БЕЗОПАСНИЧКОВ ТРЕД №7Добрый день!Приглашаем в наше уютное болото, тут собираются товарищи которые занимаются информационной безопасностью, а так же экономической.. (понаехали в последнее время)Архивы предыдущих тредов:>Первый тред: http://arhivach.org/thread/42689/>Второй тред: http://arhivach.org/thread/104980/>Третий тред: http://arhivach.org/thread/171358/>Четвертый тред https://arhivach.org/thread/190594/>Пятый тред тонет где-то тут https://2ch.hk/wrk/res/723039.html>Шестой в архиве не нужен из-за наплыва портянок,тред тонет где-то тут https://2ch.hk/wrk/res/965178.htmlF.A.QВ: Хочу вкатиться в информационную безопасность/ экономическую, с чего начать?О: Поступить в вуз на данную специальность. Или выйти на пенсию товарищем майором.В: В какие ВУЗы поступать на ИБ?О: Если тебе <22 лет, и ты хочешь научиться самым тонкостям профессии - то поступай в Академию. Для всего остального есть МИФИ/МИРЭА/ИТМО/ПОЛИТЕХ ну и остальные вузы, в которых есть такая кафедра. Так же есть вариант перекатиться из смежных профессий.В: Хочу быть еба-криптогафом. Что делать?О: Забыть. Но если же ты свихнулся на ней (и морально готов быть изнасилован математикой) - то переходи к ответу выше - но с одним исключением: тебе будет доступна только Академия, МИФИ и еще какой-то Томский ВУЗ (ТГУ,ТУСУР).В: Как взломать аккаунт впаше, мылору?О: Просто УЕБЫВАЙ... сходи на античат, в даркнет, к товарищу майоруВ: Мне кажется, что за мной все следят. Что делать?О: Вам в криптач (/crypt).В: А что почитать, где посмотреть?О: взято из поста анонаКНИГИПоляков - Безопасность Oracle глазами аудитора: нападение и защитаPaul Wright - Protecting Oracle Database 12cO'Connor - Violent PythonSeitz - Gray Hat PythonГифт Джонс - Python в системном администрированииВасиленко О. Н. - Теоретико-числовые алгоритмы в криптографииБорис Бейзер - Тестирование черного ящикаБлинов — Информационная безопасностьГорбатов/Полянская — Основы технологии PKIСаттон, Грин, Амини — Фаззинг: Исследование уязвимостей методом грубой силыПоулсен - KingPINВ.А. Сердюк - Организация и технологии защиты информации.Бирюков А.а. - Информационная безопасность: защита и нападениеДжеймс Лэнс - ФишингНовак - Как обнаружить вторжение в сетьПросис - Расследование компьютерных преступленийЕще можно нашего Федотова - Форензику посоветовать, чтобы понять, какая это ебала у нас.Авторы,статьи на тему ИБ,которых следует мониторить: Вехов ВБ,Костин ПВ,Мещеряков ВА,Исаева ЛМ,Ищенко ЕП, Поляков ВВ,Россинская ЕР, Максимович АБ,Введенская ОЮ.Про учебу ИБ неплохие обзоры делали Чванова МС ,Анурьева МС Эриксон Хакинг Искусство эксплойта 2е изд - убергоднота.http://readmanuals.github.io/https://shodan.me/books/Security/ССЫЛКИСтандарты:http://www.pentest-standard.org/index.php/Main_Pagehttps://www.owasp.org/index.php/Main_Pagehttps://www.pcisecuritystandards.org/http://www.cbr.ru/credit/gubzi_docs/st-10-14.pdfhttp://www.27000.org/CTF и прочие хак-тренажёры:https://ctftime.org/https://xakep.ru/2015/04/17/exploit-exercises/https://habrahabr.ru/company/pentestit/blog/261569/https://stackoff.ru/resursy-dlya-tex-u-kogo-cheshutsya-ruki-i-mozg/https://github.com/ctfs - райтапы(разбор заданий)Конференции:https://defcon.org/http://blackhat.com/http://www.phdays.ru/http://zeronights.org/https://csaw.engineering.nyu.edu/http://conference.hitb.org/http://nullcon.net/website/http://hack.lu/http://www.codegate.org/Блоги:http://shell-storm.org/ - есть райтапы для CTF и база шеллкодов под разные архитектурыhttp://expdev-kiuhnm.rhcloud.com/http://passing-the-hash.blogspot.ru/http://raz0r.name/https://cyberoperations.wordpress.com/https://www.corelan.be/Сайты:http://www.cvedetails.com/https://www.offensive-security.com/https://www.exploit-db.com/http://www.vulnerability-lab.com/https://xakep.ru/http://www.securitylab.ru/https://securelist.ru/ - осторожно, присутствует реклама продуктов лаборатории Касперскогоhttps://forum.antichat.ru/ - в основном ценность имеют старые статьиhttps://rdot.org/ - отпочковался от античата, вроде подаёт признаки жизниhttps://habrahabr.ru/hub/infosecurity/ - для дополнительного чтенияИнтервью:http://blogerator.ru/page/izvestnyj-programmist-pokonchil-zhizn-samoubijstvom-aaron-shvarc-aaron-swartz-prichina-smerti-podrobnosti-detali-pochemu - несколько видео внутри(Аарон Шварц)http://blogerator.ru/page/evangelie-ot-myshhha-kris-kasperski-intervju-1 - Крис Касперскиhttp://blogerator.ru/page/edrian-lamo-hakerskaja-teorija-schastja-intervju - Эдриан Ламоhttp://echo.msk.ru/programs/arsenal/1691688-echo/ - Алексей Марков(президент Эшелона)Интернет вещей:https://habrahabr.ru/company/intel/blog/187706/ - просто хотел показать, что есть такая операционка. Взлетит или нет - вопрос времени.https://securelist.ru/analysis/obzor/22001/internet-veshhej-kak-ya-xaknul-svoj-dom/https://habrahabr.ru/company/pt/blog/275853/https://securelist.ru/analysis/obzor/27244/uchimsya-zhit-v-internete-veshhej/Анонимность, анти-анонимность и бэкдоры:https://forum.antichat.ru/threads/5093/https://habrahabr.ru/post/191448/https://habrahabr.ru/post/190396/https://xakep.ru/2013/10/03/mozhno-li-doveryat-vpn-setyam-svoi-sekrety/http://javascript.ru/unsorted/idhttps://xakep.ru/2015/01/30/user-web-tracking-howto/https://xakep.ru/2007/12/05/41412/https://habrahabr.ru/company/neuronspace/blog/264235/https://habrahabr.ru/company/pt/blog/191384/http://www.securitylab.ru/analytics/482547.phphttp://www.securitylab.ru/analytics/432914.phphttp://www.securitylab.ru/contest/437841.phphttp://www.securitylab.ru/contest/438339.phphttps://xakep.ru/2011/12/26/58104/https://xakep.ru/2011/03/29/55194/https://habrahabr.ru/company/neuronspace/blog/254671/Google hacking:https://freehacks.ru/showthread.php?t=2428https://habrahabr.ru/post/283210/Прочее:https://learnxinyminutes.com/ - быстрое ознакомление с языком программированияhttps://adsecurity.org/https://securelist.ru/analysis/obzor/27338/russkoyazychnaya-finansovaya-kiberprestupnost-kak-eto-rabotaet/https://securelist.ru/analysis/obzor/25509/kak-pryachut-eksplojt-paki-vo-flash-obekte/https://habrahabr.ru/post/134638/ - о возможности проникновения во внутреннюю сеть через роутерhttps://habrahabr.ru/company/eset/blog/303086/ - Control-flow Enforcement Technologyhttp://xakep-archive.ru/xa/118/080/1.htm - TLS(Thread Local Storage)https://habrahabr.ru/company/mailru/blog/228681/ - вирусыhttps://xakep.ru/2008/07/29/44663/ - System Management Modehttps://xakep.ru/2010/05/04/51978/ - System Management Modehttps://xakep.ru/2015/02/24/hack-admin-rules-linux/ - повышение привилегий в Linuxhttps://xakep.ru/2014/12/24/hack-admin-rules/ - повышение привилегий в Windowshttps://forum.antichat.ru/threads/119047/ - Быстрый Blind SQL Injectionhttps://habrahabr.ru/post/122445/ - SSHРесурсы Хакердома:https://ulearn.azurewebsites.net/Course/Hackerdomhttp://training.hackerdom.ru/Курс молодого бойца от Андрея Петухова:https://docs.google.com/document/d/13zgZ_CRRHADwxf41mSSSuoJQLkMc67TXxpYLoW6lRak/edit#Курс CTF на Физтехеhttps://github.com/xairy/mipt-ctfАнализ безопасности веб-проектов: https://stepic.org/course/%D0%90%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7-%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8-%D0%B2%D0%B5%D0%B1-%D0%BF%D1%80%D0%BE%D0%B5%D0%BA%D1%82%D0%BE%D0%B2-127/Базовый курс по архитектуре компьютеров: https://stepic.org/course/%D0%92%D0%B2%D0%B5%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5-%D0%B2-%D0%B0%D1%80%D1%85%D0%B8%D1%82%D0%B5%D0%BA%D1%82%D1%83%D1%80%D1%83-%D0%AD%D0%92%D0%9C-%D0%AD%D0%BB%D0%B5%D0%BC%D0%B5%D0%BD%D1%82%D1%8B-%D0%BE%D0%BF%D0%B5%D1%80%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D1%8B%D1%85-%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC-253/http://itsecwiki.orghttp://kmb.ufoctf.ru/http://resources.infosecinstitute.com/tools-of-trade-and-resources-to-prepare-in-a-hacker-ctf-competition-or-challenge/Ассемблер в Linux для программистов C:https://ru.wikibooks.org/wiki/%D0%90%D1%81%D1%81%D0%B5%D0%BC%D0%B1%D0%BB%D0%B5%D1%80_%D0%B2_Linux_%D0%B4%D0%BB%D1%8F_%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%B8%D1%81%D1%82%D0%BE%D0%B2_CСтатьи:http://pycode.ru/2011/01/ctf/http://cyberleninka.ru/article/n/o-sorevnovaniyah-ctf-po-kompyuternoy-bezopasnostiПодкасты на русском:Квант безопасности — http://nikitarrr.podfm.ru/securitynews/Открытая безопасность — http://www.open-sec.ru/Диалоги поИБэ — http://risspa.podster.fm/Noise Security Bit — http://noisebit.podster.fm/Securit13 Podcast — securit13.libsyn.comАрхивы phdays https://www.phdays.com/broadcast/Торенты видеокурсов по ИБ https://rutracker.org/forum/viewforum.php?f=1560
CTF тренировки/wargames:http://ringzer0team.com/http://root-me.orghttp://canyouhack.it/http://www.hackthis.co.ukhttp://captf.com/practice-ctf/https://ctf365.com/http://smashthestack.orghttp://overthewire.org/wargames/https://microcorruption.com/loginhttps://exploit-exercises.com/http://freehackquest.com/Matasano Crypto Challenges - cryptopals.comОгромное количество всего:http://www.getmantra.com/hackery/https://www.gitbook.com/book/isislab/hack-night/detailsПолезные инструменты для CTFhttp://webcache.googleusercontent.com/search?q=cache:gOdFvGbs7R8J:delimitry.blogspot.com/2014/10/useful-tools-for-ctf.html+&cd=1&hl=ru&ct=clnkПолезные CTF репозитории на github:CTF Field Guide https://trailofbits.github.io/ctf/https://github.com/trailofbits/ctfCTF framework used by Gallopsled in every CTFhttp://pwntools.comhttps://github.com/Gallopsled/pwntoolsSome setup scripts for security research tools.https://github.com/zardus/ctf-toolsA curated list of CTF frameworks, libraries, resources and softwareshttps://apsdehal.in/awesome-ctf/https://github.com/apsdehal/awesome-ctfA general collection of information, tools, and tips regarding CTFs and similar security competitions http://ctfs.github.io/resourceshttps://github.com/ctfs/resourcesChallenges for Binary Exploitation Workshophttps://github.com/kablaa/CTF-WorkshopUseful for CTFs, wargames, pentesting. Educational purposes.https://github.com/bt3gl/My-Gray-Hacker-ResourcesA curated list of awesome Windows Exploitation resources, and shiny things. Inspired by awesomhttps://github.com/enddo/awesome-windows-exploitationCTF write-up'shttps://github.com/ctfs/write-ups-2014https://github.com/ctfs/write-ups-2015https://github.com/ctfs/write-ups-2016Образовательные порталы:http://www.pentesteracademy.com/http://www.infosecinstitute.com/http://opensecuritytraining.info/http://securitytrainings.net/Вузы:http://www.best-masters.com/ranking-master-business-intelligence-knowledge-and-security-management.htmlhttp://www.cyberdegrees.org/listings/top-schoolshttps://digitalguardian.com/blog/cybersecurity-higher-education-top-cybersecurity-colleges-and-degreesКурсы:https://academy.yandex.ru/events/system_administration/kit_2014/http://ocw.mit.edu/courses/electrical-engineering-and-computer-science/Exploit Development Communityhttps://expdev-kiuhnm.rhcloud.com/
В среду, 28 июня, WikiLeaks опубликовал очередную порцию секретных документов ЦРУ в рамках проекта Vault 7. На сайте появилась 42-страничная инструкция по использованию инструмента ELSA, позволяющего отслеживать пользователей Windows-устройств с поддержкой Wi-Fi на основе данных расширенной зоны обслуживания (Extended Service Set, ESS) или ближайших сетей Wi-Fi. https://wikileaks.org/vault7/document/Elsa_User_Manual/Elsa_User_Manual.pdfКто там про "виндоус без альтернатив" пелАх да рн-без,я же совсем забыл-вам сейчас не до викиликса тролфейс.жпг
>>816617>имеет ли смысл углубляться в иб и все такоеСейчас распишу простыню, а дальше сам для себя решишь, братишка.И так, как и обещал >>815983 начну.10 лет в сфере ИБ. Работал, как в сугубо техническом направлении ПЭМИНы, закладки и прочая недошпионская хуйня, так и непосредственно в ИБ.Так вот, ответственно заявляю за РФ. ИБ серьезно занимаются следующие: гэбня, военные и кое-что из правительства вроде МИДа, топ-конторы уровня Газпрома да и вообще нефтегаз/металлургия и прочее сырье, выкачиваемое из родной земельки, совсем немного серьезных банков из топ-10, в том числе ЦБ но там уже распиздяйства хватает. Всё. Ну т.е. вот совсем всё. Остальные 99.99% организаций под "ИБ" понимают бумагомарание всех родов вроде клепания тонны бумаг под 152-ФЗ, 382П и прочих высеров Кожевниковой, Валуева и ко, или это если совсем повезет руление "групповыми политиками в домене" или каким-нибудь корпоративным антивирусом. Даже не макспатролом, который стоит, как чугунный мост, а если его и используют, то как банальный инвентризатор наличия/отсутствия обновлений трустори.ИБ как таковое, если вы будете внимательно анализировать вышеозначенный список, у нас хоть как-то теплится только если есть бабло на это самое ИБ. В остальных случаях это ненужный придаток на границе ИТ/СБ без особенно видных результатов для современных гендиров. А так, давным давно складывается ощущение, что у нас и без ИТ с СБ обходились бы, но приходится по минимуму тратить на это бабло в первом случае, чтобы была хоть какая-то инфраструктура, а во втором, чтобы совсем уж нагло не воровали А воруют у нас почти все и всё, что плохо или хорошо лежит, это если кто еще не вырос из школьных мозгов, и не осознал этого забавного факта из жизни хомосапиенсов в джунглях современной России.И так, после краткого введения в "месте ИБ в бизнесе современной России". Распишу, что вас таки ожидает в карьером плане. А в карьером плане, если у вас за спиной нет Академии водителей гелендвагенов или военного вуза с последующей работой по специальности на государство и погоны, будет жопа. Максимум, подчеркну, максимум, что тебе светит - быть специалистом за жалкие 2 килобакса. Но при этом впахивать будешь, аки конь. Но чаще в Россиюшке 2 килобакса - предел мечтаний. На деле зп будет в районе 1К максимум и то в ДС. Начальником не станешь почти никогда. Знаешь почему? Потому что начальниками у тебя будут ребята, как раз таскавшие погоны. Либо с васильковым кантом, либо вообще со звездами. Это такой прямой намёк "как правильно строить карьеру ИБ в России".А теперь по основным направлениям.Классическое ИБ чем скорее всего будешь заниматься с 90% долей вероятности - регулярное чтение законов и подзаконных высеров, клепание регламентирующих документов по этому поводу, участие в никому не нужных совещаниях, общение на перекурах с быдлоадминами из ИТ или быдлосапогами из СБ, а может и с теми и с другими, попойки с контролирующими твою говноконтору проверяющими. Классический менеджер без задач в общем. ЗП до 80К деревянных в ДС.Всеми обожаемый тут пентест - контор, которые ими занимаются, 3.5. Рынок по объемам на уровне комариного хуя. Пентест почти никогда тут не заказывают, ибо никто не хочет оголять свою жопу. Все живут до первого инцидента. А если он и случится, стараются его замалчивать до последнего.криптография - тут все на самом деле очень грустно. Разрабатывать тебе ничего не дадут, т.к. это автоматом попадает под 99-ФЗ http://clsz.fsb.ru/license.htm. Если хочешь что-то серьезное делать - быть невызедным и работать за копейки на родное государство. В 99% же случаев в частном секторе - будешь тупо админить распределение ключей, что на уровне где-то сраного эникея. ЗП соответствующая 30 килорублей максимум.Техническая ИБ так же попадает под вышенаписанное. Если повезет, дадут поводить по губам нелинейным локатором или помониторить радиоэфир, хех. Но опять же, таких спецов нужно 3.5 калеки. Зп в районе 1К баксов. Ранняя импотенция и облысение гарантированы.ИБ при разработке ПО нахуй никому не нужно, особенно в мире современного макакодинга, надо быстрее "хуяк-хуяк и в продакшен", а не ловить утечки и переполнения буфера. Тут 100% надо смазывать трактор.антималварь - все уже занято. Есть достаточно инсайдов, что малварь давно пишут сами антималварьщики. Пока будешь набивать скилы, посадят.Отака хуйня, малята.Это кратко. Сегодня помониторю тред. Задавайте ваши ответы.
Кстати, грядет вступление 552-п. Все приготовились? я вот толком нихуя
>>1065136 (OP)По книгам добавлю, что Black hat python тоже вышла.
Перекат удался, однако! И сразу бамп образовательной платформой: https://www.cybrary.it/Ещё в прошлых тредах давалась пара ссылок на книги, но там дофига устаревающих и даже имеющих лишь историческую ценность книжек.
>>1065949> имеющих лишь историческую ценность книжек.@КНИГИ 2009ОГО ГОДА
>>10659542004-го
>>1065959Принципы толком не меняются. Как и векторы атак. Меня удивило, что в списке нет очевидного must read "Секреты и ложь" Шнайера.
>>1065961> ШнайераТы оппост читал? Видишь закономереость? Там техническая литература. А ты советуешь художку.
Как у безопасников с удалёнкой? Вообще насколько часто это практикуется? У Каспера кажись такого нет, у Dsec есть частичная удалёнка.
>>1065964Кстати поясните куда стремиться новичку? Позитив дигитал или каспер?
>>1065962В этой "художке" весь сок и понимание принципов ИБ, как таковых.
>>1065965В риэлтеры.
>>1065966А в войне и мир вся суть стратегического планирования.
>>1065965У некоторых стажировки есть, иногда даже оплачиваемые или удалённые. Многое зависит от твоего города и возможности его сменить.
>>1065969Ок. Добавлю конкретики. Город Москва, но здесь ничего не держит. Главное не деньги, а свалить за бугор.
>>1065972>МоскваНу тогда тебе есть, из чего выбирать. У Каспера точно есть стажировки, у Яндекса видел(но вроде бы нет ничего по ИБ). У Dsec стажировки в питерский офис. Тут ещё от скиллов зависит и желаемого направления. Можешь походить по собеседованиям на джуниора и понять, где нужно подтянуть знания.>свалить за бугорВо, как раз хотел спросить в треде, как в нашей специальности с перспективами заведения трактора. С СШП вроде бы понятно, там ИБ востребовано больше, чем у нас. Про Австралию писали, что некоторые организации нужно по закону пентестить 4 раза в год.
>>1065968Кстати, нихуя. Признайся, ты ведь не читал ни то, ни другое.
>>1066025Нет. Не читал. не читаю худодкуА про войну и мир навальный втирал, что для курсов страг. планирования в ейле требовали прочитать эту книгу.
>>1066063> навальныйЛучше бы ты художку читал, ейбогу.
>>1065968> вся суть стратегического планирования. Ильф-Петров "Золотой теленок" и «Теория игр. Искусство стратегического мышления в бизнесе и жизни» Авинаш Диксит и Барри Дж. Нейлбаффа прочитай эти две книги и больше никогда к этой теме не возвращайся.Все само по кирпичикам в голове сложится.>>1065967>В риэлтеры. Если только в черные. У обычных сейчас конкурс по 100 чел на место-сокращение персонала у них уже второй год идет,продаж-то нет нихуя-крайзис,люди ежей доедают.
Пацаны, с метасплойтом может помочь кто? Пердолю учебную тачку через реверс шелл, открыт фтп, генерю веномом шелл, заливаю, пускаю метасплойт, все ввожу верно, зашил тоже тоже норм, делаю все правильно, хуярю эксплойт, завожу на тачке шел, метасплойт начинает работать, пишет sending stage И НИХУЯ, кореш делает все так же, у него врубается сессия, у меня просто стопорится в начале, в чем проблема может быть? Если пустить с фоне и чекнуть сессии в метасплойте то пишет что сессий нет, на порту, которым я пользуюст, висит конект с учебной тачкой. Апгрейды делал, базы проверил, на разные порты кидал. Может помочь кто, третьи сутки ебусь?
>>1065964У каспера из 3,5к примерно 2к в московских офисах, около 1к в офисах по всему миру. Остальные на удалёнке.Вопрос в том, что ты должен быть особо ценен для компании, чтобы выдвигать свои условия работы. Иначе пиздуй в офис или на хуй.
>>1066520> Остальные на удалёнке.Чёт дохуя. Откуда данные?
>>1066542>Чёт дохуя. Откуда данные? Тоже сталкивался,помимо удаленщиков у них и субподрядчики и аутсорсы есть. Не может крупный бизнес сидеть только в офисе.
>>1066628>субподрядчики и аутсорсыЭто понятно, но 14 процентов удалёнщиков слишком много. В 5 процентов поверю, но ожидал ещё меньше. Где они такое сказали?
>>1066207>>1465x1209>> Пацаны, с метасплойтомесли в такую элементарщину не можешь простые скрипты ебаные запустить, то лучше смени отрасль - не твоё.
>>1067120Двачую.мимо знаю метасплоит с рождения
Реально ли вкатиться в ФСБ после гражданского вуза по ИБ? слышал что в некоторые московские вузы на последний курс приезжают люди в черном и предлагают контракт, есть ли особо перспективные в этом плане или все хуйня? Алсо что скажете по поводу обучения на курсах типа cisco, стоит того? Да и вообще, так ли все плохо с работой, как описано в знаменитой пасте?
>>1067208Чем будешь моложе, тем реальнее. Курсы нужны разве что ради корочки. С работой не плохо, и она в принципе будет всегда, в пасте просто указано, как правильно делать карьеру, ну и реальный уровень зп, как и то, чем будешь заниматься, чтобы знали, на что идут.
>>1067208>так ли все плохо с работой, как описано в знаменитой пасте? Если работать на дядю никогда пряников не получишь. Идешь в БЦ арендуешь комнату,а затем предлагаешь свой ИБ всем обитателям БЦ. В ДС 1700 БЦ и 1500 ТЦ работы на всех хватит. А пасте не верь-не то что она лживая хотя это было доказано в прошлом треде про чувака нашедшего закладки в материнках и лубянка даже не поняла о чем он говорит просто это манипуляция фактами с целью заставить тебя идти работать задешево в госы.
>>1067220В треде консперолух? Давай попредлагай свои иб-услуги без спецов в штате и без лицухи. Дядя майор только и ждёт чтобы наебнуть такого умника как ты.
>>1067220>Идешь в БЦ арендуешь комнату,а затем предлагаешь свой ИБ всем обитателям БЦ
>>1067220> Идешь в БЦ арендуешь комнату,а затем предлагаешь свой ИБ всем обитателям БЦ. И обитатели БЦ шлют тебя на хуй. Сетевые магазины потому, что у них свой штат ИТ, а ИП Ашот, как и ООО камшот экономят на просто ИТ, за ИБ платить тем более не будут. Да и что ты им предложишь? "Поставить антивирус"? Там давным давно шуршат миниэникеи. Или ты им SEIM развернешь? > А пасте не верь-не то что она лживая хотя это было доказано в прошлом треде про чувака нашедшего закладки в материнках и лубянка даже не поняла Нука пруфы в студию, что там было что-то доказано?> о чем он говорит просто это манипуляция фактами с целью заставить тебя идти работать задешево в госы.Вот это полёт маня-фантазий... Шапочка из фольги не жмет?
>>1067263> Дядя майор только и ждёт>>1067272 >>1067308Опять наплыв портянок,незнающих, что ИБ это нетолько "пробивка" и прочие корочкокозыряния,раздувание щёк и намеки на паяльник,а в первую очередь IT-безопасность -2017 на дворе. Никогда штатный сисадмин,а зачастую эникей в фирмочке 20-30 пользователей не будет иметь тот багаж по айти-безопасности, что специалист. ИБ не заменяет местный персонал, он его дополняет с весьма определенной целью.Здесь и вступает в игру ИБ-консультант. Периметр,анализ,права и поддержка всего этого за скромную ежемесячную мзду,что у сидящих в одном комплексе вызвает больше доверия. Любой минимальный БЦ это минимум 50 фирмочек на 10-30 человек. Если окучить даже каждую десятую,а на практике выходит каждая 4-5,то это достаточный доход чтобы не скулить,где мои 200 штук мес. Просто научись продавать свои знания,если они есть,конечно.Но дебилам же делать цивилизованный бизнес некрасива -"Где углеводороды,где охулиарды,где понты наконец,мы что зря портянки мотать учились и честь перед зеркалом отдавать с ебанутой мордой лица,кого я тут нагибать буду?!". Вахтеры как они есть в чистом виде,тупые исполнители. Сколько я ебальников таким поразбивал за то что они "словом офицера" козыряли об отсутствии следов взлома. Берешь его за шкирку и начинаешь перед ним восстанавливать содержимое логов. Скулящие пидорасы,блядь. Вот нахуй я им это рассказываю?! Ведь хочешь же по-человечески показать ну может просто не понимает человек,не видит дороги,а он настолько интеллектуально ограничен,что вместо того чтобы слушать и впитывать,начинает выебываться. Ну и сидите в говне своем, перетирая про "денег нет"
Приветствую.Сегодня мне ВНЕЗАПНО позвонил мужик и сказал, интересует ли меня работа в ФСБ РФ. После утвердительного ответа сказал, чтобы я ему перезвонил когда буду в центре города для собеседования.Собственно два вопроса: это подстава и меня порежут на органы? Если не подстава, то к чему готовиться? Приходить в костюме-тройке или можно в берцах, шортах и футболке? Меня на собеседовании заставят строить защищенную сеть на 20 компьютеров или просто убедятся, что я не мудак.P.S. Я свежевыпустившийся специалист по компьютерной безопасности.
>>1067120Знакомый длелает все как и я, и у него выходит.
>>1067419Видимо ты был на хорошем счету и кого-то из преподов с бывшими погонами. По-другому туда и не зовут. Т.е. тебя уже рекомендовали. Сходи так и так. Экспириенс будет интересный, отвечаю.
>>1067416Поцоны, а шизофазия нынче лечится вообще?
>>1067451>ПоцоныОбоссали тебя копротивленец,сиди и помалкивай. По делу всё написано. В ИБ сидеть и ждать у моря погоды бесполезно. Надо самому двигать процесс. Рыночек уже порешал,есть услуги,которые востребованы и есть те, которые даже забесплатно никому в хуй не уперлись. Петя свидетель.
>>1067451Кажется у нас свой Владичка завелся.:(
>>1067539Слышь, мудло беспробельное, от твоих высеров пространственных так веет агрессивным быдлом уровня тех же сапог, что ты так показушно ненавидишь, что аж тошно. > Обоссали тебя копротивленец,сиди и помалкивай. По делу всё написано.Чем больше себя подсемёниваешь, тем "авторитетнее" для самого себя и звучишь, да? Тебя видно, гэбня часто под хвост няшила, что до сих пор отойти не можешь. Ну и твой колхозный бЫзнес план уровня "яиц и бульона" тоже тебя не красит. "ИБ консультант", лол. Прям представляю, как подходишь ты такой, консультант, к лотку в ТЦ с спиннерами, да чехольчиками, и давай им про Петю шифровальщика лечить, и как ты их спасешь за мелкий прайс, лол.И да, буйное животное, где там пруфы-пруфики на счет "лживости" достаточно объективной пасты?
>>1067548А кто это?
>>1067308>обитатели БЦ шлют тебя на хуй. Сетевые магазины потому, что у них свой штат ИТ, а ИП Ашот, как и ООО камшот экономят на просто ИТ, за ИБ платить тем более не будут.Внезапно услуги директорам, которые мутят за глазами владельца биза. У них зачастую бешеное бабло откатывается и распиливается, а свой IT не привлечешь, первыми же и сдадут. Услуги формата как общаться, чтобы не записали и где прятать, чтобы не нашли- это заебись.
>>1067573Тогда уж проще сразу в черные шапки или кардинг какой. А так, типичная постсовковая пидорашья натура "лишь бы наебать", да "бабла побольше получать"... Да еще и без просчета - во что сиюминутный откат может вылиться в итоге.Самим-то не стыдно? "Безопаснички", блядь....
>>1067419Расскажи хоть потом, чо было-то.
>>1067552>мудло беспробельное> подсемёниваешь> под хвост няшила>буйное животноеУровень аргументации. Даже мем "владичка" не в тему втянул.>>1067552>на счет "лживости" достаточно объективной пастыКак у тебя бомбануло-то,уже второй тред остановиться не можешь. Прости нас за то что ты такой."я сильно сомневался в их технической грамотности, поскольку они просто не поняли большую часть того, что я рассказал и показал....Сотрудники «Газпрома» посетовали на низкий уровень информационной безопасности и заявили, что это не их дело, поскольку они руководствуются требованиями и правилами, которые устанавливает ФСБ. Круг замкнулся, стало понятно, что эту монолитную систему «информационной безответственности» не пробить."https://xakep.ru/2011/12/26/58104/Здесь вообще всё надо копипаститьhttp://mikhailmasl.livejournal.com/4852.htmlНа неделю тебе хватит,а потом мы тебе еще ссылок подкинем чтобы тред не засирал.
>>1067581>черные шапки или кардинг какойНаказуемо УК РФ. Это такой вор, только по ИБ. Ездит на бутылках и носит робу.>консультации на тему экономической, юридической и информационной безопасностиЛегально. Это такой адвокат, только по ИБ. Ездит на мерседесе и носит костюм.>типичная постсовковая пидорашья натура лишь бы наебатьТолько качественное выполнение услуг перед заказчиком>бабла побольше получатьпо международным стандартам бизнеса>Да еще и без просчета - во что сиюминутный откат может вылиться в итоге.с возможностью любых расчетов за дополнительную плату
Раз зашла речь про откаты, то поясните. На этом можно заработать? Рыночек занят или всегда есть чинуша, который хочет лишнюю строчку в смету? Что им предлагать?
>>1067633Допустим, возьмем классический B2G сектор.На уровне сейла B - ты зарабатываешь закрытием сделки.На уровне лпр G - ты получаешь откат, и, опционально, делишься с коллегами.Изначально надо предлагать то, на что идет тендер, а далее знакомиться лично и обсуждать варианты сотрудничества. Что мы можем сделать, чтобы выиграть тендер? Как мы можем учесть Ваши интересы? Как нам сделать наше предложение максимально выгодным для Вас?
>>1067637Я скорее спрашивал в какие тендеры вкатываться, а не как их выигрывать. Госы не спрашивают услуги безопасников. Наверно придётся сначала уговаривать организовать аудит, а потом получить заказ. Что кроме аудита можно делать?
>>1067608> вместо прямого ответа начал вновь вилять жопой и кинул какие-то невнятные мемуары уровня Джеймса БондаЯсно. Понятно.
>>1067633Гори в аду.
>>1067644их все равно интеграторы выигрывают. забудь
>>1067658Да ну, прикольные мемуары. "Либерашка в Кровавой Гэбне"
>>1067767Не, конечно, спасибо, что Акунина или, прости господи, Криптономикон читать не предложил, но главный вопрос был - пруфы лжи в пресловутой пасте. Этот поехавший только насрал несколько кучек текста, но на сам вопрос в итоге и не ответил.
Господа, что про эшелон скажете?
есть ли смысл в аспирантуре по ИБ?
>>1067960Есть ли смысл в бакалавриате по иб?
>>1067960>>1067976ЕстьЕсть
>>1067936ECHELON?
>>1067936На уровне слухов из жёлтой прессе - любой. Более менее достоверную информацию - Сноуден, но сомневаюсь что он тут сидит.
>>1068128>>1067451
>>1068172>>1067451
В треде ИБкун из сами знаете какой конторы по типу говногазнефть. В знаменитой пасте могу опровергнуть лишь то, что в сырье/энергетике занимаются ИБ серьезно. В моей конторе у руля бывший фэбос, который максимум шо умеет махать шашкой. В отделе еще 2 дауна с нулевыми скилами. Максимум шо они умеют это высрать что-то в стиле давайте закроем везде порты и пнем админов шобы проверили шо патчи с всуса нормально доходяд до АРМов. О чем тут блять говорить, если патчи от ваннакрая вышле в марте а вирусня начала хуярить в мае, а эти ИБдауны только в июне начали чесать жопу "а у всех ли стоит KB закрывающий уязвимость". Цимес в том, что в таких конторах оборудование по АСУ еще и пашет на win98 иногда 2000, и никто его менять не собирается лол. Что бы не быть голословным. Возьмем недавние события с ваннакраем и петей. Есть официальная инфа о том, что вирус наебнул эту вашу роснефть и башнефть. От ваннакрая обосралось еще и ржд. А у ржд явно в консультантах по ИБ еще и фэбосы должны быть ибо блять объект повышенной террористической угрозы. Добавлю еще то, что петек наебнул банки, только ни один не признался лол. В треде были ИБкуны из банков. Подтвердите братки? Суть такова: в РФ ИБ никто не занимается, братки, ибо у руля ебанутые вояки, бюджеты нулевые, отделы для галки, чтобы отбиваться от фстэка и ркна. Не тешьте себя надеждами.
>>1068260>ебанутые воякиЯ несколько задумался, и видится мне, что вояки нет, не ебанутые, они другими категориями мыслят. Их же вся эта вирусня не касается, когда эльбрусы, кассеты, бумага и пишущие машинки.
>>1067416Уебище то какое. Откуда сбежал?
>>1068262Я как-то сводил своего начальника посмотреть, послушать как работает схд с лентами. Он чуть не обоссался от настальгии когда услышал.ИБкун из говногазнефти
>>1068260> В треде были ИБкуны из банков. Подтвердите братки?Как в воду смотришь. Вчера заказчик бывший попросил съездить в один неприметный офис. Съездил,пообщался. Я обычно с банками напрямую не работаю,но знакомый хороший и денег посулил. Консультацию оказал,тонны нефти получил. Банк из топ-20. Почему человека со стороны позвали я понял только когда приехал. 70% WinXP, AD на 2к3,длинки на ядре и неуправляемые свитчи на пользователях,WiFi гостям дают прямо в локалочку. Какой нахуй Radius,чё это? Вон на стене пароль написан. Вместо сисадминов эникеи. На рм скотчем примотанные персональные токены. Из тех,что общался только два грамотных спеца один архивариус,второй из процессинга. Остальные это какой-то лютый пиздец. Открыто вообще всё,еби не хочу. Васянство беспросветное, как они сертификаты получили вообще не понимаю. Высказал всё, что думаю их ибачеру. Ему шизику похуй,фондов нет,персонала нет,зато в разговоре похвастался, что только что беху новую взял. Военный бывший,из академии лол. Полночи не спал, всё думал в ЦБ заяву накатать. ЦруФсбМочаГазНефть мало там адекватов и не только иб касается. Вот так вот малята.
>>1068260>В треде были ИБкуны из банков.ИБ кун из банка в топ-15 по РФ.Мы таки скорее были пропатчены, как только узнали о wannacry пятница вечер, так хуй ушли пить пятничное крафтовое пивко, сорвали все дочки и филиалы и уже к утру субботы те, кто не пропатчились, таки патчи поставили. В общем "ни единого разрыва". Но объективно скажу, что пронесло. Меня даже больше ебет 552-п, чем какие-то там шифровальщики, т.к. бэкапы никто не отменял, а вот проверка ЦБ вещь куда страшнее для организации в РФ.
>>1068260АСУ вообще больная тема, когда работал в конторе, где дохуя заводов было по РФ и проехался там разок с инспекцией, сразу же уволился к хуям. Т.к. понимаю, что разгрести эти авгеевы конюшни в разумный срок не возможно, да и бабла на это хуй кто даст. В общем, в случае реальной войны или реального терракта, прообъектам пизда.
>>1068337Ну и пиздец. Работал я в небольшом энтерпрайзе, в котором денег на it давали мало, поэтому там работали в основном студенты. Хрюша на 10-15 процентах компов и то только потому, что не выделяют бабки на замену некрожелеза. С сегментацией сети порядок, через вифи во внутреннюю сеть не попасть, по всяким токенам и прочему есть правила работы и они даже в основном соблюдаются юзерами. Хотели даже ad с керберос замутить, но начальство не одобрило, но никто хотя бы под админом не сидит. Длинки или на доступе(и то иногда циски), или там, где экономия на цисках оправдана(но не в ядре). Неуправляемые свитчи у юзеров тоже есть, но это казалось нам уебанством и мы потихоньку старались от этого уйти. И мне постоянно казалось, что у нас ёбаный цирк и торжество распиздяйства.А ещё есть специалист по информационной безопасности. Уже не студент, перекатился из админов. Бумажник. Выставляет рдп наружу голой жопой. Ставит пароли уровня 123456. В итоге, блядь, админы учили безопасности безопасника.
>>1068260>>1068340Крупный банк с дочкой в руинах.Ваннакрай были единичные случаи, Петя пролетел мимо. Касперский отработал нормально.
В МЭИ на очно-заочной никто не учился? Что меня ждёт?
>>1069057Информационной безопасности, разумеется.
Ждём новую волну хакерских атак, никто ничему не учится даже на своих ошибках.http://www.securitylab.ru/news/487133.php
>>1069079Было б чему удивляться.
Кто знает достойные внимания статьи/книги на тему "Безопасность информационно-вычислительных систем"? Поделитесь ссылочками, если есть у кого что-то по этому направлению, пожалуйста.
Сап, учусь на информационную безопасность в шараге, собсна:1. Лучше идти на вышку, или после шараги исеать работу2. В чем вообща заключается практическая сторона работы(афк сидеть и смотреть, чтобя никто не ломился на серв?)3. Вообще, куда лучше идти работать и кому я нужен с такой специальностью?4. Че там по зп?
>>1070636>1. Лучше идти на вышку, или после шараги искать работуНа вышку. Без неё трудно работу найти>2. В чем вообща заключается практическая сторона работы(афк сидеть и смотреть, чтобя никто не ломился на серв?)Зависит от того где работать>3. Вообще, куда лучше идти работать и кому я нужен с такой специальностью?Пока никуда. Стремись в крутые компании, что у всех на слуху. >4. Че там по зп? Ниже чем у обычных прогеров
>>1070650>Ниже чем у обычных прогеровЯ бы сказал, что обычно даже ниже, чем у админов со специализацией.
>>1070373Анон,кто перекатывать в будущем будет,добавьте в стоп-лист авторов по ИБ, которых читать бесполезно и даже вредно: Проскурин В. Г. вода-мокрая-это вода-да-мокрая вода-так в википедии написано-но это учебник-поэтому зубрите-вода мокрая. 3 его книги прочел,это пиздец,а ведь там написано,где он преподает. Аноны добавляйте говно авторов чтобы не тратить на них свое время.
>>1070975Очевидный Генрих Лемке.
>>1071011>Очевидный Генрих Лемке. Не любишь Лемке? Признавайся это ты его форсил под Кирилл Ивашкин http://kirov-times.ru/forums/2/topics/292
>>1071304Нет, не люблю, т.к. честно пробовал его читать. Отборная шизофазия чистой воды. Зашел по ссылке, честно, охуел. Захотелось быстро сделать шапочку из фольги. И да, это не я, я по таким помойкам не шарюсь, и тебе не рекомендую.
>>1071336У Лемке хорошо даны основы разведки в условиях жесткой контрразведки, у него же опыт гру. Допустим, беззаходовая комм.разведка предприятия. Аналогов в открытом доступе не видел, ты однозначно погорячился со своим решением.
>>1071360Ты его нашёл годную книгу? Назовимимо
>>1071360> Допустим, беззаходовая комм.разведка предприятия. Аналогов в открытом доступе не видел, ты однозначно погорячился со своим решением.Блядь, я сейчас поужинаю и не поленюсь раскопать в домашней библиотеке именно эту книгу. Там накал шизофазии сильнее всего.> груВообще не показатель. У меня у родной бабки муж был полканом гру. Реально был наглухо поехавший шизик и воин синего легиона. В итоге по синей же лавке вышел в окно. На будущее советую не дрочить на аббривеатуры, особенно современные.
И так, вот два стула:Какой открыть первым?
>>1071403Открывай секреты комм.разведки. Серия ось 89 в целом радует.
>>1071405Тоже спорно. Ок, вот содержание. Выглядит относительно логичным но опять же, на первый взгляд. Начинаешь читать подробнее, и...
>>1071410
И так, какую главу открыть?
>>1071413гл. 15 к вопросу об агентуре - 265. давай сразу к делу и методикам.
>>1071415Минуту. Вот еще что нашел, хех.
>>1071423Откуда у тебя это все?Я вот года джва назад пытался найти- и нихуя не нашел в продаже. Только в pdf, и то далеко не все.
>>1071435Был молод, глуп еще не повидал больших залуп и повелся на эту серию после "Бизнес разведки" Доронина. Лемке купил скопом еще тогда, доставили названия и главы содержания, а начал внимательно читать только спустя год, когда пришлось заниматься бизнес-контрразведкой на практике.И так, выкладываю всю 15-ю главу, будет 3 поста по 4 разворота в т.ч. этотЗаранее извиняюсь за слоупочность, блядкая макакаба не пускает из-за размеров фоток, приходится резать.
>>1071443
>>1071445Пока фоткал еще раз перечитал. Ну ведь реально поток больного сознания. Море воды, сносок словоблудных, а на деле Н-И-Х-У-Я.
>>1071435Хочешь, кстати, все 5 книг могу тебе загнать? Если ты в ДС, то могу даже лично передать. КР явно пройденный этап в моей жизни. хоть и было весело
>>1071453Что могу сказать. Да, действительно, эта книга Лемке- не учебник, а потом сознания. Но потоки сознания тоже можно читать, это такая форма общения с автором, короче попиздеть с человеком в теме, когда таковых рядом нет, вот это бесценно.Пишет он хоть и с водой, хоть и спорно,но- с чем-то соглашусь, с чем-то нет.Книги с удовольствием заберу. Кидай свое фейкомыло.
>>1071458либо сам пиши на kotovodspb@protonmail.com
>>1071461Отписал
>>1071449>а на деле Н-И-Х-У-Я. Как это нихуя-мораль же вывел:глупо спалится на вербовке сотрудника конкурента,потому что всё шаблонно лишь с небольшими изменениями. Правда до него чуть раньше то же самое какой-то сунь-цзы сказал,но мысль же есть. лол
Недавно получил вышку по защите информации и хочу работать по специальности. Учился не особо прилежно, такое чувство что вообще нихуя не знаю (ну что-то знаю, конечно, но такое себе). Опыта работы в этой сфере нет. С чего начать? Куда вкатываться, где и какую работу найти, чтобы постепенно осваиваться и входить в нужную струю? Какие знания и навыки подтянуть на должный уровень, чтобы не обосраться на собеседованиях?Короче, с чего начать и где искать работу зеленому выпускнику?
>>1071677Да не как блять.ОП посты не читал или в глаза долбишься?Нахуй в этой пораше водиться, что оно тебе даст?Уровень ЗП в среднем, чуть выше чем у админов. Все остальное геморрой и лысины на голове.
>>1067586Кароч, сходил на собеседование.Встретил меня мужик в гражданском, предложил побеседовать на улице.Сказал следующее: из минусов - невыездной, рабочий день ненормированный, но все учитывается. Переработал - получил дополнительную денежку, потом как-нибудь ушел пораньше.Из плюсов - все военные льготы, зарплата с первого дня 50 тысяч, дальше больше, начинаешь лейтенантом.С момента как ты согласишься запускаются шестеренки, тебя проверяют, сдаешь всякие нормативы-медкомиссии, к работе приступаешь через год.Еще предупредил что круг общения резко сужается, но я же у мамы интроверт, мне не страшно.Потом спрашивал как у меня с веществами, где родственники живут, были ли проблемы с законом и тому подобное.В конце сказал подумать и позвонить через неделю с предварительным решением.
>>1071811Ну все верно он тебе написал. Что сам думаешь?
>>1071813> *РасписалБыстрофикс
>>1071813Я склоняюсь к тому, чтобы согласиться. Стабильность, хорошая зарплата, куча льгот. Для слегка асоциального бывшего студента условия просто офигенные. С другой стороны это значит что за оставшийся год крайне желательно найти тян, причем ту которая хочет замуж за лейтенанта, чтобы стать генеральшей(или там полковничихой), потому что потом уже будет как-то некогда.А вообще, если тут есть ФСБ-куны, вы мне скажите, вы вообще жизнью довольны?
>>1071811А чем заниматься? Писать эксплоиты для взлома ЦРУ?
>>1071866Честно сказал, что не знает. Именно поэтому берут сразу после университета с базовой подготовкой в общей области безопасности.Когда уже заключишь контракт, вроде как определят на конкретную работу и начнут на нее натаскивать.
>>1071773Читал. Энивей вышка есть уже. В "программисты" 300к/с не хочу, не мое это. Да и не готовили нас в прогеры, от слова совсем. В какую область IT перекатываться тогда?
>>1071373Программа самоликвидации подсознательно наслаивалась на поведение личности, в один прекрасный момент словил триггер и ее отработал.
>>1071819>ФСБ-куныВ военаче у них тред
>>1071955Они на всех досках есть.
>>1071955Благодарю, туда тоже написал.
Анон, посоветуй книг или где лучше всего почитать про матчасть, по сетям, протоколам, серверам, как это все работает, для человека, который не имеет образования в этой сфере. Где то в ссылках шапки по сетям находил книгу и проебал, не могу найти сейчас.
>>1072066https://www.ozon.ru/context/detail/id/1065023/?group=div_bookну ты вроде взрослый, дальше сам разберешься
>>1071874Блин, ну я выпустился пару лет назад, в дипломе значится специалист по защите информации.По специальности работаю около года, в департаменте: я, ЭБ, директор. Весь левак с железом делают админы, у меня DLP, согласование, внутренние разборки, ну и банк-клиенты с отчётностью (ко-ко-ко ключи с криптографией, значит это твое), плюс частично выполняю работку ЭБ (т.к. там объемов много, а человечка не берут еще одного).Все "безопасность" сводится к закрыванию отверстия, чтоб в него не присунули регуляторы. Плюс раздача пиздюлей сотрудникам, за несоблюдения ОРД. Бывает конечно проскакивает годнота, но все больше и больше из разряда эконом без.Что касается варианта: "ну вот ты бы сам железом занимался, стал бы безопасником, ко-ко" - ну блять, это все хуйня. Железом пусть занимаются админы, эта их вотчина, мне надо просто понимать, что и как, а работать руками нахуй не надо. (но это моя личная позиция по данному вопросу).Если брать в расчёте PT (почему? ну например по тому, что там работает человек 5 знакомых, и да это про перекат): по сути ребята делают, "аудиты" и додрачивают свои софтины (кст вполне приемлемые, но стоят овер дохуя, для простых контор): всех их требования в вакансиях "спец по иб", сводится к знанию пайтона, OSI, ну и "умение работать с железом" и участие в CTF. В итоге допиливают макс-патрол, спайдер и другие приблуды - аля простая софтовая компания. Про пентестеров, реверсов и кулхацкеров говорить особо нечего, все как обычно, но все кто шарят, большая часть блэк хатят, держат все наликом или на счетах родственников и тп. Эта ниша для тех кто одарён и соображает, а не сидит на бордах (хотя быть может и есть, но это так) или ходит на вебинары где показывают как пользоваться kali.Что касается общей картины, платина в ОП-посте, и правда раскрывает всю суть. А если рассматривать мухосрански менее 1кк жителей, то там и подавно, все по пизде. Дрочка на кприто-про у УЦ, аудиты с локаторами (и то если повезет), сидение на жопе в какой-то конторе и подрачивать (собственно как я). Если рассматривать отрасль, то на мой взгляд тут палка о двух концах, если работать где-то на проектах, то стартовые ЗП там маленькие, но бывает различная годнота, можно поехать на АЭС, на нефте-газовый промысел, завод еще куда-то, тут и разные направления, и по стране покататься, да посмотреть что и как работает. ЗП там обычно начинает вырастать где-то через 2-3 года. В крупных компаниях обычно все централизовано, вся движуха проходит в центральных офисах, все что на площадках и филиалах, решение прихотей центра. ЗП тут более менее приемлемые, но все равно мало (мск, спб начальная вилка при 2-3лет опыта 70-90к).Может я конечно несу хуйню, но по большей части наши специальности нахуй никому не нужны, все ребята в погонах, решают наши вопросы на подскоках. А тех.часть админы обкашляют за кружкой пенного.Хотя все брошюры в университетах пестрят о том, что специальность очень крутая, вотсребованная, работать можно везде и всюду, берут в фсб, мвд, мин.обор другие сорта силового блока - обычная вода в уши абитуры, на которую кстати я частично повелся. А всю суть своей дальнейшей работы понял только на 3 курсе, когда начался НИРС.Да в целом, что говорить, что на прошлой, что на действующей работе удалось посмотреть на "расчётные листы" и понять кто и сколько получает.Прошла работа, была в офисе филиала одного оператора большой тройки, смотрю расчётки: ген.дир 150к, ком.дир 130к, тех.дир 105к; руководители отделов ком.служб: 70-80-90. руководители тех.блока: 60-70На нынешней работе аналогично: мой дир получает 75, дир логистов столько же, HR дир 65, а дальше продажники, закупшики, финики, комерсы и тд, у всех зп по 150к, у тех.дира 120.По ЗП вырисовывается картина, что в руководящих позициях, так называемые технари далеко отстают от финансового сектора, и сектора реализации продукции (под продукцией прошу понимать любую вещь, что прозводит ваша конторка).Лично у меня мысли пробовать перекатиться в какой-то финансовый сектор, в банки, консалтинг еще куда-то, ибо цифры не врут.Да и хули толку, ну безопасник, ну имеешь доступы, чувствуешь развитие синдрома вахтера, а головняков дахуя, денег мало, работа так себе.Кст на счет переката, еще есть вариант на должность pre-sale, или простым продажником, с одной стороны выглдяит как хуета, с другой если влиться, можно нормально подымать.Да собственно о чем говорить, торговый представитель в филип-морис (это самая низкая позиция в компании), получает от 50-60к, а при выполнении плана еще больше. В общем пока не поздно, думаю все же выкатываться из отрасли, ибо гиблое дело, особенно у нас.p.s: возможно скомкано и хуево написано, но что поделать.
>>1071819>А вообще, если тут есть ФСБ-куны, вы мне скажите, вы вообще жизнью довольны? Есть. Создай новый тред и в нем спрашивай. Раньше был тред спецслужб,но портянкам надоело получать уринотерапию и они создали второй тред в /wm , куда мало кто ходит за вопросами о работе.
>>1072075>А если рассматривать мухосрански менее 1кк жителейДа тут не в каждом миллионнике нормальное ИТ есть, про ИБ я уж молчу. В ДС, в меньшей степени в ДС-2 что-то есть, в некоторых миллионниках единичные вакансии, иногда компании свои по ИБ имеются. Всё.>по большей части наши специальности нахуй никому не нужны, все ребята в погонах, решают наши вопросы на подскокахИменно! Сколько бы ни пиздели нам про "катастрофическую нехватку спецов".>Хотя все брошюры в университетах пестрят о том, что специальность очень крутая, вотсребованная, работать можно везде и всюду, берут в фсб, мвд, мин.обор другие сорта силового блока - обычная вода в уши абитурыНам говорили, что у нас уникальная специальность, что у соседей аналогичная есть только в ещё более крупном ближайшем к нам миллионнике, некоторым из нас давали дополнительные стипендии как лучшим студентам по приоритетному направлению, но потом честно говорили, что по этой специальности работы нихуя нет, зато нужны толковые программисты.>денег малоМожет быть всё не настолько печально, если идти в профильные компании типа pt, dsec, каспера. А так проще пойти в админство: девопс, биг дата, высокие нагрузки, sdn и что-то ещё из того, что сейчас в моде. Денег больше(но всё равно гораздо меньше, чем в разработке), геморроя меньше.
>>1065916Хорошо, а если я захочу уйти в темную область, то какие перспективы по деньгам? Бекграунд неплохой, разработка + электроника, образование радиоэлектронная защита информации.Слышал, что очень мало ловят, если не зарываться и с умом все делать.
>>1072110> Раньше был тред спецслужбДо бамплимита год тонул периодически всплывая бампами мимокроков.
>>1072333https://forum.reverse4you.org/showthread.php?t=1582ну вот например.если в белую, то обычно от 100к рублей и выше.а так нужно в английский, ну и требуемые скилы.один мой товарищ, живет этим, областной центр, квартира 100кв.м+, машина за 2кк+ евроремонты, мото техника, постоянные путешествия, и постоянные оставление бабла во всех кабаках.в общем никто и не в чем себе не отказывает. если по простому, то хватит на все и вся.... пока товарищ майор не наведается))
>>1072458Нормально. С товарищем майором подключим параноидальный мод
>>1072075А сколько получает смузихлеб-пинтустер?
>>1072458>пока товарищ майор не наведается)) С чего бы ему наведываться,если человек официально трудоустроен? Он же не киллером на зарплате,а ресерчером трудится. Всеобщая боязнь товарища майора,самим товарищем майором умышленно раздута. Знаю одну контору куда "товарищи майоры" пришли и изъяли всю коммерческую информацию,носители,ключи БК итд-целый день работали. Безопасник только расшаркивался с бывшими коллегами,чай-кофе лично носил,а на следущий день стоя в холле на коленях пиздюлей получал реальных,кровью весь ковер залил потому что выяснилось корочки у "товарищей майоров" были липовые. Двоих, по видеозаписям охранки, опознали в РОВД с ходу-бывшие старлеи,уволенные по компроментирущим,остальных они сдали втечении часа. Решили так подзаработать,надеясь,что начнут взятку предлагать. Так что никого бояться не надо,есть закон,соблюдай его и проблем не будет,тогда и товарищи майоры закончатся.
>>1072613Так а в чём конкретно безопасник провинился? Что на корочки повёлся?
>>1072707>Так а в чём конкретно безопасник провинился? Что на корочки повёлся? Один-единственный звонок с целью проверить полномочия отделяет спеца от рядового кукарека. Раз бывшие летейхи были в составе банды значит процедуру знали,работали под официоз. в таких случаях одним простым звонком дежурному можно было проблему предотвратить. Не сделал- значит не знает порядка,не знает порядка-значит кукарек.
>>1072075Потому что перемешанны обязанности сб, иб, эб. + пытаются всучить админство
>>1072333Откуда слышал интересно?Новости не трубят многих дел, потому что они не понятны и скучны для обывателя.Учитывай так же, что ты можешь работать в правовом поле в России, но при этом нарушать закон в США. Поэтому при попытке посетить цивилизованную страну будешь мигом доставлен в Гуантанамо. Прецедентов сейчас предостаточно.
>>1072075>>1072235Не понимаю вашего нытья... обидно что не принесли все на блюдечке. Высшее образование даёт вам отличную возможность старта. А дальше вы уж как то сами распоряжайтесь своей судьбой. У меня вот не было такой возможности. Отучившись на электрика (не электроника с робототехникой, а электрика: розетки, проводка) пришлось очень много самому все учить. В итоге да, у меня хорошая работа в одной из лучших компаний в этой сфере.
>>1072812> ты можешь работать в правовом поле в России, но при этом нарушать закон в США.2017, в ИБ еще остались шизики, работающие в сети под реальными именами?
>>1072894Как и шизики, думающие, что они вообще не следят в интернетах, и корреляция - это не про них.
>>1072894Ты такой наивный верящий в свою неуязвимость. Но походу ты не в тебе от слова совсем. Почитай про Кребса, как он вычисляет реальные имена неуязвимых кулхацкеров.
>>1073201Он тебе о том и сказал, что от людей остаются следы.
>>1072825И чем тогда выпускник вуза лучше? Вот только не надо про "базу".
>>1073388>И чем тогда выпускник вуза лучше? Вот только не надо про "базу". Ничем не лучше,более того есть две-три книжки, и лол они даже на русском, вызубрив и начав применять которые рядовой таджик с мозгами может стать более скилованым чем 90% уже работающих выпускников по ИБ.Из-за излишнего стремления к академичности, там где это ненужно и лишних дисциплин, в РФ произошел перекос в образовании. Слишком многих спецов готовят 5-6 лет в вузах, а достаточно 1-2 года пту.Заменив ебануто написанные учебники на нормальные вплоть до переводных также можно сократить обучение по многим курсам. Это кстати не только ИБ касается.У вузов есть только один плюс -среда. Она формирует знакомства и связи,что в дальнейшем может дать неплохие шансы.
>>1067220>Идешь в БЦ арендуешь комнату,а затем предлагаешь свой ИБ всем обитателям БЦ. Добра тебе анон Неделю назад прочитал твой пост. Теперь сижу в офисе.Пилю прохладную.ДС. Турнули по сокращению из недр три месяца назад ибо нехуй своим ИБ начальство от секретарши и танчиков отвлекать. За это время догнал,что резюме моё читать и на собеседование звать никому нахуй смысла нет. Осталось 12,5 тысяч и съемная хата оплаченная до конца июля. Анон,ты не представляешь как плохо быть мной. Один хуй идти некуда,жить неначто. Пошел в ближайший бизнес-гадюшник,снял офис за 8 тыс в месяц комната 5х4. Стол и стул мне подогнал местный завхоз. БЦ запилил бесплатную табличку на дверь "Консультант по информационной безопасности ФИО неудачника" и попугая-матершинника неработающий домофон на дверь. ИП и р.с. у меня были с прошлой фирмы,там чтобы нас в штате не держать оформили ИП. Пока сидел и думал как и что целый месяц жрать на оставшиеся 4 штуки,в дверь постучали.Инстаграммного вида милфа зашла и спросила это вы новый компьютерщик,можете ли отключить пароль на ноуте? Да,но только за деньги подумал я,но хуй думал иначе и сказал только: несите. Пока эта коза таскалась за компом,решил сожрать дошик. Без кипятка и воды невкусно нахуй. Опять стук, еле успел закинуть дошик в ящик стола. Лысый вонючий долбоеб в косухе пришел интернет подключать и обрадовал в конце месяца оплата 5 штук. Попадалово нахуй. Припиздила милфочка отключил пароль в её восьмерке. Думал позыркать, хуй там. Дала 5 тысяч и еще спросила нормально-ли. Анон 5 тысяч за отключенный пароль. Я в ахуе. Мой мир треснул напополам,да за эти деньжищи я бы в полдень её в жопу на красной площади выебал. Жизнь начала налаживаться. Дал ей свою визитку,которую сделал на 1 этаже 100 штук за 400руб. Боги явно благоволят моим начинаниям. Отсканил калом беспроводные сетки с самым мощным сигналом,пробежался по корридору и сопоставил названия. Из 16 сеток 2 открылись сразу,еще 4 открыл легким брутом хендшейков. Выбрал ближайшую, от-ИБашил её на всю глубину моих знаний за 2 часа,составил репорты,согнал на флешку и попиздовал к начальнику этой фирмы. Думаю мой припизднутый видон повлиял, на ресепшне этой фирмы дал флешку и попросил распечатать для ФИО их директора, они без слов распечатали. С этой папкой пошел к их директору. Представился,дал визитку и рассказал о пиздеце в их сетке. Тот вызвал своего эникея и начал ебать,тряся моими отчетами.Обретать врага в лице местного эникея не хотелось,быстро встрял и начал пиздеть что сисадмин невиноват и не должен знать такие вещи. Для такого говна есть я и если дадите денег,то я всё сделаю в лучшем виде.Пожали руки,директор предложил оформить договор,сейчас вот задаток 40 тысяч наличкой. Анон,40 тысяч. Мой мозг не отошел еще от милфы,а тут сходу дают 40 и еще 80 после окончания аудита. Теперь неделю спустя я успешный ибач с 6 контрактами и еще 4 на подходе,периодически прибегают пидорасы с забытыми паролями.Буду иногда заглядывать в этот тредик,задавайте свои ответы.Думал пруфнуть контрактами,но подумал еще раз лол и решил идите на хуй.
>>1073555Шизик-сёменоид, ты бы прежде чем так толсто срать, хоть бы почерк собственный изучил цифровой. После первого же отсутствия пробела после запятой, понял, кого я читаю. И дальше читать, собственно, не стал.
>>1073595Бляя а ведь была такая история успеха(
>>1073697Этот шизик весь тред форсит идею наебизнеса в ибэ. Вот арендуешь офис в тц и заживёшь.
>>1073595А отсутствие пробела после точки ты не заметил, пиздец.
>>1073595>почерк собственный изучил цифровой.Мне конечно насрать на ваши тёрки. Я так понимаю пасту сочинил ты и уже второй тред сильно обижаешься на анона, её обосравшего. Но справедливости ради LT показывает разное авторство. Вот это >>1065136 (OP) (18 строк) >>1067416 (полностью)>>1067220 (полностью) писал один человек в программе нотепад++ там такая автоматическая система пунктуации (отсутствие пробелов после запятой, в тех местах где пробелы после запятой есть очевидна правка текста после вставки в форму двача). Можно предположить профессию бывший линукс программист теперь пользующийся окошками. Вот это >>1073555 писал другой человек (89 отличий) стилистика совершенно разная, отличается слог, обороты, манера использования глаголов и их положение и синтаксис. Предположительно человек из глубинки(рабочий район), но с высшим техническим образованием. ЗЫ. По базе оборотов первый долго жил в ДС2. Интересная методика кстати, плагинчик прицепил посмотрел на абзацы внешне вроде похожи, а программа орёт разные. Вывод не покажу во избежание деанона, но когда программа показала я понял, что абзацы действительно разные. Более того я нашел на каком ресурсе долго сидел первый. Определить ник не смог, но влияние 146%. Это разные люди. А в историю успеха я скорей верю чем нет. Сам об этом думал, вполне реально. Но ИПОТЕКА просто ссусь.
>>1073862>Этот шизик весь тред форсит идею наебизнеса в ибэ. Вот арендуешь офис в тц и заживёшь. Я лично насчитал в треде 2 сообщения про идею ИБ-бизнеса из 147. Это весь тред засрал? Тем более,что его посты адекватны и конструктивны. Скорей я поверю в то, что у тебя припекает от конкретного анона и тебе все равно по какому поводу на него наехать. Твои посты напротив это визги шизик-владичка стайл. Предположу и лет тебе немного и в /b зависаешь. Свои запятые на всякий случай проверил, а то и меня приплюсуешь, поехавший.
>>1073889> LT показывает Уже диванон. Лолирую на весь ИБ-тред. 2 полные инсталяшки на РФ и полторы сотни без экстендед плагинов.
У меня есть стойкое ощущение, поцоны, что в треде нас ровно 4 шт из регулярно отписывающих. Один из них точно из ДС, а еще один из ДС2.
>>1073898>2 сообщенияОн ещё предлагал модемы собирать, которые работают только с тема телефонами, что ввели номер и получили смс.
>>1073921я из ДС2, кто еще?
>>1073889> LT показывает разное авторствоЭто про что он пишет?
Вопрос, может, не по теме, но хуй знает. Пользуется кто сервисами типа этого: https://focus.kontur.ru/?promo=2762 ??? Можно контрагентов пробивать, если кому че нужно - там халявный доступ на 2 дня.
>>1073939Там про безопасность, а не лингвистику.
>>1073942>Там про безопасность, а не лингвистику. обязательный курс
>>1073951>обязательный курсЧто ты несёшь? Там нет такого.
>>1073952>вы всё врети
>>1073921Один из них точно из миллионника-мухосранска. Это я.
>>1072333история успеха: https://xakep.ru/2017/07/14/alphabay-rip/
>>1073962Однако-ж alpha02, главного администратора, не поймали. Забавно, что повесившийся был главным по безопасности площадки.
Мисье защитники информации я решил вкатиться в вирусные аналитики .в вакансии пишут нужны знания архитектуры винды ,можете пояснить подробнее что хотят от меня знать?насколько глубоко в ней надо разбираться?
>>1075114за Win32_API пояснишь че? а за АСМ? а за С? Дизассемблить могешь? Если нет пшел нахуй бумажник хуев.Мимо
>>1075186технобыдлу бомбануломимо ибшива
Что известно про Краснодарскую РосИнтеграцию?До сих пор платят по 10к студентам и пилят госбюджеты?Поясните.
>>1071677Сейм щит. После вузика сразу в армию, вот, почти месяц как откинулся. NEET.Втирали так же как >>1072075>Хотя все брошюры в университетах пестрят о том, что специальность очень крутая, вотсребованная, работать можно везде и всюду, берут в фсб, мвд, мин.обор другие сорта силового блокаПреподы до конца пиздели. Хотя насколько я, мамкин интроверт, слышал, по специальности из группы только один работает.
>>1075114Проходил собес на вирусного аналитика. Было два тестовых задания(реверс малвари и crackme, оба простые, максимум на один вечер), на самом собесе спрашивали, насколько хорошо знаком с winapi, asm, c, позадавали базовые вопросы про виртуальную память, стек, соглашения о вызове функций, формат PE, SEH, DLL Injection, немного по сетям спрашивали. Сказали, что в основном будет малварь под винду, но много попадается образцов и под мобильные платформы(иногда даже приходится байт-код java анализировать). Под линуксы что-то крайне редко попадается.
Короч, рассказываю.Учился на безопасника, профессию особо не выбирал и представления не имел. Лучше б сразу на кодинг ориентировплся. Но не суть.КраснодарГод работал по специальности.С чего бы начать... После окончания универа взяли меня в местную крупную контору, зп 14к на старте. Даже сись одменам со старта платили 25к. Ну, ладно, думал я, опыт главнее. На собеседовании обещали горы золота, Конторка в основном занималась задачами для гос.учреждений, коммерсов было пару за все время моей работы. Поставляли оборудование, программы, документы для проверок, занимались настройкой и внедрением всей этой чухни, продавали свой парашный сайт с шаблонами для производства докумкнтов по защите информации. Контракты были распильными, по факту моя работа нахуй не нужна была никому. Порой заказчик даже этого не скрывал. Увидел работу мелких и крупных госов изнутри - стабильно и бедно, тлен и стагнация. Компания работала по принципу выжить-выжать, цеплялись зубами за каждый рубль работников, постоянно набирала студентов - люди долго не держались и валили. ЗП спускалась фиксированная на отдел, начальники секторов/отделов решали как ее делить на остальных. Естественно, что свое отдавать никто не хотел, потому начальники занимались постоянными придирками, старались вызвать чувство вины (Но меня не наебешь, я сразу раскусил эту фишку). Через год у меня начал дергаться глаз. Отправляли в командировки по всему краю, день команлировки 500-700 рублей премии, на отели не более 1к за день, то бишь, чтоб максимально быстро и дешево, не дай бог задержишься. Доработки документов для заказчика по выходным. Даже не скрывали, что мол - ты бы занимался самосовершенствованием, делал бы еще работу дома вечерком и на выходных. Отношение к сотрудникам, как к скоту - вот, что чувствовалось.Изучил предложения конкурирующих фирм, не особо отличались условия. Бомбануло после того, как начальник начал наезжать, что мол, что-то ты неэффективно работаешь, следующий объект твой будет контрольным - не справишься, получишь зп без бонусов (то бишь не 15к, а 6к), а справишься - молодец. Еще вскольз намекнул, что мол, пока повышать рано, А ВОТ ГОДИКА ЧЕРЕЗ два-три - НОРМ. Тогда и уволился через пару недель.Еще когда только устраивался решил, что свалю, если через год мое состояние и заработок не будут меня устраивать.Три месяца искал работу тестировщиком, жава макакой, сисьодменом, учил базы данных и запросы. Устроился SQL разрабом, 35к, местная крупная фирма. Запросы, vba программирование, оракл, оптимизация, помощь юзерам, выдача доступов. Никаких командировок, работаю 4-5 часов в день, двачую капчу, никто не давит, не прессует, повышение зп каждые 7 месяцев на 5к. Переработки оплачивают поминутно.Забавно вышло. Эта мелкая конторка интегратор обещала мне ламповую и семейную атмосферу, а в итоге удобно мне оказалось в огромной компании.Конторка продолжает жить за счет стулюдентиков без опыта, все продолжая жаловаться на тяжелые времена всем новоприбывшим.Сформилирую краткую суть своего опуса. В раше ИБ не взлетело в большинстве случаев. Не тот уровень развития страны. Нет репутационных рисков, как таковых. Ты ничего не потеряешь, если конф.инфа всплывет где-нибудь. Ходит в этой среде байка, что один зеленый банк при краже базы данных юзеров ограничился лишь смсками о том, что стоит сменить пароли. Все повязаны и все друг друга знают. А у обычных людей не особо-то и выбора много. Все мероприятия по ИБ носят лишь вынужденный характер - лишь бы не нагнули органы, роскомпозор и все вот эти ребята. Развития никакого, пилишь красивые бумажки, очень много бумажек, лепишь схемы, устанавливаешь по и все, что можешь в итоге - как Лукацкий, Агеев и прочие вести свой уютный бложик про иб.Сорри за текст - писал с телефона.
>>1075748Это норма
>>1075748Бля. Что-то много таких историй стало.У меня вырисовываются предположения, что вы либо плохие специалисты сами по себе, которые пинали хуй в течении всех лет обучения в университете, либо искали работу в жутких мухосранях. Иначе - никак.Открываю любой сайт с вакансиями ДС, ДС-2: все вакансии завязанные на ИБ с зарплатой в 60к+ месяц.Может вы просто какие-нибудь "дежурные пульта управления", но причисляете себя к безопасникам, лол
>>1075684А расскажи про свой бэкграунд на тот момент,хорошо знал си и асм?а winapi?есть кст по ним годная книга или статья?
Поясните за сертификаты. Хочу обзавестись одним ещё до окончания универа. Чтобы выделятся на фоне других выпускников без опыта. Что посоветуете?
>>1075990На эти вакансии кого по-твоему берут?
>>1076016Да в летуаль наверное. Любой, какой сможешь позволить. Эйчар стопроцентно баба, но если директор тоже, то лучше, наверное, ей. Хотя тут зависит от того, кто интервью проводит.
>>1076056Хороших специалистов, подходящих под все требования. Для чего было достаточно прилежно учиться в университете и активно заниматься самообучением, благо есть такие возможности.
>>1076063Опыт работы нужен, дурашка. Да и знания, которые просят, в книжках не найдёшь, в них лишь основы.
>>10760На нормальные сертификаты нужен ИБ-опыт подтвержденный трудовой.Все остальные можно повесить в туалет.
быстрофикс ИБ-вышка засчитывается за год опыта при сдаче
>>1075990То есть для тебя всё, что за пределами ДС-ов это жуткая мухосрань?>>1076009Я тогда только недавно МухГУ закончил, поэтому релевантного опыта не было - все знания получены или в вузе, или на CTF. Читал мыщъха, Рихтера, Руссиновича, Солдатова, Сорокину. Ну и куда же без гугла и msdn.
>>1071819>есть ли фсб-куныБлядь, он спрашивает это на "анонимной" борде. Ну ебана. Мне уже стыдно за того, кто будет с ним носиться по всем комиссиям.
>>1076143Не взяли его. Он психологические тесты завалил.
Чё, пацаны? Ламаем кудахты еотовых, сливаем БД с сайтиков, ебём в рот майора и творим беспредел?
>>1071811>Из плюсов>зарплата с первого дня 50 тысячПиздец.Извините.
>>1076240Мало?
>>1076155Он там расписывает все в военаче. Что за дебилоид.
>>1076165Мда, видимо я один такой долбаёб.
>>1076836Я не умею ломать кудахт.
>>1076837Да ну? А ну ка попробуй шел залить.http://vk - uda - hte . com/ прикинете в спамлисте слово
>>1078119О, спам-лист вообще лютый ад... Педалик отдыхает.
Анон,подкинь годного чтива по ЭБ. В шапке одна ИБ.мимобудущийезопасник
>>1075990>>1075990Где ты эти вакансии видишь? Я 3 года работал в небольшой конторке и история почти таже. Сначала платили 14 к т.к. я был студентом и реально нихрена не знал. Потом врубился что такое ПЭМИН изучил от и до и в своей диссертации доказал почему нынешние СЗИ (сертифицированные) не обеспечивают должную защиту от ПЭМИ. НСД настраивал и разбирал на раз два (тоже были написаны письма разрабам о совершенствовании, которые они позже добавили). Работу проводил от и до в кратчайшие сроки: 1. Мониторинг торговых площадок, участие в торгах, заключение договора. 2. Сбор первичных данных об ОИ. 3. Проведение аттестационных мероприятий (напоминаю это всё соло) ((неважно ИСПДН это, конфа, ДСП или ГТ)) 4. Подготовка протоколов и остальных документов. 5. Тащу все на подпись. К концу третьего года платили 35к. Командировки никак не оплачивались, давали суточные 500 р, но ЗП в итоге получалась меньше. Дошло до того, что в один день надо было ехать в командировку (очень далеко), но я дома пол пальца отрезал (ну почти), наложили 6 швов. Командировка естественно обломалась т.к. я не позволил себе поехать. С меня содрали всю сумму за билеты и отправили на следующий день! (При чём я спокойно мог взять больничный, но не стал т.к. знал, что у нас был завал по подготовке документов, думал посижу попишу). Пришлось ехать и с одной рукой монтировать ВП, при чем монитровать надо было не пару датчиков, а дохера. С несправедливостью ФСТЭК и других организаций я вообще молчу... Хотя: Такие ретарды как ГОС ОРГАНИЗАЦИИ типа ФГУП НПП ГАММА можно сказать вообще не работают. В плане ПЭМИН они вроде подросли и начали искать все информативные сигналы, но раньше был пздц. В плане НСД, что такое ЗПС они не знают до сих пор, ну может знают, но явно не пользуются этим т.к. проверяющие органы к ним не придерутся. Сам же проверяющий орган (ФСТЭК) в большинстве случаев просто выёживается и пытается доказать то чего он сам не понимает. Короче я все эти три года я понял, что никому защита инфы не нужна (кроме настоящих конфушников типа операторов сотовой связи, вот там реально война идет). Эта специальность реально будет востребована через 5 лет (сами знаете, что сейчас происходит). Когда устоятся вопросы касаемо ИБ, когда все поймут для чего это нужно, тогда везде появятся СПЕЦИАЛИСТЫ, а сейчас мы никому не нужны (ну випнетчики и ребята, которые работают в организациях, которые подмяли под себя аттестацию АСУ ТП конечно нужны). И вот уже сижу пол года без работы и чёто приуныл.p.s. есть возможность отсканить новую книгу Кондратьева, надо кому-нибудь?
>>1078847Сферу сменить не пробовал?
>>1078925Сейчас как раз этим и занимаюсь. Ищу себя в других сферах
>>1078847Чувак, ты офисная крыса. Ибэшники инъекции sqlmap'ом ищут, сеть namp'ом сканят, уязвимости metasploit'ом эксплуатируют и проверяют чтобы дыры из owasp'а не всплывали. И не важно какие ты там бумажки на работе оформляешь т.к. сейчас некоторые ДСП получше большинства ГТ охраняют. И ты с своими бумажками этой охране никак не помогаешь. А книгу свою "новую" верни обратно в 90'ые.
>>1079157лол, а обеспечивать сетевую безопасность это не означает быть офисной крысой. Я руками монтировал САЗ, настраивал випнет и прочее говно типа даласа и сикрет нета. Приведи мне хоть 1 пример где ДСП защищается лучше? Может ты имеешь ввиду конфу? Если ты даже в этих понятиях не разбираешься нам уже не о чем говорить. Думаешь почему в америке столько сливов секретки? Да потому, что они юзают сеть и хоть усрись, если есть выход в глобальную сеть, то сколько бы ты портов не перекрывал и не проверял дыры заюзаным калилинуксом это не поможет. Именно поэтому защита ГТ в рашке самая топовая.
>>1079178>Приведи мне хоть 1 пример где ДСП защищается лучше?Там где денег больше чем в госах.> Если ты даже в этих понятиях не разбираешься нам уже не о чем говорить. Я ещё и половины твоих ноунейм аббревиатур не знаю. Но это только доказывает на сколько ты со своими бумажками оторван от реальной безопасности.>Думаешь почему в америке столько сливов секретки?Не достаточно хороший контроль доступа сотрудников к информации? Излишние прозрачность и контроль работы силовиков? Безнаказанность предателей?>если есть выход в глобальную сеть, то сколько бы ты портов не перекрывал и не проверял дыры заюзаным калилинуксом это не поможетДоступ в глобальную сеть причина сливов? Сколько ты знаешь примеров когда намеренно взламывали такие сеть? Ни у кого нет столько средств чтобы взламывать каждую слабозащищенную сеть. Обычно концентрируются на ценной добыче не обращая внимания на её защиту. >защита ГТ в рашке самая топовая. Нет здесь топовой защиты
>>1078953А в ДСах вообще нет вакансий подходящих?
Коллеги, не гоните на вышеотписавшегося ПД ТСР-куна >>1078847 , он не виноват, это рыночек порешал.Добывание нужной информации можно осуществить несколькими способами. Для большей части бизнеса это- техническая разведка, it-разведка, ну и агентурная.Специалисты бизнес-разведок добывают информацию наиболее простым и эффективным путем. А именно, it+агентура. Технические разведки используются редко, так как нужна куча дорогого и редкого оборудования, это все как-то надо доставить на объект, нужен специалист, умеющий это все юзать, а так же могут взять за жопу на горячем. Зачем это все нужно, если есть более простые, дешевые, эффективные способы?Соответственно, бизнес так же вынужден защищаться связками кибербезопасник+оперативник+экономист. ПДТР не у дел.
>>1079178> настраивал випнет и прочее говно типа даласа и сикрет нета.В приличном обществе о таком вслух не говорят.
>>1079327>Там где денег больше чем в госах.там где нас нет?
300 k рублей чтобы дистанционно снять инфу. Это по вашему дорого?
>>1079327Если ты считаешь, что информационная безопасность это только обеспечение сетевой безопасности, то мне тебя жаль, но если тут весь тред такой, то он бессмыслен.
>>1079746Тоже удивился, что у этого маняфантазера ИБ это один пентест , так даже не поиск новых багов а просто скан утилитками
>>1079178Если только в этой модели угроз она топовая. Агентурная работа и банальный подкуп сводит эту топовость на ноль.
>>1079746>>1079826Он тут один такой.Я уже не обращаю внимая на его феерические высерыДумаю, это какой-то тестер из мелкой шарашки, клепающей говносайты для ООО и ИП.Мнит себя крутым пентестером зарабатывающем 3000к $ за каждуб дыру (на самом деле 35к деревянных в месяц)
Так, я осознал, что поступать на ИБ было хуевой идеей туповат, но почему-то блять половине потока практику за деньги написал. Так вот, с корками этой специальности берут на всяких админов и подобное, или же сваливать пока не поздно?
>>1080013А почему хуевой?интересно же ну
>>1080013Институт дает тебе возможность для старта. если ты ожидал, что к тебе приползет лично биллгей и будет упрашивать пойти к нему за 300кк в наносекунду, то да, ты туповал.
>>1080018Да тупой я слишком. Пока что профессиональные ну как, языки программирования, организация ЭВМ и чудом основы ИБ я делаю на отлично, но всякий матан и особенно физика держат меня на грани вылета.
>>1080024А че там сложного? С точки зрения ИБ тебе из физики надо понять что такое акустическая волна и все вытекающие: виброакустика, акустлектрика, акустооптика. И электромагнитку понять, но тут без практики никак.
>>1079157>ты офисная крыса.>sqlmap'ом ищут, >сеть namp'ом сканят, уязвимости>metasploit'ом эксплуатируютОфисная крыса плизА чё сколько там каналов утечки информации, или ты про аналоговую инфу не паришься?
>>1080024>матан и особенно физика4е по путал чёрт, запоминай формулы и учить их применять все. Это тебе русский язык с кучей исключений, грёбаным третьим лицом падежами и суффиксами
>>1080062*учись
Странно, что за несколько тредов ни одной байки про внутренние расследования, разоблачения взяточников и т.д. инбифо профессиональная этика, либо спецы по внутренней кухне сидят не здесь
>>1081451Я писал же как-то, как вычислил ИБшника-одмина, входящего в ОПГ местное.
>>1081484Да, нашел в 3 треде. А сейчас часто что-то горячее случается или скука-рутина?
В одном из тредов писали, что автор Р-Системы был замечен на выступлении того, чье имя нельзя называть. Это словоблуда Лукацкого что ли?И вообще, встречаются ли в наших интернетах вменяемые форумы по общей тематике СБ? Видел парочку ресурсов, но сложилось впечатление, что там сплошь экс-сапоги в колонну по два. Общение письменное у них такое специфическое, будто смесь копа низшего ранга и правонарушителя, лол. А ещё встречаются всякие персонажи со своей терминологией на американский манер. Увидев слово "сыскология" знатно проиграл с таких мэтров.
>>1081511Уволился оттуда уже пару лет как спасибо крымнашу. Нынче же глубоко в бумаге... Скучаю по тем временам, если честно.
>>1081520Специфика работы не способствует открытому общению и обсуждению личных наработок. Спалил методику- ее отметили и начали учитывать в своей работе.Про достижения- NDA.Потому общаются в основном теоретики, а практики наблюдают и молчат.
С чего начать чтобы вкатиться в простенькие ctf? Умею немного писать на Си, пробовал свои силы в написании простенького эксплойта переполнения буфера, немного могу в сети, консольку *nix. Ну и читать/гуглить, да
>>1065136 (OP)>>1083160Добавьте в шапку статью:https://habrahabr.ru/company/parallels/blog/332178/
>>1083687Ты что, там нет Светочей - Лукацкого и Царева!а на деле статья фуфло, кулстори в духе "я ломал его чат в торе" на уровне миста Робота. Информативности в ней ноль.
>>1083705А ты хорош!Может тебе еще Профессионал должен каждый шаг описать, чтобы взламывали соседей по сетке все кому не лень? Статья описывает суть, а детали уже сам постигай.
>>1083687Не назвал бы это ответом на мой вопрос, но история прохладная
>>1065136 (OP)Возьмёт ли работать государство, если у меня военник из-за псих диагноза?
>>1083160Смотри разбор тасков с предыдущих ctf(в твоём случае в первую очередь в категории exploit/pwn), иногда есть возможность запустить сервис у себя, но часто даётся только ссылка, которая после ctf обычно протухает. Ссылки на тренажёры есть в шапке. Ещё добавлю https://backdoor.sdslabs.co/ - много тасков, рассчитаных на новичков.И ещё освой какой-нибудь скриптовый язык(питон, например). И английский.
>>1083705Статья достаточно информативна.Хотя бы в том плане, что большинство вредных хакеров — недалекие люди, то есть тупые.Да, сейчас любой может скачать nmap или metasploit, найти обучающий ролик на ютубе и начать хакать сбер.Но он не станет экспертом в ИБ. Конечно, он будет себя мнить такие и это на руку настоящим экспертам, которое работают по белому.Я очень часто сталкиваюсь с с такими псевдоикспэртами: что по работе, что в интернете.Например, вот бредовые размышления такого иксэрта: http://telegra.ph/Opasnost-antivirusov-07-01То что эксперт не описал подробностей - нет ничего особенного.В законе однозначно написано, что взлом чужих компьютеров уголовнонаказуемое деяние. Там нет никаких разделений, что компьютеры хороших парней взламывать нельзя, а плохих можно.
>>1084547кстати я артем и никогда не был им, но когда стал понял что я н еартем, вот такие вот дела творятся у нас на руси!!!!!!!!!!!!
Что за академия?
>>1085036Водного Транспорта.
Неужели все настолько плохо с рынком иб в этой стране?
>>1085195Ну я работаю в западном вендоре и мне норм.
>>1085370А как попал?И Кем работаешь?пинтустер-смузихлеб?устанавливальщик сикретнетов?
>>1085195основная работа в отечественном вендоре - тут тоже все норм.
>>1085653Пресейл-инженер. Провожу демонстрации на вебинарах/семинарах, делаю пилоты у заказчиков, консультирую и помогаю интеграторам когда у них кривые руки сложности с внедрением. Нравится, что работа динамичная. Ни о какой стагнации говорить не приходится, постоянно идет развитие навыков и знаний. Рекомендую.
>>1085664Если только это не хуйня, выезжающая за счёт сертификатов ФСТЭК/ФСБ типа Инфотекса или Кода безопасности.Не представляю, как у людей хватает совести впаривать это.
>>1085787аналитик ИБ. продажам не имею никакого отношения
>>1085854PT/Касперский/Group-IB?
ty
>попытался перевестись с 4ого курса инженерной специальности на ибшную>вы не можете быть переведены, так как вы очень много предметов не сдадитеПиздец. И что делать.
>>1087713А нахуя тебе прям ИБшное?
>>1087735Работу предлагают, и нужно именно такое образование.
>>1087736А больше, думаешь, в жизни работы не будет?
>>1087741такой - нет
>>1087713Все правильно. Если для тебя важно что написано в дипломе, то отчисляйся и поступай заново на 2 курс. >>1087745Сын ванги? Хотя с таким настроем ты прав - не будет
>>1085854>>1088528Чё ты повторяешься?
Чего бы такого можно было бы запилить, чтобы совместить практику в кодинге и иб? Подкиньте идею, может веб-сервис какой?
>>1089749Форкни чё нить на гите не сложное и с ибэшной темой в описании.
Анончики, а что можете сказать по Доктор Веб?Кто-нибудь там работал?есть инфа как таам?
>>1090160хорошо там, где нас нет
>>1089749менеджер сканов nmap\massscan, чтобы работал с удаленными хостами, чтоб можно было из админки задать подсети\айпишники и потом стянуть репорты.
Приветствую всех. Препаририуется сайт на WordPress 4.7.5. Случайным образом (просмотрел путь при открытии одной из пикч на сайте) открыл папки wp-includes и wp-content.Вопрос 1: так должно быть? Можно ли получить доступ к открытию файлов(сейчас открываются пустые страницы)/редактированию?.При вводе на /wp-admin редиректит на вход в сайт (в котором, чтобы залогиниться надо ввести только пароль, поле "логин" отстутствует). Прогнал сайт через wpscan в Kali, обнаружил одну уязвимость по версии Wordpress и одну по гугловскому плагину. Что делать дальше — не знаю, нуб ебанный. Прошу помощи, в нюфажном треде не помогли.
>>1092132Почему программы сканеры могут только показать уязвимость и нет кнопки взломать?
>>1092132Дальше тебя надо бы обоссать. Ты нашел в каком треде такие вещи спрашивать.
>>1092143действительно >>1092153ну а в каком ещё? укажи дорогу. даже в /pr молчат, послали в воркач
>>1092173Эриксон. Хакинг искусство эксплойта.
>>1092216спасибо!
Постажировался я в Dsec и охуел, всё так пиздато, все безопасники такие успешные боги, потихоньку вкатываюсь в нашу элитную профессию. И мысль в голову пришла - нужно сделать себе какое-никакое имя. Дайте советов, как на конференцию попасть? Ну то есть вот я сяду за пекарню, буду чёнить ковырять, придумывать, обдумывать, найду интересную уязвимость, а потом что? Просто заяву кидать? Поделитесь опытом, пожалуйста.
>>1072740Ты не путаешь безопасников с it безопасниками?
>>1067416> Никогда штатный сисадмин,а зачастую эникей в фирмочке 20-30 пользователей не будет иметь тот багаж по айти-безопасности, что специалист.Вопрос только где этот багаж нужен
>>1067627> Наказуемо УК РФ. Это такой вор, только по ИБ. Ездит на бутылках и носит робу.Шо, у вас уже кардеров начали ловить?
>>1092408Тебе уже работу предложили? На zeronights можешь выступить со своей темой.Постажировался удалённо в Dsec и охуел. Куратор спустя некоторое время забил на тему. Я сам не забил, но мотивация всё же куда-то делась, хотя исследование было очень интересное.
>>1070727Лолблядь. Безопасник в рашке это типа гребень от айти?
>>1083748Не всякая конторка берет без военника(выше комтайны), а ещё меньше организаций берёт с проблемами здоровья, вроде какой-нибудь эпилепсии.
Именно. Ит-гной, ит-мразь, ит-пидор>>10924781075748-кун
>>1092478Нет. Гребень - это rnd
>>1093614Хто?
Господа, расскажите как вы начинали участвовать в ctf. Сколько времени ушло изучение разных направлений? Я работаю админом, соответственно большинство тасков network решаю, а вот с другими беда. Порой в принципе не понимаю в какую сторону копать, как понимаю для этого нужен творческий подход?
>>1094589Сначала смотрел задачки и разборы, но не участвовал, а потом присоединился к цтфэшному кружку.
Кто что знает о secsem ВМК МГУ? Команда bushwhackers оттуда два года подряд RUCTF выигрывала, да и вообще кажется что эта команда топовая в России по цтфу
>>1095979Сам себя не похвалишь никто не похвалит.
>>1073555Бля, ты крут.
По иб дохуя книг. А по цтф есть что?
>>1096337Шапку смотри. Не книги, но информации достаточно.
>>1096338Мне бы исчерпывающую книжечку. Чтобы было всё и по порядку. Или на крайние случай курс лекция, но побольше. На пол года например.
>>1096343https://www.ozon.ru/context/detail/id/31649356/https://www.ozon.ru/context/detail/id/20032936/https://www.ozon.ru/context/detail/id/135726580/изучай. будешь знать основы - будешь знать как и где найти дыры
>>1096407Цтф это уязвимости искать?
>>1096407База базой, а на цтф задания специфичные. Умения пользоваться правильными инструментами обычно важнее.
>>1096423Это типичный интернет-персонаж, который на любые вопросы фыркает "иди рфц читай, ламер".
>>1096423подготовка и выпуск технической книги происходит где-то за год. поэтому к выпуску она устареет. в от личии от основ, которые всегда актуальны.знаю пример, где один разработчик писал книгу про свой инструмент. к моменту когда книга вышла, инструмент уже успел дважды обновиться, добавлены новые возможности, несовместимые со старыми.поэтому нет смысла искать книги про инструменты. они или устарели, или их вообще не выпускали.
Привет, анончики, немного не по теме, но нужна ваша помощь. Пишу диплом на тему "Безопасность веб приложений использующих базы данных". И не знаю, что написать в третьем разделе.В первом разделе я просто описал основы веба и рассказал, во втором на примере сайта написанного на коленке показал уязвимости из списка OWASP top 10 и способы избавления от них.Но еще не хватает 9 страниц, чтобы было минимальное количество страниц диплома, а я уже просто не ебу, что писать. Подскажите, что там можно написать? Нужно какую-то аналитику, какие-то статистики, но хуй знает че писать и пиздец.Прошу вашей помощи советом.
>>1096694Позитив красивую статью про sql инъекции со статистикой когда-то на хабр выкладывали.
>>1096707описания уязвимостей и методы борьбы с ними я уже написал, показывая на примере своего приложения написанного на коленке, теперь нужно немного какой-то аналитики, рассуждения.Была идея выписать типичные ошибки юзеров, программистов, админов. Но в основном везде только для программистов и инфы на страницу хватит.
>>1096714Ты же статистику просил. Так нагугли статью со статистикой встречаемости этих уязвимостей.
>>1096513Основ чего??? Кто эти уязвимости ищет? Все пользуются оотовыми сплоетами, нет?
>>1096719А есть статистика языков и фреймверков на которых уязвимые сайты написаны?
>1080006>Думаю, это какой-то тестер из мелкой шарашки, клепающей говносайты для ООО и ИПосайты для ООО и ИП.двачую, быть пентестером - это быть червем пидором в пищевой цепочки ИБ. Работаю в крупной консалтерской компании загнивающего запада. ИБ аудиторы, ISO27001 консультанты, PCI DSS пидоры - глубоко уважаемые люди, клиенты их боятся, руководство уважает. В командировках живут в 4-5* гостиницах, синьоры-аудиторы летают бизнес классом, служебные жоповозки С класса. Требуется всего два скила: умение задать вопрос с чек листа, красиво пиздеть с клиентом. Пентестеры при всех раскладах в жоппе. Если нихуя не нашел, то клиент обычно ноет: нахуя мы платили за вашего пентестера 1к евро за рабочий день? Если дохуя нашел, то клиент начинает пиздеть, что это все теоретические уязвимости, удоли!!!!111 из отчета мы уже пофиксили, XSS - это не уязвимость а вектор атаки, настоящий хакор не обойдет наш FW. При этом требуется дохуя скилов, глубокая специализация в одной из областей и понимание смежных областей. Постоянное самообучение и практика. Единственная отрада, можно подрочить в свободное от работы время на багбаунти программах и немного поднять бабла по фану.
>>1096802А чем в твоей компании занимаются "ИБ аудиторы" ?
>>1096804в основном Common Criteria и государственные заказы
>>1096810Звучит не так сложно, в основном бумажная работа со стандартами? И что, если не секрет, входит в гос. заказы?
>>1096802Двачую еще одного прозревшего.
>>1096740Да. вордпресс и пхп самые дырявые.
>>1096833>Звучит не так сложно, в основном бумажная работа со стандартами? в этом и есть вся суть моей боли в области ануса. Аудиторы в основном работаю с бумагами, часто не имея реального опыта работы с технической частью ИБ. Рынок сформирован так, что клиентам не выгодно менять аудитора, бюджеты больше, профит высокий. >И что, если не секрет, входит в гос. заказы?хер его знает, что-то для НАТО делают, эмигрантам вход в такие проекты заказан
>>1096853>в этом и есть вся суть моей боли в области ануса. Аудиторы в основном работаю с бумагами, часто не имея реального опыта работы с технической частью ИБну, таких и в рашке полно, правда не уверен что они получают больше, чем пентестеры
>>1096838Мне бы именно статистику, на которую можно было бы ссылаться. Есть какой-то поис по базам уязаимостей?
>>1096802А есть такое занятие как введение безопасного программирования? Я например при аудите бы тупо менял все скул запросы на параметризированные не разбираясь можно ди использовать уязвимость или нет - имхо, так будет гораздо быстрее, тупо поиск по файлам. Я так понимаю, что суажем в джангокоде и искать особо нечего?
>>1093530>>1075748-кунСтавь ссыдки нормально плес, с приложения тяжело искать
https://www.linguanet.ru/fakultety-i-instituty/fakultet-informatsionnoy-bezopasnosti-i-upravleniy-informatsiey/Ваше мнение?
>>1096972Ну хуй знает, посмотри где практику проходят, куда трудоустраиваются, погугли имена профессорского состава, группу вк в конце концов почекай на предмет отзывов
>>1096954смотря где, аудит то проходит по выбранному стандарту. В PCI DSS есть воркшопы по безопасному программированию. Они обязательны если хочешь заветный сертификат. Но в сам код аудитор смотреть не будет, только бумажки проверит, что мол SDLC в компании есть, воркшоп прослушали, политиками обмазались. Пентестер тоже в код смотреть не станет, никто не оплатит анализ 100к строк кода, если можно сделать формальный black-box пентест с минимально возможным охватом тестирования. Кроме SQLi есть еще много чего, глянь на OWASP Testing guide. В моей практике, чаще всего встречаются XSS и direct object reference.
>>1096994> XSSСосет у шаблонизаторов, т.е. опять только пхп? > direct object reference.Проверки на стороне клиента? Ну это одна из вещей от которых фреймверкине защищают искаропки.
>>1097005>Сосет у шаблонизаторов,>Ну это одна из вещей от которых фреймверкине защищают искаропки. смотрю ты шаришь в написании безопасных приложений, попробуй устроится в любой крупный банк СНГ и научи их писать безопасный софт. Надоело по десятку критических уязвимостей с каждого пентеста в отчет писать.
>>1097148Хуле ты приебался, я вообще не снг. По сути есть че ответить?
>>1097163По сути, если следовать всем рекомендациям по написанию безопасного софта, не выдумывать свои системы ААА, а использовать проверенные, построить SDLC, вероятно, что можно написать достаточно безопасный продукт. Чтобы во время пентеста не находили уязвимости из OWASP top 10 и школотроны не строчили на хабре очередной высер на тему: я перебирал ID в банкнейм и смог получить доступы платежам других клиентов. Или что ты хочешь услышать в ответ?
>>1097182> системы ААА> SDLCПереведи. Вопрос был, в общем, что из названного того играет роль если писать не на голом пыхе? Вообще есть что почитать именно про безопасную разработку? Или незачем вообще что-то читать, и так все работает?
>>1097239Держи наводку.
>>1097529В инете бесплатно надеюсь есть?
>>1097549В душе не ебу. У меня бумажная. Если не можешь сам ответить на собственный вопрос, рекомендую завязывать с ИТ пораньше, не то, что даже с ИБ.
>>1097617Ты о чем, маня? Ты книжку мне притащил, я тебе сказал что я не в снг, заказывать ее потому что ты скозал не буду.
>>1097617Завязал тебе за щеку. Как я люблю когда букашки в интернете ра сказывают кому надо вон из профессии.
>>1097182Вообще у разработчика не стоит задача разработать безопасный безбаговый продукт. У него задача создать продукт, в котором будет реализована запрашиваемая функциональность. То, что он без багов - задача инженера qa, то что безопасный - задача ИБ. Иначе зачем вообще этот огромный штат из тестеров, пентестеров и прочих безопасников содержат банки?А вообще-то мы говносайты на пэхэпэ обсуждаем или банки?Создать безопасный продукт вообще не проблема. А вот интегрироваться в общую инфраструктуру это уже вопрос посерьёзнее. Ты просто в банк клиенте авторизуешься - запрос уже в 4 систем лезет. Потом подтягивается информация по счётам - ещё +8 систем.
>>1097626Я обсуждаю безопасную разработку. А еще интересуюсь где вы собсно нужны.
>>1097239> Вопрос был, в общем, что из названного того играет роль если писать не на голом пыхе?Таки очень хотелось бы услышать ответ
>>1097631Тогда это не про банки. Я другой анон. Не безопасник. Программист - поэтому везде нужен
>>1097645А ну ок. Что в этом треде делаешь?
>>1097239SDLC - жизненный цикл разработки системыAAA - Authentication, Authorization, Accountingнет фреймворков защищающих от всех возможных атак. >Я например при аудите бы тупо менял все скул запросы на параметризированные да, это помогает от SQLi >суажем в джангокоде и искать особо нечего? и в таком коде будут уязвимости. Во-первых: уязвимости самого фреймворка (погугли CVE-2016-9013, CVE-2014-0474) во-вторых: плохо написанные куски кода.
>>1097621Даун, тебя в гугле забанили что ли? Название есть, авторы тоже. Гуглится за секунды. Но нет, мы будем понты кидать и выебываться.>>1097623Школьник, тебе по жизни дальше еще тяжелее будет. Еще до этой самой профессии.
>>1097681> уязвимости самого фреймворка Это не зона ответственности проггера. > плохо написанные куски кода.Так какие конкретно уязвимости там могут встретиться и с какрй вероятностью? >>1097711> Даун, тебя в гугле забанили что ли? Название есть, авторы тоже. Гуглится за секунды. Но нет, мы будем понты кидать и выебываться.Я с планшета, пнх. > ШкольникНахуй пошел с пляжа, мимо
>>1097715> > Даун, тебя в гугле забанили что ли? Название есть, авторы тоже. Гуглится за секунды. Но нет, мы будем понты кидать и выебываться.> Я с планшета, пнх.Да хоть с утюга, хуйло ты ленивое. В тред пришел срать ты, так что на хуй можешь последовать сам.> > Школьник> Нахуй пошел с пляжа, мимоНеужели детский сад?
>>1097720двачую, поиск информации и источников - 90% времени работы безопасника. >>1097715>Так какие конкретно уязвимости там могут встретиться и с какрй вероятностью? ты же сам понимаешь абсурдность этого вопроса? Любые описанные в OWASP и бесконечное множество не описанных там. Если не понимаешь, то зачем ты вообще пишешь в этом треде?
>>1097720Срала иебе мама в кашку, а я спросил. А ты ттветил как говно. >>1097741> двачую, поиск информации и источников - 90% времени работы безопасника.Но я здесь не работаю... > Любые описанные в OWASPРасскажи мне как сделать xss в шаблоне без умысла и не будучи полным дауном.
>>1097529Вообще еслм ты на вопрос какие из аж 10!!! Уязвимостей могут встретиться тычешь бумажную книжку, то ты сам нихера в теме не понимаешь, имхо.
>>1097754>Расскажи мне как сделать xss в шаблоне без умысла и не будучи полным дауном. создать отдельный обработчик для "специального" поля ввода в обход фреймворка. Зачем? Во имя сатаны, распиздяйства и безумных требований клиента. Встречал такое и не раз в реальных проектах больших клиентов. В шаблоне же, можно вставлять вводимые данные прямо между тегами скрипт (тоже видел) или в комментарии к js (и такое встречал). А так то да, если писать на джанго и не выключать auto-escaping, то зафакапить с XSS сложно.
>>1097764> Вообще еслм ты на вопрос какие из аж 10!!! Уязвимостей могут встретиться тычешь бумажную книжку, то ты сам нихера в теме не понимаешь, имхо.Даун, ты настолько туп, что без цитирования ответ не понимаешь?Книжку я кинул на прямой вопрос:> Вообще есть что почитать именно про безопасную разработку? Тебе кинули книжку, в ответ пошло типичное малолетнее "а найдите её за меня, а потом прочитайте её за меня, ну и вообще всё за меня сделайте".Я сейчас внимательнее вчитался в твои посты. Так вот ты какой-то жирно-зеленый во всех смыслах этих слов . Еще и хамоватый тупенький лупень. Не пиши в этом треде больше.
>>1097792> А так то да, если писать на джанго и не выключать auto-escaping, то зафакапить с XSS сложно.Ну слава богу. А где можно нафакапить?
>>1097851мммм ... нафакапил тебе за щеку, проверяй
>>1097905Ты своей мамке нафакапил
Как пробросить трафик Nmар через Whоniх Gаtеwаy?Описание ошибки здесь:https://sourceforge.net/p/whonix/discussion/general/thread/ac04011c/Пытался настроить согласно данному https://hackware.ru/?p=1582&PageSpeed=noscript гайду, не получается.
Здесь есть те, у кого стажировка в Dsec уже закончилась? Работу уже предложили? Берут ли стажировавшихся удаленно или только офисных стажеров? Сам хочу в следующем году попробовать - как раз Мухгу закончу.
Сбер или Каспер?С Сбер платят больше. В Каспер вроде как поинтереснее.
>>1099029В сбере же вроде как ниже рынка платят.
>>1099090Я за рынком не слежу. Среднему анону наверно платят ниже рынка.Мне в предложении от Сбера на $1к больше чем в предложении от Каспера.И оба предложения лучше чем сейчас. А сейчас я не жалуюсь.
https://hh.ru/vacancy/22243495>ДС>Опыт работы от 3-х лет>35к
>>1100011И что?
>>1100011Пасте про реалии ИБшничков это никак не противоречит.
помогите придумать тему для диплома по информационной безопасностиможно что нибудь связанное с новыми технологиями
>>1104514Защита персональных данных в организации. Воды можешь налить дохуя, читать эту хуету никто не будет. Линию защиты будешь вести на тезисе "организация против регуляторов". Тема на все времена, кек."Внедрение 552-п и последствия для банковской сферы РФ" тоже сочная и актуальная тема.
>>1104539а что нибудь с новыми гаджетами годов 13-16 ?
>>1104567Ну ты сам себе ее уже придумал тогда, дурашка.я-то думал, ты совсем тугой, если к 5-му курсу до сих пор не знаешь, что тебе в сфере ИБ интересно
>>1104572Ну может есть ещё какие нибудь идеи
>>1104539> Защита персональных данных в организации.А каким концом тут иб? рашка-говняшка
>>1105554Концом выполнения требований регуляторов по ЗИ. только за дипломы по защите пдн должны в морду бить, не? Ну или в чем профит вашей работы? Создать сзи испдн может куча народу И плюс индивидуальные тараканы преподов аля математическое обоснование.>>1104514> помогите придумать тему для диплома по информационной безопасности> можно что нибудь связанное с новыми С 19 по 21 сентября в ДС будет проходить infosecurity russia 2017 с кучей докладов, в их названиях сплошные актуальности и тренды ИБ - ДЕРЗАЙТЕ. Там и материалы можно подчеркнуть
>>1105577У нас защита персональных данных и ИБ в общем-то разные вещи.
>>1105577> infosecurity russia 2017Конференция скатилась в говно в последнее время. А когда-то была огого.
>>1105618разве там бывают студенты?
Что-то тихо. Этому треду не хватает немного бредн Лукацкого.http://lukatsky.blogspot.ru/2017/09/vs.html
>>1110019Тезисно Хуяцкий местами прав, вот только бинарная логика хромает в том месте, что "пиджаки" на деле тупорылые солдафоны, вся их "безопасность" в 99% случаев заключается в изрыгании отделом ИБ миллиардов тонн бумаги, общий смысл которых, если уж говорить по чесноку - прикрыть жопы этих самых пиджаков в случае чего. Впрочем, этим сейчас 95% офисного планктона занимается.
>>1110029Что пиджаки, что футболки хоть и работают в одной сфере, но делают не одно и то же. По сути нужно разделение труда, а работа найдётся и для тех, и для других. А теперь вспоминаем, в какой стране мы живём и прикидываем вероятность такого разделения где-то кроме профильных компаний и нескольких крупнейших банков и вероятность того, что погоны потеряют в других местах монополию.
>>1065136 (OP)А если с программистским средне-специальным учиться по теме и устраиваться, примут по безопасности(в фирмы, не в полицию всякую)?
>>1112559Куда-то примут. Где-то вообще образование не смотрят. В каспер нужно высшее техническое.
Блядь, поставил вчера и настроил новый АРМ-КБР-Н. Центробанк пидарас.
Привет, аноны! Расскажите про иб интеграторов, как работается, что на собеседованиях спрашивают, какие подводные камни? Почитал пару историй в треде и обе какие-то грустные. Профильная вышка, работал в госконторе, совмещая админство и иб. Думаю, стоит ли перекатываться
>>1073408>олее того есть две-три книжки, и лол они даже на русскомназвание и автора можно?
>>1114227сложили с себя ответственность на банки - для него это давно норм.
>>1116631Доронин Бизнес Разведка бгг.
Привет, анончики. Учусь в мухосрани 600к человек на ЭБ. специальность в нашем городе новая, преподают только второй поток. поступил ради интереса, но никто из преподов/кафедры не может сказать в чем конкретно будут состоять мои обязанности, где можно будет работать и тд. в инете тоже вся инфа расплывчатая. я из-за этой неопределенности уже отчаялся и хочу дропнуть нахуй специальность. ребята, объясните кем есть возможность работать после выпуска? чем заниматься вообще? планирую перекатиться в ДС2.
>>1118706Ну вот тебе навскидку несколько вариантов: свободная касса, просто экономист, сб какого-нибудь банка,но тебя туда хуй возьмут без связей и опыта армия с последующим перекатом в какую-нибудь силовую структуру тут хз, но чисто в теории можно себе представить. А вообще да, поздравляю, ты начал прозревать - поступать надо было не на то, что интересно, а на то что реально востребовано ну или где есть блат. Вангую, что через несколько лет ты будешь сидеть вот как я сейчас - зоонаблюдая как на весь город (в моем случае миллионник) - полторы вакансии по иб и спрашивать себя: "нахуя я на это учился"
>>1118706Иркутск?
Подкиньте тему для курсовой. 4-курс Шарага.
>>1120040Еще один даун... Кекнул с того, что ИБ теперь еще и в ПТУ, прям топкек.
>>1120040По krack курсач напиши.
Кто-нибудь участвует в квесте ZN?
>>1065136 (OP)><22 лет,26 летФейл?
>>1075990Маня, ну какие 60к в ДС, ты предлагаешь бомжевать на вокзале и доедать с помоек?) (Ну если ты только не у мамы на шее сидишь, и все за ее счёт)Мне в мухосрани 50к не хватает. (Квартира, еда, и тд).Цены растут быстрее зарплат. И это видно в любой отрасли.А что касается "вакансии в дс1-2", не все имеют возможность переехать.Ну и что вы имеете под "безопасниками"? Малваря-дрочеров, пентустеров и подобный скам надеюсь не учитываешь ?:)>>1126048
Пиздец, дашчан мозга ебет.
Аноны, назрел вопрос. Видел в нескольких группах в Телеге и твитторах треп за какую то группу dc8800. кто в курсе что за группа и чем знамениты?
>>1126189https://t.me/DC8800https://twitter.com/dc8800Эти клоуны?
>>1126191ага, они вроде
Вечер в хату, коллеги-безопасники!Сам я уже много лет тружусь по линии экономической безопасности. Надеюсь, получится продуктивно тут пообщаться. Тема узкая, деликатная, вопросов много. :3В качестве затравки предлагаю такую дисциплину:http://infosystems.ru/services/konkurentnaya_r_638.htmlБесплатный семинар Андрея Масаловича: подключись из любого города!1 ноября с 11.00 до 14.00 в Академии Информационных Систем состоится бесплатный семинар по теме: «Конкурентная разведка и обеспечение экономической безопасности бизнеса. Методы защиты конфиденциальной информации от действий инсайдеров, рейдерства и мошенничества».Автор и ведущий семинара: Масалович Андрей Игоревич, к.ф.- м.н., ведущий эксперт по конкурентной разведке в Интернете. Семинар пройдет при поддержке и участии ведущих разработчиков информационно-аналитических систем.Место очного проведения: г. Москва, ул. Плеханова, 4-А, БЦ ЮниконДля всех желающих предусмотрено дистанционное участие в семинаре с подключением через Интернет!Кто что про это думает? Может, уже учился кто?
>>1127087Масалович гей и шарлатан. Больше говорить ничего не буду. Все его курсы - это реклама его Авеланча.
>>1127147Вот да, как раз этот вопрос меня и интересует. Я видео его лекций потихоньку просматриваю, и интересных моментов много, но лично в моей работе это малоприменимо. Темп высокий, редко когда есть возможность вдумчиво и подолгу копать одну тему. Смотрю видео и пытаюсь понять - он и его падаваны действительно зарабатывают дофига? Или он кормится с лекций и платных семинаров имени себя?
Можете что-нибудь сказать про ИБ-интеграторы?Крок, Информзащита, Джет... Как там работается?
>>1127163> Или он кормится с лекций и платных семинаров имени себя?This
>>1127481Как на галере.
>>1127492Эх, жаль слышать. Кулсторей много у него, красивые. Захотелось жить в деревне с интернетом и работать за 1000 Евро. В день. :3http://yushchuk.ru/internet-razvedka/keis-po-konkurentnoi-razvedke-andrei-masalovich-zapchasti-k-vertoletam-v-otkrytyh-istochnikah/http://www.forbes.ru/tekhnologii/internet-i-svyaz/280391-razvedka-setyu-kak-sistema-avalanche-pomogaet-spetssluzhbam-i-biХотя вот эта кулстори довольно потешная:http://yushchuk.livejournal.com/239036.htmlИнфу про китайский авианосец можно спокойно мониторить на какой-нить Авиабазе.ру. Там целоо сообщество трудилось, новости ловилок и все на русике выкладывало. То есть, совсем необязательно к кому-то там лезть было.
>>1127552>целое сообщество трудилось, новости ловилоБыстрофикс.
>>1127552> ЮщукТакая же петрушка. Еще бы Лукацкого притаранил.
лукатский бох
>>1127583Такой же членосос, как и царев. Они походу уже и забыли, что такое работа. Только по всем конференциям еблом светят.
Сижу на онлайн-семинаре Масаловича (бесплатном). В общий чат все пишут "Здравствуйте!", "Добрый день!". Тоже все безопаснички, видимо.Подмывает написать "ВЕЧЕР В ХАТУ". :3
>>1128374КАПЕЦ, МАСАЛОВИЧ МОНИТОРИТ ДВАЧ. Вот это сообщение только что процитировал:>>1127163
>>1128374Как будто что-то плохое
Стоит ли ботать физику(знаю плохо) для сдачи ЕГЭ или лучше поискать в вуз где принимают информатику(знаю нормально)?Нужны ли знания физика для безопасника в реальной работе?
эй крутые чуваки, придумайте тему для диплома по ИБ
>>1135233Зависит от твоих скиллов, маня. Распиши что умеешь и что хочешь, может и придумоем всем двачом тебе диплом. Для затравки держи:"Дуалистический принцип использования сельскохозяйственных орудий в полях по модулю 5393"
>>1135423И мне придумайте.Могу в python.Мимодругойстраждущий
>>1136280"Способ безопасно лайкать и репостить экстремистские записи вконтакте, находясь в России и при этом не угодить на бутылку за экстремизм"
>>1136405Диплом про прокси/тор написать?Оценил юмор.
>>1123998что это?
Я так понял обеспечение ИБ на физическом и аппаратном уровне, особо никому нахуй не упёрлось, кроме гос/военных учереждений? Намного интересная тема, чем искать ошибочки в коде, но можно ли заграницей найти такую работу?
ребятки, правда ли, что если я умею сети, линукс, пентест и т.д то могу устроиться в сладенький банк тысяч за 150-200 в руки? (мне так сказали в соседнем треде)
>>1143272ну вроде в лицензиатах ФСБ этим занимаются, а там не только гос и военные структуры заказывают, если ты о лицензировании помещений или проведении спец. исследований
Народ, что там с образованием, насколько важно?Если я заочно поступлю на "прикладную информатику" а затем второе высшее возьму юридическое, то прокатит?Вкатывальщик 25 лвл, решил сменить профессию (раньше был техником наладчиком НТО)Какие подводные? Спрашивают ли за возраст?
тред мёртв?
>>1145779Мёртвый тред, мертвой профессии, хуль.
>>1145818Почему профессия мертва?Мне казалось, что защита информации - это актуальное дело на века
>>1145826Потому что ИБ в России - это написание бумажек, чем большая часть треда сейчас занимается.
>>1145826> это актуальное дело на векаПотому что ИБ в снг это какая-то мудрённая хрень, на котором все стараются экономить, а потом выходит:ЧТО НАДО ДЕЛАТЬ? ИБ ОРГАНИЗОВАТЬ? А СКОЛЬКО СТОИТ? МММ, СПАСИБО, НАШ СИСАДМИН САМ ЭТИМ ЗАЙМЁТСЯ, ЕЩЁ И ДЕНЕЖЕК СЭКОНОМИТ НАМ)))@КАК ЭТО СЛИЛИ НАШУ БД? ЧТО ЗНАЧИТ УБЫТКИ НА 1 МЛН???Потом заказывают всякие ксзи один раз и на всю жизнь, думая что это спасёт от всех бед.
>>1136405Ахаха, в голове этот прикол уже давно вертелся, можно расширить всякой хуетой и обозвать "Методы личностной безопасности и сокрытия данных от спецслужб разных стран"
>>1146407>>1145894ДвачуюАлсо, какой бы взять диплом чтобы по минимуму ебаться с бумагой? Меня просто тошнит от моделей угроз, моделей нарушителя, банков угроз, уровней всякого говна червя-пидора, вот прямо люто бесит, получу диплом и пойду работать шлюхойЛюбая C# SQL Microsoft Linux Tor Bloackchain Arduino TvoyaMamka - ебота сгодитсяОднако, преподы говорят что "к разработке вас не допустят, ведь нужно сделать что-то пиздец уникальное и актуальное"
Идите в интегратора какого-нибудь или дистрибьютора и займитесь актуальными средствами ИБ типа NGFW, Endpoint security, Sandbox от нормальных вендоров (Check Point, Palo Alto, Cisco. Отечественные типа Инфотекса и Кода безопасности нормальными не считаются).У меня много знакомых работающих в интеграторах и там огромная нехватка специалистов, которые могут написать проект и внедрить его.Вы познакомитесь со множеством заказчиков и службами ИБ в них, можете выбрать какое-нибудь вкусное место. Если будете себя показывать хорошо, вам наверняка предложат остаться и сопровождать то, что вы внедряете.Я знаю как минимум 20 инженеров, прошедших по такому пути, работающих сейчас в крупных банках, нефтегазовых и промышленных компаниях. Это не считая тех, кто попал в иностранные вендоры, где все еще шоколаднее.
>>1065136 (OP)Аноны, опишите типичный день типичного безопасника.Всегда восхищался этой темой, тем, каким количеством знаний надо обладать, чтобы реально шарить в этом. Я хотел бы быть таким, но нет. Один список необходимой литературы из шапки уже вызывает трепет.Ещё я вспоминаю одного шапочного знакомого красноглазика. Мы с ним ходили на одни курсы по подготовке к поступлению в ВУЗик. Он в итоге пошел на радиоэлектронику, а я (как типичный дебил), пошел за всеми на Машиностроительный. Он лихорадочно рассказывал мне, что он вычитал в журнале Хакер, про то как можно прослушивать порты и ещё какую-то дичь. Ещё я видел студентов из ХИРЭ, утомленных жизнью, с забитым взглядом. Они ехали по одиночке, сутулясь, с засаленными волосами, постоянно что-то читая.Я завидовал им и мечтал быть одним из них, мне это казалось романтичным. Но вкатился я в итоге в веб-макакинг (и то, после 6 лет на совершенно других работах). Что было по моим силам, так сказать.Так что вот. Опишите своё житье-бытье, реально интересно, как проходит жизнь рядового безопасника.
>>1147368Как вкатиться?
>>1147453Дипломированный безопасник в вузовском понимании - чувак, сидящий за компом и выполняющий 99.9% работы в ворде, изредка настраивает программно-аппаратную хуиту у клиентов по инструкцииЛибо ты мамин хакир, либо находишь прибыльное место, либо забудь о безопасности если ясный рассудок тебе важен
>>1147453Если пинтустер,реверсер то можешь чекнуть любой цтф и его решение впринципе вот чем будешь заниматьсяЕсли как выше писали установщик всякой хуйни типо сикрет нет то это тебя пошлют к заказчику и будешь думать куда и как ставить этот сикрет нет хотя на первых наверно будет типо -Алло еба у меня сикрет нет блочит принтер иди разбирись или добавить пару галочек в настройках для большей безопасностиМимо безработный не дня не работал на безопаске
Знает кто-нибудь, будут write-up ructfe 2017 и если да, то когда?
>>1065136 (OP)В шапке>Так же есть вариант перекатиться из смежных профессийУчусь на Фундаментальной информатике и инф. технологии по направлению Открытые инф. системы. Смогу ли я, после окончания ВУЗа, вкатиться самостоятельно в безопасность?
А чому в треде ни слова о баг баунти? поднял 6к баксов за ~3 месяца в свободное от основной работы время
>>1151515Алсо, есть площадки с предложениями по проведению пентестов по удаленке?
>>1151515какой у тебя бэкграунд?долго вкатывался?
>>1065136 (OP)Я зеленый студент на последнем курсе ИБ, учусь в Мухосранске. Насколько я понял, мне в будущей моей профессии придется перекладывать и рожать бумажки, прикрывая задницу от ФСТЭКА и ФСБ с РНК - в общем, тот самый классический ИБ о которой говорится в пасте. Я в принципе уже смирился с этим и начал потихоньку самообучаться по теме,но блжад, я чувствую, что мне критически не хватает знаний по работе с документами. Кое-какие обрывки ФЗ 152 и 63 и приказов фстэка я помню, да и нагуглить их можно, но нет полной картины того, что мне делать, когда приду в организации. Нет системного представления о том, что мне делать и с чего начать.Ну вот к примеру, начинаю аудит организации, определяю информацию, которую обрабатываем и тип нашей системы, и если ГИС, то 17 приказ ФСТЭК, если ИСПДН - ПП1119, дальше нужно классификацию составить, модель угроз запилить, написать ТЗ и при этом рожая по бумажке на каждом этапе и я представления не имею как они должны выглядеть и что в них писатьИ таких случаев просто туева хуча, когда проводим аттестацию, когда новое оборудование, когда электронная подпись, когда ПД и надо защищаться от РНК и т.д.Есть ли где хороший гайд для зеленых именно по этой части? Где расписано что где и какзнаю что тут полтора анона, но все-таки
>>1152352сажа случайнаяДокину вопросик: предлагают после выпуска поехать на север работать безопасником в местный крупный механический завод Магадан за 80к, при условии что проработаю 2 года. В чем подвох?Может ли быть так, что когда я устроюсь, регуляторы проведут ВНЕЗАПНУЮ проверку и ко мне применят ебательный метод?
Кто решает?https://twitter.com/dc8800/status/941777234892869632Я дошел до картинки, не понимаю что дальше
>>1152692Лол))))000 КеК))00
Пригласили пойти программистом в крутую компанию. Первый этап собеседования прошёл.Второй будет по цитирую: «в области информационной безопасности» + «стандарты в области защиты информации»Что почитать посмотреть?Готов упокоится за праздники.
>>1151619Вкатывался недолго.
Начальство требует чтобы я прошёл переподготовкам лаку по информационной безопасности. Посоветуйте контору.
>>1157150город ?
>>1157354москва
>>115236280 тыс.руб. Охереть у вас пределы мечтаний.Вот, зацени что может нормальный безопасник:https://hackerone.com/kxyry?sort_type=latest_disclosable_activity_at&filter=type%3Aall%20from%3Akxyry&page=1&range=foreverЧеловек по ссылке-безопасник в одной известной российской IT конторе.
Напомните багхнатинг сайт для тех у кого нет программы вознаграждения. Там было куча сайтов, которые даже не просили и проверке и куча уязвимостей найденных на этих сайтах. Некоторые из них были помечены незакрытыми. Кидали ссылку в бэ и говорили, что там как-то зарабатывали. Не понимаю как.
>>1159362https://www.openbugbounty.org/насколько я помню, просто сообщали СБ организации об уязвимости, которую сами же увидели в качестве чужого репорта на сайте. Мутная тема, не думаю что такое прокатит, за исключением редчайших случаев
Рейт ми https://hackerone.com/ruvlol
В помещении имеется инфракрасный датчик движения. Есть доступ к нему днём и надо обойти ночью. Правильно понимаю, что если обернуться заранее его фольгой, то нормально функционировать он перестанет?
>>1159626Какой-то способ обхода курильщика, здоровые люди заливают линзу лаком. Поможет, если нет антимаскинга. Есть ли антимаскинг- зависит от места установки, 99% что отсутствует.Это если пассивный датчик, если активный ик барьер с приемной частью, там сложнее, их проще обходить по мертвым зонам.
>>1159593До сих пор не понимаю как вы это делаете. Вроде на базовом уровне знаю JS, CSS и HTML, очень неплохо владею бурпом, прочитал кучу книг по хакингу. А вот найти что то из программы Hackerone и получить за это деньги-никак. При этом в своей компании, в которой я работаю(не безопасником) уже нашел не один десяток XSS и CSRF. Но тут я досконально знаю продукт, знаю когда релизы.
>>1159417Оно. Спасибо.Я не понимаю как это работает. Зачем исследователи выкладывают туда информацию про уязвимости? Они собирают выхлоп из sqlmap и туда скидывают или делают более подробный анализ? Прямо сейчас там куча непропеченных уязвимостей про которые владельцам сайтов доложили более 3ёх месяцев назад и все они xss. Можно как-нибудь заработать просто заюзав уязвимости от туда или они на столько бесполезны, что проще сначала найти где заработать, а потом уязвимость?
>>1159593За ручку даже не держался.но вообще ты молодцом, конечно
Сап, безопасники. Помогите решить загадку выскажите свое мнениеЕсть 2 стула: на одном 1С дроченый на другом ИБ точеный, так вот, на какой стул наиболее безболезненно присесть, чтобы потом не охуеть в Большом Мире от микрозарплат и Работа_404?Спасибо.
>>1161784Если твердо решил в Рассеюшке жить, то без вариантов 1С. Иначе оба стула с хуями.
И про 1С я почти серьезно. Вот тебе пример жизни сферического в вакууме 1С кодера:https://fixin.livejournal.comТоже будешь шлюх ебать и в Турцию кататься.
>>1161812А если вдруг захочу по блю карте сваливать в европку, то тогда имеет смысл на ИБ идти? Да и мы вроде там не только 1С учить будем, но и что-то зарубежное правда я не в курс что именно, просто не знаю как это востребовано за границей.И спасибо за ответ. и да, может кто подскажет, очень ли сложно работать по 1С? Сильно ебут?
>>1161813Красиво живет. Вот уж да, выходит из 1С можно таки неплохо выбиться. от ЧСВ подохуел, конечно.
>>1065136 (OP)Здарова безопаснички. Пришло время выбирать себе дальнейший карьерный путь. Захотел я в безопасность, но не по личной своей мотивации, а потому что у меня в ИБ BATYA. Ну, то есть, я сам-то люблю ИТ, но именно в ИБ меня зарекламировал отец. А отец мой отучился в каком-то, прости Господи, питерском техникуме, потом поработал в некогда крупном банке в своей мухосрани, потом съебал в ДС-2 в головной офис того же банка, там получил сильно дохуя опыта в области ИБ(сам устанавливал и настраивал системы-хуемы, с которыми в середине нулевых в России в принципе-то мало кто знаком был), с этим опытом скакнул в местное представительство одной международной конторы и лет через пять перевёлся в Европку. Ясное дело, что такой гамбит - дело великой удачи и мне его провернуть вряд ли удастся, да и не об этом вопрос. Дело в том, что я в этом году поступаю в вуз, и мне надо бы наконец, блять, определиться, где и на кого я хочу учиться. Чекнул я ситуацию на рынке, почитал ваш охуеннейший тред, и приуныл. Более того, на всём российском рынке ойти точно такой же пиздец, а через четыре года я и вовсе на хуй никому не буду нужен. Внимание, вопрос: штоделать? Есть вариант завести трактор и уебать учиться за бугор, насколько там востребована вся эта хуйня? Есть тут люди, знакомые с забугорным ИБ? Насколько правдива паста в начале треда, действительно ли я не пригожусь где родился? Что мне, блять, делать, аноны?
>>1161854С матешей у тебя как?
>>1161940Пикрилейтед. Я школу-то давно закончил и еще и в шараге поучился, с вышматом и дискреткой всё отлично было.
>>1161945Ну тогда не еби самому себе мозг и иди тупо на фундаменталку или прикладную матешу. Все эти "специальности" в Рашке - нафталиновая слоупочная лет на 10-15 хуета без задач. На выходе знаний один хуй не получишь толком. С фундаменталкой проще таки в итоге, да и просто математики наши до сих пор где-то, да котируются.
>>1161991И нахуя оно мне надо? Если поверить во все, что тут пишут - я не устроюсь никуда.
>>1161854Братишка по-мойму если есть варик съебать то надо его юзать
>>1161993Просто матеша на выходе тебе наоборот даст больший выбор, куда идти, мань. Например в бигдату там пойдешь, или те же аналитики.А так, ну будешь "погроммистом" или "специалистом по ИБ" на бумаге, а на деле, ни принципов алгоритмов понимать не будешь, ни принципов даже крипты злоебучей, максимум сможешь сайтики пиликать, или ключики в PKI выпускать за мелкий прайс. Но я, собственно, не настаиваю. Жизнь твоя, и как ее проебывать решаешь только ты сам, а не папка твой или омноним на двощах.
>>1162005>в бигдатуСильно перспективно? Я с этим не очень знаком, разве это не слишком узкая сфера?
А вообще, вот этот братишка дело говорит >>1162002Если есть шансы учиться за бугром, вали из этого болота к хуям. В свои 30+ могу точно сказать, эта страна катится обратно в ебучее средневековье. И если ты учась в нашей шаражке этого еще не понял, то это печально.
>>1162006Экспоненциальный рост объемов генерируемой человечеством хуеты инфы, говорит прямо, что это очень актуально.
>>1162007Я оптимист просто. И не люблю запад, больше хочется в азию съебать, думал, через Расеюшку проще будет. Ну да не суть, если на это забить, то съебать действительно куда лучший вариант. И про наводку с бигдатой спасибо.
>>1162010Используй scholarship для магистратуры в Азии, там охуительнейшие программы. Правда подойдет только если ты в бакалавриате в рашке не хуи пинал, а хотя бы на конференциях выступал, не говоря уж о высоком среднем балле.
>>1162169У меня в принципе вышки нет. И мне уже двадцать три, так что идти на вышку ради халявной учебы в Азии слишком долго, тут уже реально легче трактор завести к родителям в Европу
>>1078847>кроме настоящих конфушников типа операторов сотовой связи, вот там реально война идетчто за война?
>>1094589> участвовать в ctfучаствовать в ctf - это означает лишний раз палить свое ебалопри том что если хочешь рубить бабло, надо идти в блек
>>1096802>пентестинг>подрочить в свободное от работы время на багбаунти программах и немного поднять бабла по фануугу и при том что занимаясь тем же самым в блеке и не боясь за свои яица можно поднимать на порядки больше
>>1143364лол, НЕТ
>>1143364Тебя очень дико наебали. Максимум сотку, и то, если AD досконально знаешь.
>>1162731Че-то хз откуда вы такие маленькие зп берете.ДС, ручной тестировщик(то есть код почти не пишу), 100+ на руки. При этом до безопасников мне как раком до Луны, у них уверен сильно больше
>>1163624Ну какому-то хую со стороны виднее сколько мы получаем, да.
Планирую поступать на сабжевую специальность в ВУЗ, поэтому встал вопрос о покупке ноутбука. Подойдут ли новые ноуты за 15-20к или лучше купить подержанный за те же деньги? Ну, то есть ясен хуй, что новые за такие деньги будут довольно слабые, однако, при покупке подержанного, хоть он и будет мощнее, гораздо больший шанс соснуть хуйца при внезапной поломке.И еще: правильно ли я думаю, что лучше основной ОС иметь виндовс для всяких вордов, вижуал студий и прочего, а линукс для специализированного софта держать на флешке?
>>1164189как по мне, так лучший ноут ленова 220в какой операционной системе работаешь - той и держи основной
>>1143364научись сначала в элементарную логикубанк - финансово-кредитная организация, производящая разнообразные виды операций с деньгами и ценными бумагами и оказывающая финансовые услугиза редким исключением, ИТ для банка - это статья расходов. так с какого хуя платить тебе больше сотки, если ты не генеришь банку прибыль?
>>1164189Не стоит тебе в эту специальность идти, дурашка.
>>1164287Я бы и рад что-то другое выбрать, начитался ваших тредов, но проблема в том, что ИБ это единственная специальность, которая мне нравится хоть как-то. Остальное почти никакого интереса не вызывает.>>1164233>ленова 220Даже подержанные они дорогие.
>>1164237>так с какого хуя платить тебе больше сотки, если ты не генеришь банку прибыль?потому что если не платить мне, то можно пострадать от действий злоумышленников и потерять не только деньги, но и доверие клиентов
>>1164972можно не платить тебе, а когда банк пострадает от действий злоумышленников, выебать тебе мозги по полной, обвинить в халатности, выкинуть на улицу по статье, и когда СБшник с новой работы будет интересоваться тобой, то красочно расписать твой "подвиг"
>>1164990>выкинуть на улицу по статье,1. для того чтобы выкинуть, нужно сначала взять2. статьёй будешь мамку свою пугать>красочно расписать твой "подвиг"Это делается повсеместно и без каких бы то ни было поводов
>>11649991. да мне то похуй2. вот в банке и будешь это говорить, при обосновании почему тебе должны платить 200к
>>1165002мамке это своей расскажи
>>1164990Именно так и происходит, обычно. Какой косяк (особенно, если ЦБ узнал), и весь отдел ИБ на улицу тем же днем. Трустори.
>>1165112А т.к. тусовка у нас с комариный хуй, такой зашквар превращается в натуральный "волчий билет", в банках уж точно. Ну и слава ЦБ, кстати, с каждым годом банков у нас все меньше, соответственно рыночек восстребованных там ИБшничков тоже не растет. Но тупые дети, насмотревшиеся мистера робота, не умеют в стратегическое мышление и осознание, что через 5 лет все будет совсем иначе.
>>1073555Как дела там у тебя в БЦ твоем?
>>1157150Информзащита
>>1161784Насколько я знаю, в роисе на иб нихуя не учат, а когда ты выйдешь,то работы мало, а если и есть, то ты на хуй пойдёшь с той залупой которую тебе дали в вузе
Те кто хотят поступить на ИБ в вуз, то забейте хуй. Всё что у нас было из полезного: БД, администрирование линуха и впринципе всё. Остальное было: криптология, стеганография, алгоритмы шифрования)) Бесполезнейшая хуита, а не ИБ.
>>1170284)))))
>>1170284У нас ещё программирование было, много программирования. И попытки обучить реверсу и пентесту.
>>1170284БД, администрирование линуха - это полезно для сисадминского дна, а не для ИБматематеку-криптолуху в одной крупной ИБ конторе платят за 200ксисадмину - 80к
>>1170931> платят за 200кСлишком малый выхлоп учитывая сколько надо дрочить. Плюс сколько вакансий дно админа, а сколько криптохакира.
Ньюфаг в треде. Как люди начинают работать пентестерами? Ведь везде требуется опыт в районе где-то от 1 года и это минимум. А как же попадают те, у кого опыта работы не было? Я понимаю, что нужны навыки для того, чтобы приняли без опыта, но я просто не представляю что именно люди говорят на собеседовании в таком случае. Неужели классическое "просто до этого неофициально работал" и "знаю все про все уязвимости"?
Все самооценились, лол? Я вот из-за этой ебатеки уже очень серьезно думаю натурально съебать из РашкоИБ куда подальше, хоть в Мак, хоть в быдлоадмины, лишь бы эту ебучую таблицу больше в глаза не видеть, как и больше не насиловать свой мозг косноязычными высерами вроде:Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию лиц, обладающих правами:по осуществлению доступа к защищаемой информации;по управлению криптографическими ключами;по воздействию на объекты информационной инфраструктуры, которое может привести к нарушению предоставления услуг по осуществлению переводов денежных средств, за исключением банкоматов, платежных терминалов и электронных средств платежа.Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию своих работников, обладающих правами по формированию электронных сообщений, содержащих распоряжения об осуществлении переводов денежных средств (далее - электронные сообщения).
>>1171404> Слишком малый выхлоп учитывая сколько надо дрочить. Сразу видно школотрона, кек. Который еще не понял, что фраза "если ты такой умный, то почему бедный" - правда жизни.
>>1171598Ибратик сколько платят в банковском секторе иб обычнохую?
>>117191370К на ручки.
>>1170931>сисадмину - 80кЭто уровень обычного виндового шивы, админы могут и гораздо больше получать. Хотя судя по обзору зарплат на хабре меньше админов получают только тестеры.
>>1172297И ИБшники
>>1172495Это уже с другого обзора зарплат.
>тред безопасников>ни одного упоминания о 187 ФЗясно
>>1173295Очередной полоумный высер бешеного принтера. Я вот благо не работаю в госсекторе, мне за глаза другого припизднутого чтива вроде 152-фз и подзаконнок хватает. Плюс ЦБшные писульки.Чем больше бумажной возни, тем меньше времени на саму безопасность остается.
>>1173372Ну этот высер громче 152 фз, теперь в гос секторе начнется тотальный пиздорез на фоне безденежься и недоумевания "А НА ЧТО ЭТО 10 МИЛЛИОНОВ, ЧТО ЗА МЭ ТАКИЕ? ШТА ЛУЧШЕ ЗАКУПИМ ЕЩЕ ПРИНТЕРОВ". Отчасти мне доставляет принятие этого закона, теперь мое руководство будет подгорать от осознания того что нужно ТРАТИТЬСЯ И что за это уголовная ответственность
Поделитесь ссылками на тесты по ИБ
>>1171422Видел я несколько историй успеха, где люди в школьные годы пытались программировать и что-нибудь ломать ради фана, работали кодерами, учась в вузе и потом внезапно понаезжали в ДС и устраивались в какой-нибудь PT.
Мужички, есть где площадки по тренировкам по курсу comptia security+ ну щоб прям сеть виртуально конфигурировать и прочая малафья?И конкретно вакансии специалиста по форензике есть?
>>1175603>сеть виртуально конфигурироватьCisco Packet Tracer не вариант?
Что вообще за животное такое эта ваша Госсопка, что она из себя будет представлять? Это проект по принудительному отжатию бабла в пользу pt и solar?
>>1065136 (OP)Безопаснички, есть у кого-то в доступе "Безопасность Oracle" Полякова? Оказалось, что бесплатную полную версию так просто не отыскать. Если покупать, то стоит ли она своих денег?
Посоны, я вам анекдот принёсhttps://www.kommersant.ru/doc/3546784
>>1178518Погроммистов тоже, говорят, не хватает.
Все, выкатился из этой параши под названием ИБ. Теперь нормальный айтишник.
>>1179620Рад за тебя, бро. Пили прохладную.
>>1179758Да что там пилить. На хую видал Минкомсвязи и 63-фз. А прочих бумагоебов и подавно.
>>1179832В какую хоть степь ИТ перебрался?
Сегодня окончательно убедился, что типичные сисадмины это такие же тупорылые животные, как и юзеры, только презрения к ним больше.
>>1179873Подальше от любых госрегуляторов. в девопс тайгу
Нужен ли нам перекат? Или пусть тред отправляется туда же, куда и вся ИБ в Этой стране
>>1181285Пусть самый успешный, повелитель БЦ, перекатывает.
>>1173295как и о gdpr
>>1181320> gdprОбмажутся своим комплаЕнсом и ябут друг-друга в жеппы.Какой gdpr, лупень? Тут под 152-фз до сих пор не то, что системы, доки большинство подвести не может.
>>1181451любая компания, которая делает и продает продукт на международном рынке для конечного пользователяв россии таких конечно мало яндекс, мейл да касперв основном всякие интеграторы да ауотсосы либо пилят бюджет госпроектов либо заказную разработку для крупных компанийесли ты лупень не в курсе то gdpr про защиту персональных данныхсколькими ты продуктами инфоджет вомпользовался за свою жизнь?я вообще не знаю ни одного чела, который бы пользовался каким-то их продуктом и подписывал с ними лицензионное соглашение
>>1181868Разворачивал их корявый DLP году так в 2013-м. Где твой бог теперь?
>>1181912мамке своей? соседу?помница работал в ланите.родичам говорю:- гордитесь! работаю в самой крупной ит компании россии"- яндекс?- ланит- первый раз слышем. а что они делают? конечно он прав. для большинства рос компаний это не актуальнопотому что они не делают продуктов для массового рынкакак поедешь в гейропку, подойди к любому европейцу и спроси сколько DLP российский производителей установлено у него домада и вообще знает ли он хотя бы один ит продукт произведенный в рашке
>>1182003Ты чего так рвешься-то? Завидуешь манагерам, что тебя работать заставляли, пока они с ИБшничками госконтор водовку попивали, да бюджетики пилили? Трустори, кстате, кек.Так-то если простую европидораху спросить вообще про DLP, то он тебе тоже ничего внятного не промычит. Т.к. DLP, что в Рахе, что в Гермахе стоит дохуя и простому юзверю до них, как мне до трактора в эту самую Гермаху.Ну и не забывай, что сей утопающий тред - про ИБ в России, а не world wide. Так-то пока лишний раз лишь своим баребухом пасту с расстановкой всех точек над ИБ подтвердил.
>>1182103просто не пойму, как связанны регламент по защите персональных данных и всякие dlp джетов?Андрей Янкин просто капитан очевидность. Мог бы с таким же успехом сказать, что положение о биоцидных веществах для большинства российских компаний не актуально. Или что для них неактуальны проблемы беженцев. Или квоты на импорт молочных продуктов в странах ЕС. В общем, любая хуйня в мире с которой российские компании не взаимодейсвуют.а вот на счет последнего он не прав. моя компания предоставляет небольшой сервис, в том числе европейским потребителям и мы еще как попадаем под gdpr. с середины прошлого года доработка новых фич прекращена и все заняты только изменениями связанными с новым регламентом.
Ну что, как относитесь к вселенскому вай-фаю от ЦРУ?)
>>1184786Сугубо положительно. один хуй наши дебилы его глушить собираются
>>1184798>Сугубо положительноА расширение влияния PRISM, сбор данных, etc?
Скоро участвую в своём первом ctf.qctf Как подготовиться?
>>1184919Тебе-то не похуй? Если ты капчуешь с ведра/гейфона, ты и так уже сливаешь достаточно.
>>1185314>Тебе-то не похуй? Если ты капчуешь с ведра/гейфона, ты и так уже сливаешь достаточноУ меня нокиа на симбиане :(
>>1185744Ну и лох ретроградный, сиськастый хуй
Господа, есть дилемма.Допустим, вы занимаете должность специалиста перспективного развития в бизнес-структуре среднего размера. Вместо задач конкурентной разведки, корпоративной борьбы и безопасности - по факту исполняются задачи коммерческого директора, вперемешку с руководителем отдела продаж и прочей неспецификой. Плюсы- это приносит хорошие деньги, конторе и себе. Минусы- на реальную корпоративную разведку деньги не выделяются, руководство смысла в этом не видит, всем и так заебись. Знания предмета не применяются, опыт растет в совсем другом направлении. Что делать в такой ситуации?
бочку
>>1187253Если прям жить не можешь без разведки, иди в СВР или ГРУ, а не мучай жопу, дурень.
Перекат будет кто пилить?
>>11872531. Забить2. Достичь должности, на которой ты сможешь принять решение угодное тебе3. Уйти работать другое место
>>1187351Слабоват я для таких служб, не хватает навыков и опыта. Коммерция - другое дело, там проблем нет.
ФСТЭК у Пало Альты отозвал сертификат за неисправление уязвимостей. При этом российские продукты на уязвимости никто не тестирует, збсь
>>1189081По идее сам фстэк и фсб должны.
https://2ch.hk/wrk/res/1065136.html ПЕРЕКоТhttps://2ch.hk/wrk/res/1065136.html ПЕРЕКоТhttps://2ch.hk/wrk/res/1065136.html ПЕРЕКоТhttps://2ch.hk/wrk/res/1065136.html ПЕРЕКоТhttps://2ch.hk/wrk/res/1065136.html ПЕРЕКоТhttps://2ch.hk/wrk/res/1065136.html ПЕРЕКоТ
https://2ch.hk/wrk/res/1188563.html ПЕРЕКАТ ТРЕДАhttps://2ch.hk/wrk/res/1188563.html ПЕРЕКАТ ТРЕДАhttps://2ch.hk/wrk/res/1188563.html ПЕРЕКАТ ТРЕДАhttps://2ch.hk/wrk/res/1188563.html ПЕРЕКАТ ТРЕДАhttps://2ch.hk/wrk/res/1188563.html ПЕРЕКАТ ТРЕДАhttps://2ch.hk/wrk/res/1188563.html ПЕРЕКАТ ТРЕДАhttps://2ch.hk/wrk/res/1188563.html ПЕРЕКАТ ТРЕДАhttps://2ch.hk/wrk/res/1188563.html ПЕРЕКАТ ТРЕДА