серьезная математика.

С криптопротоколами или криптоалгоритмами как раз всё просто. Они все базируются на базовых фундаментальных
понятиях и соотношениях из теории чисел или дискретки, и на уровне математической теории, как свою составлющую,
все имеют однозначную строгую оценку взламываемости. Да и 100% всех "громких" обнаруженных ошибок в системах, связанных с
криптографией, являются ошибками реализации, не имеющие никакого отношения к самим криптопротоколам или криптоалгоритмам.

Здравствуйте, Sharov, Вы писали:

S>но выделенное это все-таки cs.

Нет никакого CS, за пределами сферы влияния праздных академиков (аудитории ВУЗов и журнальчики о сферических ослах под кайфом)
которые не осилили деятельность ни в чистой математике, ни в практической разработке ПО.
Конечные автоматы-раздел теории автоматов-дискретка.
лексеры, парсеры, компиляторы-связаны с математической логикой, её теорией формальных языков, не являются теорией,
являются набором алгоритмов и приёмов, выработанных в процессе решения различных задач разработки ПО на практике.

Здравствуйте, smeeld, Вы писали:

S>Совершенно верно, разница между истинными безопасниками (считай хакерами, без умения взломать не может быть понимания как взломать и или защитить)
S>и истинными разрабами только в том, что у первых уровень сложности выполняемых задач на порядок выше.

Это не так.
Безопасники это люди которые не пошлит в хакеры из за не любви к риску.
А любовь к риску это неотемлемая часть мыщления человека, и то что как раз и делает это мышление хакерским.
Да и само наличие риска и делает само мышление другим.
Так что вы конечно можете верить, что в безопасности есть еще что-то интересное, кроме как ловить тупых хакеров, под словом ловить я понимаю именно физически ловить и именно тупых.

То есть если вы только начинаете, то мой вам совет — сумейте разглядеть что безопасники это не просто не хакеры, а примерно как разведчики и ДПС-ники.
Я конечно сгущаю краски, не ДПС-ники, но просто муровцы. Но это не значит, что УгРо теперь стали медвежатниками.

Не хочу расползаться мыслями (что-то настроения нет, тоскливо что-то), но поверьте не надо ходить в безопаснки там нет ничего интересного. Да там могут быть деньги но и то не для всех, а только для контор образованных особами особо приближенными.

Здравствуйте, ramar, Вы писали:

R>Здравствуйте, мыщъх, Вы писали:

R>>> если я ничего не найду там, то, они могут подумать, что зря платили
М>>в таком случае они ничего и не заплатят.
R>Нечестно получается:
в этом мире много что есть, но вот справедливости нету точно.
а почему нечестно? а кладоискатели как работают?

безопасность это очень специфическая область. это программисты даже в 21 веке могут юзать дельфи. работает же. или вот java. или флеш. есть мнение, что по крайней мере одно из двух загибается, но даже когда оно полностью загнется, то все равно специалист найдет себе место. кобол же ведь так и не умер.

а в безопасности... вы потратили кучу времени чтобы освоить глубокие предметные области. причем на очень глубоком уровне. а завтра оно стало абсолютно на фиг не нужно, потому что неактуально. но это еще пол-беды. хуже, когда еще вчера никто и не думал, что в документах могут быть зловреды, причем не только в макросах. а вот пойти ты... и теперь нужно очень срочно разобраться в каком формате хранятся шрифты в pdf, извлечь их, распарсить и валидировать то, что не валидировали разработчики акробата. но pdf это по крайней мере открытый формат. на него есть спеки. а если это закрытый формат и не опен-сорс? если подождать некоторое время, то можно тупо разреверсить один из сплоитов как только он попадет к вам в руки. при работе на дядю у вас еще есть отмазки. типа: ида на двух экранах, на третьем — отладчик. и всем видно, что вы работаете, даже если прогресса нет. а на фрилансе вам нужно поспешать. потому что пока у вас там ида на экранах, кто-то другой, более социальный, не отрываясь от фейсбуков и твиттеров, уже нашел готовое решение (знакомые подсказали, не звери же) и продал это сильно дешевле. а вам сказали: кто не успел, тот опоздал. а если вы будете регулярно опаздывать, то с вами и связываться не будут.

R> я проверил, ничего не нашел,
программ без ошибок не бывает. бывает плохо искали.

R> доказал им, что у них нет (по моему мнению)
-- гоги, докажи теорему!
-- мамой клянусь!

я вот тоже могу доказать теорему ферма. очень просто она доказывается. искал, искал, ничего не нашел. доказал! впрочем, зачем искать, если можно тупо сказать: теорема верна!

R> уязвимостей и это за бесплатно?
на фрилансе -- все так и есть.

R> Разве нет какой-нибудь фиксированной минимальной платы в таких случаях? Так все безопасники работают?
не все безопасники занимаются тестами на проникновение. а те из них, что занимаются, в основном работают по схеме: если вы пришли к нам и чего-то просите, то мы выдвигаем любые условия, на которых соглашаемся работать. если же мы приходим к вам, то... ну вы поняли.

М>> грубо говоря это как подойти к квартире, поискать ключ под ковриком, подергать замок, поковыряться в нем отмычкой, а если вас поймают, то доказать, что верблюд не мой.
R> Ну, есть же, наверняка, уязвимости, поиск которых никак не отразится на работе интернет-магазине.
если я подойду к вашей машине и подергаю за ручки -- это на ней как-то отразится? а если я попытаюсь выключить сигнализацию дистанционно? я ж даже к ней не приблизился. и совсем не собирался ее угонять. хорошо, если владелец машины по доброте душевной сдаст меня ментам, которые умоются что-то доказывать и дело скорее всего развалится даже не доходя до суда, хотя... но это ладно. а если владелец нервный попадется? и ведь закон будет на его стороне.

допустим, что магазин уже кто-то хакал или что более вероятно сотрудники приворовывали. а тут вы к ним пожаловали. да еще без алиби. да еще без юриста.

вот если вы этот магазин купили (софт), то ищите дыры сколько душе пожелает. правда как их монетизировать...

R> Так что, если я поищу заранее, никто не узнает, зато я буду уверен, что раз они есть, то мне заплатят.
а чего их искать? одна блондинка нашла и получила за это сумму с девятью нулями (в баксах) и ее даже посадить не смогли. потому что она тупо закрывала окошко в браузере, котороее ее просили не закрывать. товар ей приходил, а деньги с палки не списывались. и в чем ее вина? что нажала мышу?

а вот еще одна совсем не хайтек атака. там правда сумма в восемь нулей, да еще и тюремное заключение. а суть атаки очень простая. был такой трейдерский сайт. или не тредерский. сам я в этом слабо шарю, но те, кто его писал -- вообще ни во что не въезжали. понятия об атомарности операций у них отсутствовало. сначала они выклывают на веб страницу с новыми котировками и ее уже можно утянуть если знать урл, а этот самый урл появляется на главной странице с небольшой задержкой. но урк был шибко предсказуемый и его было легко набрать без главной странцы. как результат -- тот, кто его набрал напрямую, тот обладает инфой, которой еще не обладают другие. продаем или покупаем? пока другие гадают, группа чуваков это знала со 100% достоверностью. но их таки повязали.

ни одна из известных хитрожопых атак не была монетизирована даже за семь нулей. так что си не нужен.

ЗЫ. делюсь секретом легкой добычи денег. идем на форум... ну не важно кого. пускай будет это форум веб-разработчиков. признавайтесь, было у вас когда вы писали код, который ронял браузер или флеш-плейер? если не было -- ерунда, это было у кого-то другого. и таких воплей по разным форумам... а падение это как раз и есть признак того, что у браузера бага. и веб-разработчик даже выкатил пример кода на котором оно падает. зачастую не всегда стабильно, но падает. а дальше дело техники довести это падение до стабильной передачи управления на свой зловредный код. не все падения допускают такую эксплуатацию, не все из них актуальны (редкая версия браузера), но... там этих дыр... чуть больше, чем до хрена. да, это атака на клиента, а не на сервер, но это тоже безопасность

Здравствуйте, ramar, Вы писали:

R> ту ее часть, которая связана с самим вэбом или с сетями. Там порог вхождения выше, людей меньше, денег, вроде, больше,
>kaa.python, перспективная.

Вы представляете кто такие безопасники? Это не те, которые обвешались дипломами об окончании
специализации в ИБ, и далее только и занимаются тем, что тычут мышкой в касперов и иксспайдеров
в банках, изображая из себя супер спецов.
Спец в ИБ-это тот, кто за время N исследует инфраструктуру, найдёт способы получения
несанкционированного доступа, контроля. Настоящие спецы оказывают разовые услуги по
исследованию инфраструктур на на наличие таких брешей. Вы понимаете, что здесь необходима
самая широкая компетенция практически во всём, начиная от админства сервисных прог,
и заканчивая спеками протоколов, алгоритмов, и их реализациями в рaзных ОС. Возможности могут
быть как результат ошибок или недочётов в самых разных лучаях, начиная от некорректной настройки
сетевого сервиса, и заканчивая недосмотром в реализации протокола в ядре. Такое под силу только очень
увлечённым или обладающими врождёнными особенностями мышления.

Здравствуйте, pavel783, Вы писали:

P> в большинстве случаев security аспекты охватывает только определенную часть приложения типа login/logout и денежные транзакции, большинство exploit закрываются стандартными средствами

А вот и спецы-мышкотыкеры по ИБ подтянулись.
Башляют пять лет диплом в ИБ, потом сидят и, с умным видом изображая спеца лютого,
тычут мышкой в касперов и иксспайдеров. А то, что админ Вася настроил проксю, по мануалам с брехабры,
так, что проныры со стороны очень просто проникают в защищённый сегмент сети, ставят и запускают на серверы
всё, что хотят, причём, такое, что ни один каспер не отловит, это высококвалифицированным спецам в ИБ с типовым
мышлением не догнать. Этому ведь нигде не учили, а самим дрогнать типовое мышление не позволяет. Зато если
в окошке всяких касперов написано, что в Богдаде всё спокойно, значит, по их мнению, так оно и есть.

Здравствуйте, ramar, Вы писали:

R>Проработав в вэбе лет 5, половина из которых на фрилансе, зная еще другие языки не для вэба, в том числе С, я подумал: "А не начать ли мне изучать самому информационную безопасность по-немногу?" Например, ту ее часть, которая связана с самим вэбом или с сетями. Там порог вхождения выше, людей меньше, денег, вроде, больше, сама область, как мне сказали, в том числе kaa.python, перспективная. На фрилансе тоже можно будет работать. У меня знакомый есть, который работал в офисе со мной раньше как "безопасник", в теперь фрилансит в этой области.

Вижу что я не совсем верно доносил мысль. Необходимости в знании самой информационной безопасности на серьезном уровне (как, например, kochetkov.vladimir) для разработчика нет. Для разработки достаточно иметь просто общие представления как в сфере ИБ, так и смежных (сети, драйвера и т.д.). Эта область, да, перспективная, но платят тут не только и не столько за знания этих технологий (в крайнем случае мне). Куда более ценным является умение планировать, координировать работы и оперативно закрывать дыры. Но это в любой сфере ценно, просто в случае ИБ эти навыки легче продать, чем в ряде других областей

Здравствуйте, ramar, Вы писали:

R>Здравствуйте, мыщъх, Вы писали:

R>то, что я этом пока слаб.
что же тогда вы делали в вебе все это время? или как часто ломали ваши сайты? веб он тоже разный. кто-то пишет темы для ворд-пресса и считает, что занимается вебом.

R> разве можно так прийти в какой-нибудь интернет-магазин и сказать
R> "а давайте-ка я проверю ваш магазин на уязвимости?" меня никто не знает,
можно, конечно. при условии, что они не дадут вам доступа в закрома и вы не будете насиловать магазин в грубо извращенной форме, то знать вас совершенно необязательно.

R> я самоучка в этой области, результата моей работы не будет так видно,
результат вашей работы будет список угроз с указанием возможностей их реализации. некоторые из угроз владельцы магазина сочтут либо слишком сложными в реализации и потому неактуальными, а некоторые просто неактуальными.

R> если я ничего не найду там, то, они могут подумать, что зря платили
в таком случае они ничего и не заплатят.

R> или надо сначала поискать втихую, а потом сообщить им
R> "а у вас есть уязвимость, заплатите — скажу где"?
грубо говоря это как подойти к квартире, поискать ключ под ковриком, подергать замок, поковыряться в нем отмычкой, а если вас поймают, то доказать, что верблюд не мой.

R> еще раз, результат труда программиста виден:
у вас странные представления о программисте. программисту ставят задачу. он ее обдумывает, проводит ресерч, собирает макет, читает кучу док... но этот труд никто видит. разумеется, мы говорим о программистах, а не тех, кто пилит темы для ворд-пресса, хотя даже в этой области часто необходим предварительный и весьма глубокий ресерч чтобы ответить на вопрос возможно ли реализовать хотелки заказчика или нет.

R> самому мутить проекты и создать открытые проекты на гитхаб (что я и делаю), клонировать...
R> а результат работы "безопасника" — что?
открыте проекты на гитхабе. например, https://github.com/trogdorsey/pyemu

R> то есть, как они рекламируют себя и подтверждают своию квалификацию,
R> кроме того, что некоторым из них удается взломать всякие майкрософты?
так же как и все остальные. в зависимости от того как вы собираетесь себя продавать, могут и тестовое задание подкинуть.

Здравствуйте, smeeld, Вы писали:

S>Здравствуйте, Skorodum, Вы писали:

S>>простых чисел построены все RSA-подобные алгоритмы шифрования.

S>Вот о том и речь. Про RSA известно точно-взламываемый, что сводится к факторизации числа, которое входит
S>в состав каждого из ключей, время которого зависит только от вычислительных мощностей.
S>Известны соотношения, определяемые алгоритмами факторизации, которые определяют время, при имеющейся мощности,
S>которое займёт факторизация. Криптостойкость RSA определяется соотношением (имеющеяся мощность)/(время факторизации)
Еще раз: пока нет строгого математического доказательтва сложности задачи факторизации числа. Это значит, что возможно будет изобретен алгоритм рещающий эту задачу, например, за константное время. Это к тому, что в криптографии все совсем не просто.

S>>2. Как вы думаете, где работают криптоаналитики?

S>Выявляют использование некриптостойких шифров, и изучают вопросы
S>взлома таковых в приемлемые сроки и приемлемыми средствами.
Где люди занимаются этим профессионально full-time? Вы видели хоть одну такую вакансию? Вот и результатов их работы вы тоже не увидите.

Здравствуйте, ramar, Вы писали:

R>Здравствуйте, мыщъх, Вы писали:

R>>> зная еще другие языки не для вэба, в том числе С,
М>>си вам потребуется в последнюю очередь. php, javascript, python, ruby, sql, asm...
R>зачем asm? если asm нужен, то почему С не нужен?
шелл-коды они вообще-то в машинном коде. исходных текстов семерки с вордом и акробатов у вас как я понимаю нет. за исходные тексты малвари я вообще молчу. без асма ваши возможности окажутся сильно ущербными и не выходящими за рамки: найти древний сплоит в сети и натравить его на жертву которая в этом веке ни разу не обновлялась.

"почему не нужен си"? а скажите мне почему и зачем он может быть нужен. причем нужен так, чтобы его ничем не заменить. хотя безопасность понятие широкое. местами без си никуда.

Здравствуйте, Sharov, Вы писали:

S>Да что Вы говорите...

Вон американское правительство выделило 2 млрд. для создание гигантского центра для АНБ.
S>На безопасности никто не экономит. Самая жилка.

А с чего Вы взяли, что эти млрд будут отдавать в качестве крутых зарплат
всяким, сидящим на рабочем месте ровно, математикам? Настроят ДЦ, накупят оборудования
(те самые шкафы от оракела и междельмаша, распил он и а в Америке распил), выделят часть
на довольствие армии таких как Сноуден, которых наймут обслуживать эти ДЦ, остальное будут
бережно и аккуратно раздавать грантами для стимуляции генерации реальных решений и результатов,
и за сами реальные решения и результаты, всяким Американскими эквивалентам русских НИИ. И повторю,
в Америках и прочих Европах, крутые зарплаты, за просто так сидение какого-то, якобы, спеца на рабочем месте,
не платят. Это характерно только для совка в РФ.

Здравствуйте, pestis, Вы писали:

P>Здравствуйте, Sharov, Вы писали:

S>>АНБ и прочие гебухи. Там кучи крутейших математиков с крутыми зарплатами.
P>Это миф. В госконторах, даже американских, нет и никогда не было хороших зарплат. Тем более для математиков.
в сша в гос-секторе зарплаты ниже чем в коммерции, но это компенсируется бонусами гос. служащих. касательно математики -- у сша есть деньги, чтобы сажать деревья, плоды с которых внуки если даже и увидят, то созреют они только к правнукам. коммерция на это намного менее ореентирована.

скажите мне в какой коммерческой конторе вы можете подойти к своему шефу с мешком плана типа: нужен адекватный язык для описания моделей информационных угроз. лет десять времени и целый отдел.

а в госконторах люди занимаются порой очень эээ... как бы так сказать... стратегическими вещами. некоторые из этих вещей сейчас перед вами. это сейчас они привычные. а тогда это были блуждания в потьмах. на одну из этих вещей билл гейтс очень сильно матерился и долго не хотел поддерживать потому что считал непонятной и никому не нужной хренью. ведь у него был толще и длинее. ну это он так думал. потому что толще и длинее было в краткосрочной перспективе и решало конкретную бизнес-задачу. а в гос. конторах мыслили иначе. они мысли примерно так как в советской оборонке, которая таки умела считать деньги вопреки расхожему заблуждению, но понимала, что самолеты и танки сегодняшего дня были нужны вчера...

ЗЫ. а боинг это гос. контора или нет? вы удивитесь, но таки да.

Здравствуйте, antonio_banderas, Вы писали:

_>Здравствуйте, мыщъх, Вы писали:

М>>>> грубо говоря это как подойти к квартире, поискать ключ под ковриком, подергать замок, поковыряться в нем отмычкой, а если вас поймают, то доказать, что верблюд не мой.
_>Хм, а если действительно поймают на попытке открыть чужую дверь отмычкой — это что будет? Хулиганство? Кражи-то еще не было.
хулиганство это другое. а как квалифицируют -- это ж зависит от. если хотите -- можете попробовать. но я бы не стал этого делать.

_>ЗА ЧТО тут их посадили? Или те разработчики сайта явно написали: прямой урл не набирать!
точную формулировку я не помню, но что-то типа за несанкционированный доступ к информации. там еще фигурировало, что они использовали инфу недоступную другим участникам сделки, причем эту инфу было нельзя получить легальным путем.

конечно, тут (как и везде) зависит от того как они себя вели на допросах. но об этом история умалчивает.

> Нет? Тогда за что? Они сами предоставили такую возможность, нашлись те, кто ею воспользовались.
> Как обосновали тюремное заключение? Если бы это было в России — не посадили бы?
в системе была дыра. добавление новой страницы должно быть атомарным. оно им не было. потому что разработчики лохи и олени. по вашему, если система позволяет что-то сделать, то этим можно пользоваться? так любая хакерская атака и есть эскплуатация той или иной дыры. есть атаки изощренные (типа митника и червя морриса). есть тупые типа этой. но с юридической точки зрения между ними разницы нет.

_>Ок, допустим, мы в браузер что-то внедрили. Где деньги? Тема не раскрыта.
можно написать сплоит и продать как зеро-дэй. можно поднять ботнет. можно уводить деньги из он-лайн банков и всяких там веб-мани.

_>Да и внедрить в браузер эксплоит, не имея его исходников и не зная,
"внедрить эксплоит в браузер" -- блин, что за формулировка? просто послать жертве урл в надежде, что она по нему кликнет. а исходники хакерам не требуются. IE спокойно атакуют без них уже не первый год. да и не только IE.

> каким образом он себя ведет внутри, не сказал бы, что такая уж легкая задача.
это тривиально на самом деле. сложнее всего найти способ обрушить браузер. желательно, чтобы он рушился стабильно на определенном html (swf). остальное дело техники и на это уйдут буквально часы (или вы не в теме и вообще это не для вас) а вот поиск html кода, который рушит браузер -- можно до конца сезона искать и не находить. или найти, но для старой и не актуальной версии.

Здравствуйте, Andrew.W Worobow, Вы писали:

AWW>Здравствуйте, smeeld, Вы писали:

AWW>То есть если вы только начинаете, то мой вам совет — сумейте разглядеть что безопасники это не просто не хакеры, а примерно как разведчики и ДПС-ники.
а авторы монографий по баллистике тогда у нас кто? я ж не спорю. я пытаюсь понять сущность вашей аналогии.

AWW> не надо ходить в безопаснки там нет ничего интересного.
AWW> Да там могут быть деньги но и то не для всех, а только для контор образованных особами особо приближенными
в школе мне нравится достоевский. реально нравился и был очень интересен. а чтение толстого вызывало тоску. так что о вкусах не спорят. мне, например, стрельба из крупнокалиберного оружия интересна. и я удивляюсь как другие могут быть к ней равнодушны. на коллекцию моих автоматов знакомые смотрят с любопытством, но почему-то предложение их разобрать их не возбуждает. еще меньше им интересна разница между газом и пистоном, а в тонкости триггера даже насильно никто вникать не хочет. объясняешь человеку, что вот этот огнестрел стоит чуть дороже чем спусковой крючок этой витовки -- но в их глазах читается трудноскрываемое: "отвали". в лучшем случае вежливо поинтересуются: что я приобрел за эти деньги кроме буквы ж на видном месте? и бесполезно объяснять, что с таким триггером полуавтомат делает автомат как тузик грелку.

вы еще скажите что в софт-айсе сидеть не интересно и дизасм это тоска и печаль.

что же до денег -- где-то на этом форуме уже справедливо замечали, что разница в зарплате у крутых спецов и рядовой посредственности она сильно меньше, чем у тех же юристов, например. даже посредственный разработчик получает сопоставимо. цифры одного порядка (десятичного). и чтобы получать сильно больше нужно брать больше ответственности и руководить. желательно целой фирмой. вот тут мы увидим разницу во много нулей.

30к в штатах -- это супер-мало. 300к -- супер-много (если неруководящая должность). как-то так... а вообще я всегда всем говорил, что заниматься нужно тем, что у вас хорошо получается. тогда у вас будет возможность заниматься тем, что интересно. вот у меня получается заниматься безопасностью. я никогда не читал никаких книг, ни у кого не спрашивал и у меня все получалось. но мне дико нравится стрелять и стреляю я столько, что стволы менять не успеваю. ресурс хайтековского ствола порядка 10к выстрелов (зависит от длинны). супер-хайтековский ствол — 20к. ствол убил за лето. и если бы он у меня один был. во всех мануалах написано, что даже если болван повторит некоторое действие тысячу раз, то тело само запомнит, даже если совсем нет мозга. а у меня только-только начинает что-то получаться. у других оно получается сразу. зато какой восторг испытываешь когда при стрельбе метров на 50, пять пуль ложатся в одну дырку. размером с пулю. или чуть-чуть больше. первая мысль: или я круто попал, или круто промазал.

Здравствуйте, ramar, Вы писали:

R>Здравствуйте, мыщъх, Вы писали:

R>я уже че-то хакнул, я не знаю каааааааак, я нажал туда, а потом туда, не помню куда, а онооооо самооооо как сломаетсяяяяяя! (это не рсдн)
а я тут сайт решил себе поиметь и теперь у меня две мысли: на фига он мне нужен и кто его ломать будет? типа вот. 188.128.20.147 контента на сайте пока немного, но главное начать! во!

Здравствуйте, мыщъх, Вы писали:

AWW>>То есть если вы только начинаете, то мой вам совет — сумейте разглядеть что безопасники это не просто не хакеры, а примерно как разведчики и ДПС-ники.
М>а авторы монографий по баллистике тогда у нас кто? я ж не спорю. я пытаюсь понять сущность вашей аналогии.

В твоем возрасте уже пора самому выдавать такие аналогии, ну типа стать взрослым. Ж)

М>вы еще скажите что в софт-айсе сидеть не интересно и дизасм это тоска и печаль.

Это тут вообще не причем.

М>что же до денег ....

И ниже.

Про стволы что-то не интересно. А как тебе по сусликам пострелять?
Это я не к началу беседы призываю, а лишь только говорю, что в Киеве бузина.

Если ты в безопасности в США, то я старик Хотабыч.
Извини, за резкость, что-то злой я сегодня.

Здравствуйте, ramar, Вы писали:

R>Здравствуйте, мыщъх, Вы писали:

М>>безопасность это очень специфическая область. это программисты даже в 21 веке могут юзать дельфи. работает же. или вот java. или флеш. есть мнение, что по крайней мере одно из двух загибается, но даже когда оно полностью загнется, то все равно специалист найдет себе место. кобол же ведь так и не умер.

R>все-таки, в безопасности больше денег, чем, например, в простой разработки под вэб или под десктоп? я знаю, что эта область большая, но, в целом как?

Думается мне, что в безопасности без своих людей не обойтись, если хочется устроится на большую зп.
Касаемо денег, то больше всего бабок крутится в финансах, соответственно это либо квантом становится, либо Java учить

Здравствуйте, ramar, Вы писали:

R>Здравствуйте, мыщъх, Вы писали:

М>>в безопасности сильно меньше людей. их настолько мало, что практически все знают друг друга. если не лично, то по заочно.
R>ты знаешь моего знакомого, про которого я писал в первом посте?
если вы назовете [stage] name знакомого, то мой ответ будет намного более определенный. а еще см. выделенное. оценку кол-ва безопасников можно сделать исходя из кол-ва продаж уникальных и специфических тулз. получаем нижнюю границу в 10,000 world wide. верхняя граница это где-то 30,000. как-то так.

R> если я решил бы провести анализ сайта на уязвимости?
R> этого не так уж и сложно в сравнение с тем, что ты описал
R> и получение этих знаний не займет так много времени.
а мужики-то и не знают! если это так просто, то почему в сайтах все еще есть дыры? КО подсказывает, что тут одно из двух: владельцам дырявых сайтов на это наплевать, а если не наплевать, то там уже до вас искали и не по одному разу.

R> да, его все знает, повезло, прославился из-за гитхаба пару лет назад,
R> но, я сомневаюсь, но он знает супер много — то, что обычному человеку не подсилу.
см. выделенное. это -- ключ к успеху в любой области фриланса. я уже писал вам, что разрабатывать что-либо для веба без (базовых) понятий о безопасности -- это все равно что ездить на автомобиле без знания пдд. то есть ездить-то можно, но до поры до времени. следовательно, представление о безопасности у вас уже есть. так же вы владеете по меньшей мере одним языком программирования. надеюсь, есть (минимальный) опыт администрирования: типа установить обновления безопасности к вордпрессу или другой фигне.

но, повторюсь, искать дыры это все равно что искать клады. ищут многие, но находят не все.

Здравствуйте, smeeld, Вы писали:

S>То, что обязательная для математики строгость, в CS нарушается, сплошные
S>вольности и допущения.

Не "сплошные", а ровно одно, если говорить о теоретической CS — это Тезис Чёрча-Тьюринга. Все остальное вполне укладывается в ZFC или выводимые из нее утверждения.

S>но никак не раздел математики.

Да, это так: CS совершенно самостоятельное направление, действительно в чем-то схожее с физикой. Однако традиционно, под CS принято подразумевать срез математических дисциплин и теорий, на которые опирается T-CS. Минусующим могу лишь посоветовать ознакомиться с тем, что входит в понятие CS (на удивление неплохо об этом написано в википедии: http://en.wikipedia.org/wiki/Computer_science).

>Такое под силу только очень
S>увлечённым или обладающими врождёнными особенностями мышления.

какое W мышление? вот на таких преувелечениях и держится зп безопасника, в большинстве случаев security аспекты охватывает только определенную часть приложения типа login/logout и денежные транзакции, большинство exploit закрываются стандартными средствами, для этого безопаснику надо просто смотреть на приложения в упрощенном виде как входные/выходные данные, а не с точки зрения концептуальных блок-схем, в основном квалификация тут нужна чтобы знать 1000 и 1 способ как создать overflow стека или украсть куку.

Проработав в вэбе лет 5, половина из которых на фрилансе, зная еще другие языки не для вэба, в том числе С, я подумал: "А не начать ли мне изучать самому информационную безопасность по-немногу?" Например, ту ее часть, которая связана с самим вэбом или с сетями. Там порог вхождения выше, людей меньше, денег, вроде, больше, сама область, как мне сказали, в том числе kaa.python, перспективная. На фрилансе тоже можно будет работать. У меня знакомый есть, который работал в офисе со мной раньше как "безопасник", в теперь фрилансит в этой области.

Что думаете? Что входит в понятие азов?

P.S. Изучить я имею ввиду именно на серьезном уровне, чтобы эти знания и умения потом продавать.

Здравствуйте, smeeld, Вы писали:

S>Здравствуйте, ramar, Вы писали:

R>> ту ее часть, которая связана с самим вэбом или с сетями. Там порог вхождения выше, людей меньше, денег, вроде, больше,
>>kaa.python, перспективная.

S>Вы представляете кто такие безопасники? Это не те, которые обвешались дипломами об окончании
S>...

Еще крайне и крайне желательно иметь неплохой математический бэкграунд,
поскольку криптография суть крайне серьезная математика.

Здравствуйте, kaa.python, Вы писали:

KP>Вижу что я не совсем верно доносил мысль. Необходимости в знании самой информационной безопасности на серьезном уровне (как, например, kochetkov.vladimir) для разработчика нет.

Может, я тоже неправильно донес мысль. Я хочу изучить не того, чтобы что-то понимать в ней как разработчик и делать меньше ошибок. Я именно про серьезный уровень и говорю. Для того, чтобы этот уровень потом продавать.

Здравствуйте, smeeld, Вы писали:

S>Здравствуйте, ramar, Вы писали:

S>Высшая ступень-умеющие находить ошибки в существующих алгоритмах, механизмах, структурах и их реализациях,
S>разрабатывать автоматизацию эксплуатации уязвимостей в целях получения несанкционированного контроля, доступа,
S>внедрения доп. функционала: безопасники или чёрные шляпы.

Я же и говорю: порог вхождения выше.

Здравствуйте, smeeld, Вы писали:

S>С криптопротоколами или криптоалгоритмами как раз всё просто. Они все базируются на базовых фундаментальных
S>понятиях и соотношениях из теории чисел или дискретки, и на уровне математической теории, как свою составлющую,
S>все имеют однозначную строгую оценку взламываемости.

Это не так. В отличие от задачи распознавания простоты числа, факторизация предположительно является вычислительно сложной задачей. На факторизации простых чисел построены все RSA-подобные алгоритмы шифрования.

S>Да и 100% всех "громких" обнаруженных ошибок в системах, связанных с
S>криптографией, являются ошибками реализации, не имеющие никакого отношения к самим криптопротоколам или криптоалгоритмам.
1. Это не так.
2. Как вы думаете, где работают криптоаналитики?

Здравствуйте, Skorodum, Вы писали:

S>простых чисел построены все RSA-подобные алгоритмы шифрования.

Вот о том и речь. Про RSA известно точно-взламываемый, что сводится к факторизации числа, которое входит
в состав каждого из ключей, время которого зависит только от вычислительных мощностей.
Известны соотношения, определяемые алгоритмами факторизации, которые определяют время, при имеющейся мощности,
которое займёт факторизация. Криптостойкость RSA определяется соотношением (имеющеяся мощность)/(время факторизации)

S>2. Как вы думаете, где работают криптоаналитики?

Выявляют использование некриптостойких шифров, и изучают вопросы
взлома таковых в приемлемые сроки и приемлемыми средствами.

Здравствуйте, Skorodum, Вы писали:

S>Где люди занимаются этим профессионально full-time?

Ok

Здравствуйте, smeeld, Вы писали:

S>В среднем, справедлива следующая иерархия:
S>Низшая ступень-умеющие пользоваться и настраивать существующее ПО: юзеры/админы.
S>Средняя ступень-умеющие разрабатвать новое ПО: разрабы алгоритмов, механизмов, структур и их реализаций.
S>Высшая ступень-умеющие находить ошибки в существующих алгоритмах, механизмах, структурах и их реализациях,
В общем случае — отлаживать сложнее, чем программировать, особенно если ошибки может и нет

S>разрабатывать автоматизацию эксплуатации уязвимостей в целях получения несанкционированного контроля, доступа,
S>внедрения доп. функционала
Это уже просто разработка ПО.

З.Ы. Какой прекрасный линейный мир у вас

Здравствуйте, Skorodum, Вы писали:

S>Это уже просто разработка ПО.

Внедрение доп. фугкционала-это разработка в экстремальных условиях.

S>З.Ы. Какой прекрасный линейный мир у вас

Такова суть взаимоотношения мира людей и развиваемых ими абстрактных и технологических систем.

Здравствуйте, Skorodum, Вы писали:

S>Где люди занимаются этим профессионально full-time

АНБ и прочие гебухи. Там кучи крутейших математиков с крутыми зарплатами.

Здравствуйте, мыщъх, Вы писали:

R>>P.S. Изучить я имею ввиду именно на серьезном уровне, чтобы эти знания и умения потом продавать.
>>а потому ваш вопрос мне кажется в высшей степени странным. что вам сейчас мешает продавать свои знания и умения под вывеской "безопасность"?

то, что я этом пока слаб. но, даже если бы я знал это на достаточном уровне, просто достаточном, но непрофессиональном, то разве можно так прийти в какой-нибудь интернет-магазин и сказать "а давайте-ка я проверю ваш магазин на уязвимости?" меня никто не знает, я самоучка в этой области, результата моей работы не будет так видно, как результата работы программиста. а, если я ничего не найду там, то, они могут подумать, что зря платили. или надо сначала поискать втихую, а потом сообщить им "а у вас есть уязвимость, заплатите — скажу где"?

еще раз, результат труда программиста виден: можно самому мутить проекты и создать открытые проекты на гитхаб (что я и делаю), клонировать.... а результат работы "безопасника" — что? то есть, как они рекламируют себя и подтверждают своию квалификацию, кроме того, что некоторым из них удается взломать всякие майкрософты?

Здравствуйте, мыщъх, Вы писали:

R>> зная еще другие языки не для вэба, в том числе С,
М>си вам потребуется в последнюю очередь. php, javascript, python, ruby, sql, asm...

зачем asm? если asm нужен, то почему С не нужен?

Здравствуйте, Sharov, Вы писали:

S>Здравствуйте, Skorodum, Вы писали:

S>>Где люди занимаются этим профессионально full-time

S>АНБ и прочие гебухи. Там кучи крутейших математиков с крутыми зарплатами.
Ну так я про тоже: никто результатов их работы не увидит, даже если они находят критические ошибки в криптографических алгоритмах.

Здравствуйте, Sharov, Вы писали:

S>АНБ и прочие гебухи. Там кучи крутейших математиков с крутыми зарплатами.

Работающим в гос. канторах много не платят даже в амеровом АНБ. Как оно будет выглядеть
в статье бюджета? Спецпремия?
Другое дело-сторонняя негосударственная шарага, живущая на гранты от государственных ведомств, и работающая по заказу.

Здравствуйте, smeeld, Вы писали:

S>Здравствуйте, Sharov, Вы писали:

S>>АНБ и прочие гебухи. Там кучи крутейших математиков с крутыми зарплатами.

S>Работающим в гос. канторах много не платят даже в амеровом АНБ. Как оно будет выглядеть
S>в статье бюджета? Спецпремия?
S>Другое дело-сторонняя негосударственная шарага, живущая на гранты от государственных ведомств, и работающая по заказу.

Да что Вы говорите...

Вон американское правительство выделило 2 млрд. для создание гигантского центра для АНБ.
На безопасности никто не экономит. Самая жилка.

Здравствуйте, Andrew.W Worobow, Вы писали:

AWW>А любовь к риску это неотемлемая часть мыщления человека, и то что как раз и делает это мышление хакерским.

Я бы даже сказал, что это неотъемлемая часть мыщъхления.

Здравствуйте, smeeld, Вы писали:

S>Здравствуйте, Sharov, Вы писали:

S>>Да что Вы говорите...

Вон американское правительство выделило 2 млрд. для создание гигантского центра для АНБ.
S>>На безопасности никто не экономит. Самая жилка.

S>А с чего Вы взяли, что эти млрд будут отдавать в качестве крутых зарплат
S>всяким, сидящим на рабочем месте ровно, математикам? Настроят ДЦ, накупят оборудования
S>(те самые шкафы от оракела и междельмаша, распил он и а в Америке распил), выделят часть
S>на довольствие армии таких как Сноуден, которых наймут обслуживать эти ДЦ, остальное будут
S>бережно и аккуратно раздавать грантами для стимуляции генерации реальных решений и результатов,
S>и за сами реальные решения и результаты, всяким Американскими эквивалентам русских НИИ. И повторю,
S>в Америках и прочих Европах, крутые зарплаты, за просто так сидение какого-то, якобы, спеца на рабочем месте,
S>не платят. Это характерно только для совка в РФ.

Я говорил о том, что на безопасность никто денег не жалеет. Зарплаты там соответствующие, и люди делом
занимаются. Разумеется за всем этим строгий надзор.

Здравствуйте, мыщъх, Вы писали:

М>"почему не нужен си"? а скажите мне почему и зачем он может быть нужен. причем нужен так, чтобы его ничем не заменить. хотя безопасность понятие широкое. местами без си никуда.

всякие атаки с использованием сокетов, типа syn-flood, на асме их что-ль писать?

Здравствуйте, мыщъх, Вы писали:

R>> если я ничего не найду там, то, они могут подумать, что зря платили
М>в таком случае они ничего и не заплатят.

Нечестно получается: я проверил, ничего не нашел, доказал им, что у них нет (по моему мнению) уязвимостей и это за бесплатно? Разве нет какой-нибудь фиксированной минимальной платы в таких случаях? Так все безопасники работают?

R>> или надо сначала поискать втихую, а потом сообщить им
R>> "а у вас есть уязвимость, заплатите — скажу где"?
М>грубо говоря это как подойти к квартире, поискать ключ под ковриком, подергать замок, поковыряться в нем отмычкой, а если вас поймают, то доказать, что верблюд не мой.

Ну, есть же, наверняка, уязвимости, поиск которых никак не отразится на работе интернет-магазине. Так что, если я поищу заранее, никто не узнает, зато я буду уверен, что раз они есть, то мне заплатят.

Здравствуйте, ramar, Вы писали:

R>Здравствуйте, мыщъх, Вы писали:

R>всякие атаки с использованием сокетов, типа syn-flood, на асме их что-ль писать?
все украдено до нас. питон чем не подходит? обоснуйте

from socket import socket, AF_PACKET, SOCK_RAW
s = socket(AF_PACKET, SOCK_RAW)

есть клевая книжка: Gray Hat Python. откройте для себя мир библиотек, написанных для питона на все случаи жизни.

разумеется, если вы уже знаете как решить поставленную задачу на си и еще не знаете как решить ее на питоне, то пишите на си. но сам по себе сырой сокет мало интересен. нужно брать откуда-то данные на какие ip слать пакеты, обрабатывать конфиги и генерировать отчет, который хранить в бд. и это все на си? мазохизм же...

что же касается асма, то как без него вы будете решать задачи типа следующей:
http://www.offensive-security.com/vulndev/disarming-emet-v5-0/

это ведь формально веб, т.к. атака на браузер. и вот тут этот трюк использован:
http://www.exploit-db.com/exploits/34815/

Здравствуйте, Sharov, Вы писали:

S>АНБ и прочие гебухи. Там кучи крутейших математиков с крутыми зарплатами.

Это миф. В госконторах, даже американских, нет и никогда не было хороших зарплат. Тем более для математиков.

Здравствуйте, мыщъх, Вы писали:

М>безопасность это очень специфическая область. это программисты даже в 21 веке могут юзать дельфи. работает же. или вот java. или флеш. есть мнение, что по крайней мере одно из двух загибается, но даже когда оно полностью загнется, то все равно специалист найдет себе место. кобол же ведь так и не умер.

я уже че-то хакнул, я не знаю каааааааак, я нажал туда, а потом туда, не помню куда, а онооооо самооооо как сломаетсяяяяяя! (это не рсдн)

Здравствуйте, Andrew.W Worobow, Вы писали:

Вообще-то мыщьх достаточно известный эксперт:

https://ru.wikipedia.org/wiki/%D0%9A%D1%80%D0%B8%D1%81_%D0%9A%D0%B0%D1%81%D0%BF%D0%B5%D1%80%D1%81%D0%BA%D0%B8

Здравствуйте, Andrew.W Worobow, Вы писали:

AWW>Здравствуйте, мыщъх, Вы писали:

AWW>>>То есть если вы только начинаете, то мой вам совет — сумейте разглядеть что безопасники это не просто не хакеры, а примерно как разведчики и ДПС-ники.
М>>а авторы монографий по баллистике тогда у нас кто? я ж не спорю. я пытаюсь понять сущность вашей аналогии.
AWW>В твоем возрасте уже пора самому выдавать такие аналогии, ну типа стать взрослым. Ж)
только хотел стать взрослым, как вдруг обнаружил, что трава кончилась. решил остаться ребенком.

М>>вы еще скажите что в софт-айсе сидеть не интересно и дизасм это тоска и печаль.
AWW>Это тут вообще не причем.
это безопасность. и это интересно. не всем, конечно. и безопасность не только это.

AWW>Про стволы что-то не интересно. А как тебе по сусликам пострелять?
купил минень суслика в натуральную величину. вернее, это я думал, что купил суслика. а там написано prairie dog. но на собаку что-то не слишком похоже. полез на ютуб. а на ютубе мне говорят, что у этих самых сусликов очень интересная социальная организация и еще более интересный язык. кстати, один из немногих языков животных которые ученые более или менее дешифровали. как же по таким стрелять? я лучше по людям. тем более, что в сша это легально. лицензии на отстрел выдают и даже доплачивают за это. какой интерес стрелять в безоружного суслика? намного интереснее охотиться на вооруженных бандитов. у меня даже пули специальные есть. тройной шок. войдет в ногу выйдет через моск.

AWW>Это я не к началу беседы призываю, а лишь только говорю, что в Киеве бузина.
это у вас "как разведчики и ДПС-ники". кстати, могу вам сказать, что разведчиком быть скучнее, чем ДПС-ником. откройте мемуары любого разведчика. это вообще тоска печаль. у ДПСников хоть какое-то развлечение. типа одна машина врезалась в другую. кровища там, кишки по деревам. а у разведчиков утомительная рутина. да хотя бы кассовый фильм тридцать после полуночи посмотрите. не документальный, но близко.

AWW>Если ты в безопасности в США, то я старик Хотабыч.
судя по бороде, это я хотабыч.

AWW>Извини, за резкость, что-то злой я сегодня.
чтобы злым не быть нужно стрелять из автомата. потому что это ментальная тренировка такая. а лучше из снайперской винтовки. и побольше.

Здравствуйте, мыщъх, Вы писали:

М>безопасность это очень специфическая область. это программисты даже в 21 веке могут юзать дельфи. работает же. или вот java. или флеш. есть мнение, что по крайней мере одно из двух загибается, но даже когда оно полностью загнется, то все равно специалист найдет себе место. кобол же ведь так и не умер.

все-таки, в безопасности больше денег, чем, например, в простой разработки под вэб или под десктоп? я знаю, что эта область большая, но, в целом как?

Здравствуйте, AmSpb, Вы писали:

R>>все-таки, в безопасности больше денег, чем, например, в простой разработки под вэб или под десктоп? я знаю, что эта область большая, но, в целом как?

AS>Думается мне, что в безопасности без своих людей не обойтись, если хочется устроится на большую зп.
AS>Касаемо денег, то больше всего бабок крутится в финансах, соответственно это либо квантом становится, либо Java учить

так, не мешай, мыщъх лучше знает

да еще и ответил не так, как я спросил: не "много ли денег в самой безопасности", а "много ли в безопасности их в сравнение в вэбом или десктопом"? в частности, на фрилансе.

Здравствуйте, Sharov, Вы писали:

S>О том и речь, что госконторы, особенно в области безопасности, любят порождать такие мифы. Чтобы народ
S>ломом не валил только из-за денег. С зарплатами там все в порядке. Еще раз -- на безопасности никто экономить не будет,
S>разумеется и пилить никто не даст. Такими вещами не шутят.

Заранее извиняюсь, но Ваши рассуждения похожи на рассуждения ботана, лет десять
проторчавшего за учёбой, и теперь пытающегося убедить себя что это не напрасно.
С чего Вы взяли, что неэкономия на безопасности-это платить очень высокие зарплаты?
Вообще, высокая зрплт-это инструмент конкурентной игры между коммерческими организациями
на гражданке за обладание тем или иным полезным кадром. Методы привлечения кадров в гос. структуры,
тем более в структуры, связанные с гос. безопасностью, полностью отличаются от тех, что приняты
на гражданке в коммерческих организациях. Этих методов Вам лучше не знать, потому что
они, в принципе, по сути своей, не отличаются от тех, что описаны Солженициным в его повествованиях по советскую гебню,
и ни в коем случае не основывается на привлечении исключительно размером денежных вознаграждений.
Исключением может быть только имеющаяся практика стимуляции исследований грантами. Но это уже никак не
принцип стабильной оплаты в виде постоянного оклада, а есть принцип разовой оплаты за разовое достижение.
И так не только в РФ, так во всех странах. Безопасность ведь, какое тут привлечение какими-то зрплт, там всё
сложнее, ведь такими вещами не шутят.

P>Это миф. В госконторах, даже американских, нет и никогда не было хороших зарплат. Тем более для математиков.

Госконторы хороши не зарплатами, а соцгарантиями — пенсиями и т.п..

М>однако, не следует недооценивать высоту порога вхождения. допустим, вы решите написать текстовой редактор. что вам для этого надо? ничего (кроме знаний). а если вы решите заточить фаервол или антивирус? вам нужны сэмплы. а где их брать?! конечно, можно пойти путем yara. сделать движок круче чем у других и лицензировать его на выгодных для вас условиях. хотя движок это намного ближе к математике, чем к безопасности, но без понятия о безопасности вы не сможете реализовать фичи, которые реально востребованы.

если я решил бы провести анализ сайта на уязвимости? этого не так уж и сложно в сравнение с тем, что ты описал и получение этих знаний не займет так много времени.

R>> я знаю, что эта область большая, но, в целом как?
М>пока вы думаете, она все больше и больше становится. очень многие игроки на этом поле — гос. сектор. денег больше чем в банках. пускай и не лично в ваш карман. но вы как бы в этой цепочке. вы по любому в цепочке, потому что заниматься вебом без базовых понятий о безопасности -- это кидать своих клиентов на бабки.

я не думаю, я уже учу.

базовые-то будут.

М>это я к тому, что в нормальном программировании можно читать с компилятором в руках. прочитал абзац и попытался реализовать абстрактную концепцию в конкретной программной реализации. если она не работает -- кто-то из двух неправ. или вы, или автор. или оба. а вот в безопасности можно долго читать полную лажу, будучи в полной уверенности, что так оно и есть. к тому же литературы по безопасности с одной стороны слишком много, а с другой стороны ничего и не посоветуешь.

ты ведь не про вэб? а, если взять вэб, то как Егор Х., которому 20 с небольшим, работает на фрилансе в области вэб безопасности? и деньги неплохие получает. да, его все знает, повезло, прославился из-за гитхаба пару лет назад, но, я сомневаюсь, но он знает супер много — то, что обычному человеку не подсилу.

Здравствуйте, мыщъх, Вы писали:

М>Здравствуйте, ramar, Вы писали:

R>>Здравствуйте, мыщъх, Вы писали:

R>>все-таки, в безопасности больше денег, чем, например, в простой разработки под вэб или под десктоп?
М>в безопасности сильно меньше людей. их настолько мало, что практически все знают друг друга. если не лично, то по заочно. поэтому все деньги, какие только есть, распределяются между существенно меньшим числом людей.

М>однако, не следует недооценивать высоту порога вхождения. допустим, вы решите написать текстовой редактор. что вам для этого надо? ничего (кроме знаний). а если вы решите заточить фаервол или антивирус? вам нужны сэмплы. а где их брать?! конечно, можно пойти путем yara. сделать движок круче чем у других и лицензировать его на выгодных для вас условиях. хотя движок это намного ближе к математике, чем к безопасности, но без понятия о безопасности вы не сможете реализовать фичи, которые реально востребованы.

Кто такой yar? Почему ближе к математике? Где про енто можно почитать?

М>это я к тому, что в нормальном программировании можно читать с компилятором в руках. прочитал абзац и попытался реализовать абстрактную концепцию в конкретной программной реализации. если она не работает -- кто-то из двух неправ. или вы, или автор. или оба. а вот в безопасности можно долго читать полную лажу, будучи в полной уверенности, что так оно и есть. к тому же литературы по безопасности с одной стороны слишком много, а с другой стороны ничего и не посоветуешь.

Брюс Шнайер? Я сам правда не читал, но...

Здравствуйте, Sharov, Вы писали:

S>Здравствуйте, мыщъх, Вы писали:

S>Кто такой yar? Почему ближе к математике? Где про енто можно почитать?
http://plusvic.github.io/yara/ ближе к математике потому без них даже исходники не понять, не говоря уже о том, чтобы написать такое самостоятельно. конечные автоматы, лексеры, парсеры, компиляторы...

S> Брюс Шнайер? Я сам правда не читал, но...
а вы почитайте. особенно ту его часть, в которой он описывает свое разочарование, возникающее в силу бездонной пропасти, отделяющую теорию от практических реализаций.

кроме того, криптография это очень узко и в этой области все жутко зарегламентированно. человеку с улицы однозначно ничего не светит.

R>У меня знакомый есть, который работал в офисе со мной раньше как "безопасник", в теперь фрилансит в этой области.

а как можно фрилансить в этой области?
тут побезопасил немного, там побежал побезопасил?
или он типа код валидирует на безопасность?
характер фрилансерства не могу понять

R>P.S. Изучить я имею ввиду именно на серьезном уровне, чтобы эти знания и умения потом продавать.

"Купи мою шаварму... купи мою шаварму... там не покупай — тут покупай..."

но вообще-то учатся в прагматическом постсоветском мире конечно ради бабла

Здравствуйте, мыщъх, Вы писали:

R>>всякие атаки с использованием сокетов, типа syn-flood, на асме их что-ль писать?
М>все украдено до нас. питон чем не подходит? обоснуйте

М>from socket import socket, AF_PACKET, SOCK_RAW
М>s = socket(AF_PACKET, SOCK_RAW)

всякие arp spoofing и другие сетевые атаки я всегда вижу написанными на С, на питоне не видел. Может, он слишком медленный для этого?
Почему именно Питон, почему не Perl?

Здравствуйте, ramar, Вы писали:

R>всякие arp spoofing и другие сетевые атаки я всегда вижу написанными на С, на питоне не видел. Может, он слишком медленный для этого?
R>Почему именно Питон, почему не Perl?

Можете поверить, можете проверить, но python справится с наполнением shdbuf
очереди сокета не медленнее, чем нижележащие слои ядра и прошивок контроллеров
буду отправлять пакеты из очереди приёмнику.

Здравствуйте, smeeld, Вы писали:

S>Здравствуйте, ramar, Вы писали:

R>>всякие arp spoofing и другие сетевые атаки я всегда вижу написанными на С, на питоне не видел. Может, он слишком медленный для этого?
R>>Почему именно Питон, почему не Perl?

S>Можете поверить, можете проверить, но python справится с наполнением shdbuf
S>очереди сокета не медленнее, чем нижележащие слои ядра и прошивок контроллеров
S>буду отправлять пакеты из очереди приёмнику.

Здравствуйте, ramar, Вы писали:

R>Здравствуйте, мыщъх, Вы писали:

R>всякие arp spoofing и другие сетевые атаки я всегда вижу написанными на С, на питоне не видел.
ну там смотрите:

from scapy.all import *
import time

arp=ARP(op=op,psrc=spoof,pdst=victim,hwdst=mac)

while 1:
   send(arp)
   time.sleep(2)

это законченный скрипт. он даже работать если ему дать рута.

R> Может, он слишком медленный для этого?
под питон есть шустрый JIT и даже компилятор питона в си. конечно, на выходе последнего жуткий фарш, но он работает и это главное. но вы очевидно путаете спуфинг с досом.

R>Почему именно Питон, почему не Perl?
потому что тренд. под питон сейчас можно найти библиотеки на все случаи жизни, хотя это не отменяет других языков. метасплоит писан на руби. но перл уже давно не тренд, хотя местами очень даже востребован.

и тут мы подходим к понимаю того, что безопасникам нужно знать туеву фучу языков. потому что если обнаружилась дыра в java, то вы не можете позволить себе роскошь ее игнорировать. причем, знать java возможно потребуется на уровне байт кода, т.к. у вас даже при хорошем раскладе сэмпл бинаря, причем с обфускацией. декомпиляторы не справляются.

Здравствуйте, SaprXM, Вы писали:

R>>У меня знакомый есть, который работал в офисе со мной раньше как "безопасник", в теперь фрилансит в этой области.

SXM>а как можно фрилансить в этой области?
SXM>тут побезопасил немного, там побежал побезопасил?
SXM>или он типа код валидирует на безопасность?
SXM>характер фрилансерства не могу понять

Пример -- тестирование на проникновение. Когда я заканчивал вуз по специальности кб, была такая модная тулза nesus со
своим скриптовым языком nasl, где все это дело можно автоматизировать, писать библиотеки и т.д. Что модно сейчас я не знаю.
Но фрилансить можно, главное наработать репутацию.

Здравствуйте, мыщъх, Вы писали:

М>Здравствуйте, Sharov, Вы писали:

S>>Здравствуйте, мыщъх, Вы писали:

S>>Кто такой yar? Почему ближе к математике? Где про енто можно почитать?
М>http://plusvic.github.io/yara/ ближе к математике потому без них даже исходники не понять, не говоря уже о том, чтобы написать такое самостоятельно. конечные автоматы, лексеры, парсеры, компиляторы...

При всем уважении, не флейма ради, но выделенное это все-таки cs.

S>> Брюс Шнайер? Я сам правда не читал, но...
М>а вы почитайте. особенно ту его часть, в которой он описывает свое разочарование, возникающее в силу бездонной пропасти, отделяющую теорию от практических реализаций.

Разумеется пропасть. Не было бы ее, чтобы делал ты и тебе подобные? Есть теория и есть практика. Красиво и хорошо все только в учебниках.

Здравствуйте, smeeld, Вы писали:

S>Здравствуйте, Sharov, Вы писали:

S>>но выделенное это все-таки cs.

S>Нет никакого CS, за пределами сферы влияния праздных академиков (аудитории ВУЗов и журнальчики о сферических ослах под кайфом)

Я не спорю с тем, что cs явл. частью математики. Этакая самостоятельная ветвь.

S>лексеры, парсеры, компиляторы-связаны с математической логикой, её теорией формальных языков, не являются теорией,
S>являются набором алгоритмов и приёмов, выработанных в процессе решения различных задач разработки ПО на практике.

Не распарсил, извините.

Здравствуйте, Sharov, Вы писали:

S>Не распарсил, извините.

То, что обязательная для математики строгость, в CS нарушается, сплошные
вольности и допущения. Это, скорее, разновидность физики, раздел физики,
связанный с проблемой программирования информационных вычислительных устройств,
но никак не раздел математики.

Здравствуйте, мыщъх, Вы писали:

М>однако, не следует недооценивать высоту порога вхождения. допустим, вы решите написать текстовой редактор. что вам для этого надо? ничего (кроме знаний). а если вы решите заточить фаервол или антивирус? вам нужны сэмплы. а где их брать?! конечно, можно пойти путем yara. сделать движок круче чем у других и лицензировать его на выгодных для вас условиях. хотя движок это намного ближе к математике, чем к безопасности, но без понятия о безопасности вы не сможете реализовать фичи, которые реально востребованы.

это правда что у yara хороший движек ? если да что в нем необычного
вроде бы стандартный regex

Здравствуйте, мыщъх, Вы писали:

М>>> грубо говоря это как подойти к квартире, поискать ключ под ковриком, подергать замок, поковыряться в нем отмычкой, а если вас поймают, то доказать, что верблюд не мой.

Хм, а если действительно поймают на попытке открыть чужую дверь отмычкой — это что будет? Хулиганство? Кражи-то еще не было.

М>а вот еще одна совсем не хайтек атака. там правда сумма в восемь нулей, да еще и тюремное заключение. а суть атаки очень простая. был такой трейдерский сайт. или не тредерский. сам я в этом слабо шарю, но те, кто его писал -- вообще ни во что не въезжали. понятия об атомарности операций у них отсутствовало. сначала они выклывают на веб страницу с новыми котировками и ее уже можно утянуть если знать урл, а этот самый урл появляется на главной странице с небольшой задержкой. но урк был шибко предсказуемый и его было легко набрать без главной странцы. как результат -- тот, кто его набрал напрямую, тот обладает инфой, которой еще не обладают другие. продаем или покупаем? пока другие гадают, группа чуваков это знала со 100% достоверностью. но их таки повязали.

ЗА ЧТО тут их посадили? Или те разработчики сайта явно написали: прямой урл не набирать! Нет? Тогда за что? Они сами предоставили такую возможность, нашлись те, кто ею воспользовались. Как обосновали тюремное заключение? Если бы это было в России — не посадили бы?

М>ЗЫ. делюсь секретом легкой добычи денег. идем на форум... ну не важно кого. пускай будет это форум веб-разработчиков. признавайтесь, было у вас когда вы писали код, который ронял браузер или флеш-плейер? если не было -- ерунда, это было у кого-то другого. и таких воплей по разным форумам... а падение это как раз и есть признак того, что у браузера бага. и веб-разработчик даже выкатил пример кода на котором оно падает. зачастую не всегда стабильно, но падает. а дальше дело техники довести это падение до стабильной передачи управления на свой зловредный код. не все падения допускают такую эксплуатацию, не все из них актуальны (редкая версия браузера), но... там этих дыр... чуть больше, чем до хрена. да, это атака на клиента, а не на сервер, но это тоже безопасность

Ок, допустим, мы в браузер что-то внедрили. Где деньги? Тема не раскрыта.
Да и внедрить в браузер эксплоит, не имея его исходников и не зная, каким образом он себя ведет внутри, не сказал бы, что такая уж легкая задача.

	От:	ramar
	Дата:	05.10.14 10:02
	Оценка:	4 (2) +1

От:	мыщъх	http://nezumi-lab.org
Дата:	05.10.14 22:58
Оценка:	7 (4)

	От:	smeeld
	Дата:	05.10.14 10:24
	Оценка:	5 (2) -1

От:	мыщъх	http://nezumi-lab.org
Дата:	07.10.14 21:19
Оценка:	3 (2) +1

	От:	smeeld
	Дата:	05.10.14 12:00
	Оценка:	2 (1) +2

От:	Andrew.W Worobow	https://github.com/Worobow
Дата:	06.10.14 07:05
Оценка:	9 (1)

От:	kaa.python	РСДН профессионально мёртв и завален ватой.
Дата:	05.10.14 14:51
Оценка:	3 (1)

От:	kochetkov.vladimir	https://kochetkov.github.io
Дата:	13.10.14 20:54
Оценка:	+1

	От:	antonio_banderas
	Дата:	14.10.14 20:20
	Оценка:

	От:	pavel783
	Дата:	21.10.14 08:41
	Оценка: