Это копия, сохраненная 20 февраля 2018 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.

Добрый день!
Приглашаем в наше уютное болото, тут собираются товарищи которые занимаются информационной безопасностью, а так же экономической.. (понаехали в последнее время)
Архивы предыдущих тредов:
>Первый тред: http://arhivach.org/thread/42689/
>Второй тред: http://arhivach.org/thread/104980/
>Третий тред: http://arhivach.org/thread/171358/
>Четвертый тред https://arhivach.org/thread/190594/
>Пятый тред тонет где-то тут https://2ch.hk/wrk/res/723039.html (
М)
>Шестой в архиве не нужен из-за наплыва портянок,тред тонет где-то тут https://2ch.hk/wrk/res/965178.html (
М)
F.A.Q
В: Хочу вкатиться в информационную безопасность/ экономическую, с чего начать?
О: Поступить в вуз на данную специальность. Или выйти на пенсию товарищем майором.
В: В какие ВУЗы поступать на ИБ?
О: Если тебе <22 лет, и ты хочешь научиться самым тонкостям профессии - то поступай в Академию. Для всего остального есть МИФИ/МИРЭА/ИТМО/ПОЛИТЕХ ну и остальные вузы, в которых есть такая кафедра. Так же есть вариант перекатиться из смежных профессий.
В: Хочу быть еба-криптогафом. Что делать?
О: Забыть. Но если же ты свихнулся на ней (и морально готов быть изнасилован математикой) - то переходи к ответу выше - но с одним исключением: тебе будет доступна только Академия, МИФИ и еще какой-то Томский ВУЗ (ТГУ,ТУСУР).
В: Как взломать аккаунт впаше, мылору?
О: Просто УЕБЫВАЙ... сходи на античат, в даркнет, к товарищу майору
В: Мне кажется, что за мной все следят. Что делать?
О: Вам в криптач (/crypt).
В: А что почитать, где посмотреть?
О: взято из поста анона
КНИГИ
Поляков - Безопасность Oracle глазами аудитора: нападение и защита
Paul Wright - Protecting Oracle Database 12c
O'Connor - Violent Python
Seitz - Gray Hat Python
Гифт Джонс - Python в системном администрировании
Василенко О. Н. - Теоретико-числовые алгоритмы в криптографии
Борис Бейзер - Тестирование черного ящика
Блинов — Информационная безопасность
Горбатов/Полянская — Основы технологии PKI
Саттон, Грин, Амини — Фаззинг: Исследование уязвимостей методом грубой силы
Поулсен - KingPIN
В.А. Сердюк - Организация и технологии защиты информации.
Бирюков А.а. - Информационная безопасность: защита и нападение
Джеймс Лэнс - Фишинг
Новак - Как обнаружить вторжение в сеть
Просис - Расследование компьютерных преступлений
Еще можно нашего Федотова - Форензику посоветовать, чтобы понять, какая это ебала у нас.
Авторы,статьи на тему ИБ,которых следует мониторить: Вехов ВБ,Костин ПВ,Мещеряков ВА,Исаева ЛМ,Ищенко ЕП, Поляков ВВ,Россинская ЕР, Максимович АБ,Введенская ОЮ.
Про учебу ИБ неплохие обзоры делали Чванова МС ,Анурьева МС
Эриксон Хакинг Искусство эксплойта 2е изд - убергоднота.
http://readmanuals.github.io/
https://shodan.me/books/Security/
ССЫЛКИ
Стандарты:
http://www.pentest-standard.org/index.php/Main_Page
https://www.owasp.org/index.php/Main_Page
https://www.pcisecuritystandards.org/
http://www.cbr.ru/credit/gubzi_docs/st-10-14.pdf
http://www.27000.org/
CTF и прочие хак-тренажёры:
https://ctftime.org/
https://xakep.ru/2015/04/17/exploit-exercises/
https://habrahabr.ru/company/pentestit/blog/261569/
https://stackoff.ru/resursy-dlya-tex-u-kogo-cheshutsya-ruki-i-mozg/
https://github.com/ctfs - райтапы(разбор заданий)
Конференции:
https://defcon.org/
http://blackhat.com/
http://www.phdays.ru/
http://zeronights.org/
https://csaw.engineering.nyu.edu/
http://conference.hitb.org/
http://nullcon.net/website/
http://hack.lu/
http://www.codegate.org/
Блоги:
http://shell-storm.org/ - есть райтапы для CTF и база шеллкодов под разные архитектуры
http://expdev-kiuhnm.rhcloud.com/
http://passing-the-hash.blogspot.ru/
http://raz0r.name/
https://cyberoperations.wordpress.com/
https://www.corelan.be/
Сайты:
http://www.cvedetails.com/
https://www.offensive-security.com/
https://www.exploit-db.com/
http://www.vulnerability-lab.com/
https://xakep.ru/
http://www.securitylab.ru/
https://securelist.ru/ - осторожно, присутствует реклама продуктов лаборатории Касперского
https://forum.antichat.ru/ - в основном ценность имеют старые статьи
https://rdot.org/ - отпочковался от античата, вроде подаёт признаки жизни
https://habrahabr.ru/hub/infosecurity/ - для дополнительного чтения
Интервью:
http://blogerator.ru/page/izvestnyj-programmist-pokonchil-zhizn-samoubijstvom-aaron-shvarc-aaron-swartz-prichina-smerti-podrobnosti-detali-pochemu - несколько видео внутри(Аарон Шварц)
http://blogerator.ru/page/evangelie-ot-myshhha-kris-kasperski-intervju-1 - Крис Касперски
http://blogerator.ru/page/edrian-lamo-hakerskaja-teorija-schastja-intervju - Эдриан Ламо
http://echo.msk.ru/programs/arsenal/1691688-echo/ - Алексей Марков(президент Эшелона)
Интернет вещей:
https://habrahabr.ru/company/intel/blog/187706/ - просто хотел показать, что есть такая операционка. Взлетит или нет - вопрос времени.
https://securelist.ru/analysis/obzor/22001/internet-veshhej-kak-ya-xaknul-svoj-dom/
https://habrahabr.ru/company/pt/blog/275853/
https://securelist.ru/analysis/obzor/27244/uchimsya-zhit-v-internete-veshhej/
Анонимность, анти-анонимность и бэкдоры:
https://forum.antichat.ru/threads/5093/
https://habrahabr.ru/post/191448/
https://habrahabr.ru/post/190396/
https://xakep.ru/2013/10/03/mozhno-li-doveryat-vpn-setyam-svoi-sekrety/
http://javascript.ru/unsorted/id
https://xakep.ru/2015/01/30/user-web-tracking-howto/
https://xakep.ru/2007/12/05/41412/
https://habrahabr.ru/company/neuronspace/blog/264235/
https://habrahabr.ru/company/pt/blog/191384/
http://www.securitylab.ru/analytics/482547.php
http://www.securitylab.ru/analytics/432914.php
http://www.securitylab.ru/contest/437841.php
http://www.securitylab.ru/contest/438339.php
https://xakep.ru/2011/12/26/58104/
https://xakep.ru/2011/03/29/55194/
https://habrahabr.ru/company/neuronspace/blog/254671/
Google hacking:
https://freehacks.ru/showthread.php?t=2428
https://habrahabr.ru/post/283210/
Прочее:
https://learnxinyminutes.com/ - быстрое ознакомление с языком программирования
https://adsecurity.org/
https://securelist.ru/analysis/obzor/27338/russkoyazychnaya-finansovaya-kiberprestupnost-kak-eto-rabotaet/
https://securelist.ru/analysis/obzor/25509/kak-pryachut-eksplojt-paki-vo-flash-obekte/
https://habrahabr.ru/post/134638/ - о возможности проникновения во внутреннюю сеть через роутер
https://habrahabr.ru/company/eset/blog/303086/ - Control-flow Enforcement Technology
http://xakep-archive.ru/xa/118/080/1.htm - TLS(Thread Local Storage)
https://habrahabr.ru/company/mailru/blog/228681/ - вирусы
https://xakep.ru/2008/07/29/44663/ - System Management Mode
https://xakep.ru/2010/05/04/51978/ - System Management Mode
https://xakep.ru/2015/02/24/hack-admin-rules-linux/ - повышение привилегий в Linux
https://xakep.ru/2014/12/24/hack-admin-rules/ - повышение привилегий в Windows
https://forum.antichat.ru/threads/119047/ - Быстрый Blind SQL Injection
https://habrahabr.ru/post/122445/ - SSH
Ресурсы Хакердома:
https://ulearn.azurewebsites.net/Course/Hackerdom
http://training.hackerdom.ru/
Курс молодого бойца от Андрея Петухова:
https://docs.google.com/document/d/13zgZ_CRRHADwxf41mSSSuoJQLkMc67TXxpYLoW6lRak/edit#
Курс CTF на Физтехе
https://github.com/xairy/mipt-ctf
Анализ безопасности веб-проектов: https://stepic.org/course/Анализ-безопасности-веб-проектов-127/
Базовый курс по архитектуре компьютеров: https://stepic.org/course/Введение-в-архитектуру-ЭВМ-Элементы-операционных-систем-253/
http://itsecwiki.org
http://kmb.ufoctf.ru/
http://resources.infosecinstitute.com/tools-of-trade-and-resources-to-prepare-in-a-hacker-ctf-competition-or-challenge/
Ассемблер в Linux для программистов C:
https://ru.wikibooks.org/wiki/Ассемблер_в_Linux_для_программистов_C
Статьи:
http://pycode.ru/2011/01/ctf/
http://cyberleninka.ru/article/n/o-sorevnovaniyah-ctf-po-kompyuternoy-bezopasnosti
Подкасты на русском:
Квант безопасности — http://nikitarrr.podfm.ru/securitynews/
Открытая безопасность — http://www.open-sec.ru/
Диалоги поИБэ — http://risspa.podster.fm/
Noise Security Bit — http://noisebit.podster.fm/
Securit13 Podcast — securit13.libsyn.com
Архивы phdays https://www.phdays.com/broadcast/
Торенты видеокурсов по ИБ https://rutracker.org/forum/viewforum.php?f=1560
http://ringzer0team.com/
http://root-me.org
http://canyouhack.it/
http://www.hackthis.co.uk
http://captf.com/practice-ctf/
https://ctf365.com/
http://smashthestack.org
http://overthewire.org/wargames/
https://microcorruption.com/login
https://exploit-exercises.com/
http://freehackquest.com/
Matasano Crypto Challenges - cryptopals.com
Огромное количество всего:
http://www.getmantra.com/hackery/
https://www.gitbook.com/book/isislab/hack-night/details
Полезные инструменты для CTF
http://webcache.googleusercontent.com/search?q=cache:gOdFvGbs7R8J:delimitry.blogspot.com/2014/10/useful-tools-for-ctf.html+&cd=1&hl=ru&ct=clnk
Полезные CTF репозитории на github:
CTF Field Guide https://trailofbits.github.io/ctf/
https://github.com/trailofbits/ctf
CTF framework used by Gallopsled in every CTF
http://pwntools.com
https://github.com/Gallopsled/pwntools
Some setup scripts for security research tools.
https://github.com/zardus/ctf-tools
A curated list of CTF frameworks, libraries, resources and softwares
https://apsdehal.in/awesome-ctf/
https://github.com/apsdehal/awesome-ctf
A general collection of information, tools, and tips regarding CTFs and similar security competitions http://ctfs.github.io/resources
https://github.com/ctfs/resources
Challenges for Binary Exploitation Workshop
https://github.com/kablaa/CTF-Workshop
Useful for CTFs, wargames, pentesting. Educational purposes.
https://github.com/bt3gl/My-Gray-Hacker-Resources
A curated list of awesome Windows Exploitation resources, and shiny things. Inspired by awesom
https://github.com/enddo/awesome-windows-exploitation
CTF write-up's
https://github.com/ctfs/write-ups-2014
https://github.com/ctfs/write-ups-2015
https://github.com/ctfs/write-ups-2016
Образовательные порталы:
http://www.pentesteracademy.com/
http://www.infosecinstitute.com/
http://opensecuritytraining.info/
http://securitytrainings.net/
Вузы:
http://www.best-masters.com/ranking-master-business-intelligence-knowledge-and-security-management.html
http://www.cyberdegrees.org/listings/top-schools
https://digitalguardian.com/blog/cybersecurity-higher-education-top-cybersecurity-colleges-and-degrees
Курсы:
https://academy.yandex.ru/events/system_administration/kit_2014/
http://ocw.mit.edu/courses/electrical-engineering-and-computer-science/
Exploit Development Community
https://expdev-kiuhnm.rhcloud.com/
http://ringzer0team.com/
http://root-me.org
http://canyouhack.it/
http://www.hackthis.co.uk
http://captf.com/practice-ctf/
https://ctf365.com/
http://smashthestack.org
http://overthewire.org/wargames/
https://microcorruption.com/login
https://exploit-exercises.com/
http://freehackquest.com/
Matasano Crypto Challenges - cryptopals.com
Огромное количество всего:
http://www.getmantra.com/hackery/
https://www.gitbook.com/book/isislab/hack-night/details
Полезные инструменты для CTF
http://webcache.googleusercontent.com/search?q=cache:gOdFvGbs7R8J:delimitry.blogspot.com/2014/10/useful-tools-for-ctf.html+&cd=1&hl=ru&ct=clnk
Полезные CTF репозитории на github:
CTF Field Guide https://trailofbits.github.io/ctf/
https://github.com/trailofbits/ctf
CTF framework used by Gallopsled in every CTF
http://pwntools.com
https://github.com/Gallopsled/pwntools
Some setup scripts for security research tools.
https://github.com/zardus/ctf-tools
A curated list of CTF frameworks, libraries, resources and softwares
https://apsdehal.in/awesome-ctf/
https://github.com/apsdehal/awesome-ctf
A general collection of information, tools, and tips regarding CTFs and similar security competitions http://ctfs.github.io/resources
https://github.com/ctfs/resources
Challenges for Binary Exploitation Workshop
https://github.com/kablaa/CTF-Workshop
Useful for CTFs, wargames, pentesting. Educational purposes.
https://github.com/bt3gl/My-Gray-Hacker-Resources
A curated list of awesome Windows Exploitation resources, and shiny things. Inspired by awesom
https://github.com/enddo/awesome-windows-exploitation
CTF write-up's
https://github.com/ctfs/write-ups-2014
https://github.com/ctfs/write-ups-2015
https://github.com/ctfs/write-ups-2016
Образовательные порталы:
http://www.pentesteracademy.com/
http://www.infosecinstitute.com/
http://opensecuritytraining.info/
http://securitytrainings.net/
Вузы:
http://www.best-masters.com/ranking-master-business-intelligence-knowledge-and-security-management.html
http://www.cyberdegrees.org/listings/top-schools
https://digitalguardian.com/blog/cybersecurity-higher-education-top-cybersecurity-colleges-and-degrees
Курсы:
https://academy.yandex.ru/events/system_administration/kit_2014/
http://ocw.mit.edu/courses/electrical-engineering-and-computer-science/
Exploit Development Community
https://expdev-kiuhnm.rhcloud.com/
https://wikileaks.org/vault7/document/Elsa_User_Manual/Elsa_User_Manual.pdf
Кто там про "виндоус без альтернатив" пел
Ах да рн-без,я же совсем забыл-вам сейчас не до викиликса тролфейс.жпг

>>816617
>имеет ли смысл углубляться в иб и все такое
Сейчас распишу простыню, а дальше сам для себя решишь, братишка.
И так, как и обещал >>815983 начну.
10 лет в сфере ИБ. Работал, как в сугубо техническом направлении ПЭМИНы, закладки и прочая недошпионская хуйня, так и непосредственно в ИБ.
Так вот, ответственно заявляю за РФ. ИБ серьезно занимаются следующие: гэбня, военные и кое-что из правительства вроде МИДа, топ-конторы уровня Газпрома да и вообще нефтегаз/металлургия и прочее сырье, выкачиваемое из родной земельки, совсем немного серьезных банков из топ-10, в том числе ЦБ но там уже распиздяйства хватает. Всё. Ну т.е. вот совсем всё. Остальные 99.99% организаций под "ИБ" понимают бумагомарание всех родов вроде клепания тонны бумаг под 152-ФЗ, 382П и прочих высеров Кожевниковой, Валуева и ко, или это если совсем повезет руление "групповыми политиками в домене" или каким-нибудь корпоративным антивирусом. Даже не макспатролом, который стоит, как чугунный мост, а если его и используют, то как банальный инвентризатор наличия/отсутствия обновлений трустори.
ИБ как таковое, если вы будете внимательно анализировать вышеозначенный список, у нас хоть как-то теплится только если есть бабло на это самое ИБ. В остальных случаях это ненужный придаток на границе ИТ/СБ без особенно видных результатов для современных гендиров. А так, давным давно складывается ощущение, что у нас и без ИТ с СБ обходились бы, но приходится по минимуму тратить на это бабло в первом случае, чтобы была хоть какая-то инфраструктура, а во втором, чтобы совсем уж нагло не воровали А воруют у нас почти все и всё, что плохо или хорошо лежит, это если кто еще не вырос из школьных мозгов, и не осознал этого забавного факта из жизни хомосапиенсов в джунглях современной России.
И так, после краткого введения в "месте ИБ в бизнесе современной России". Распишу, что вас таки ожидает в карьером плане. А в карьером плане, если у вас за спиной нет Академии водителей гелендвагенов или военного вуза с последующей работой по специальности на государство и погоны, будет жопа. Максимум, подчеркну, максимум, что тебе светит - быть специалистом за жалкие 2 килобакса. Но при этом впахивать будешь, аки конь. Но чаще в Россиюшке 2 килобакса - предел мечтаний. На деле зп будет в районе 1К максимум и то в ДС. Начальником не станешь почти никогда. Знаешь почему? Потому что начальниками у тебя будут ребята, как раз таскавшие погоны. Либо с васильковым кантом, либо вообще со звездами. Это такой прямой намёк "как правильно строить карьеру ИБ в России".
А теперь по основным направлениям.
Классическое ИБ чем скорее всего будешь заниматься с 90% долей вероятности - регулярное чтение законов и подзаконных высеров, клепание регламентирующих документов по этому поводу, участие в никому не нужных совещаниях, общение на перекурах с быдлоадминами из ИТ или быдлосапогами из СБ, а может и с теми и с другими, попойки с контролирующими твою говноконтору проверяющими. Классический менеджер без задач в общем. ЗП до 80К деревянных в ДС.
Всеми обожаемый тут пентест - контор, которые ими занимаются, 3.5. Рынок по объемам на уровне комариного хуя. Пентест почти никогда тут не заказывают, ибо никто не хочет оголять свою жопу. Все живут до первого инцидента. А если он и случится, стараются его замалчивать до последнего.
криптография - тут все на самом деле очень грустно. Разрабатывать тебе ничего не дадут, т.к. это автоматом попадает под 99-ФЗ http://clsz.fsb.ru/license.htm. Если хочешь что-то серьезное делать - быть невызедным и работать за копейки на родное государство. В 99% же случаев в частном секторе - будешь тупо админить распределение ключей, что на уровне где-то сраного эникея. ЗП соответствующая 30 килорублей максимум.
Техническая ИБ так же попадает под вышенаписанное. Если повезет, дадут поводить по губам нелинейным локатором или помониторить радиоэфир, хех. Но опять же, таких спецов нужно 3.5 калеки. Зп в районе 1К баксов. Ранняя импотенция и облысение гарантированы.
ИБ при разработке ПО нахуй никому не нужно, особенно в мире современного макакодинга, надо быстрее "хуяк-хуяк и в продакшен", а не ловить утечки и переполнения буфера. Тут 100% надо смазывать трактор.
антималварь - все уже занято. Есть достаточно инсайдов, что малварь давно пишут сами антималварьщики. Пока будешь набивать скилы, посадят.
Отака хуйня, малята.
Это кратко. Сегодня помониторю тред. Задавайте ваши ответы.

>>816617
>имеет ли смысл углубляться в иб и все такое
Сейчас распишу простыню, а дальше сам для себя решишь, братишка.
И так, как и обещал >>815983 начну.
10 лет в сфере ИБ. Работал, как в сугубо техническом направлении ПЭМИНы, закладки и прочая недошпионская хуйня, так и непосредственно в ИБ.
Так вот, ответственно заявляю за РФ. ИБ серьезно занимаются следующие: гэбня, военные и кое-что из правительства вроде МИДа, топ-конторы уровня Газпрома да и вообще нефтегаз/металлургия и прочее сырье, выкачиваемое из родной земельки, совсем немного серьезных банков из топ-10, в том числе ЦБ но там уже распиздяйства хватает. Всё. Ну т.е. вот совсем всё. Остальные 99.99% организаций под "ИБ" понимают бумагомарание всех родов вроде клепания тонны бумаг под 152-ФЗ, 382П и прочих высеров Кожевниковой, Валуева и ко, или это если совсем повезет руление "групповыми политиками в домене" или каким-нибудь корпоративным антивирусом. Даже не макспатролом, который стоит, как чугунный мост, а если его и используют, то как банальный инвентризатор наличия/отсутствия обновлений трустори.
ИБ как таковое, если вы будете внимательно анализировать вышеозначенный список, у нас хоть как-то теплится только если есть бабло на это самое ИБ. В остальных случаях это ненужный придаток на границе ИТ/СБ без особенно видных результатов для современных гендиров. А так, давным давно складывается ощущение, что у нас и без ИТ с СБ обходились бы, но приходится по минимуму тратить на это бабло в первом случае, чтобы была хоть какая-то инфраструктура, а во втором, чтобы совсем уж нагло не воровали А воруют у нас почти все и всё, что плохо или хорошо лежит, это если кто еще не вырос из школьных мозгов, и не осознал этого забавного факта из жизни хомосапиенсов в джунглях современной России.
И так, после краткого введения в "месте ИБ в бизнесе современной России". Распишу, что вас таки ожидает в карьером плане. А в карьером плане, если у вас за спиной нет Академии водителей гелендвагенов или военного вуза с последующей работой по специальности на государство и погоны, будет жопа. Максимум, подчеркну, максимум, что тебе светит - быть специалистом за жалкие 2 килобакса. Но при этом впахивать будешь, аки конь. Но чаще в Россиюшке 2 килобакса - предел мечтаний. На деле зп будет в районе 1К максимум и то в ДС. Начальником не станешь почти никогда. Знаешь почему? Потому что начальниками у тебя будут ребята, как раз таскавшие погоны. Либо с васильковым кантом, либо вообще со звездами. Это такой прямой намёк "как правильно строить карьеру ИБ в России".
А теперь по основным направлениям.
Классическое ИБ чем скорее всего будешь заниматься с 90% долей вероятности - регулярное чтение законов и подзаконных высеров, клепание регламентирующих документов по этому поводу, участие в никому не нужных совещаниях, общение на перекурах с быдлоадминами из ИТ или быдлосапогами из СБ, а может и с теми и с другими, попойки с контролирующими твою говноконтору проверяющими. Классический менеджер без задач в общем. ЗП до 80К деревянных в ДС.
Всеми обожаемый тут пентест - контор, которые ими занимаются, 3.5. Рынок по объемам на уровне комариного хуя. Пентест почти никогда тут не заказывают, ибо никто не хочет оголять свою жопу. Все живут до первого инцидента. А если он и случится, стараются его замалчивать до последнего.
криптография - тут все на самом деле очень грустно. Разрабатывать тебе ничего не дадут, т.к. это автоматом попадает под 99-ФЗ http://clsz.fsb.ru/license.htm. Если хочешь что-то серьезное делать - быть невызедным и работать за копейки на родное государство. В 99% же случаев в частном секторе - будешь тупо админить распределение ключей, что на уровне где-то сраного эникея. ЗП соответствующая 30 килорублей максимум.
Техническая ИБ так же попадает под вышенаписанное. Если повезет, дадут поводить по губам нелинейным локатором или помониторить радиоэфир, хех. Но опять же, таких спецов нужно 3.5 калеки. Зп в районе 1К баксов. Ранняя импотенция и облысение гарантированы.
ИБ при разработке ПО нахуй никому не нужно, особенно в мире современного макакодинга, надо быстрее "хуяк-хуяк и в продакшен", а не ловить утечки и переполнения буфера. Тут 100% надо смазывать трактор.
антималварь - все уже занято. Есть достаточно инсайдов, что малварь давно пишут сами антималварьщики. Пока будешь набивать скилы, посадят.
Отака хуйня, малята.
Это кратко. Сегодня помониторю тред. Задавайте ваши ответы.
По книгам добавлю, что Black hat python тоже вышла.
Ещё в прошлых тредах давалась пара ссылок на книги, но там дофига устаревающих и даже имеющих лишь историческую ценность книжек.
Принципы толком не меняются. Как и векторы атак. Меня удивило, что в списке нет очевидного must read "Секреты и ложь" Шнайера.
> Шнайера
Ты оппост читал? Видишь закономереость? Там техническая литература. А ты советуешь художку.
У некоторых стажировки есть, иногда даже оплачиваемые или удалённые. Многое зависит от твоего города и возможности его сменить.
Ок. Добавлю конкретики. Город Москва, но здесь ничего не держит. Главное не деньги, а свалить за бугор.
>Москва
Ну тогда тебе есть, из чего выбирать. У Каспера точно есть стажировки, у Яндекса видел(но вроде бы нет ничего по ИБ). У Dsec стажировки в питерский офис. Тут ещё от скиллов зависит и желаемого направления. Можешь походить по собеседованиям на джуниора и понять, где нужно подтянуть знания.
>свалить за бугор
Во, как раз хотел спросить в треде, как в нашей специальности с перспективами заведения трактора. С СШП вроде бы понятно, там ИБ востребовано больше, чем у нас. Про Австралию писали, что некоторые организации нужно по закону пентестить 4 раза в год.
Нет. Не читал. не читаю худодкуА про войну и мир навальный втирал, что для курсов страг. планирования в ейле требовали прочитать эту книгу.
> вся суть стратегического планирования.
Ильф-Петров "Золотой теленок" и «Теория игр. Искусство стратегического мышления в бизнесе и жизни» Авинаш Диксит и Барри Дж. Нейлбаффа прочитай эти две книги и больше никогда к этой теме не возвращайся.
Все само по кирпичикам в голове сложится.
>>065967
>В риэлтеры.
Если только в черные. У обычных сейчас конкурс по 100 чел на место-сокращение персонала у них уже второй год идет,продаж-то нет нихуя-крайзис,люди ежей доедают.

У каспера из 3,5к примерно 2к в московских офисах, около 1к в офисах по всему миру. Остальные на удалёнке.
Вопрос в том, что ты должен быть особо ценен для компании, чтобы выдвигать свои условия работы. Иначе пиздуй в офис или на хуй.
>Чёт дохуя. Откуда данные?
Тоже сталкивался,помимо удаленщиков у них и субподрядчики и аутсорсы есть. Не может крупный бизнес сидеть только в офисе.
>субподрядчики и аутсорсы
Это понятно, но 14 процентов удалёнщиков слишком много. В 5 процентов поверю, но ожидал ещё меньше. Где они такое сказали?
>
>1465x1209
>
> Пацаны, с метасплойтом
если в такую элементарщину не можешь простые скрипты ебаные запустить, то лучше смени отрасль - не твоё.
Чем будешь моложе, тем реальнее. Курсы нужны разве что ради корочки. С работой не плохо, и она в принципе будет всегда, в пасте просто указано, как правильно делать карьеру, ну и реальный уровень зп, как и то, чем будешь заниматься, чтобы знали, на что идут.
>так ли все плохо с работой, как описано в знаменитой пасте?
Если работать на дядю никогда пряников не получишь. Идешь в БЦ арендуешь комнату,а затем предлагаешь свой ИБ всем обитателям БЦ. В ДС 1700 БЦ и 1500 ТЦ работы на всех хватит. А пасте не верь-не то что она лживая хотя это было доказано в прошлом треде про чувака нашедшего закладки в материнках и лубянка даже не поняла о чем он говорит просто это манипуляция фактами с целью заставить тебя идти работать задешево в госы.
В треде консперолух? Давай попредлагай свои иб-услуги без спецов в штате и без лицухи. Дядя майор только и ждёт чтобы наебнуть такого умника как ты.
> Идешь в БЦ арендуешь комнату,а затем предлагаешь свой ИБ всем обитателям БЦ.
И обитатели БЦ шлют тебя на хуй. Сетевые магазины потому, что у них свой штат ИТ, а ИП Ашот, как и ООО камшот экономят на просто ИТ, за ИБ платить тем более не будут. Да и что ты им предложишь? "Поставить антивирус"? Там давным давно шуршат миниэникеи. Или ты им SEIM развернешь?
> А пасте не верь-не то что она лживая хотя это было доказано в прошлом треде про чувака нашедшего закладки в материнках и лубянка даже не поняла
Нука пруфы в студию, что там было что-то доказано?
> о чем он говорит просто это манипуляция фактами с целью заставить тебя идти работать задешево в госы.
Вот это полёт маня-фантазий... Шапочка из фольги не жмет?
> Дядя майор только и ждёт
>>067272
>>067308
Опять наплыв портянок,незнающих, что ИБ это нетолько "пробивка" и прочие корочкокозыряния,раздувание щёк и намеки на паяльник,а в первую очередь IT-безопасность -2017 на дворе. Никогда штатный сисадмин,а зачастую эникей в фирмочке 20-30 пользователей не будет иметь тот багаж по айти-безопасности, что специалист. ИБ не заменяет местный персонал, он его дополняет с весьма определенной целью.
Здесь и вступает в игру ИБ-консультант. Периметр,анализ,права и поддержка всего этого за скромную ежемесячную мзду,что у сидящих в одном комплексе вызвает больше доверия. Любой минимальный БЦ это минимум 50 фирмочек на 10-30 человек. Если окучить даже каждую десятую,а на практике выходит каждая 4-5,то это достаточный доход чтобы не скулить,где мои 200 штук мес. Просто научись продавать свои знания,если они есть,конечно.
Но дебилам же делать цивилизованный бизнес некрасива -"Где углеводороды,где охулиарды,где понты наконец,мы что зря портянки мотать учились и честь перед зеркалом отдавать с ебанутой мордой лица,кого я тут нагибать буду?!". Вахтеры как они есть в чистом виде,тупые исполнители. Сколько я ебальников таким поразбивал за то что они "словом офицера" козыряли об отсутствии следов взлома. Берешь его за шкирку и начинаешь перед ним восстанавливать содержимое логов. Скулящие пидорасы,блядь. Вот нахуй я им это рассказываю?! Ведь хочешь же по-человечески показать ну может просто не понимает человек,не видит дороги,а он настолько интеллектуально ограничен,что вместо того чтобы слушать и впитывать,начинает выебываться. Ну и сидите в говне своем, перетирая про "денег нет"
Сегодня мне ВНЕЗАПНО позвонил мужик и сказал, интересует ли меня работа в ФСБ РФ. После утвердительного ответа сказал, чтобы я ему перезвонил когда буду в центре города для собеседования.
Собственно два вопроса: это подстава и меня порежут на органы? Если не подстава, то к чему готовиться? Приходить в костюме-тройке или можно в берцах, шортах и футболке? Меня на собеседовании заставят строить защищенную сеть на 20 компьютеров или просто убедятся, что я не мудак.
P.S. Я свежевыпустившийся специалист по компьютерной безопасности.
Знакомый длелает все как и я, и у него выходит.
Видимо ты был на хорошем счету и кого-то из преподов с бывшими погонами.
По-другому туда и не зовут. Т.е. тебя уже рекомендовали. Сходи так и так. Экспириенс будет интересный, отвечаю.
>Поцоны
Обоссали тебя копротивленец,сиди и помалкивай. По делу всё написано.
В ИБ сидеть и ждать у моря погоды бесполезно. Надо самому двигать процесс. Рыночек уже порешал,есть услуги,которые востребованы и есть те, которые даже забесплатно никому в хуй не уперлись. Петя свидетель.
Слышь, мудло беспробельное, от твоих высеров пространственных так веет агрессивным быдлом уровня тех же сапог, что ты так показушно ненавидишь, что аж тошно.
> Обоссали тебя копротивленец,сиди и помалкивай. По делу всё написано.
Чем больше себя подсемёниваешь, тем "авторитетнее" для самого себя и звучишь, да?
Тебя видно, гэбня часто под хвост няшила, что до сих пор отойти не можешь. Ну и твой колхозный бЫзнес план уровня "яиц и бульона" тоже тебя не красит. "ИБ консультант", лол. Прям представляю, как подходишь ты такой, консультант, к лотку в ТЦ с спиннерами, да чехольчиками, и давай им про Петю шифровальщика лечить, и как ты их спасешь за мелкий прайс, лол.
И да, буйное животное, где там пруфы-пруфики на счет "лживости" достаточно объективной пасты?
А кто это?
>обитатели БЦ шлют тебя на хуй. Сетевые магазины потому, что у них свой штат ИТ, а ИП Ашот, как и ООО камшот экономят на просто ИТ, за ИБ платить тем более не будут.
Внезапно услуги директорам, которые мутят за глазами владельца биза. У них зачастую бешеное бабло откатывается и распиливается, а свой IT не привлечешь, первыми же и сдадут. Услуги формата как общаться, чтобы не записали и где прятать, чтобы не нашли- это заебись.
Тогда уж проще сразу в черные шапки или кардинг какой.
А так, типичная постсовковая пидорашья натура "лишь бы наебать", да "бабла побольше получать"... Да еще и без просчета - во что сиюминутный откат может вылиться в итоге.
Самим-то не стыдно? "Безопаснички", блядь....
>мудло беспробельное
> подсемёниваешь
> под хвост няшила
>буйное животное
Уровень аргументации. Даже мем "владичка" не в тему втянул.
>>067552
>на счет "лживости" достаточно объективной пасты
Как у тебя бомбануло-то,уже второй тред остановиться не можешь. Прости нас за то что ты такой.
"я сильно сомневался в их технической грамотности, поскольку они просто не поняли большую часть того, что я рассказал и показал.
...
Сотрудники «Газпрома» посетовали на низкий уровень информационной безопасности и заявили, что это не их дело, поскольку они руководствуются требованиями и правилами, которые устанавливает ФСБ. Круг замкнулся, стало понятно, что эту монолитную систему «информационной безответственности» не пробить.
"
https://xakep.ru/2011/12/26/58104/
Здесь вообще всё надо копипастить
http://mikhailmasl.livejournal.com/4852.html
На неделю тебе хватит,а потом мы тебе еще ссылок подкинем чтобы тред не засирал.
>мудло беспробельное
> подсемёниваешь
> под хвост няшила
>буйное животное
Уровень аргументации. Даже мем "владичка" не в тему втянул.
>>067552
>на счет "лживости" достаточно объективной пасты
Как у тебя бомбануло-то,уже второй тред остановиться не можешь. Прости нас за то что ты такой.
"я сильно сомневался в их технической грамотности, поскольку они просто не поняли большую часть того, что я рассказал и показал.
...
Сотрудники «Газпрома» посетовали на низкий уровень информационной безопасности и заявили, что это не их дело, поскольку они руководствуются требованиями и правилами, которые устанавливает ФСБ. Круг замкнулся, стало понятно, что эту монолитную систему «информационной безответственности» не пробить.
"
https://xakep.ru/2011/12/26/58104/
Здесь вообще всё надо копипастить
http://mikhailmasl.livejournal.com/4852.html
На неделю тебе хватит,а потом мы тебе еще ссылок подкинем чтобы тред не засирал.

640x360
>черные шапки или кардинг какой
Наказуемо УК РФ. Это такой вор, только по ИБ. Ездит на бутылках и носит робу.
>консультации на тему экономической, юридической и информационной безопасности
Легально. Это такой адвокат, только по ИБ. Ездит на мерседесе и носит костюм.
>типичная постсовковая пидорашья натура лишь бы наебать
Только качественное выполнение услуг перед заказчиком
>бабла побольше получать
по международным стандартам бизнеса
>Да еще и без просчета - во что сиюминутный откат может вылиться в итоге.
с возможностью любых расчетов за дополнительную плату
Допустим, возьмем классический B2G сектор.
На уровне сейла B - ты зарабатываешь закрытием сделки.
На уровне лпр G - ты получаешь откат, и, опционально, делишься с коллегами.
Изначально надо предлагать то, на что идет тендер, а далее знакомиться лично и обсуждать варианты сотрудничества. Что мы можем сделать, чтобы выиграть тендер? Как мы можем учесть Ваши интересы? Как нам сделать наше предложение максимально выгодным для Вас?
Я скорее спрашивал в какие тендеры вкатываться, а не как их выигрывать. Госы не спрашивают услуги безопасников. Наверно придётся сначала уговаривать организовать аудит, а потом получить заказ. Что кроме аудита можно делать?
> вместо прямого ответа начал вновь вилять жопой и кинул какие-то невнятные мемуары уровня Джеймса Бонда
Ясно. Понятно.
Гори в аду.
их все равно интеграторы выигрывают. забудь
Не, конечно, спасибо, что Акунина или, прости господи, Криптономикон читать не предложил, но главный вопрос был - пруфы лжи в пресловутой пасте. Этот поехавший только насрал несколько кучек текста, но на сам вопрос в итоге и не ответил.
ECHELON?
На уровне слухов из жёлтой прессе
- любой.
Более менее достоверную информацию - Сноуден, но сомневаюсь что он тут сидит.
>ебанутые вояки
Я несколько задумался, и видится мне, что вояки нет, не ебанутые, они другими категориями мыслят. Их же вся эта вирусня не касается, когда эльбрусы, кассеты, бумага и пишущие машинки.
Уебище то какое. Откуда сбежал?
Я как-то сводил своего начальника посмотреть, послушать как работает схд с лентами. Он чуть не обоссался от настальгии когда услышал.
ИБкун из говногазнефти
> В треде были ИБкуны из банков. Подтвердите братки?
Как в воду смотришь. Вчера заказчик бывший попросил съездить в один неприметный офис. Съездил,пообщался. Я обычно с банками напрямую не работаю,но знакомый хороший и денег посулил. Консультацию оказал,тонны нефти получил. Банк из топ-20. Почему человека со стороны позвали я понял только когда приехал. 70% WinXP, AD на 2к3,длинки на ядре и неуправляемые свитчи на пользователях,WiFi гостям дают прямо в локалочку. Какой нахуй Radius,чё это? Вон на стене пароль написан. Вместо сисадминов эникеи. На рм скотчем примотанные персональные токены. Из тех,что общался только два грамотных спеца один архивариус,второй из процессинга. Остальные это какой-то лютый пиздец. Открыто вообще всё,еби не хочу. Васянство беспросветное, как они сертификаты получили вообще не понимаю. Высказал всё, что думаю их ибачеру. Ему шизику похуй,фондов нет,персонала нет,зато в разговоре похвастался, что только что беху новую взял. Военный бывший,из академии лол. Полночи не спал, всё думал в ЦБ заяву накатать. ЦруФсбМочаГазНефть мало там адекватов и не только иб касается. Вот так вот малята.
>В треде были ИБкуны из банков.
ИБ кун из банка в топ-15 по РФ.
Мы таки скорее были пропатчены, как только узнали о wannacry пятница вечер, так хуй ушли пить пятничное крафтовое пивко, сорвали все дочки и филиалы и уже к утру субботы те, кто не пропатчились, таки патчи поставили. В общем "ни единого разрыва". Но объективно скажу, что пронесло. Меня даже больше ебет 552-п, чем какие-то там шифровальщики, т.к. бэкапы никто не отменял, а вот проверка ЦБ вещь куда страшнее для организации в РФ.
АСУ вообще больная тема, когда работал в конторе, где дохуя заводов было по РФ и проехался там разок с инспекцией, сразу же уволился к хуям. Т.к. понимаю, что разгрести эти авгеевы конюшни в разумный срок не возможно, да и бабла на это хуй кто даст. В общем, в случае реальной войны или реального терракта, прообъектам пизда.
Ну и пиздец. Работал я в небольшом энтерпрайзе, в котором денег на it давали мало, поэтому там работали в основном студенты. Хрюша на 10-15 процентах компов и то только потому, что не выделяют бабки на замену некрожелеза. С сегментацией сети порядок, через вифи во внутреннюю сеть не попасть, по всяким токенам и прочему есть правила работы и они даже в основном соблюдаются юзерами. Хотели даже ad с керберос замутить, но начальство не одобрило, но никто хотя бы под админом не сидит. Длинки или на доступе(и то иногда циски), или там, где экономия на цисках оправдана(но не в ядре). Неуправляемые свитчи у юзеров тоже есть, но это казалось нам уебанством и мы потихоньку старались от этого уйти. И мне постоянно казалось, что у нас ёбаный цирк и торжество распиздяйства.
А ещё есть специалист по информационной безопасности. Уже не студент, перекатился из админов. Бумажник. Выставляет рдп наружу голой жопой. Ставит пароли уровня 123456. В итоге, блядь, админы учили безопасности безопасника.
Информационной безопасности, разумеется.
http://www.securitylab.ru/news/487133.php
Было б чему удивляться.
1. Лучше идти на вышку, или после шараги исеать работу
2. В чем вообща заключается практическая сторона работы(афк сидеть и смотреть, чтобя никто не ломился на серв?)
3. Вообще, куда лучше идти работать и кому я нужен с такой специальностью?
4. Че там по зп?
>1. Лучше идти на вышку, или после шараги искать работу
На вышку. Без неё трудно работу найти
>2. В чем вообща заключается практическая сторона работы(афк сидеть и смотреть, чтобя никто не ломился на серв?)
Зависит от того где работать
>3. Вообще, куда лучше идти работать и кому я нужен с такой специальностью?
Пока никуда. Стремись в крутые компании, что у всех на слуху.
>4. Че там по зп?
Ниже чем у обычных прогеров
>Ниже чем у обычных прогеров
Я бы сказал, что обычно даже ниже, чем у админов со специализацией.
Анон,кто перекатывать в будущем будет,добавьте в стоп-лист авторов по ИБ, которых читать бесполезно и даже вредно: Проскурин В. Г. вода-мокрая-это вода-да-мокрая вода-так в википедии написано-но это учебник-поэтому зубрите-вода мокрая. 3 его книги прочел,это пиздец,а ведь там написано,где он преподает.
Аноны добавляйте говно авторов чтобы не тратить на них свое время.
>Очевидный Генрих Лемке.
Не любишь Лемке?
Признавайся это ты его форсил под Кирилл Ивашкин http://kirov-times.ru/forums/2/topics/292
Нет, не люблю, т.к. честно пробовал его читать. Отборная шизофазия чистой воды. Зашел по ссылке, честно, охуел. Захотелось быстро сделать шапочку из фольги. И да, это не я, я по таким помойкам не шарюсь, и тебе не рекомендую.
У Лемке хорошо даны основы разведки в условиях жесткой контрразведки, у него же опыт гру. Допустим, беззаходовая комм.разведка предприятия. Аналогов в открытом доступе не видел, ты однозначно погорячился со своим решением.
> Допустим, беззаходовая комм.разведка предприятия. Аналогов в открытом доступе не видел, ты однозначно погорячился со своим решением.
Блядь, я сейчас поужинаю и не поленюсь раскопать в домашней библиотеке именно эту книгу. Там накал шизофазии сильнее всего.
> гру
Вообще не показатель. У меня у родной бабки муж был полканом гру. Реально был наглухо поехавший шизик и воин синего легиона. В итоге по синей же лавке вышел в окно. На будущее советую не дрочить на аббривеатуры, особенно современные.
Тоже спорно. Ок, вот содержание. Выглядит относительно логичным но опять же, на первый взгляд. Начинаешь читать подробнее, и...
Откуда у тебя это все?
Я вот года джва назад пытался найти- и нихуя не нашел в продаже. Только в pdf, и то далеко не все.
Был молод, глуп еще не повидал больших залуп и повелся на эту серию после "Бизнес разведки" Доронина. Лемке купил скопом еще тогда, доставили названия и главы содержания, а начал внимательно читать только спустя год, когда пришлось заниматься бизнес-контрразведкой на практике.
И так, выкладываю всю 15-ю главу, будет 3 поста по 4 разворота в т.ч. этот
Заранее извиняюсь за слоупочность, блядкая макакаба не пускает из-за размеров фоток, приходится резать.
Пока фоткал еще раз перечитал. Ну ведь реально поток больного сознания. Море воды, сносок словоблудных, а на деле Н-И-Х-У-Я.
Хочешь, кстати, все 5 книг могу тебе загнать? Если ты в ДС, то могу даже лично передать. КР явно пройденный этап в моей жизни. хоть и было весело
Что могу сказать. Да, действительно, эта книга Лемке- не учебник, а потом сознания. Но потоки сознания тоже можно читать, это такая форма общения с автором, короче попиздеть с человеком в теме, когда таковых рядом нет, вот это бесценно.
Пишет он хоть и с водой, хоть и спорно,но- с чем-то соглашусь, с чем-то нет.
Книги с удовольствием заберу. Кидай свое фейкомыло.
Отписал
>а на деле Н-И-Х-У-Я.
Как это нихуя-мораль же вывел:глупо спалится на вербовке сотрудника конкурента,потому что всё шаблонно лишь с небольшими изменениями. Правда до него чуть раньше то же самое какой-то сунь-цзы сказал,но мысль же есть. лол
Короче, с чего начать и где искать работу зеленому выпускнику?
Да не как блять.
ОП посты не читал или в глаза долбишься?
Нахуй в этой пораше водиться, что оно тебе даст?
Уровень ЗП в среднем, чуть выше чем у админов. Все остальное геморрой и лысины на голове.
Кароч, сходил на собеседование.
Встретил меня мужик в гражданском, предложил побеседовать на улице.
Сказал следующее: из минусов - невыездной, рабочий день ненормированный, но все учитывается. Переработал - получил дополнительную денежку, потом как-нибудь ушел пораньше.
Из плюсов - все военные льготы, зарплата с первого дня 50 тысяч, дальше больше, начинаешь лейтенантом.
С момента как ты согласишься запускаются шестеренки, тебя проверяют, сдаешь всякие нормативы-медкомиссии, к работе приступаешь через год.
Еще предупредил что круг общения резко сужается, но я же у мамы интроверт, мне не страшно.
Потом спрашивал как у меня с веществами, где родственники живут, были ли проблемы с законом и тому подобное.
В конце сказал подумать и позвонить через неделю с предварительным решением.
Я склоняюсь к тому, чтобы согласиться. Стабильность, хорошая зарплата, куча льгот. Для слегка асоциального бывшего студента условия просто офигенные.
С другой стороны это значит что за оставшийся год крайне желательно найти тян, причем ту которая хочет замуж за лейтенанта, чтобы стать генеральшей(или там полковничихой), потому что потом уже будет как-то некогда.
А вообще, если тут есть ФСБ-куны, вы мне скажите, вы вообще жизнью довольны?
Честно сказал, что не знает. Именно поэтому берут сразу после университета с базовой подготовкой в общей области безопасности.
Когда уже заключишь контракт, вроде как определят на конкретную работу и начнут на нее натаскивать.
Читал. Энивей вышка есть уже. В "программисты" 300к/с не хочу, не мое это. Да и не готовили нас в прогеры, от слова совсем. В какую область IT перекатываться тогда?
Программа самоликвидации подсознательно наслаивалась на поведение личности, в один прекрасный момент словил триггер и ее отработал.
Они на всех досках есть.
Благодарю, туда тоже написал.

https://www.ozon.ru/context/detail/id/1065023/?group=div_book
ну ты вроде взрослый, дальше сам разберешься
Блин, ну я выпустился пару лет назад, в дипломе значится специалист по защите информации.
По специальности работаю около года, в департаменте: я, ЭБ, директор. Весь левак с железом делают админы, у меня DLP, согласование, внутренние разборки, ну и банк-клиенты с отчётностью (ко-ко-ко ключи с криптографией, значит это твое), плюс частично выполняю работку ЭБ (т.к. там объемов много, а человечка не берут еще одного).
Все "безопасность" сводится к закрыванию отверстия, чтоб в него не присунули регуляторы. Плюс раздача пиздюлей сотрудникам, за несоблюдения ОРД. Бывает конечно проскакивает годнота, но все больше и больше из разряда эконом без.
Что касается варианта: "ну вот ты бы сам железом занимался, стал бы безопасником, ко-ко" - ну блять, это все хуйня. Железом пусть занимаются админы, эта их вотчина, мне надо просто понимать, что и как, а работать руками нахуй не надо. (но это моя личная позиция по данному вопросу).
Если брать в расчёте PT (почему? ну например по тому, что там работает человек 5 знакомых, и да это про перекат): по сути ребята делают, "аудиты" и додрачивают свои софтины (кст вполне приемлемые, но стоят овер дохуя, для простых контор): всех их требования в вакансиях "спец по иб", сводится к знанию пайтона, OSI, ну и "умение работать с железом" и участие в CTF. В итоге допиливают макс-патрол, спайдер и другие приблуды - аля простая софтовая компания.
Про пентестеров, реверсов и кулхацкеров говорить особо нечего, все как обычно, но все кто шарят, большая часть блэк хатят, держат все наликом или на счетах родственников и тп. Эта ниша для тех кто одарён и соображает, а не сидит на бордах (хотя быть может и есть, но это так) или ходит на вебинары где показывают как пользоваться kali.
Что касается общей картины, платина в ОП-посте, и правда раскрывает всю суть. А если рассматривать мухосрански менее 1кк жителей, то там и подавно, все по пизде. Дрочка на кприто-про у УЦ, аудиты с локаторами (и то если повезет), сидение на жопе в какой-то конторе и подрачивать (собственно как я).
Если рассматривать отрасль, то на мой взгляд тут палка о двух концах, если работать где-то на проектах, то стартовые ЗП там маленькие, но бывает различная годнота, можно поехать на АЭС, на нефте-газовый промысел, завод еще куда-то, тут и разные направления, и по стране покататься, да посмотреть что и как работает. ЗП там обычно начинает вырастать где-то через 2-3 года.
В крупных компаниях обычно все централизовано, вся движуха проходит в центральных офисах, все что на площадках и филиалах, решение прихотей центра. ЗП тут более менее приемлемые, но все равно мало (мск, спб начальная вилка при 2-3лет опыта 70-90к).
Может я конечно несу хуйню, но по большей части наши специальности нахуй никому не нужны, все ребята в погонах, решают наши вопросы на подскоках. А тех.часть админы обкашляют за кружкой пенного.
Хотя все брошюры в университетах пестрят о том, что специальность очень крутая, вотсребованная, работать можно везде и всюду, берут в фсб, мвд, мин.обор другие сорта силового блока - обычная вода в уши абитуры, на которую кстати я частично повелся. А всю суть своей дальнейшей работы понял только на 3 курсе, когда начался НИРС.
Да в целом, что говорить, что на прошлой, что на действующей работе удалось посмотреть на "расчётные листы" и понять кто и сколько получает.
Прошла работа, была в офисе филиала одного оператора большой тройки, смотрю расчётки: ген.дир 150к, ком.дир 130к, тех.дир 105к; руководители отделов ком.служб: 70-80-90. руководители тех.блока: 60-70
На нынешней работе аналогично: мой дир получает 75, дир логистов столько же, HR дир 65, а дальше продажники, закупшики, финики, комерсы и тд, у всех зп по 150к, у тех.дира 120.
По ЗП вырисовывается картина, что в руководящих позициях, так называемые технари далеко отстают от финансового сектора, и сектора реализации продукции (под продукцией прошу понимать любую вещь, что прозводит ваша конторка).
Лично у меня мысли пробовать перекатиться в какой-то финансовый сектор, в банки, консалтинг еще куда-то, ибо цифры не врут.
Да и хули толку, ну безопасник, ну имеешь доступы, чувствуешь развитие синдрома вахтера, а головняков дахуя, денег мало, работа так себе.
Кст на счет переката, еще есть вариант на должность pre-sale, или простым продажником, с одной стороны выглдяит как хуета, с другой если влиться, можно нормально подымать.
Да собственно о чем говорить, торговый представитель в филип-морис (это самая низкая позиция в компании), получает от 50-60к, а при выполнении плана еще больше.
В общем пока не поздно, думаю все же выкатываться из отрасли, ибо гиблое дело, особенно у нас.
p.s: возможно скомкано и хуево написано, но что поделать.
Блин, ну я выпустился пару лет назад, в дипломе значится специалист по защите информации.
По специальности работаю около года, в департаменте: я, ЭБ, директор. Весь левак с железом делают админы, у меня DLP, согласование, внутренние разборки, ну и банк-клиенты с отчётностью (ко-ко-ко ключи с криптографией, значит это твое), плюс частично выполняю работку ЭБ (т.к. там объемов много, а человечка не берут еще одного).
Все "безопасность" сводится к закрыванию отверстия, чтоб в него не присунули регуляторы. Плюс раздача пиздюлей сотрудникам, за несоблюдения ОРД. Бывает конечно проскакивает годнота, но все больше и больше из разряда эконом без.
Что касается варианта: "ну вот ты бы сам железом занимался, стал бы безопасником, ко-ко" - ну блять, это все хуйня. Железом пусть занимаются админы, эта их вотчина, мне надо просто понимать, что и как, а работать руками нахуй не надо. (но это моя личная позиция по данному вопросу).
Если брать в расчёте PT (почему? ну например по тому, что там работает человек 5 знакомых, и да это про перекат): по сути ребята делают, "аудиты" и додрачивают свои софтины (кст вполне приемлемые, но стоят овер дохуя, для простых контор): всех их требования в вакансиях "спец по иб", сводится к знанию пайтона, OSI, ну и "умение работать с железом" и участие в CTF. В итоге допиливают макс-патрол, спайдер и другие приблуды - аля простая софтовая компания.
Про пентестеров, реверсов и кулхацкеров говорить особо нечего, все как обычно, но все кто шарят, большая часть блэк хатят, держат все наликом или на счетах родственников и тп. Эта ниша для тех кто одарён и соображает, а не сидит на бордах (хотя быть может и есть, но это так) или ходит на вебинары где показывают как пользоваться kali.
Что касается общей картины, платина в ОП-посте, и правда раскрывает всю суть. А если рассматривать мухосрански менее 1кк жителей, то там и подавно, все по пизде. Дрочка на кприто-про у УЦ, аудиты с локаторами (и то если повезет), сидение на жопе в какой-то конторе и подрачивать (собственно как я).
Если рассматривать отрасль, то на мой взгляд тут палка о двух концах, если работать где-то на проектах, то стартовые ЗП там маленькие, но бывает различная годнота, можно поехать на АЭС, на нефте-газовый промысел, завод еще куда-то, тут и разные направления, и по стране покататься, да посмотреть что и как работает. ЗП там обычно начинает вырастать где-то через 2-3 года.
В крупных компаниях обычно все централизовано, вся движуха проходит в центральных офисах, все что на площадках и филиалах, решение прихотей центра. ЗП тут более менее приемлемые, но все равно мало (мск, спб начальная вилка при 2-3лет опыта 70-90к).
Может я конечно несу хуйню, но по большей части наши специальности нахуй никому не нужны, все ребята в погонах, решают наши вопросы на подскоках. А тех.часть админы обкашляют за кружкой пенного.
Хотя все брошюры в университетах пестрят о том, что специальность очень крутая, вотсребованная, работать можно везде и всюду, берут в фсб, мвд, мин.обор другие сорта силового блока - обычная вода в уши абитуры, на которую кстати я частично повелся. А всю суть своей дальнейшей работы понял только на 3 курсе, когда начался НИРС.
Да в целом, что говорить, что на прошлой, что на действующей работе удалось посмотреть на "расчётные листы" и понять кто и сколько получает.
Прошла работа, была в офисе филиала одного оператора большой тройки, смотрю расчётки: ген.дир 150к, ком.дир 130к, тех.дир 105к; руководители отделов ком.служб: 70-80-90. руководители тех.блока: 60-70
На нынешней работе аналогично: мой дир получает 75, дир логистов столько же, HR дир 65, а дальше продажники, закупшики, финики, комерсы и тд, у всех зп по 150к, у тех.дира 120.
По ЗП вырисовывается картина, что в руководящих позициях, так называемые технари далеко отстают от финансового сектора, и сектора реализации продукции (под продукцией прошу понимать любую вещь, что прозводит ваша конторка).
Лично у меня мысли пробовать перекатиться в какой-то финансовый сектор, в банки, консалтинг еще куда-то, ибо цифры не врут.
Да и хули толку, ну безопасник, ну имеешь доступы, чувствуешь развитие синдрома вахтера, а головняков дахуя, денег мало, работа так себе.
Кст на счет переката, еще есть вариант на должность pre-sale, или простым продажником, с одной стороны выглдяит как хуета, с другой если влиться, можно нормально подымать.
Да собственно о чем говорить, торговый представитель в филип-морис (это самая низкая позиция в компании), получает от 50-60к, а при выполнении плана еще больше.
В общем пока не поздно, думаю все же выкатываться из отрасли, ибо гиблое дело, особенно у нас.
p.s: возможно скомкано и хуево написано, но что поделать.
>А вообще, если тут есть ФСБ-куны, вы мне скажите, вы вообще жизнью довольны?
Есть. Создай новый тред и в нем спрашивай. Раньше был тред спецслужб,но портянкам надоело получать уринотерапию и они создали второй тред в /wm , куда мало кто ходит за вопросами о работе.
>А если рассматривать мухосрански менее 1кк жителей
Да тут не в каждом миллионнике нормальное ИТ есть, про ИБ я уж молчу. В ДС, в меньшей степени в ДС-2 что-то есть, в некоторых миллионниках единичные вакансии, иногда компании свои по ИБ имеются. Всё.
>по большей части наши специальности нахуй никому не нужны, все ребята в погонах, решают наши вопросы на подскоках
Именно! Сколько бы ни пиздели нам про "катастрофическую нехватку спецов".
>Хотя все брошюры в университетах пестрят о том, что специальность очень крутая, вотсребованная, работать можно везде и всюду, берут в фсб, мвд, мин.обор другие сорта силового блока - обычная вода в уши абитуры
Нам говорили, что у нас уникальная специальность, что у соседей аналогичная есть только в ещё более крупном ближайшем к нам миллионнике, некоторым из нас давали дополнительные стипендии как лучшим студентам по приоритетному направлению, но потом честно говорили, что по этой специальности работы нихуя нет, зато нужны толковые программисты.
>денег мало
Может быть всё не настолько печально, если идти в профильные компании типа pt, dsec, каспера. А так проще пойти в админство: девопс, биг дата, высокие нагрузки, sdn и что-то ещё из того, что сейчас в моде. Денег больше(но всё равно гораздо меньше, чем в разработке), геморроя меньше.
Хорошо, а если я захочу уйти в темную область, то какие перспективы по деньгам? Бекграунд неплохой, разработка + электроника, образование радиоэлектронная защита информации.
Слышал, что очень мало ловят, если не зарываться и с умом все делать.
> Раньше был тред спецслужб
До бамплимита год тонул периодически всплывая бампами мимокроков.
https://forum.reverse4you.org/showthread.php?t=1582
ну вот например.
если в белую, то обычно от 100к рублей и выше.
а так нужно в английский, ну и требуемые скилы.
один мой товарищ, живет этим, областной центр, квартира 100кв.м+, машина за 2кк+ евроремонты, мото техника, постоянные путешествия, и постоянные оставление бабла во всех кабаках.
в общем никто и не в чем себе не отказывает.
если по простому, то хватит на все и вся.... пока товарищ майор не наведается))
Нормально. С товарищем майором подключим параноидальный мод
А сколько получает смузихлеб-пинтустер?
>пока товарищ майор не наведается))
С чего бы ему наведываться,если человек официально трудоустроен? Он же не киллером на зарплате,а ресерчером трудится. Всеобщая боязнь товарища майора,самим товарищем майором умышленно раздута.
Знаю одну контору куда "товарищи майоры" пришли и изъяли всю коммерческую информацию,носители,ключи БК итд-целый день работали. Безопасник только расшаркивался с бывшими коллегами,чай-кофе лично носил,а на следущий день стоя в холле на коленях пиздюлей получал реальных,кровью весь ковер залил потому что выяснилось корочки у "товарищей майоров" были липовые. Двоих, по видеозаписям охранки, опознали в РОВД с ходу-бывшие старлеи,уволенные по компроментирущим,остальных они сдали втечении часа. Решили так подзаработать,надеясь,что начнут взятку предлагать.
Так что никого бояться не надо,есть закон,соблюдай его и проблем не будет,тогда и товарищи майоры закончатся.
>Так а в чём конкретно безопасник провинился? Что на корочки повёлся?
Один-единственный звонок с целью проверить полномочия отделяет спеца от рядового кукарека. Раз бывшие летейхи были в составе банды значит процедуру знали,работали под официоз. в таких случаях одним простым звонком дежурному можно было проблему предотвратить. Не сделал- значит не знает порядка,не знает порядка-значит кукарек.
Откуда слышал интересно?
Новости не трубят многих дел, потому что они не понятны и скучны для обывателя.
Учитывай так же, что ты можешь работать в правовом поле в России, но при этом нарушать закон в США. Поэтому при попытке посетить цивилизованную страну будешь мигом доставлен в Гуантанамо.
Прецедентов сейчас предостаточно.
>>072235
Не понимаю вашего нытья... обидно что не принесли все на блюдечке.
Высшее образование даёт вам отличную возможность старта. А дальше вы уж как то сами распоряжайтесь своей судьбой.
У меня вот не было такой возможности. Отучившись на электрика (не электроника с робототехникой, а электрика: розетки, проводка) пришлось очень много самому все учить.
В итоге да, у меня хорошая работа в одной из лучших компаний в этой сфере.
> ты можешь работать в правовом поле в России, но при этом нарушать закон в США.
2017, в ИБ еще остались шизики, работающие в сети под реальными именами?
Как и шизики, думающие, что они вообще не следят в интернетах, и корреляция - это не про них.
Ты такой наивный верящий в свою неуязвимость.
Но походу ты не в тебе от слова совсем.
Почитай про Кребса, как он вычисляет реальные имена неуязвимых кулхацкеров.
Он тебе о том и сказал, что от людей остаются следы.
>И чем тогда выпускник вуза лучше? Вот только не надо про "базу".
Ничем не лучше,более того есть две-три книжки, и лол они даже на русском, вызубрив и начав применять которые рядовой таджик с мозгами может стать более скилованым чем 90% уже работающих выпускников по ИБ.
Из-за излишнего стремления к академичности, там где это ненужно и лишних дисциплин, в РФ произошел перекос в образовании. Слишком многих спецов готовят 5-6 лет в вузах, а достаточно 1-2 года пту.
Заменив ебануто написанные учебники на нормальные вплоть до переводных также можно сократить обучение по многим курсам. Это кстати не только ИБ касается.
У вузов есть только один плюс -среда. Она формирует знакомства и связи,что в дальнейшем может дать неплохие шансы.
>Идешь в БЦ арендуешь комнату,а затем предлагаешь свой ИБ всем обитателям БЦ.
Добра тебе анон
Неделю назад прочитал твой пост. Теперь сижу в офисе.Пилю прохладную.
ДС. Турнули по сокращению из недр три месяца назад ибо нехуй своим ИБ начальство от секретарши и танчиков отвлекать. За это время догнал,что резюме моё читать и на собеседование звать никому нахуй смысла нет. Осталось 12,5 тысяч и съемная хата оплаченная до конца июля. Анон,ты не представляешь как плохо быть мной. Один хуй идти некуда,жить неначто.
Пошел в ближайший бизнес-гадюшник,снял офис за 8 тыс в месяц комната 5х4. Стол и стул мне подогнал местный завхоз. БЦ запилил бесплатную табличку на дверь "Консультант по информационной безопасности ФИО неудачника" и попугая-матершинника неработающий домофон на дверь. ИП и р.с. у меня были с прошлой фирмы,там чтобы нас в штате не держать оформили ИП. Пока сидел и думал как и что целый месяц жрать на оставшиеся 4 штуки,в дверь постучали.
Инстаграммного вида милфа зашла и спросила это вы новый компьютерщик,можете ли отключить пароль на ноуте? Да,но только за деньги подумал я,но хуй думал иначе и сказал только: несите. Пока эта коза таскалась за компом,решил сожрать дошик. Без кипятка и воды невкусно нахуй. Опять стук, еле успел закинуть дошик в ящик стола. Лысый вонючий долбоеб в косухе пришел интернет подключать и обрадовал в конце месяца оплата 5 штук. Попадалово нахуй.
Припиздила милфочка отключил пароль в её восьмерке. Думал позыркать, хуй там. Дала 5 тысяч и еще спросила нормально-ли. Анон 5 тысяч за отключенный пароль. Я в ахуе. Мой мир треснул напополам,да за эти деньжищи я бы в полдень её в жопу на красной площади выебал. Жизнь начала налаживаться. Дал ей свою визитку,которую сделал на 1 этаже 100 штук за 400руб.
Боги явно благоволят моим начинаниям. Отсканил калом беспроводные сетки с самым мощным сигналом,пробежался по корридору и сопоставил названия. Из 16 сеток 2 открылись сразу,еще 4 открыл легким брутом хендшейков. Выбрал ближайшую, от-ИБашил её на всю глубину моих знаний за 2 часа,составил репорты,согнал на флешку и попиздовал к начальнику этой фирмы.
Думаю мой припизднутый видон повлиял, на ресепшне этой фирмы дал флешку и попросил распечатать для ФИО их директора, они без слов распечатали. С этой папкой пошел к их директору. Представился,дал визитку и рассказал о пиздеце в их сетке. Тот вызвал своего эникея и начал ебать,тряся моими отчетами.
Обретать врага в лице местного эникея не хотелось,быстро встрял и начал пиздеть что сисадмин невиноват и не должен знать такие вещи. Для такого говна есть я и если дадите денег,то я всё сделаю в лучшем виде.
Пожали руки,директор предложил оформить договор,сейчас вот задаток 40 тысяч наличкой. Анон,40 тысяч. Мой мозг не отошел еще от милфы,а тут сходу дают 40 и еще 80 после окончания аудита.
Теперь неделю спустя я успешный ибач с 6 контрактами и еще 4 на подходе,периодически прибегают пидорасы с забытыми паролями.
Буду иногда заглядывать в этот тредик,задавайте свои ответы.
Думал пруфнуть контрактами,но подумал еще раз лол и решил идите на хуй.
>Идешь в БЦ арендуешь комнату,а затем предлагаешь свой ИБ всем обитателям БЦ.
Добра тебе анон
Неделю назад прочитал твой пост. Теперь сижу в офисе.Пилю прохладную.
ДС. Турнули по сокращению из недр три месяца назад ибо нехуй своим ИБ начальство от секретарши и танчиков отвлекать. За это время догнал,что резюме моё читать и на собеседование звать никому нахуй смысла нет. Осталось 12,5 тысяч и съемная хата оплаченная до конца июля. Анон,ты не представляешь как плохо быть мной. Один хуй идти некуда,жить неначто.
Пошел в ближайший бизнес-гадюшник,снял офис за 8 тыс в месяц комната 5х4. Стол и стул мне подогнал местный завхоз. БЦ запилил бесплатную табличку на дверь "Консультант по информационной безопасности ФИО неудачника" и попугая-матершинника неработающий домофон на дверь. ИП и р.с. у меня были с прошлой фирмы,там чтобы нас в штате не держать оформили ИП. Пока сидел и думал как и что целый месяц жрать на оставшиеся 4 штуки,в дверь постучали.
Инстаграммного вида милфа зашла и спросила это вы новый компьютерщик,можете ли отключить пароль на ноуте? Да,но только за деньги подумал я,но хуй думал иначе и сказал только: несите. Пока эта коза таскалась за компом,решил сожрать дошик. Без кипятка и воды невкусно нахуй. Опять стук, еле успел закинуть дошик в ящик стола. Лысый вонючий долбоеб в косухе пришел интернет подключать и обрадовал в конце месяца оплата 5 штук. Попадалово нахуй.
Припиздила милфочка отключил пароль в её восьмерке. Думал позыркать, хуй там. Дала 5 тысяч и еще спросила нормально-ли. Анон 5 тысяч за отключенный пароль. Я в ахуе. Мой мир треснул напополам,да за эти деньжищи я бы в полдень её в жопу на красной площади выебал. Жизнь начала налаживаться. Дал ей свою визитку,которую сделал на 1 этаже 100 штук за 400руб.
Боги явно благоволят моим начинаниям. Отсканил калом беспроводные сетки с самым мощным сигналом,пробежался по корридору и сопоставил названия. Из 16 сеток 2 открылись сразу,еще 4 открыл легким брутом хендшейков. Выбрал ближайшую, от-ИБашил её на всю глубину моих знаний за 2 часа,составил репорты,согнал на флешку и попиздовал к начальнику этой фирмы.
Думаю мой припизднутый видон повлиял, на ресепшне этой фирмы дал флешку и попросил распечатать для ФИО их директора, они без слов распечатали. С этой папкой пошел к их директору. Представился,дал визитку и рассказал о пиздеце в их сетке. Тот вызвал своего эникея и начал ебать,тряся моими отчетами.
Обретать врага в лице местного эникея не хотелось,быстро встрял и начал пиздеть что сисадмин невиноват и не должен знать такие вещи. Для такого говна есть я и если дадите денег,то я всё сделаю в лучшем виде.
Пожали руки,директор предложил оформить договор,сейчас вот задаток 40 тысяч наличкой. Анон,40 тысяч. Мой мозг не отошел еще от милфы,а тут сходу дают 40 и еще 80 после окончания аудита.
Теперь неделю спустя я успешный ибач с 6 контрактами и еще 4 на подходе,периодически прибегают пидорасы с забытыми паролями.
Буду иногда заглядывать в этот тредик,задавайте свои ответы.
Думал пруфнуть контрактами,но подумал еще раз лол и решил идите на хуй.
Шизик-сёменоид, ты бы прежде чем так толсто срать, хоть бы почерк собственный изучил цифровой. После первого же отсутствия пробела после запятой, понял, кого я читаю. И дальше читать, собственно, не стал.
Этот шизик весь тред форсит идею наебизнеса в ибэ. Вот арендуешь офис в тц и заживёшь.
А отсутствие пробела после точки ты не заметил, пиздец.
>почерк собственный изучил цифровой.
Мне конечно насрать на ваши тёрки. Я так понимаю пасту сочинил ты и уже второй тред сильно обижаешься на анона, её обосравшего.
Но справедливости ради LT показывает разное авторство. Вот это >>065136 (OP) (18 строк) >>067416 (полностью)
>>067220 (полностью) писал один человек в программе нотепад++ там такая автоматическая система пунктуации (отсутствие пробелов после запятой, в тех местах где пробелы после запятой есть очевидна правка текста после вставки в форму двача). Можно предположить профессию бывший линукс программист теперь пользующийся окошками.
Вот это >>073555 писал другой человек (89 отличий) стилистика совершенно разная, отличается слог, обороты, манера использования глаголов и их положение и синтаксис. Предположительно человек из глубинки(рабочий район), но с высшим техническим образованием. ЗЫ. По базе оборотов первый долго жил в ДС2. Интересная методика кстати, плагинчик прицепил посмотрел на абзацы внешне вроде похожи, а программа орёт разные. Вывод не покажу во избежание деанона, но когда программа показала я понял, что абзацы действительно разные. Более того я нашел на каком ресурсе долго сидел первый. Определить ник не смог, но влияние 146%. Это разные люди.
А в историю успеха я скорей верю чем нет. Сам об этом думал, вполне реально. Но ИПОТЕКА просто ссусь.
>Этот шизик весь тред форсит идею наебизнеса в ибэ. Вот арендуешь офис в тц и заживёшь.
Я лично насчитал в треде 2 сообщения про идею ИБ-бизнеса из 147. Это весь тред засрал? Тем более,что его посты адекватны и конструктивны. Скорей я поверю в то, что у тебя припекает от конкретного анона и тебе все равно по какому поводу на него наехать. Твои посты напротив это визги шизик-владичка стайл. Предположу и лет тебе немного и в /b зависаешь.
Свои запятые на всякий случай проверил, а то и меня приплюсуешь, поехавший.
> LT показывает
Уже диванон. Лолирую на весь ИБ-тред. 2 полные инсталяшки на РФ и полторы сотни без экстендед плагинов.
>2 сообщения
Он ещё предлагал модемы собирать, которые работают только с тема телефонами, что ввели номер и получили смс.

я из ДС2, кто еще?
Там про безопасность, а не лингвистику.

Однако-ж alpha02, главного администратора, не поймали. Забавно, что повесившийся был главным по безопасности площадки.
за Win32_API пояснишь че? а за АСМ? а за С? Дизассемблить могешь? Если нет пшел нахуй бумажник хуев.
Мимо
До сих пор платят по 10к студентам и пилят госбюджеты?
Поясните.

Сейм щит. После вузика сразу в армию, вот, почти месяц как откинулся. NEET.
Втирали так же как >>072075
>Хотя все брошюры в университетах пестрят о том, что специальность очень крутая, вотсребованная, работать можно везде и всюду, берут в фсб, мвд, мин.обор другие сорта силового блока
Преподы до конца пиздели. Хотя насколько я, мамкин интроверт, слышал, по специальности из группы только один работает.
Проходил собес на вирусного аналитика. Было два тестовых задания(реверс малвари и crackme, оба простые, максимум на один вечер), на самом собесе спрашивали, насколько хорошо знаком с winapi, asm, c, позадавали базовые вопросы про виртуальную память, стек, соглашения о вызове функций, формат PE, SEH, DLL Injection, немного по сетям спрашивали. Сказали, что в основном будет малварь под винду, но много попадается образцов и под мобильные платформы(иногда даже приходится байт-код java анализировать). Под линуксы что-то крайне редко попадается.
Учился на безопасника, профессию особо не выбирал и представления не имел. Лучше б сразу на кодинг ориентировплся. Но не суть.
Краснодар
Год работал по специальности.
С чего бы начать... После окончания универа взяли меня в местную крупную контору, зп 14к на старте. Даже сись одменам со старта платили 25к.
Ну, ладно, думал я, опыт главнее. На собеседовании обещали горы золота, Конторка в основном занималась задачами для гос.учреждений, коммерсов было пару за все время моей работы. Поставляли оборудование, программы, документы для проверок, занимались настройкой и внедрением всей этой чухни, продавали свой парашный сайт с шаблонами для производства докумкнтов по защите информации. Контракты были распильными, по факту моя работа нахуй не нужна была никому. Порой заказчик даже этого не скрывал. Увидел работу мелких и крупных госов изнутри - стабильно и бедно, тлен и стагнация. Компания работала по принципу выжить-выжать, цеплялись зубами за каждый рубль работников, постоянно набирала студентов - люди долго не держались и валили. ЗП спускалась фиксированная на отдел, начальники секторов/отделов решали как ее делить на остальных. Естественно, что свое отдавать никто не хотел, потому начальники занимались постоянными придирками, старались вызвать чувство вины (Но меня не наебешь, я сразу раскусил эту фишку). Через год у меня начал дергаться глаз. Отправляли в командировки по всему краю, день команлировки 500-700 рублей премии, на отели не более 1к за день, то бишь, чтоб максимально быстро и дешево, не дай бог задержишься.
Доработки документов для заказчика по выходным. Даже не скрывали, что мол - ты бы занимался самосовершенствованием, делал бы еще работу дома вечерком и на выходных. Отношение к сотрудникам, как к скоту - вот, что чувствовалось.
Изучил предложения конкурирующих фирм, не особо отличались условия. Бомбануло после того, как начальник начал наезжать, что мол, что-то ты неэффективно работаешь, следующий объект твой будет контрольным - не справишься, получишь зп без бонусов (то бишь не 15к, а 6к), а справишься - молодец. Еще вскольз намекнул, что мол, пока повышать рано, А ВОТ ГОДИКА ЧЕРЕЗ два-три - НОРМ. Тогда и уволился через пару недель.
Еще когда только устраивался решил, что свалю, если через год мое состояние и заработок не будут меня устраивать.
Три месяца искал работу тестировщиком, жава макакой, сисьодменом, учил базы данных и запросы. Устроился SQL разрабом, 35к, местная крупная фирма. Запросы, vba программирование, оракл, оптимизация, помощь юзерам, выдача доступов.
Никаких командировок, работаю 4-5 часов в день, двачую капчу, никто не давит, не прессует, повышение зп каждые 7 месяцев на 5к. Переработки оплачивают поминутно.
Забавно вышло. Эта мелкая конторка интегратор обещала мне ламповую и семейную атмосферу, а в итоге удобно мне оказалось в огромной компании.
Конторка продолжает жить за счет стулюдентиков без опыта, все продолжая жаловаться на тяжелые времена всем новоприбывшим.
Сформилирую краткую суть своего опуса. В раше ИБ не взлетело в большинстве случаев. Не тот уровень развития страны. Нет репутационных рисков, как таковых. Ты ничего не потеряешь, если конф.инфа всплывет где-нибудь. Ходит в этой среде байка, что один зеленый банк при краже базы данных юзеров ограничился лишь смсками о том, что стоит сменить пароли. Все повязаны и все друг друга знают. А у обычных людей не особо-то и выбора много. Все мероприятия по ИБ носят лишь вынужденный характер - лишь бы не нагнули органы, роскомпозор и все вот эти ребята. Развития никакого, пилишь красивые бумажки, очень много бумажек, лепишь схемы, устанавливаешь по и все, что можешь в итоге - как Лукацкий, Агеев и прочие вести свой уютный бложик про иб.
Сорри за текст - писал с телефона.
Учился на безопасника, профессию особо не выбирал и представления не имел. Лучше б сразу на кодинг ориентировплся. Но не суть.
Краснодар
Год работал по специальности.
С чего бы начать... После окончания универа взяли меня в местную крупную контору, зп 14к на старте. Даже сись одменам со старта платили 25к.
Ну, ладно, думал я, опыт главнее. На собеседовании обещали горы золота, Конторка в основном занималась задачами для гос.учреждений, коммерсов было пару за все время моей работы. Поставляли оборудование, программы, документы для проверок, занимались настройкой и внедрением всей этой чухни, продавали свой парашный сайт с шаблонами для производства докумкнтов по защите информации. Контракты были распильными, по факту моя работа нахуй не нужна была никому. Порой заказчик даже этого не скрывал. Увидел работу мелких и крупных госов изнутри - стабильно и бедно, тлен и стагнация. Компания работала по принципу выжить-выжать, цеплялись зубами за каждый рубль работников, постоянно набирала студентов - люди долго не держались и валили. ЗП спускалась фиксированная на отдел, начальники секторов/отделов решали как ее делить на остальных. Естественно, что свое отдавать никто не хотел, потому начальники занимались постоянными придирками, старались вызвать чувство вины (Но меня не наебешь, я сразу раскусил эту фишку). Через год у меня начал дергаться глаз. Отправляли в командировки по всему краю, день команлировки 500-700 рублей премии, на отели не более 1к за день, то бишь, чтоб максимально быстро и дешево, не дай бог задержишься.
Доработки документов для заказчика по выходным. Даже не скрывали, что мол - ты бы занимался самосовершенствованием, делал бы еще работу дома вечерком и на выходных. Отношение к сотрудникам, как к скоту - вот, что чувствовалось.
Изучил предложения конкурирующих фирм, не особо отличались условия. Бомбануло после того, как начальник начал наезжать, что мол, что-то ты неэффективно работаешь, следующий объект твой будет контрольным - не справишься, получишь зп без бонусов (то бишь не 15к, а 6к), а справишься - молодец. Еще вскольз намекнул, что мол, пока повышать рано, А ВОТ ГОДИКА ЧЕРЕЗ два-три - НОРМ. Тогда и уволился через пару недель.
Еще когда только устраивался решил, что свалю, если через год мое состояние и заработок не будут меня устраивать.
Три месяца искал работу тестировщиком, жава макакой, сисьодменом, учил базы данных и запросы. Устроился SQL разрабом, 35к, местная крупная фирма. Запросы, vba программирование, оракл, оптимизация, помощь юзерам, выдача доступов.
Никаких командировок, работаю 4-5 часов в день, двачую капчу, никто не давит, не прессует, повышение зп каждые 7 месяцев на 5к. Переработки оплачивают поминутно.
Забавно вышло. Эта мелкая конторка интегратор обещала мне ламповую и семейную атмосферу, а в итоге удобно мне оказалось в огромной компании.
Конторка продолжает жить за счет стулюдентиков без опыта, все продолжая жаловаться на тяжелые времена всем новоприбывшим.
Сформилирую краткую суть своего опуса. В раше ИБ не взлетело в большинстве случаев. Не тот уровень развития страны. Нет репутационных рисков, как таковых. Ты ничего не потеряешь, если конф.инфа всплывет где-нибудь. Ходит в этой среде байка, что один зеленый банк при краже базы данных юзеров ограничился лишь смсками о том, что стоит сменить пароли. Все повязаны и все друг друга знают. А у обычных людей не особо-то и выбора много. Все мероприятия по ИБ носят лишь вынужденный характер - лишь бы не нагнули органы, роскомпозор и все вот эти ребята. Развития никакого, пилишь красивые бумажки, очень много бумажек, лепишь схемы, устанавливаешь по и все, что можешь в итоге - как Лукацкий, Агеев и прочие вести свой уютный бложик про иб.
Сорри за текст - писал с телефона.
Это норма
Бля. Что-то много таких историй стало.
У меня вырисовываются предположения, что вы либо плохие специалисты сами по себе, которые пинали хуй в течении всех лет обучения в университете, либо искали работу в жутких мухосранях. Иначе - никак.
Открываю любой сайт с вакансиями ДС, ДС-2: все вакансии завязанные на ИБ с зарплатой в 60к+ месяц.
Может вы просто какие-нибудь "дежурные пульта управления", но причисляете себя к безопасникам, лол
А расскажи про свой бэкграунд на тот момент,хорошо знал си и асм?а winapi?есть кст по ним годная книга или статья?
Да в летуаль наверное. Любой, какой сможешь позволить. Эйчар стопроцентно баба, но если директор тоже, то лучше, наверное, ей. Хотя тут зависит от того, кто интервью проводит.
Хороших специалистов, подходящих под все требования.
Для чего было достаточно прилежно учиться в университете и активно заниматься самообучением, благо есть такие возможности.
Опыт работы нужен, дурашка. Да и знания, которые просят, в книжках не найдёшь, в них лишь основы.
>>10760
На нормальные сертификаты нужен ИБ-опыт подтвержденный трудовой.
Все остальные можно повесить в туалет.

>есть ли фсб-куны
Блядь, он спрашивает это на "анонимной" борде. Ну ебана. Мне уже стыдно за того, кто будет с ним носиться по всем комиссиям.

Мало?
Он там расписывает все в военаче. Что за дебилоид.
О, спам-лист вообще лютый ад... Педалик отдыхает.
мимобудущийезопасник
>>075990
Где ты эти вакансии видишь?
Я 3 года работал в небольшой конторке и история почти таже.
Сначала платили 14 к т.к. я был студентом и реально нихрена не знал. Потом врубился что такое ПЭМИН изучил от и до и в своей диссертации доказал почему нынешние СЗИ (сертифицированные) не обеспечивают должную защиту от ПЭМИ.
НСД настраивал и разбирал на раз два (тоже были написаны письма разрабам о совершенствовании, которые они позже добавили).
Работу проводил от и до в кратчайшие сроки:
1. Мониторинг торговых площадок, участие в торгах, заключение договора.
2. Сбор первичных данных об ОИ.
3. Проведение аттестационных мероприятий (напоминаю это всё соло) ((неважно ИСПДН это, конфа, ДСП или ГТ))
4. Подготовка протоколов и остальных документов.
5. Тащу все на подпись.
К концу третьего года платили 35к. Командировки никак не оплачивались, давали суточные 500 р, но ЗП в итоге получалась меньше.
Дошло до того, что в один день надо было ехать в командировку (очень далеко), но я дома пол пальца отрезал (ну почти), наложили 6 швов. Командировка естественно обломалась т.к. я не позволил себе поехать. С меня содрали всю сумму за билеты и отправили на следующий день! (При чём я спокойно мог взять больничный, но не стал т.к. знал, что у нас был завал по подготовке документов, думал посижу попишу).
Пришлось ехать и с одной рукой монтировать ВП, при чем монитровать надо было не пару датчиков, а дохера.
С несправедливостью ФСТЭК и других организаций я вообще молчу... Хотя:
Такие ретарды как ГОС ОРГАНИЗАЦИИ типа ФГУП НПП ГАММА можно сказать вообще не работают. В плане ПЭМИН они вроде подросли и начали искать все информативные сигналы, но раньше был пздц. В плане НСД, что такое ЗПС они не знают до сих пор, ну может знают, но явно не пользуются этим т.к. проверяющие органы к ним не придерутся.
Сам же проверяющий орган (ФСТЭК) в большинстве случаев просто выёживается и пытается доказать то чего он сам не понимает.
Короче я все эти три года я понял, что никому защита инфы не нужна (кроме настоящих конфушников типа операторов сотовой связи, вот там реально война идет). Эта специальность реально будет востребована через 5 лет (сами знаете, что сейчас происходит). Когда устоятся вопросы касаемо ИБ, когда все поймут для чего это нужно, тогда везде появятся СПЕЦИАЛИСТЫ, а сейчас мы никому не нужны (ну випнетчики и ребята, которые работают в организациях, которые подмяли под себя аттестацию АСУ ТП конечно нужны).
И вот уже сижу пол года без работы и чёто приуныл.
p.s. есть возможность отсканить новую книгу Кондратьева, надо кому-нибудь?
>>075990
Где ты эти вакансии видишь?
Я 3 года работал в небольшой конторке и история почти таже.
Сначала платили 14 к т.к. я был студентом и реально нихрена не знал. Потом врубился что такое ПЭМИН изучил от и до и в своей диссертации доказал почему нынешние СЗИ (сертифицированные) не обеспечивают должную защиту от ПЭМИ.
НСД настраивал и разбирал на раз два (тоже были написаны письма разрабам о совершенствовании, которые они позже добавили).
Работу проводил от и до в кратчайшие сроки:
1. Мониторинг торговых площадок, участие в торгах, заключение договора.
2. Сбор первичных данных об ОИ.
3. Проведение аттестационных мероприятий (напоминаю это всё соло) ((неважно ИСПДН это, конфа, ДСП или ГТ))
4. Подготовка протоколов и остальных документов.
5. Тащу все на подпись.
К концу третьего года платили 35к. Командировки никак не оплачивались, давали суточные 500 р, но ЗП в итоге получалась меньше.
Дошло до того, что в один день надо было ехать в командировку (очень далеко), но я дома пол пальца отрезал (ну почти), наложили 6 швов. Командировка естественно обломалась т.к. я не позволил себе поехать. С меня содрали всю сумму за билеты и отправили на следующий день! (При чём я спокойно мог взять больничный, но не стал т.к. знал, что у нас был завал по подготовке документов, думал посижу попишу).
Пришлось ехать и с одной рукой монтировать ВП, при чем монитровать надо было не пару датчиков, а дохера.
С несправедливостью ФСТЭК и других организаций я вообще молчу... Хотя:
Такие ретарды как ГОС ОРГАНИЗАЦИИ типа ФГУП НПП ГАММА можно сказать вообще не работают. В плане ПЭМИН они вроде подросли и начали искать все информативные сигналы, но раньше был пздц. В плане НСД, что такое ЗПС они не знают до сих пор, ну может знают, но явно не пользуются этим т.к. проверяющие органы к ним не придерутся.
Сам же проверяющий орган (ФСТЭК) в большинстве случаев просто выёживается и пытается доказать то чего он сам не понимает.
Короче я все эти три года я понял, что никому защита инфы не нужна (кроме настоящих конфушников типа операторов сотовой связи, вот там реально война идет). Эта специальность реально будет востребована через 5 лет (сами знаете, что сейчас происходит). Когда устоятся вопросы касаемо ИБ, когда все поймут для чего это нужно, тогда везде появятся СПЕЦИАЛИСТЫ, а сейчас мы никому не нужны (ну випнетчики и ребята, которые работают в организациях, которые подмяли под себя аттестацию АСУ ТП конечно нужны).
И вот уже сижу пол года без работы и чёто приуныл.
p.s. есть возможность отсканить новую книгу Кондратьева, надо кому-нибудь?
Чувак, ты офисная крыса. Ибэшники инъекции sqlmap'ом ищут, сеть namp'ом сканят, уязвимости metasploit'ом эксплуатируют и проверяют чтобы дыры из owasp'а не всплывали. И не важно какие ты там бумажки на работе оформляешь т.к. сейчас некоторые ДСП получше большинства ГТ охраняют. И ты с своими бумажками этой охране никак не помогаешь. А книгу свою "новую" верни обратно в 90'ые.
лол, а обеспечивать сетевую безопасность это не означает быть офисной крысой.
Я руками монтировал САЗ, настраивал випнет и прочее говно типа даласа и сикрет нета.
Приведи мне хоть 1 пример где ДСП защищается лучше? Может ты имеешь ввиду конфу? Если ты даже в этих понятиях не разбираешься нам уже не о чем говорить. Думаешь почему в америке столько сливов секретки? Да потому, что они юзают сеть и хоть усрись, если есть выход в глобальную сеть, то сколько бы ты портов не перекрывал и не проверял дыры заюзаным калилинуксом это не поможет. Именно поэтому защита ГТ в рашке самая топовая.
>Приведи мне хоть 1 пример где ДСП защищается лучше?
Там где денег больше чем в госах.
> Если ты даже в этих понятиях не разбираешься нам уже не о чем говорить.
Я ещё и половины твоих ноунейм аббревиатур не знаю. Но это только доказывает на сколько ты со своими бумажками оторван от реальной безопасности.
>Думаешь почему в америке столько сливов секретки?
Не достаточно хороший контроль доступа сотрудников к информации? Излишние прозрачность и контроль работы силовиков? Безнаказанность предателей?
>если есть выход в глобальную сеть, то сколько бы ты портов не перекрывал и не проверял дыры заюзаным калилинуксом это не поможет
Доступ в глобальную сеть причина сливов? Сколько ты знаешь примеров когда намеренно взламывали такие сеть? Ни у кого нет столько средств чтобы взламывать каждую слабозащищенную сеть. Обычно концентрируются на ценной добыче не обращая внимания на её защиту.
>защита ГТ в рашке самая топовая.
Нет здесь топовой защиты
А в ДСах вообще нет вакансий подходящих?
Добывание нужной информации можно осуществить несколькими способами. Для большей части бизнеса это- техническая разведка, it-разведка, ну и агентурная.
Специалисты бизнес-разведок добывают информацию наиболее простым и эффективным путем. А именно, it+агентура. Технические разведки используются редко, так как нужна куча дорогого и редкого оборудования, это все как-то надо доставить на объект, нужен специалист, умеющий это все юзать, а так же могут взять за жопу на горячем. Зачем это все нужно, если есть более простые, дешевые, эффективные способы?
Соответственно, бизнес так же вынужден защищаться связками кибербезопасник+оперативник+экономист. ПДТР не у дел.
> настраивал випнет и прочее говно типа даласа и сикрет нета.
В приличном обществе о таком вслух не говорят.
Если ты считаешь, что информационная безопасность это только обеспечение сетевой безопасности, то мне тебя жаль, но если тут весь тред такой, то он бессмыслен.
Тоже удивился, что у этого маняфантазера ИБ это один пентест , так даже не поиск новых багов а просто скан утилитками
Если только в этой модели угроз она топовая. Агентурная работа и банальный подкуп сводит эту топовость на ноль.
Институт дает тебе возможность для старта. если ты ожидал, что к тебе приползет лично биллгей и будет упрашивать пойти к нему за 300кк в наносекунду, то да, ты туповал.
Да тупой я слишком. Пока что профессиональные ну как, языки программирования, организация ЭВМ и чудом основы ИБ я делаю на отлично, но всякий матан и особенно физика держат меня на грани вылета.
А че там сложного? С точки зрения ИБ тебе из физики надо понять что такое акустическая волна и все вытекающие: виброакустика, акустлектрика, акустооптика. И электромагнитку понять, но тут без практики никак.
>ты офисная крыса.
>sqlmap'ом ищут,
>сеть namp'ом сканят, уязвимости
>metasploit'ом эксплуатируют
Офисная крыса плиз
А чё сколько там каналов утечки информации, или ты про аналоговую инфу не паришься?
>матан и особенно физика
4е по путал чёрт, запоминай формулы и учить их применять все. Это тебе русский язык с кучей исключений, грёбаным третьим лицом падежами и суффиксами
*учись
И вообще, встречаются ли в наших интернетах вменяемые форумы по общей тематике СБ? Видел парочку ресурсов, но сложилось впечатление, что там сплошь экс-сапоги в колонну по два. Общение письменное у них такое специфическое, будто смесь копа низшего ранга и правонарушителя, лол. А ещё встречаются всякие персонажи со своей терминологией на американский манер. Увидев слово "сыскология" знатно проиграл с таких мэтров.
Уволился оттуда уже пару лет как спасибо крымнашу. Нынче же глубоко в бумаге... Скучаю по тем временам, если честно.
Специфика работы не способствует открытому общению и обсуждению личных наработок. Спалил методику- ее отметили и начали учитывать в своей работе.
Про достижения- NDA.
Потому общаются в основном теоретики, а практики наблюдают и молчат.
Ты что, там нет Светочей - Лукацкого и Царева!
а на деле статья фуфло, кулстори в духе "я ломал его чат в торе" на уровне миста Робота. Информативности в ней ноль.
А ты хорош!
Может тебе еще Профессионал должен каждый шаг описать, чтобы взламывали соседей по сетке все кому не лень?
Статья описывает суть, а детали уже сам постигай.
Не назвал бы это ответом на мой вопрос, но история прохладная
Возьмёт ли работать государство, если у меня военник из-за псих диагноза?
Смотри разбор тасков с предыдущих ctf(в твоём случае в первую очередь в категории exploit/pwn), иногда есть возможность запустить сервис у себя, но часто даётся только ссылка, которая после ctf обычно протухает. Ссылки на тренажёры есть в шапке. Ещё добавлю https://backdoor.sdslabs.co/ - много тасков, рассчитаных на новичков.
И ещё освой какой-нибудь скриптовый язык(питон, например). И английский.
Статья достаточно информативна.
Хотя бы в том плане, что большинство вредных хакеров — недалекие люди, то есть тупые.
Да, сейчас любой может скачать nmap или metasploit, найти обучающий ролик на ютубе и начать хакать сбер.
Но он не станет экспертом в ИБ. Конечно, он будет себя мнить такие и это на руку настоящим экспертам, которое работают по белому.
Я очень часто сталкиваюсь с с такими псевдоикспэртами: что по работе, что в интернете.
Например, вот бредовые размышления такого иксэрта: http://telegra.ph/Opasnost-antivirusov-07-01
То что эксперт не описал подробностей - нет ничего особенного.
В законе однозначно написано, что взлом чужих компьютеров уголовнонаказуемое деяние.
Там нет никаких разделений, что компьютеры хороших парней взламывать нельзя, а плохих можно.
кстати я артем и никогда не был им, но когда стал понял что я н еартем, вот такие вот дела творятся у нас на руси!!!!!!!!!!!!
Водного Транспорта.
Пресейл-инженер. Провожу демонстрации на вебинарах/семинарах, делаю пилоты у заказчиков, консультирую и помогаю интеграторам когда у них кривые руки сложности с внедрением. Нравится, что работа динамичная. Ни о какой стагнации говорить не приходится, постоянно идет развитие навыков и знаний. Рекомендую.
Если только это не хуйня, выезжающая за счёт сертификатов ФСТЭК/ФСБ типа Инфотекса или Кода безопасности.
Не представляю, как у людей хватает совести впаривать это.
PT/Касперский/Group-IB?
>попытался перевестись с 4ого курса инженерной специальности на ибшную
>вы не можете быть переведены, так как вы очень много предметов не сдадите
Пиздец. И что делать.
Форкни чё нить на гите не сложное и с ибэшной темой в описании.
хорошо там, где нас нет
менеджер сканов nmap\massscan, чтобы работал с удаленными хостами, чтоб можно было из админки задать подсети\айпишники и потом стянуть репорты.
Вопрос 1: так должно быть? Можно ли получить доступ к открытию файлов(сейчас открываются пустые страницы)/редактированию?.
При вводе на /wp-admin редиректит на вход в сайт (в котором, чтобы залогиниться надо ввести только пароль, поле "логин" отстутствует). Прогнал сайт через wpscan в Kali, обнаружил одну уязвимость по версии Wordpress и одну по гугловскому плагину. Что делать дальше — не знаю, нуб ебанный. Прошу помощи, в нюфажном треде не помогли.
Почему программы сканеры могут только показать уязвимость и нет кнопки взломать?
спасибо!
Ты не путаешь безопасников с it безопасниками?
> Никогда штатный сисадмин,а зачастую эникей в фирмочке 20-30 пользователей не будет иметь тот багаж по айти-безопасности, что специалист.
Вопрос только где этот багаж нужен
> Наказуемо УК РФ. Это такой вор, только по ИБ. Ездит на бутылках и носит робу.
Шо, у вас уже кардеров начали ловить?
Тебе уже работу предложили? На zeronights можешь выступить со своей темой.
Постажировался удалённо в Dsec и охуел. Куратор спустя некоторое время забил на тему. Я сам не забил, но мотивация всё же куда-то делась, хотя исследование было очень интересное.
Не всякая конторка берет без военника(выше комтайны), а ещё меньше организаций берёт с проблемами здоровья, вроде какой-нибудь эпилепсии.
Хто?
Я работаю админом, соответственно большинство тасков network решаю, а вот с другими беда. Порой в принципе не понимаю в какую сторону копать, как понимаю для этого нужен творческий подход?
Сначала смотрел задачки и разборы, но не участвовал, а потом присоединился к цтфэшному кружку.
Сам себя не похвалишь никто не похвалит.
Бля, ты крут.
Мне бы исчерпывающую книжечку. Чтобы было всё и по порядку. Или на крайние случай курс лекция, но побольше. На пол года например.
https://www.ozon.ru/context/detail/id/31649356/
https://www.ozon.ru/context/detail/id/20032936/
https://www.ozon.ru/context/detail/id/135726580/
изучай. будешь знать основы - будешь знать как и где найти дыры
Цтф это уязвимости искать?
База базой, а на цтф задания специфичные. Умения пользоваться правильными инструментами обычно важнее.
Это типичный интернет-персонаж, который на любые вопросы фыркает "иди рфц читай, ламер".
подготовка и выпуск технической книги происходит где-то за год. поэтому к выпуску она устареет. в от личии от основ, которые всегда актуальны.
знаю пример, где один разработчик писал книгу про свой инструмент. к моменту когда книга вышла, инструмент уже успел дважды обновиться, добавлены новые возможности, несовместимые со старыми.
поэтому нет смысла искать книги про инструменты. они или устарели, или их вообще не выпускали.
Пишу диплом на тему "Безопасность веб приложений использующих базы данных". И не знаю, что написать в третьем разделе.
В первом разделе я просто описал основы веба и рассказал, во втором на примере сайта написанного на коленке показал уязвимости из списка OWASP top 10 и способы избавления от них.
Но еще не хватает 9 страниц, чтобы было минимальное количество страниц диплома, а я уже просто не ебу, что писать.
Подскажите, что там можно написать? Нужно какую-то аналитику, какие-то статистики, но хуй знает че писать и пиздец.
Прошу вашей помощи советом.
Позитив красивую статью про sql инъекции со статистикой когда-то на хабр выкладывали.
описания уязвимостей и методы борьбы с ними я уже написал, показывая на примере своего приложения написанного на коленке, теперь нужно немного какой-то аналитики, рассуждения.
Была идея выписать типичные ошибки юзеров, программистов, админов. Но в основном везде только для программистов и инфы на страницу хватит.
Ты же статистику просил. Так нагугли статью со статистикой встречаемости этих уязвимостей.
Основ чего??? Кто эти уязвимости ищет? Все пользуются оотовыми сплоетами, нет?
>1080006
>Думаю, это какой-то тестер из мелкой шарашки, клепающей говносайты для ООО и ИП
осайты для ООО и ИП.
двачую, быть пентестером - это быть червем пидором в пищевой цепочки ИБ. Работаю в крупной консалтерской компании загнивающего запада. ИБ аудиторы, ISO27001 консультанты, PCI DSS пидоры - глубоко уважаемые люди, клиенты их боятся, руководство уважает. В командировках живут в 4-5* гостиницах, синьоры-аудиторы летают бизнес классом, служебные жоповозки С класса. Требуется всего два скила: умение задать вопрос с чек листа, красиво пиздеть с клиентом.
Пентестеры при всех раскладах в жоппе. Если нихуя не нашел, то клиент обычно ноет: нахуя мы платили за вашего пентестера 1к евро за рабочий день? Если дохуя нашел, то клиент начинает пиздеть, что это все теоретические уязвимости, удоли!!!!111 из отчета мы уже пофиксили, XSS - это не уязвимость а вектор атаки, настоящий хакор не обойдет наш FW. При этом требуется дохуя скилов, глубокая специализация в одной из областей и понимание смежных областей. Постоянное самообучение и практика. Единственная отрада, можно подрочить в свободное от работы время на багбаунти программах и немного поднять бабла по фану.
Звучит не так сложно, в основном бумажная работа со стандартами? И что, если не секрет, входит в гос. заказы?
Двачую еще одного прозревшего.
>Звучит не так сложно, в основном бумажная работа со стандартами?
в этом и есть вся суть моей боли в области ануса. Аудиторы в основном работаю с бумагами, часто не имея реального опыта работы с технической частью ИБ. Рынок сформирован так, что клиентам не выгодно менять аудитора, бюджеты больше, профит высокий.
>И что, если не секрет, входит в гос. заказы?
хер его знает, что-то для НАТО делают, эмигрантам вход в такие проекты заказан
>в этом и есть вся суть моей боли в области ануса. Аудиторы в основном работаю с бумагами, часто не имея реального опыта работы с технической частью ИБ
ну, таких и в рашке полно, правда не уверен что они получают больше, чем пентестеры
Мне бы именно статистику, на которую можно было бы ссылаться. Есть какой-то поис по базам уязаимостей?
А есть такое занятие как введение безопасного программирования? Я например при аудите бы тупо менял все скул запросы на параметризированные не разбираясь можно ди использовать уязвимость или нет - имхо, так будет гораздо быстрее, тупо поиск по файлам.
Я так понимаю, что суажем в джангокоде и искать особо нечего?
Ну хуй знает, посмотри где практику проходят, куда трудоустраиваются, погугли имена профессорского состава, группу вк в конце концов почекай на предмет отзывов
смотря где, аудит то проходит по выбранному стандарту. В PCI DSS есть воркшопы по безопасному программированию. Они обязательны если хочешь заветный сертификат. Но в сам код аудитор смотреть не будет, только бумажки проверит, что мол SDLC в компании есть, воркшоп прослушали, политиками обмазались. Пентестер тоже в код смотреть не станет, никто не оплатит анализ 100к строк кода, если можно сделать формальный black-box пентест с минимально возможным охватом тестирования.
Кроме SQLi есть еще много чего, глянь на OWASP Testing guide. В моей практике, чаще всего встречаются XSS и direct object reference.
> XSS
Сосет у шаблонизаторов, т.е. опять только пхп?
> direct object reference.
Проверки на стороне клиента? Ну это одна из вещей от которых фреймверкине защищают искаропки.

>Сосет у шаблонизаторов,
>Ну это одна из вещей от которых фреймверкине защищают искаропки.
смотрю ты шаришь в написании безопасных приложений, попробуй устроится в любой крупный банк СНГ и научи их писать безопасный софт. Надоело по десятку критических уязвимостей с каждого пентеста в отчет писать.
По сути, если следовать всем рекомендациям по написанию безопасного софта, не выдумывать свои системы ААА, а использовать проверенные, построить SDLC, вероятно, что можно написать достаточно безопасный продукт. Чтобы во время пентеста не находили уязвимости из OWASP top 10 и школотроны не строчили на хабре очередной высер на тему: я перебирал ID в банкнейм и смог получить доступы платежам других клиентов.
Или что ты хочешь услышать в ответ?
> системы ААА
> SDLC
Переведи.
Вопрос был, в общем, что из названного того играет роль если писать не на голом пыхе?
Вообще есть что почитать именно про безопасную разработку? Или незачем вообще что-то читать, и так все работает?
В душе не ебу. У меня бумажная. Если не можешь сам ответить на собственный вопрос, рекомендую завязывать с ИТ пораньше, не то, что даже с ИБ.
Ты о чем, маня? Ты книжку мне притащил, я тебе сказал что я не в снг, заказывать ее потому что ты скозал не буду.
Завязал тебе за щеку. Как я люблю когда букашки в интернете ра сказывают кому надо вон из профессии.
Вообще у разработчика не стоит задача разработать безопасный безбаговый продукт. У него задача создать продукт, в котором будет реализована запрашиваемая функциональность.
То, что он без багов - задача инженера qa, то что безопасный - задача ИБ. Иначе зачем вообще этот огромный штат из тестеров, пентестеров и прочих безопасников содержат банки?
А вообще-то мы говносайты на пэхэпэ обсуждаем или банки?
Создать безопасный продукт вообще не проблема. А вот интегрироваться в общую инфраструктуру это уже вопрос посерьёзнее. Ты просто в банк клиенте авторизуешься - запрос уже в 4 систем лезет. Потом подтягивается информация по счётам - ещё +8 систем.
> Вопрос был, в общем, что из названного того играет роль если писать не на голом пыхе?
Таки очень хотелось бы услышать ответ
А ну ок. Что в этом треде делаешь?
SDLC - жизненный цикл разработки системы
AAA - Authentication, Authorization, Accounting
нет фреймворков защищающих от всех возможных атак.
>Я например при аудите бы тупо менял все скул запросы на параметризированные
да, это помогает от SQLi
>суажем в джангокоде и искать особо нечего?
и в таком коде будут уязвимости. Во-первых: уязвимости самого фреймворка (погугли CVE-2016-9013, CVE-2014-0474) во-вторых: плохо написанные куски кода.
> уязвимости самого фреймворка
Это не зона ответственности проггера.
> плохо написанные куски кода.
Так какие конкретно уязвимости там могут встретиться и с какрй вероятностью?
>>097711
> Даун, тебя в гугле забанили что ли? Название есть, авторы тоже. Гуглится за секунды. Но нет, мы будем понты кидать и выебываться.
Я с планшета, пнх.
> Школьник
Нахуй пошел с пляжа, мимо
> > Даун, тебя в гугле забанили что ли? Название есть, авторы тоже. Гуглится за секунды. Но нет, мы будем понты кидать и выебываться.
> Я с планшета, пнх.
Да хоть с утюга, хуйло ты ленивое. В тред пришел срать ты, так что на хуй можешь последовать сам.
> > Школьник
> Нахуй пошел с пляжа, мимо
Неужели детский сад?
двачую, поиск информации и источников - 90% времени работы безопасника.
>>097715
>Так какие конкретно уязвимости там могут встретиться и с какрй вероятностью?
ты же сам понимаешь абсурдность этого вопроса? Любые описанные в OWASP и бесконечное множество не описанных там. Если не понимаешь, то зачем ты вообще пишешь в этом треде?
Вообще еслм ты на вопрос какие из аж 10!!! Уязвимостей могут встретиться тычешь бумажную книжку, то ты сам нихера в теме не понимаешь, имхо.
>Расскажи мне как сделать xss в шаблоне без умысла и не будучи полным дауном.
создать отдельный обработчик для "специального" поля ввода в обход фреймворка. Зачем? Во имя сатаны, распиздяйства и безумных требований клиента. Встречал такое и не раз в реальных проектах больших клиентов. В шаблоне же, можно вставлять вводимые данные прямо между тегами скрипт (тоже видел) или в комментарии к js (и такое встречал). А так то да, если писать на джанго и не выключать auto-escaping, то зафакапить с XSS сложно.
> Вообще еслм ты на вопрос какие из аж 10!!! Уязвимостей могут встретиться тычешь бумажную книжку, то ты сам нихера в теме не понимаешь, имхо.
Даун, ты настолько туп, что без цитирования ответ не понимаешь?
Книжку я кинул на прямой вопрос:
> Вообще есть что почитать именно про безопасную разработку?
Тебе кинули книжку, в ответ пошло типичное малолетнее "а найдите её за меня, а потом прочитайте её за меня, ну и вообще всё за меня сделайте".
Я сейчас внимательнее вчитался в твои посты. Так вот ты какой-то жирно-зеленый во всех смыслах этих слов . Еще и хамоватый тупенький лупень. Не пиши в этом треде больше.
> А так то да, если писать на джанго и не выключать auto-escaping, то зафакапить с XSS сложно.
Ну слава богу. А где можно нафакапить?
Ты своей мамке нафакапил
Описание ошибки здесь:
https://sourceforge.net/p/whonix/discussion/general/thread/ac04011c/
Пытался настроить согласно данному https://hackware.ru/?p=1582&PageSpeed=noscript гайду, не получается.
Я за рынком не слежу. Среднему анону наверно платят ниже рынка.
Мне в предложении от Сбера на $1к больше чем в предложении от Каспера.
И оба предложения лучше чем сейчас. А сейчас я не жалуюсь.
И что?
Пасте про реалии ИБшничков это никак не противоречит.
можно что нибудь связанное с новыми технологиями
Защита персональных данных в организации. Воды можешь налить дохуя, читать эту хуету никто не будет. Линию защиты будешь вести на тезисе "организация против регуляторов". Тема на все времена, кек.
"Внедрение 552-п и последствия для банковской сферы РФ" тоже сочная и актуальная тема.
Ну ты сам себе ее уже придумал тогда, дурашка.
я-то думал, ты совсем тугой, если к 5-му курсу до сих пор не знаешь, что тебе в сфере ИБ интересно
Ну может есть ещё какие нибудь идеи
Концом выполнения требований регуляторов по ЗИ.
только за дипломы по защите пдн должны в морду бить, не? Ну или в чем профит вашей работы? Создать сзи испдн может куча народу
И плюс индивидуальные тараканы преподов аля математическое обоснование.
>>104514
> помогите придумать тему для диплома по информационной безопасности
> можно что нибудь связанное с новыми
С 19 по 21 сентября в ДС будет проходить infosecurity russia 2017 с кучей докладов, в их названиях сплошные актуальности и тренды ИБ - ДЕРЗАЙТЕ. Там и материалы можно подчеркнуть
У нас защита персональных данных и ИБ в общем-то разные вещи.
> infosecurity russia 2017
Конференция скатилась в говно в последнее время. А когда-то была огого.
разве там бывают студенты?
http://lukatsky.blogspot.ru/2017/09/vs.html
Тезисно Хуяцкий местами прав, вот только бинарная логика хромает в том месте, что "пиджаки" на деле тупорылые солдафоны, вся их "безопасность" в 99% случаев заключается в изрыгании отделом ИБ миллиардов тонн бумаги, общий смысл которых, если уж говорить по чесноку - прикрыть жопы этих самых пиджаков в случае чего. Впрочем, этим сейчас 95% офисного планктона занимается.
Что пиджаки, что футболки хоть и работают в одной сфере, но делают не одно и то же. По сути нужно разделение труда, а работа найдётся и для тех, и для других. А теперь вспоминаем, в какой стране мы живём и прикидываем вероятность такого разделения где-то кроме профильных компаний и нескольких крупнейших банков и вероятность того, что погоны потеряют в других местах монополию.
А если с программистским средне-специальным учиться по теме и устраиваться, примут по безопасности(в фирмы, не в полицию всякую)?
Куда-то примут. Где-то вообще образование не смотрят. В каспер нужно высшее техническое.
сложили с себя ответственность на банки - для него это давно норм.
Доронин Бизнес Разведка бгг.
Ну вот тебе навскидку несколько вариантов: свободная касса, просто экономист, сб какого-нибудь банка,но тебя туда хуй возьмут без связей и опыта армия с последующим перекатом в какую-нибудь силовую структуру тут хз, но чисто в теории можно себе представить. А вообще да, поздравляю, ты начал прозревать - поступать надо было не на то, что интересно, а на то что реально востребовано ну или где есть блат. Вангую, что через несколько лет ты будешь сидеть вот как я сейчас - зоонаблюдая как на весь город (в моем случае миллионник) - полторы вакансии по иб и спрашивать себя: "нахуя я на это учился"

Иркутск?

Еще один даун... Кекнул с того, что ИБ теперь еще и в ПТУ, прям топкек.
По krack курсач напиши.
Маня, ну какие 60к в ДС, ты предлагаешь бомжевать на вокзале и доедать с помоек?) (Ну если ты только не у мамы на шее сидишь, и все за ее счёт)
Мне в мухосрани 50к не хватает. (Квартира, еда, и тд).
Цены растут быстрее зарплат. И это видно в любой отрасли.
А что касается "вакансии в дс1-2", не все имеют возможность переехать.
Ну и что вы имеете под "безопасниками"? Малваря-дрочеров, пентустеров и подобный скам надеюсь не учитываешь ?:)
>>126048
ага, они вроде

Сам я уже много лет тружусь по линии экономической безопасности. Надеюсь, получится продуктивно тут пообщаться. Тема узкая, деликатная, вопросов много. :3
В качестве затравки предлагаю такую дисциплину:
http://infosystems.ru/services/konkurentnaya_r_638.html
Бесплатный семинар Андрея Масаловича: подключись из любого города!
1 ноября с 11.00 до 14.00 в Академии Информационных Систем состоится бесплатный семинар по теме: «Конкурентная разведка и обеспечение экономической безопасности бизнеса. Методы защиты конфиденциальной информации от действий инсайдеров, рейдерства и мошенничества».
Автор и ведущий семинара: Масалович Андрей Игоревич, к.ф.- м.н., ведущий эксперт по конкурентной разведке в Интернете. Семинар пройдет при поддержке и участии ведущих разработчиков информационно-аналитических систем.
Место очного проведения: г. Москва, ул. Плеханова, 4-А, БЦ Юникон
Для всех желающих предусмотрено дистанционное участие в семинаре с подключением через Интернет!
Кто что про это думает? Может, уже учился кто?
Масалович гей и шарлатан. Больше говорить ничего не буду. Все его курсы - это реклама его Авеланча.

Вот да, как раз этот вопрос меня и интересует. Я видео его лекций потихоньку просматриваю, и интересных моментов много, но лично в моей работе это малоприменимо. Темп высокий, редко когда есть возможность вдумчиво и подолгу копать одну тему. Смотрю видео и пытаюсь понять - он и его падаваны действительно зарабатывают дофига? Или он кормится с лекций и платных семинаров имени себя?
Крок, Информзащита, Джет... Как там работается?
Как на галере.

Эх, жаль слышать. Кулсторей много у него, красивые. Захотелось жить в деревне с интернетом и работать за 1000 Евро. В день. :3
http://yushchuk.ru/internet-razvedka/keis-po-konkurentnoi-razvedke-andrei-masalovich-zapchasti-k-vertoletam-v-otkrytyh-istochnikah/
http://www.forbes.ru/tekhnologii/internet-i-svyaz/280391-razvedka-setyu-kak-sistema-avalanche-pomogaet-spetssluzhbam-i-bi
Хотя вот эта кулстори довольно потешная:
http://yushchuk.livejournal.com/239036.html
Инфу про китайский авианосец можно спокойно мониторить на какой-нить Авиабазе.ру. Там целоо сообщество трудилось, новости ловилок и все на русике выкладывало. То есть, совсем необязательно к кому-то там лезть было.
Такой же членосос, как и царев. Они походу уже и забыли, что такое работа. Только по всем конференциям еблом светят.

Подмывает написать "ВЕЧЕР В ХАТУ". :3
Как будто что-то плохое

Нужны ли знания физика для безопасника в реальной работе?
Зависит от твоих скиллов, маня. Распиши что умеешь и что хочешь, может и придумоем всем двачом тебе диплом. Для затравки держи:
"Дуалистический принцип использования сельскохозяйственных орудий в полях по модулю 5393"

"Способ безопасно лайкать и репостить экстремистские записи вконтакте, находясь в России и при этом не угодить на бутылку за экстремизм"
что это?
ну вроде в лицензиатах ФСБ этим занимаются, а там не только гос и военные структуры заказывают, если ты о лицензировании помещений или проведении спец. исследований
Если я заочно поступлю на "прикладную информатику" а затем второе высшее возьму юридическое, то прокатит?
Вкатывальщик 25 лвл, решил сменить профессию (раньше был техником наладчиком НТО)
Какие подводные? Спрашивают ли за возраст?
Потому что ИБ в России - это написание бумажек, чем большая часть треда сейчас занимается.
> это актуальное дело на века
Потому что ИБ в снг это какая-то мудрённая хрень, на котором все стараются экономить, а потом выходит:
ЧТО НАДО ДЕЛАТЬ? ИБ ОРГАНИЗОВАТЬ? А СКОЛЬКО СТОИТ? МММ, СПАСИБО, НАШ СИСАДМИН САМ ЭТИМ ЗАЙМЁТСЯ, ЕЩЁ И ДЕНЕЖЕК СЭКОНОМИТ НАМ)))
@
КАК ЭТО СЛИЛИ НАШУ БД? ЧТО ЗНАЧИТ УБЫТКИ НА 1 МЛН???
Потом заказывают всякие ксзи один раз и на всю жизнь, думая что это спасёт от всех бед.

Ахаха, в голове этот прикол уже давно вертелся, можно расширить всякой хуетой и обозвать "Методы личностной безопасности и сокрытия данных от спецслужб разных стран"
>>145894
Двачую
Алсо, какой бы взять диплом чтобы по минимуму ебаться с бумагой? Меня просто тошнит от моделей угроз, моделей нарушителя, банков угроз, уровней всякого говна червя-пидора, вот прямо люто бесит, получу диплом и пойду работать шлюхой
Любая C# SQL Microsoft Linux Tor Bloackchain Arduino TvoyaMamka - ебота сгодится
Однако, преподы говорят что "к разработке вас не допустят, ведь нужно сделать что-то пиздец уникальное и актуальное"

У меня много знакомых работающих в интеграторах и там огромная нехватка специалистов, которые могут написать проект и внедрить его.
Вы познакомитесь со множеством заказчиков и службами ИБ в них, можете выбрать какое-нибудь вкусное место. Если будете себя показывать хорошо, вам наверняка предложат остаться и сопровождать то, что вы внедряете.
Я знаю как минимум 20 инженеров, прошедших по такому пути, работающих сейчас в крупных банках, нефтегазовых и промышленных компаниях. Это не считая тех, кто попал в иностранные вендоры, где все еще шоколаднее.
Аноны, опишите типичный день типичного безопасника.
Всегда восхищался этой темой, тем, каким количеством знаний надо обладать, чтобы реально шарить в этом. Я хотел бы быть таким, но нет. Один список необходимой литературы из шапки уже вызывает трепет.
Ещё я вспоминаю одного шапочного знакомого красноглазика. Мы с ним ходили на одни курсы по подготовке к поступлению в ВУЗик. Он в итоге пошел на радиоэлектронику, а я (как типичный дебил), пошел за всеми на Машиностроительный. Он лихорадочно рассказывал мне, что он вычитал в журнале Хакер, про то как можно прослушивать порты и ещё какую-то дичь. Ещё я видел студентов из ХИРЭ, утомленных жизнью, с забитым взглядом. Они ехали по одиночке, сутулясь, с засаленными волосами, постоянно что-то читая.
Я завидовал им и мечтал быть одним из них, мне это казалось романтичным. Но вкатился я в итоге в веб-макакинг (и то, после 6 лет на совершенно других работах). Что было по моим силам, так сказать.
Так что вот. Опишите своё житье-бытье, реально интересно, как проходит жизнь рядового безопасника.
Как вкатиться?
Дипломированный безопасник в вузовском понимании - чувак, сидящий за компом и выполняющий 99.9% работы в ворде, изредка настраивает программно-аппаратную хуиту у клиентов по инструкции
Либо ты мамин хакир, либо находишь прибыльное место, либо забудь о безопасности если ясный рассудок тебе важен
Если пинтустер,реверсер то можешь чекнуть любой цтф и его решение впринципе вот чем будешь заниматься
Если как выше писали установщик всякой хуйни типо сикрет нет то это тебя пошлют к заказчику и будешь думать куда и как ставить этот сикрет нет хотя на первых наверно будет типо -Алло еба у меня сикрет нет блочит принтер иди разбирись или добавить пару галочек в настройках для большей безопасности
Мимо безработный не дня не работал на безопаске
В шапке
>Так же есть вариант перекатиться из смежных профессий
Учусь на Фундаментальной информатике и инф. технологии по направлению Открытые инф. системы. Смогу ли я, после окончания ВУЗа, вкатиться самостоятельно в безопасность?
Алсо, есть площадки с предложениями по проведению пентестов по удаленке?
Я зеленый студент на последнем курсе ИБ, учусь в Мухосранске.
Насколько я понял, мне в будущей моей профессии придется перекладывать и рожать бумажки, прикрывая задницу от ФСТЭКА и ФСБ с РНК - в общем, тот самый классический ИБ о которой говорится в пасте. Я в принципе уже смирился с этим и начал потихоньку самообучаться по теме,
но блжад, я чувствую, что мне критически не хватает знаний по работе с документами. Кое-какие обрывки ФЗ 152 и 63 и приказов фстэка я помню, да и нагуглить их можно, но нет полной картины того, что мне делать, когда приду в организации.
Нет системного представления о том, что мне делать и с чего начать.
Ну вот к примеру, начинаю аудит организации, определяю информацию, которую обрабатываем и тип нашей системы, и если ГИС, то 17 приказ ФСТЭК, если ИСПДН - ПП1119, дальше нужно классификацию составить, модель угроз запилить, написать ТЗ и при этом рожая по бумажке на каждом этапе и я представления не имею как они должны выглядеть и что в них писать
И таких случаев просто туева хуча, когда проводим аттестацию, когда новое оборудование, когда электронная подпись, когда ПД и надо защищаться от РНК и т.д.
Есть ли где хороший гайд для зеленых именно по этой части? Где расписано что где и как
знаю что тут полтора анона, но все-таки
сажа случайная
Докину вопросик: предлагают после выпуска поехать на север работать безопасником в местный крупный механический завод Магадан за 80к, при условии что проработаю 2 года.
В чем подвох?
Может ли быть так, что когда я устроюсь, регуляторы проведут ВНЕЗАПНУЮ проверку и ко мне применят ебательный метод?
https://twitter.com/dc8800/status/941777234892869632
Я дошел до картинки, не понимаю что дальше
Первый этап собеседования прошёл.
Второй будет по цитирую: «в области информационной безопасности» + «стандарты в области защиты информации»
Что почитать посмотреть?
Готов упокоится за праздники.
Вкатывался недолго.
Посоветуйте контору.
москва
80 тыс.руб. Охереть у вас пределы мечтаний.
Вот, зацени что может нормальный безопасник:
https://hackerone.com/kxyry?sort_type=latest_disclosable_activity_at&filter=type:all from:kxyry&page=1&range=forever
Человек по ссылке-безопасник в одной известной российской IT конторе.
https://www.openbugbounty.org/
насколько я помню, просто сообщали СБ организации об уязвимости, которую сами же увидели в качестве чужого репорта на сайте. Мутная тема, не думаю что такое прокатит, за исключением редчайших случаев
Какой-то способ обхода курильщика, здоровые люди заливают линзу лаком. Поможет, если нет антимаскинга. Есть ли антимаскинг- зависит от места установки, 99% что отсутствует.
Это если пассивный датчик, если активный ик барьер с приемной частью, там сложнее, их проще обходить по мертвым зонам.
До сих пор не понимаю как вы это делаете. Вроде на базовом уровне знаю JS, CSS и HTML, очень неплохо владею бурпом, прочитал кучу книг по хакингу. А вот найти что то из программы Hackerone и получить за это деньги-никак. При этом в своей компании, в которой я работаю(не безопасником) уже нашел не один десяток XSS и CSRF. Но тут я досконально знаю продукт, знаю когда релизы.
Оно. Спасибо.
Я не понимаю как это работает. Зачем исследователи выкладывают туда информацию про уязвимости? Они собирают выхлоп из sqlmap и туда скидывают или делают более подробный анализ? Прямо сейчас там куча непропеченных уязвимостей про которые владельцам сайтов доложили более 3ёх месяцев назад и все они xss. Можно как-нибудь заработать просто заюзав уязвимости от туда или они на столько бесполезны, что проще сначала найти где заработать, а потом уязвимость?

Есть 2 стула: на одном 1С дроченый на другом ИБ точеный, так вот, на какой стул наиболее безболезненно присесть, чтобы потом не охуеть в Большом Мире от микрозарплат и Работа_404?
Спасибо.
Если твердо решил в Рассеюшке жить, то без вариантов 1С. Иначе оба стула с хуями.

https://fixin.livejournal.com
Тоже будешь шлюх ебать и в Турцию кататься.

А если вдруг захочу по блю карте сваливать в европку, то тогда имеет смысл на ИБ идти?
Да и мы вроде там не только 1С учить будем, но и что-то зарубежное правда я не в курс что именно, просто не знаю как это востребовано за границей.
И спасибо за ответ. и да, может кто подскажет, очень ли сложно работать по 1С? Сильно ебут?
Красиво живет. Вот уж да, выходит из 1С можно таки неплохо выбиться. от ЧСВ подохуел,
конечно.
Здарова безопаснички.
Пришло время выбирать себе дальнейший карьерный путь. Захотел я в безопасность, но не по личной своей мотивации, а потому что у меня в ИБ BATYA. Ну, то есть, я сам-то люблю ИТ, но именно в ИБ меня зарекламировал отец. А отец мой отучился в каком-то, прости Господи, питерском техникуме, потом поработал в некогда крупном банке в своей мухосрани, потом съебал в ДС-2 в головной офис того же банка, там получил сильно дохуя опыта в области ИБ(сам устанавливал и настраивал системы-хуемы, с которыми в середине нулевых в России в принципе-то мало кто знаком был), с этим опытом скакнул в местное представительство одной международной конторы и лет через пять перевёлся в Европку. Ясное дело, что такой гамбит - дело великой удачи и мне его провернуть вряд ли удастся, да и не об этом вопрос. Дело в том, что я в этом году поступаю в вуз, и мне надо бы наконец, блять, определиться, где и на кого я хочу учиться. Чекнул я ситуацию на рынке, почитал ваш охуеннейший тред, и приуныл. Более того, на всём российском рынке ойти точно такой же пиздец, а через четыре года я и вовсе на хуй никому не буду нужен.
Внимание, вопрос: штоделать? Есть вариант завести трактор и уебать учиться за бугор, насколько там востребована вся эта хуйня? Есть тут люди, знакомые с забугорным ИБ? Насколько правдива паста в начале треда, действительно ли я не пригожусь где родился? Что мне, блять, делать, аноны?
![Zaebtsa-2[1].jpg](/wrk/big/thumb/1065136/15156933671560s.jpg)
Пикрилейтед. Я школу-то давно закончил и еще и в шараге поучился, с вышматом и дискреткой всё отлично было.
Ну тогда не еби самому себе мозг и иди тупо на фундаменталку или прикладную матешу. Все эти "специальности" в Рашке - нафталиновая слоупочная лет на 10-15 хуета без задач. На выходе знаний один хуй не получишь толком. С фундаменталкой проще таки в итоге, да и просто математики наши до сих пор где-то, да котируются.
И нахуя оно мне надо? Если поверить во все, что тут пишут - я не устроюсь никуда.
Просто матеша на выходе тебе наоборот даст больший выбор, куда идти, мань. Например в бигдату там пойдешь, или те же аналитики.
А так, ну будешь "погроммистом" или "специалистом по ИБ" на бумаге, а на деле, ни принципов алгоритмов понимать не будешь, ни принципов даже крипты злоебучей, максимум сможешь сайтики пиликать, или ключики в PKI выпускать за мелкий прайс.
Но я, собственно, не настаиваю. Жизнь твоя, и как ее проебывать решаешь только ты сам, а не папка твой или омноним на двощах.
Если есть шансы учиться за бугром, вали из этого болота к хуям. В свои 30+ могу точно сказать, эта страна катится обратно в ебучее средневековье. И если ты учась в нашей шаражке этого еще не понял, то это печально.
Экспоненциальный рост объемов генерируемой человечеством хуеты инфы, говорит прямо, что это очень актуально.
Я оптимист просто. И не люблю запад, больше хочется в азию съебать, думал, через Расеюшку проще будет. Ну да не суть, если на это забить, то съебать действительно куда лучший вариант. И про наводку с бигдатой спасибо.
Используй scholarship для магистратуры в Азии, там охуительнейшие программы. Правда подойдет только если ты в бакалавриате в рашке не хуи пинал, а хотя бы на конференциях выступал, не говоря уж о высоком среднем балле.
У меня в принципе вышки нет. И мне уже двадцать три, так что идти на вышку ради халявной учебы в Азии слишком долго, тут уже реально легче трактор завести к родителям в Европу
>кроме настоящих конфушников типа операторов сотовой связи, вот там реально война идет
что за война?
> участвовать в ctf
участвовать в ctf - это означает лишний раз палить свое ебало
при том что если хочешь рубить бабло, надо идти в блек
>пентестинг
>подрочить в свободное от работы время на багбаунти программах и немного поднять бабла по фану
угу и при том что занимаясь тем же самым в блеке и не боясь за свои яица можно поднимать на порядки больше
лол, НЕТ
Че-то хз откуда вы такие маленькие зп берете.
ДС, ручной тестировщик(то есть код почти не пишу), 100+ на руки. При этом до безопасников мне как раком до Луны, у них уверен сильно больше
Ну какому-то хую со стороны виднее сколько мы получаем, да.

И еще: правильно ли я думаю, что лучше основной ОС иметь виндовс для всяких вордов, вижуал студий и прочего, а линукс для специализированного софта держать на флешке?
как по мне, так лучший ноут ленова 220
в какой операционной системе работаешь - той и держи основной
научись сначала в элементарную логику
банк - финансово-кредитная организация, производящая разнообразные виды операций с деньгами и ценными бумагами и оказывающая финансовые услуги
за редким исключением, ИТ для банка - это статья расходов. так с какого хуя платить тебе больше сотки, если ты не генеришь банку прибыль?
>так с какого хуя платить тебе больше сотки, если ты не генеришь банку прибыль?
потому что если не платить мне, то можно пострадать от действий злоумышленников и потерять не только деньги, но и доверие клиентов
можно не платить тебе, а когда банк пострадает от действий злоумышленников, выебать тебе мозги по полной, обвинить в халатности, выкинуть на улицу по статье, и когда СБшник с новой работы будет интересоваться тобой, то красочно расписать твой "подвиг"
>выкинуть на улицу по статье,
1. для того чтобы выкинуть, нужно сначала взять
2. статьёй будешь мамку свою пугать
>красочно расписать твой "подвиг"
Это делается повсеместно и без каких бы то ни было поводов
1. да мне то похуй
2. вот в банке и будешь это говорить, при обосновании почему тебе должны платить 200к
мамке это своей расскажи
Именно так и происходит, обычно. Какой косяк (особенно, если ЦБ узнал), и весь отдел ИБ на улицу тем же днем. Трустори.
А т.к. тусовка у нас с комариный хуй, такой зашквар превращается в натуральный "волчий билет", в банках уж точно. Ну и слава ЦБ, кстати, с каждым годом банков у нас все меньше, соответственно рыночек восстребованных там ИБшничков тоже не растет. Но тупые дети, насмотревшиеся мистера робота, не умеют в стратегическое мышление и осознание, что через 5 лет все будет совсем иначе.
Как дела там у тебя в БЦ твоем?
Информзащита
Насколько я знаю, в роисе на иб нихуя не учат, а когда ты выйдешь,то работы мало, а если и есть, то ты на хуй пойдёшь с той залупой которую тебе дали в вузе
У нас ещё программирование было, много программирования. И попытки обучить реверсу и пентесту.
БД, администрирование линуха - это полезно для сисадминского дна, а не для ИБ
математеку-криптолуху в одной крупной ИБ конторе платят за 200к
сисадмину - 80к
> платят за 200к
Слишком малый выхлоп учитывая сколько надо дрочить. Плюс сколько вакансий дно админа, а сколько криптохакира.
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию лиц, обладающих правами:
по осуществлению доступа к защищаемой информации;
по управлению криптографическими ключами;
по воздействию на объекты информационной инфраструктуры, которое может привести к нарушению предоставления услуг по осуществлению переводов денежных средств, за исключением банкоматов, платежных терминалов и электронных средств платежа.
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию своих работников, обладающих правами по формированию электронных сообщений, содержащих распоряжения об осуществлении переводов денежных средств (далее - электронные сообщения).
> Слишком малый выхлоп учитывая сколько надо дрочить.
Сразу видно школотрона, кек. Который еще не понял, что фраза "если ты такой умный, то почему бедный" - правда жизни.
70К на ручки.
>сисадмину - 80к
Это уровень обычного виндового шивы, админы могут и гораздо больше получать. Хотя судя по обзору зарплат на хабре меньше админов получают только тестеры.

Это уже с другого обзора зарплат.

Очередной полоумный высер бешеного принтера. Я вот благо не работаю в госсекторе, мне за глаза другого припизднутого чтива вроде 152-фз и подзаконнок хватает. Плюс ЦБшные писульки.
Чем больше бумажной возни, тем меньше времени на саму безопасность остается.
Ну этот высер громче 152 фз, теперь в гос секторе начнется тотальный пиздорез на фоне безденежься и недоумевания "А НА ЧТО ЭТО 10 МИЛЛИОНОВ, ЧТО ЗА МЭ ТАКИЕ? ШТА ЛУЧШЕ ЗАКУПИМ ЕЩЕ ПРИНТЕРОВ". Отчасти мне доставляет принятие этого закона, теперь мое руководство будет подгорать от осознания того что нужно ТРАТИТЬСЯ И что за это уголовная ответственность
Видел я несколько историй успеха, где люди в школьные годы пытались программировать и что-нибудь ломать ради фана, работали кодерами, учась в вузе и потом внезапно понаезжали в ДС и устраивались в какой-нибудь PT.
И конкретно вакансии специалиста по форензике есть?
Безопаснички, есть у кого-то в доступе "Безопасность Oracle" Полякова? Оказалось, что бесплатную полную версию так просто не отыскать. Если покупать, то стоит ли она своих денег?
https://www.kommersant.ru/doc/3546784
Погроммистов тоже, говорят, не хватает.
Пусть самый успешный, повелитель БЦ, перекатывает.

> gdpr
Обмажутся своим комплаЕнсом и ябут друг-друга в жеппы.
Какой gdpr, лупень? Тут под 152-фз до сих пор не то, что системы, доки большинство подвести не может.
любая компания, которая делает и продает продукт на международном рынке для конечного пользователя
в россии таких конечно мало яндекс, мейл да каспер
в основном всякие интеграторы да ауотсосы либо пилят бюджет госпроектов либо заказную разработку для крупных компаний
если ты лупень не в курсе то gdpr про защиту персональных данных
сколькими ты продуктами инфоджет вомпользовался за свою жизнь?
я вообще не знаю ни одного чела, который бы пользовался каким-то их продуктом и подписывал с ними лицензионное соглашение
мамке своей? соседу?
помница работал в ланите.
родичам говорю:
- гордитесь! работаю в самой крупной ит компании россии"
- яндекс?
- ланит
- первый раз слышем. а что они делают?
конечно он прав. для большинства рос компаний это не актуально
потому что они не делают продуктов для массового рынка
как поедешь в гейропку, подойди к любому европейцу и спроси
сколько DLP российский производителей установлено у него дома
да и вообще знает ли он хотя бы один ит продукт произведенный в рашке
Ты чего так рвешься-то? Завидуешь манагерам, что тебя работать заставляли, пока они с ИБшничками госконтор водовку попивали, да бюджетики пилили? Трустори, кстате, кек.
Так-то если простую европидораху спросить вообще про DLP, то он тебе тоже ничего внятного не промычит. Т.к. DLP, что в Рахе, что в Гермахе стоит дохуя и простому юзверю до них, как мне до трактора в эту самую Гермаху.
Ну и не забывай, что сей утопающий тред - про ИБ в России, а не world wide. Так-то пока лишний раз лишь своим баребухом пасту с расстановкой всех точек над ИБ подтвердил.
просто не пойму, как связанны регламент по защите персональных данных и всякие dlp джетов?
Андрей Янкин просто капитан очевидность. Мог бы с таким же успехом сказать, что положение о биоцидных веществах для большинства российских компаний не актуально. Или что для них неактуальны проблемы беженцев. Или квоты на импорт молочных продуктов в странах ЕС. В общем, любая хуйня в мире с которой российские компании не взаимодейсвуют.
а вот на счет последнего он не прав. моя компания предоставляет небольшой сервис, в том числе европейским потребителям и мы еще как попадаем под gdpr. с середины прошлого года доработка новых фич прекращена и все заняты только изменениями связанными с новым регламентом.
Это копия, сохраненная 20 февраля 2018 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.