CTF тренировки/wargames:
http://ringzer0team.com/
http://root-me.org
http://canyouhack.it/
http://www.hackthis.co.uk
http://captf.com/practice-ctf/
https://ctf365.com/
http://smashthestack.org
http://overthewire.org/wargames/
https://microcorruption.com/login
https://exploit-exercises.com/
http://freehackquest.com/
Matasano Crypto Challenges - cryptopals.com
Огромное количество всего:
http://www.getmantra.com/hackery/
https://www.gitbook.com/book/isislab/hack-night/details
Полезные инструменты для CTF
http://webcache.googleusercontent.com/search?q=cache:gOdFvGbs7R8J:delimitry.blogspot.com/2014/10/useful-tools-for-ctf.html+&cd=1&hl=ru&ct=clnk
Полезные CTF репозитории на github:
CTF Field Guide https://trailofbits.github.io/ctf/
https://github.com/trailofbits/ctf
CTF framework used by Gallopsled in every CTF
http://pwntools.com
https://github.com/Gallopsled/pwntools
Some setup scripts for security research tools.
https://github.com/zardus/ctf-tools
A curated list of CTF frameworks, libraries, resources and softwares
https://apsdehal.in/awesome-ctf/
https://github.com/apsdehal/awesome-ctf
A general collection of information, tools, and tips regarding CTFs and similar security competitions http://ctfs.github.io/resources
https://github.com/ctfs/resources
Challenges for Binary Exploitation Workshop
https://github.com/kablaa/CTF-Workshop
Useful for CTFs, wargames, pentesting. Educational purposes.
https://github.com/bt3gl/My-Gray-Hacker-Resources
A curated list of awesome Windows Exploitation resources, and shiny things. Inspired by awesom
https://github.com/enddo/awesome-windows-exploitation
CTF write-up's
https://github.com/ctfs/write-ups-2014
https://github.com/ctfs/write-ups-2015
https://github.com/ctfs/write-ups-2016
Образовательные порталы:
http://www.pentesteracademy.com/
http://www.infosecinstitute.com/
http://opensecuritytraining.info/
http://securitytrainings.net/
Вузы:
http://www.best-masters.com/ranking-master-business-intelligence-knowledge-and-security-management.html
http://www.cyberdegrees.org/listings/top-schools
https://digitalguardian.com/blog/cybersecurity-higher-education-top-cybersecurity-colleges-and-degrees
Курсы:
https://academy.yandex.ru/events/system_administration/kit_2014/
http://ocw.mit.edu/courses/electrical-engineering-and-computer-science/
Exploit Development Community
https://expdev-kiuhnm.rhcloud.com/
В среду, 28 июня, WikiLeaks опубликовал очередную порцию секретных документов ЦРУ в рамках проекта Vault 7. На сайте появилась 42-страничная инструкция по использованию инструмента ELSA, позволяющего отслеживать пользователей Windows-устройств с поддержкой Wi-Fi на основе данных расширенной зоны обслуживания (Extended Service Set, ESS) или ближайших сетей Wi-Fi.
https://wikileaks.org/vault7/document/Elsa_User_Manual/Elsa_User_Manual.pdf
Кто там про "виндоус без альтернатив" пел
Ах да рн-без,я же совсем забыл-вам сейчас не до викиликса тролфейс.жпг
>>816617
>имеет ли смысл углубляться в иб и все такое
Сейчас распишу простыню, а дальше сам для себя решишь, братишка.
И так, как и обещал >>815983 начну.
10 лет в сфере ИБ. Работал, как в сугубо техническом направлении ПЭМИНы, закладки и прочая недошпионская хуйня, так и непосредственно в ИБ.
Так вот, ответственно заявляю за РФ. ИБ серьезно занимаются следующие: гэбня, военные и кое-что из правительства вроде МИДа, топ-конторы уровня Газпрома да и вообще нефтегаз/металлургия и прочее сырье, выкачиваемое из родной земельки, совсем немного серьезных банков из топ-10, в том числе ЦБ но там уже распиздяйства хватает. Всё. Ну т.е. вот совсем всё. Остальные 99.99% организаций под "ИБ" понимают бумагомарание всех родов вроде клепания тонны бумаг под 152-ФЗ, 382П и прочих высеров Кожевниковой, Валуева и ко, или это если совсем повезет руление "групповыми политиками в домене" или каким-нибудь корпоративным антивирусом. Даже не макспатролом, который стоит, как чугунный мост, а если его и используют, то как банальный инвентризатор наличия/отсутствия обновлений трустори.
ИБ как таковое, если вы будете внимательно анализировать вышеозначенный список, у нас хоть как-то теплится только если есть бабло на это самое ИБ. В остальных случаях это ненужный придаток на границе ИТ/СБ без особенно видных результатов для современных гендиров. А так, давным давно складывается ощущение, что у нас и без ИТ с СБ обходились бы, но приходится по минимуму тратить на это бабло в первом случае, чтобы была хоть какая-то инфраструктура, а во втором, чтобы совсем уж нагло не воровали А воруют у нас почти все и всё, что плохо или хорошо лежит, это если кто еще не вырос из школьных мозгов, и не осознал этого забавного факта из жизни хомосапиенсов в джунглях современной России.
И так, после краткого введения в "месте ИБ в бизнесе современной России". Распишу, что вас таки ожидает в карьером плане. А в карьером плане, если у вас за спиной нет Академии водителей гелендвагенов или военного вуза с последующей работой по специальности на государство и погоны, будет жопа. Максимум, подчеркну, максимум, что тебе светит - быть специалистом за жалкие 2 килобакса. Но при этом впахивать будешь, аки конь. Но чаще в Россиюшке 2 килобакса - предел мечтаний. На деле зп будет в районе 1К максимум и то в ДС. Начальником не станешь почти никогда. Знаешь почему? Потому что начальниками у тебя будут ребята, как раз таскавшие погоны. Либо с васильковым кантом, либо вообще со звездами. Это такой прямой намёк "как правильно строить карьеру ИБ в России".
А теперь по основным направлениям.
Классическое ИБ чем скорее всего будешь заниматься с 90% долей вероятности - регулярное чтение законов и подзаконных высеров, клепание регламентирующих документов по этому поводу, участие в никому не нужных совещаниях, общение на перекурах с быдлоадминами из ИТ или быдлосапогами из СБ, а может и с теми и с другими, попойки с контролирующими твою говноконтору проверяющими. Классический менеджер без задач в общем. ЗП до 80К деревянных в ДС.
Всеми обожаемый тут пентест - контор, которые ими занимаются, 3.5. Рынок по объемам на уровне комариного хуя. Пентест почти никогда тут не заказывают, ибо никто не хочет оголять свою жопу. Все живут до первого инцидента. А если он и случится, стараются его замалчивать до последнего.
криптография - тут все на самом деле очень грустно. Разрабатывать тебе ничего не дадут, т.к. это автоматом попадает под 99-ФЗ http://clsz.fsb.ru/license.htm. Если хочешь что-то серьезное делать - быть невызедным и работать за копейки на родное государство. В 99% же случаев в частном секторе - будешь тупо админить распределение ключей, что на уровне где-то сраного эникея. ЗП соответствующая 30 килорублей максимум.
Техническая ИБ так же попадает под вышенаписанное. Если повезет, дадут поводить по губам нелинейным локатором или помониторить радиоэфир, хех. Но опять же, таких спецов нужно 3.5 калеки. Зп в районе 1К баксов. Ранняя импотенция и облысение гарантированы.
ИБ при разработке ПО нахуй никому не нужно, особенно в мире современного макакодинга, надо быстрее "хуяк-хуяк и в продакшен", а не ловить утечки и переполнения буфера. Тут 100% надо смазывать трактор.
антималварь - все уже занято. Есть достаточно инсайдов, что малварь давно пишут сами антималварьщики. Пока будешь набивать скилы, посадят.
Отака хуйня, малята.
Это кратко. Сегодня помониторю тред. Задавайте ваши ответы.
>имеет ли смысл углубляться в иб и все такое
Сейчас распишу простыню, а дальше сам для себя решишь, братишка.
И так, как и обещал >>815983 начну.
10 лет в сфере ИБ. Работал, как в сугубо техническом направлении ПЭМИНы, закладки и прочая недошпионская хуйня, так и непосредственно в ИБ.
Так вот, ответственно заявляю за РФ. ИБ серьезно занимаются следующие: гэбня, военные и кое-что из правительства вроде МИДа, топ-конторы уровня Газпрома да и вообще нефтегаз/металлургия и прочее сырье, выкачиваемое из родной земельки, совсем немного серьезных банков из топ-10, в том числе ЦБ но там уже распиздяйства хватает. Всё. Ну т.е. вот совсем всё. Остальные 99.99% организаций под "ИБ" понимают бумагомарание всех родов вроде клепания тонны бумаг под 152-ФЗ, 382П и прочих высеров Кожевниковой, Валуева и ко, или это если совсем повезет руление "групповыми политиками в домене" или каким-нибудь корпоративным антивирусом. Даже не макспатролом, который стоит, как чугунный мост, а если его и используют, то как банальный инвентризатор наличия/отсутствия обновлений трустори.
ИБ как таковое, если вы будете внимательно анализировать вышеозначенный список, у нас хоть как-то теплится только если есть бабло на это самое ИБ. В остальных случаях это ненужный придаток на границе ИТ/СБ без особенно видных результатов для современных гендиров. А так, давным давно складывается ощущение, что у нас и без ИТ с СБ обходились бы, но приходится по минимуму тратить на это бабло в первом случае, чтобы была хоть какая-то инфраструктура, а во втором, чтобы совсем уж нагло не воровали А воруют у нас почти все и всё, что плохо или хорошо лежит, это если кто еще не вырос из школьных мозгов, и не осознал этого забавного факта из жизни хомосапиенсов в джунглях современной России.
И так, после краткого введения в "месте ИБ в бизнесе современной России". Распишу, что вас таки ожидает в карьером плане. А в карьером плане, если у вас за спиной нет Академии водителей гелендвагенов или военного вуза с последующей работой по специальности на государство и погоны, будет жопа. Максимум, подчеркну, максимум, что тебе светит - быть специалистом за жалкие 2 килобакса. Но при этом впахивать будешь, аки конь. Но чаще в Россиюшке 2 килобакса - предел мечтаний. На деле зп будет в районе 1К максимум и то в ДС. Начальником не станешь почти никогда. Знаешь почему? Потому что начальниками у тебя будут ребята, как раз таскавшие погоны. Либо с васильковым кантом, либо вообще со звездами. Это такой прямой намёк "как правильно строить карьеру ИБ в России".
А теперь по основным направлениям.
Классическое ИБ чем скорее всего будешь заниматься с 90% долей вероятности - регулярное чтение законов и подзаконных высеров, клепание регламентирующих документов по этому поводу, участие в никому не нужных совещаниях, общение на перекурах с быдлоадминами из ИТ или быдлосапогами из СБ, а может и с теми и с другими, попойки с контролирующими твою говноконтору проверяющими. Классический менеджер без задач в общем. ЗП до 80К деревянных в ДС.
Всеми обожаемый тут пентест - контор, которые ими занимаются, 3.5. Рынок по объемам на уровне комариного хуя. Пентест почти никогда тут не заказывают, ибо никто не хочет оголять свою жопу. Все живут до первого инцидента. А если он и случится, стараются его замалчивать до последнего.
криптография - тут все на самом деле очень грустно. Разрабатывать тебе ничего не дадут, т.к. это автоматом попадает под 99-ФЗ http://clsz.fsb.ru/license.htm. Если хочешь что-то серьезное делать - быть невызедным и работать за копейки на родное государство. В 99% же случаев в частном секторе - будешь тупо админить распределение ключей, что на уровне где-то сраного эникея. ЗП соответствующая 30 килорублей максимум.
Техническая ИБ так же попадает под вышенаписанное. Если повезет, дадут поводить по губам нелинейным локатором или помониторить радиоэфир, хех. Но опять же, таких спецов нужно 3.5 калеки. Зп в районе 1К баксов. Ранняя импотенция и облысение гарантированы.
ИБ при разработке ПО нахуй никому не нужно, особенно в мире современного макакодинга, надо быстрее "хуяк-хуяк и в продакшен", а не ловить утечки и переполнения буфера. Тут 100% надо смазывать трактор.
антималварь - все уже занято. Есть достаточно инсайдов, что малварь давно пишут сами антималварьщики. Пока будешь набивать скилы, посадят.
Отака хуйня, малята.
Это кратко. Сегодня помониторю тред. Задавайте ваши ответы.
Кстати, грядет вступление 552-п. Все приготовились? я вот толком нихуя
По книгам добавлю, что Black hat python тоже вышла.
Перекат удался, однако! И сразу бамп образовательной платформой: https://www.cybrary.it/
Ещё в прошлых тредах давалась пара ссылок на книги, но там дофига устаревающих и даже имеющих лишь историческую ценность книжек.
Ещё в прошлых тредах давалась пара ссылок на книги, но там дофига устаревающих и даже имеющих лишь историческую ценность книжек.
> имеющих лишь историческую ценность книжек.
@
КНИГИ 2009ОГО ГОДА
2004-го
Принципы толком не меняются. Как и векторы атак. Меня удивило, что в списке нет очевидного must read "Секреты и ложь" Шнайера.
> Шнайера
Ты оппост читал? Видишь закономереость? Там техническая литература. А ты советуешь художку.
Как у безопасников с удалёнкой? Вообще насколько часто это практикуется? У Каспера кажись такого нет, у Dsec есть частичная удалёнка.
Кстати поясните куда стремиться новичку? Позитив дигитал или каспер?
В этой "художке" весь сок и понимание принципов ИБ, как таковых.
В риэлтеры.
А в войне и мир вся суть стратегического планирования.
У некоторых стажировки есть, иногда даже оплачиваемые или удалённые. Многое зависит от твоего города и возможности его сменить.
Ок. Добавлю конкретики. Город Москва, но здесь ничего не держит. Главное не деньги, а свалить за бугор.
>Москва
Ну тогда тебе есть, из чего выбирать. У Каспера точно есть стажировки, у Яндекса видел(но вроде бы нет ничего по ИБ). У Dsec стажировки в питерский офис. Тут ещё от скиллов зависит и желаемого направления. Можешь походить по собеседованиям на джуниора и понять, где нужно подтянуть знания.
>свалить за бугор
Во, как раз хотел спросить в треде, как в нашей специальности с перспективами заведения трактора. С СШП вроде бы понятно, там ИБ востребовано больше, чем у нас. Про Австралию писали, что некоторые организации нужно по закону пентестить 4 раза в год.
Кстати, нихуя. Признайся, ты ведь не читал ни то, ни другое.
Нет. Не читал. не читаю худодкуА про войну и мир навальный втирал, что для курсов страг. планирования в ейле требовали прочитать эту книгу.
> навальный
Лучше бы ты художку читал, ейбогу.
> вся суть стратегического планирования.
Ильф-Петров "Золотой теленок" и «Теория игр. Искусство стратегического мышления в бизнесе и жизни» Авинаш Диксит и Барри Дж. Нейлбаффа прочитай эти две книги и больше никогда к этой теме не возвращайся.
Все само по кирпичикам в голове сложится.
>В риэлтеры.
Если только в черные. У обычных сейчас конкурс по 100 чел на место-сокращение персонала у них уже второй год идет,продаж-то нет нихуя-крайзис,люди ежей доедают.
Пацаны, с метасплойтом может помочь кто? Пердолю учебную тачку через реверс шелл, открыт фтп, генерю веномом шелл, заливаю, пускаю метасплойт, все ввожу верно, зашил тоже тоже норм, делаю все правильно, хуярю эксплойт, завожу на тачке шел, метасплойт начинает работать, пишет sending stage И НИХУЯ, кореш делает все так же, у него врубается сессия, у меня просто стопорится в начале, в чем проблема может быть? Если пустить с фоне и чекнуть сессии в метасплойте то пишет что сессий нет, на порту, которым я пользуюст, висит конект с учебной тачкой. Апгрейды делал, базы проверил, на разные порты кидал. Может помочь кто, третьи сутки ебусь?
У каспера из 3,5к примерно 2к в московских офисах, около 1к в офисах по всему миру. Остальные на удалёнке.
Вопрос в том, что ты должен быть особо ценен для компании, чтобы выдвигать свои условия работы. Иначе пиздуй в офис или на хуй.
> Остальные на удалёнке.
Чёт дохуя. Откуда данные?
>Чёт дохуя. Откуда данные?
Тоже сталкивался,помимо удаленщиков у них и субподрядчики и аутсорсы есть. Не может крупный бизнес сидеть только в офисе.
>субподрядчики и аутсорсы
Это понятно, но 14 процентов удалёнщиков слишком много. В 5 процентов поверю, но ожидал ещё меньше. Где они такое сказали?
>
>1465x1209
>
> Пацаны, с метасплойтом
если в такую элементарщину не можешь простые скрипты ебаные запустить, то лучше смени отрасль - не твоё.
Двачую.
мимо знаю метасплоит с рождения
Реально ли вкатиться в ФСБ после гражданского вуза по ИБ? слышал что в некоторые московские вузы на последний курс приезжают люди в черном и предлагают контракт, есть ли особо перспективные в этом плане или все хуйня? Алсо что скажете по поводу обучения на курсах типа cisco, стоит того? Да и вообще, так ли все плохо с работой, как описано в знаменитой пасте?
Чем будешь моложе, тем реальнее. Курсы нужны разве что ради корочки. С работой не плохо, и она в принципе будет всегда, в пасте просто указано, как правильно делать карьеру, ну и реальный уровень зп, как и то, чем будешь заниматься, чтобы знали, на что идут.
>так ли все плохо с работой, как описано в знаменитой пасте?
Если работать на дядю никогда пряников не получишь. Идешь в БЦ арендуешь комнату,а затем предлагаешь свой ИБ всем обитателям БЦ. В ДС 1700 БЦ и 1500 ТЦ работы на всех хватит. А пасте не верь-не то что она лживая хотя это было доказано в прошлом треде про чувака нашедшего закладки в материнках и лубянка даже не поняла о чем он говорит просто это манипуляция фактами с целью заставить тебя идти работать задешево в госы.
В треде консперолух? Давай попредлагай свои иб-услуги без спецов в штате и без лицухи. Дядя майор только и ждёт чтобы наебнуть такого умника как ты.
>Идешь в БЦ арендуешь комнату,а затем предлагаешь свой ИБ всем обитателям БЦ
> Идешь в БЦ арендуешь комнату,а затем предлагаешь свой ИБ всем обитателям БЦ.
И обитатели БЦ шлют тебя на хуй. Сетевые магазины потому, что у них свой штат ИТ, а ИП Ашот, как и ООО камшот экономят на просто ИТ, за ИБ платить тем более не будут. Да и что ты им предложишь? "Поставить антивирус"? Там давным давно шуршат миниэникеи. Или ты им SEIM развернешь?
> А пасте не верь-не то что она лживая хотя это было доказано в прошлом треде про чувака нашедшего закладки в материнках и лубянка даже не поняла
Нука пруфы в студию, что там было что-то доказано?
> о чем он говорит просто это манипуляция фактами с целью заставить тебя идти работать задешево в госы.
Вот это полёт маня-фантазий... Шапочка из фольги не жмет?
> Дядя майор только и ждёт
Опять наплыв портянок,незнающих, что ИБ это нетолько "пробивка" и прочие корочкокозыряния,раздувание щёк и намеки на паяльник,а в первую очередь IT-безопасность -2017 на дворе. Никогда штатный сисадмин,а зачастую эникей в фирмочке 20-30 пользователей не будет иметь тот багаж по айти-безопасности, что специалист. ИБ не заменяет местный персонал, он его дополняет с весьма определенной целью.
Здесь и вступает в игру ИБ-консультант. Периметр,анализ,права и поддержка всего этого за скромную ежемесячную мзду,что у сидящих в одном комплексе вызвает больше доверия. Любой минимальный БЦ это минимум 50 фирмочек на 10-30 человек. Если окучить даже каждую десятую,а на практике выходит каждая 4-5,то это достаточный доход чтобы не скулить,где мои 200 штук мес. Просто научись продавать свои знания,если они есть,конечно.
Но дебилам же делать цивилизованный бизнес некрасива -"Где углеводороды,где охулиарды,где понты наконец,мы что зря портянки мотать учились и честь перед зеркалом отдавать с ебанутой мордой лица,кого я тут нагибать буду?!". Вахтеры как они есть в чистом виде,тупые исполнители. Сколько я ебальников таким поразбивал за то что они "словом офицера" козыряли об отсутствии следов взлома. Берешь его за шкирку и начинаешь перед ним восстанавливать содержимое логов. Скулящие пидорасы,блядь. Вот нахуй я им это рассказываю?! Ведь хочешь же по-человечески показать ну может просто не понимает человек,не видит дороги,а он настолько интеллектуально ограничен,что вместо того чтобы слушать и впитывать,начинает выебываться. Ну и сидите в говне своем, перетирая про "денег нет"
Приветствую.
Сегодня мне ВНЕЗАПНО позвонил мужик и сказал, интересует ли меня работа в ФСБ РФ. После утвердительного ответа сказал, чтобы я ему перезвонил когда буду в центре города для собеседования.
Собственно два вопроса: это подстава и меня порежут на органы? Если не подстава, то к чему готовиться? Приходить в костюме-тройке или можно в берцах, шортах и футболке? Меня на собеседовании заставят строить защищенную сеть на 20 компьютеров или просто убедятся, что я не мудак.
P.S. Я свежевыпустившийся специалист по компьютерной безопасности.
Сегодня мне ВНЕЗАПНО позвонил мужик и сказал, интересует ли меня работа в ФСБ РФ. После утвердительного ответа сказал, чтобы я ему перезвонил когда буду в центре города для собеседования.
Собственно два вопроса: это подстава и меня порежут на органы? Если не подстава, то к чему готовиться? Приходить в костюме-тройке или можно в берцах, шортах и футболке? Меня на собеседовании заставят строить защищенную сеть на 20 компьютеров или просто убедятся, что я не мудак.
P.S. Я свежевыпустившийся специалист по компьютерной безопасности.
Знакомый длелает все как и я, и у него выходит.
Видимо ты был на хорошем счету и кого-то из преподов с бывшими погонами.
По-другому туда и не зовут. Т.е. тебя уже рекомендовали. Сходи так и так. Экспириенс будет интересный, отвечаю.
Поцоны, а шизофазия нынче лечится вообще?
>Поцоны
Обоссали тебя копротивленец,сиди и помалкивай. По делу всё написано.
В ИБ сидеть и ждать у моря погоды бесполезно. Надо самому двигать процесс. Рыночек уже порешал,есть услуги,которые востребованы и есть те, которые даже забесплатно никому в хуй не уперлись. Петя свидетель.
Кажется у нас свой Владичка завелся.
:(
Слышь, мудло беспробельное, от твоих высеров пространственных так веет агрессивным быдлом уровня тех же сапог, что ты так показушно ненавидишь, что аж тошно.
> Обоссали тебя копротивленец,сиди и помалкивай. По делу всё написано.
Чем больше себя подсемёниваешь, тем "авторитетнее" для самого себя и звучишь, да?
Тебя видно, гэбня часто под хвост няшила, что до сих пор отойти не можешь. Ну и твой колхозный бЫзнес план уровня "яиц и бульона" тоже тебя не красит. "ИБ консультант", лол. Прям представляю, как подходишь ты такой, консультант, к лотку в ТЦ с спиннерами, да чехольчиками, и давай им про Петю шифровальщика лечить, и как ты их спасешь за мелкий прайс, лол.
И да, буйное животное, где там пруфы-пруфики на счет "лживости" достаточно объективной пасты?
А кто это?
>обитатели БЦ шлют тебя на хуй. Сетевые магазины потому, что у них свой штат ИТ, а ИП Ашот, как и ООО камшот экономят на просто ИТ, за ИБ платить тем более не будут.
Внезапно услуги директорам, которые мутят за глазами владельца биза. У них зачастую бешеное бабло откатывается и распиливается, а свой IT не привлечешь, первыми же и сдадут. Услуги формата как общаться, чтобы не записали и где прятать, чтобы не нашли- это заебись.
Тогда уж проще сразу в черные шапки или кардинг какой.
А так, типичная постсовковая пидорашья натура "лишь бы наебать", да "бабла побольше получать"... Да еще и без просчета - во что сиюминутный откат может вылиться в итоге.
Самим-то не стыдно? "Безопаснички", блядь....
Расскажи хоть потом, чо было-то.
>мудло беспробельное
> подсемёниваешь
> под хвост няшила
>буйное животное
Уровень аргументации. Даже мем "владичка" не в тему втянул.
>на счет "лживости" достаточно объективной пасты
Как у тебя бомбануло-то,уже второй тред остановиться не можешь. Прости нас за то что ты такой.
"я сильно сомневался в их технической грамотности, поскольку они просто не поняли большую часть того, что я рассказал и показал.
...
Сотрудники «Газпрома» посетовали на низкий уровень информационной безопасности и заявили, что это не их дело, поскольку они руководствуются требованиями и правилами, которые устанавливает ФСБ. Круг замкнулся, стало понятно, что эту монолитную систему «информационной безответственности» не пробить.
"
https://xakep.ru/2011/12/26/58104/
Здесь вообще всё надо копипастить
http://mikhailmasl.livejournal.com/4852.html
На неделю тебе хватит,а потом мы тебе еще ссылок подкинем чтобы тред не засирал.
>черные шапки или кардинг какой
Наказуемо УК РФ. Это такой вор, только по ИБ. Ездит на бутылках и носит робу.
>консультации на тему экономической, юридической и информационной безопасности
Легально. Это такой адвокат, только по ИБ. Ездит на мерседесе и носит костюм.
>типичная постсовковая пидорашья натура лишь бы наебать
Только качественное выполнение услуг перед заказчиком
>бабла побольше получать
по международным стандартам бизнеса
>Да еще и без просчета - во что сиюминутный откат может вылиться в итоге.
с возможностью любых расчетов за дополнительную плату
Раз зашла речь про откаты, то поясните. На этом можно заработать? Рыночек занят или всегда есть чинуша, который хочет лишнюю строчку в смету? Что им предлагать?
Допустим, возьмем классический B2G сектор.
На уровне сейла B - ты зарабатываешь закрытием сделки.
На уровне лпр G - ты получаешь откат, и, опционально, делишься с коллегами.
Изначально надо предлагать то, на что идет тендер, а далее знакомиться лично и обсуждать варианты сотрудничества. Что мы можем сделать, чтобы выиграть тендер? Как мы можем учесть Ваши интересы? Как нам сделать наше предложение максимально выгодным для Вас?
Я скорее спрашивал в какие тендеры вкатываться, а не как их выигрывать. Госы не спрашивают услуги безопасников. Наверно придётся сначала уговаривать организовать аудит, а потом получить заказ. Что кроме аудита можно делать?
> вместо прямого ответа начал вновь вилять жопой и кинул какие-то невнятные мемуары уровня Джеймса Бонда
Ясно. Понятно.
Гори в аду.
их все равно интеграторы выигрывают. забудь
Да ну, прикольные мемуары. "Либерашка в Кровавой Гэбне"
Не, конечно, спасибо, что Акунина или, прости господи, Криптономикон читать не предложил, но главный вопрос был - пруфы лжи в пресловутой пасте. Этот поехавший только насрал несколько кучек текста, но на сам вопрос в итоге и не ответил.
Господа, что про эшелон скажете?
есть ли смысл в аспирантуре по ИБ?
Есть ли смысл в бакалавриате по иб?
Есть
Есть
ECHELON?
На уровне слухов из жёлтой прессе
- любой.
Более менее достоверную информацию - Сноуден, но сомневаюсь что он тут сидит.
В треде ИБкун из сами знаете какой конторы по типу говногазнефть. В знаменитой пасте могу опровергнуть лишь то, что в сырье/энергетике занимаются ИБ серьезно. В моей конторе у руля бывший фэбос, который максимум шо умеет махать шашкой. В отделе еще 2 дауна с нулевыми скилами. Максимум шо они умеют это высрать что-то в стиле давайте закроем везде порты и пнем админов шобы проверили шо патчи с всуса нормально доходяд до АРМов. О чем тут блять говорить, если патчи от ваннакрая вышле в марте а вирусня начала хуярить в мае, а эти ИБдауны только в июне начали чесать жопу "а у всех ли стоит KB закрывающий уязвимость". Цимес в том, что в таких конторах оборудование по АСУ еще и пашет на win98 иногда 2000, и никто его менять не собирается лол. Что бы не быть голословным. Возьмем недавние события с ваннакраем и петей. Есть официальная инфа о том, что вирус наебнул эту вашу роснефть и башнефть. От ваннакрая обосралось еще и ржд. А у ржд явно в консультантах по ИБ еще и фэбосы должны быть ибо блять объект повышенной террористической угрозы. Добавлю еще то, что петек наебнул банки, только ни один не признался лол. В треде были ИБкуны из банков. Подтвердите братки? Суть такова: в РФ ИБ никто не занимается, братки, ибо у руля ебанутые вояки, бюджеты нулевые, отделы для галки, чтобы отбиваться от фстэка и ркна. Не тешьте себя надеждами.
>ебанутые вояки
Я несколько задумался, и видится мне, что вояки нет, не ебанутые, они другими категориями мыслят. Их же вся эта вирусня не касается, когда эльбрусы, кассеты, бумага и пишущие машинки.
Уебище то какое. Откуда сбежал?
Я как-то сводил своего начальника посмотреть, послушать как работает схд с лентами. Он чуть не обоссался от настальгии когда услышал.
ИБкун из говногазнефти
> В треде были ИБкуны из банков. Подтвердите братки?
Как в воду смотришь. Вчера заказчик бывший попросил съездить в один неприметный офис. Съездил,пообщался. Я обычно с банками напрямую не работаю,но знакомый хороший и денег посулил. Консультацию оказал,тонны нефти получил. Банк из топ-20. Почему человека со стороны позвали я понял только когда приехал. 70% WinXP, AD на 2к3,длинки на ядре и неуправляемые свитчи на пользователях,WiFi гостям дают прямо в локалочку. Какой нахуй Radius,чё это? Вон на стене пароль написан. Вместо сисадминов эникеи. На рм скотчем примотанные персональные токены. Из тех,что общался только два грамотных спеца один архивариус,второй из процессинга. Остальные это какой-то лютый пиздец. Открыто вообще всё,еби не хочу. Васянство беспросветное, как они сертификаты получили вообще не понимаю. Высказал всё, что думаю их ибачеру. Ему шизику похуй,фондов нет,персонала нет,зато в разговоре похвастался, что только что беху новую взял. Военный бывший,из академии лол. Полночи не спал, всё думал в ЦБ заяву накатать. ЦруФсбМочаГазНефть мало там адекватов и не только иб касается. Вот так вот малята.
>В треде были ИБкуны из банков.
ИБ кун из банка в топ-15 по РФ.
Мы таки скорее были пропатчены, как только узнали о wannacry пятница вечер, так хуй ушли пить пятничное крафтовое пивко, сорвали все дочки и филиалы и уже к утру субботы те, кто не пропатчились, таки патчи поставили. В общем "ни единого разрыва". Но объективно скажу, что пронесло. Меня даже больше ебет 552-п, чем какие-то там шифровальщики, т.к. бэкапы никто не отменял, а вот проверка ЦБ вещь куда страшнее для организации в РФ.
АСУ вообще больная тема, когда работал в конторе, где дохуя заводов было по РФ и проехался там разок с инспекцией, сразу же уволился к хуям. Т.к. понимаю, что разгрести эти авгеевы конюшни в разумный срок не возможно, да и бабла на это хуй кто даст. В общем, в случае реальной войны или реального терракта, прообъектам пизда.
Ну и пиздец. Работал я в небольшом энтерпрайзе, в котором денег на it давали мало, поэтому там работали в основном студенты. Хрюша на 10-15 процентах компов и то только потому, что не выделяют бабки на замену некрожелеза. С сегментацией сети порядок, через вифи во внутреннюю сеть не попасть, по всяким токенам и прочему есть правила работы и они даже в основном соблюдаются юзерами. Хотели даже ad с керберос замутить, но начальство не одобрило, но никто хотя бы под админом не сидит. Длинки или на доступе(и то иногда циски), или там, где экономия на цисках оправдана(но не в ядре). Неуправляемые свитчи у юзеров тоже есть, но это казалось нам уебанством и мы потихоньку старались от этого уйти. И мне постоянно казалось, что у нас ёбаный цирк и торжество распиздяйства.
А ещё есть специалист по информационной безопасности. Уже не студент, перекатился из админов. Бумажник. Выставляет рдп наружу голой жопой. Ставит пароли уровня 123456. В итоге, блядь, админы учили безопасности безопасника.
Крупный банк с дочкой в руинах.
Ваннакрай были единичные случаи, Петя пролетел мимо. Касперский отработал нормально.
В МЭИ на очно-заочной никто не учился? Что меня ждёт?
Информационной безопасности, разумеется.
Ждём новую волну хакерских атак, никто ничему не учится даже на своих ошибках.
http://www.securitylab.ru/news/487133.php
http://www.securitylab.ru/news/487133.php
Было б чему удивляться.
Кто знает достойные внимания статьи/книги на тему "Безопасность информационно-вычислительных систем"? Поделитесь ссылочками, если есть у кого что-то по этому направлению, пожалуйста.
Сап, учусь на информационную безопасность в шараге, собсна:
1. Лучше идти на вышку, или после шараги исеать работу
2. В чем вообща заключается практическая сторона работы(афк сидеть и смотреть, чтобя никто не ломился на серв?)
3. Вообще, куда лучше идти работать и кому я нужен с такой специальностью?
4. Че там по зп?
1. Лучше идти на вышку, или после шараги исеать работу
2. В чем вообща заключается практическая сторона работы(афк сидеть и смотреть, чтобя никто не ломился на серв?)
3. Вообще, куда лучше идти работать и кому я нужен с такой специальностью?
4. Че там по зп?
>1. Лучше идти на вышку, или после шараги искать работу
На вышку. Без неё трудно работу найти
>2. В чем вообща заключается практическая сторона работы(афк сидеть и смотреть, чтобя никто не ломился на серв?)
Зависит от того где работать
>3. Вообще, куда лучше идти работать и кому я нужен с такой специальностью?
Пока никуда. Стремись в крутые компании, что у всех на слуху.
>4. Че там по зп?
Ниже чем у обычных прогеров
>Ниже чем у обычных прогеров
Я бы сказал, что обычно даже ниже, чем у админов со специализацией.
Анон,кто перекатывать в будущем будет,добавьте в стоп-лист авторов по ИБ, которых читать бесполезно и даже вредно: Проскурин В. Г. вода-мокрая-это вода-да-мокрая вода-так в википедии написано-но это учебник-поэтому зубрите-вода мокрая. 3 его книги прочел,это пиздец,а ведь там написано,где он преподает.
Аноны добавляйте говно авторов чтобы не тратить на них свое время.
Очевидный Генрих Лемке.
>Очевидный Генрих Лемке.
Не любишь Лемке?
Признавайся это ты его форсил под Кирилл Ивашкин http://kirov-times.ru/forums/2/topics/292
Нет, не люблю, т.к. честно пробовал его читать. Отборная шизофазия чистой воды. Зашел по ссылке, честно, охуел. Захотелось быстро сделать шапочку из фольги. И да, это не я, я по таким помойкам не шарюсь, и тебе не рекомендую.
У Лемке хорошо даны основы разведки в условиях жесткой контрразведки, у него же опыт гру. Допустим, беззаходовая комм.разведка предприятия. Аналогов в открытом доступе не видел, ты однозначно погорячился со своим решением.
Ты его нашёл годную книгу? Назови
мимо
> Допустим, беззаходовая комм.разведка предприятия. Аналогов в открытом доступе не видел, ты однозначно погорячился со своим решением.
Блядь, я сейчас поужинаю и не поленюсь раскопать в домашней библиотеке именно эту книгу. Там накал шизофазии сильнее всего.
> гру
Вообще не показатель. У меня у родной бабки муж был полканом гру. Реально был наглухо поехавший шизик и воин синего легиона. В итоге по синей же лавке вышел в окно. На будущее советую не дрочить на аббривеатуры, особенно современные.
И так, вот два стула:
Какой открыть первым?
Какой открыть первым?
Открывай секреты комм.разведки. Серия ось 89 в целом радует.
Тоже спорно. Ок, вот содержание. Выглядит относительно логичным но опять же, на первый взгляд. Начинаешь читать подробнее, и...
И так, какую главу открыть?
гл. 15 к вопросу об агентуре - 265. давай сразу к делу и методикам.
Минуту. Вот еще что нашел, хех.
Откуда у тебя это все?
Я вот года джва назад пытался найти- и нихуя не нашел в продаже. Только в pdf, и то далеко не все.
Был молод, глуп еще не повидал больших залуп и повелся на эту серию после "Бизнес разведки" Доронина. Лемке купил скопом еще тогда, доставили названия и главы содержания, а начал внимательно читать только спустя год, когда пришлось заниматься бизнес-контрразведкой на практике.
И так, выкладываю всю 15-ю главу, будет 3 поста по 4 разворота в т.ч. этот
Заранее извиняюсь за слоупочность, блядкая макакаба не пускает из-за размеров фоток, приходится резать.
Пока фоткал еще раз перечитал. Ну ведь реально поток больного сознания. Море воды, сносок словоблудных, а на деле Н-И-Х-У-Я.
Хочешь, кстати, все 5 книг могу тебе загнать? Если ты в ДС, то могу даже лично передать. КР явно пройденный этап в моей жизни. хоть и было весело
Что могу сказать. Да, действительно, эта книга Лемке- не учебник, а потом сознания. Но потоки сознания тоже можно читать, это такая форма общения с автором, короче попиздеть с человеком в теме, когда таковых рядом нет, вот это бесценно.
Пишет он хоть и с водой, хоть и спорно,но- с чем-то соглашусь, с чем-то нет.
Книги с удовольствием заберу. Кидай свое фейкомыло.
либо сам пиши на [email protected]
Отписал
>а на деле Н-И-Х-У-Я.
Как это нихуя-мораль же вывел:глупо спалится на вербовке сотрудника конкурента,потому что всё шаблонно лишь с небольшими изменениями. Правда до него чуть раньше то же самое какой-то сунь-цзы сказал,но мысль же есть. лол
Недавно получил вышку по защите информации и хочу работать по специальности. Учился не особо прилежно, такое чувство что вообще нихуя не знаю (ну что-то знаю, конечно, но такое себе). Опыта работы в этой сфере нет. С чего начать? Куда вкатываться, где и какую работу найти, чтобы постепенно осваиваться и входить в нужную струю? Какие знания и навыки подтянуть на должный уровень, чтобы не обосраться на собеседованиях?
Короче, с чего начать и где искать работу зеленому выпускнику?
Короче, с чего начать и где искать работу зеленому выпускнику?
Да не как блять.
ОП посты не читал или в глаза долбишься?
Нахуй в этой пораше водиться, что оно тебе даст?
Уровень ЗП в среднем, чуть выше чем у админов. Все остальное геморрой и лысины на голове.
Кароч, сходил на собеседование.
Встретил меня мужик в гражданском, предложил побеседовать на улице.
Сказал следующее: из минусов - невыездной, рабочий день ненормированный, но все учитывается. Переработал - получил дополнительную денежку, потом как-нибудь ушел пораньше.
Из плюсов - все военные льготы, зарплата с первого дня 50 тысяч, дальше больше, начинаешь лейтенантом.
С момента как ты согласишься запускаются шестеренки, тебя проверяют, сдаешь всякие нормативы-медкомиссии, к работе приступаешь через год.
Еще предупредил что круг общения резко сужается, но я же у мамы интроверт, мне не страшно.
Потом спрашивал как у меня с веществами, где родственники живут, были ли проблемы с законом и тому подобное.
В конце сказал подумать и позвонить через неделю с предварительным решением.
Ну все верно он тебе написал. Что сам думаешь?
> *Расписал
Быстрофикс
Я склоняюсь к тому, чтобы согласиться. Стабильность, хорошая зарплата, куча льгот. Для слегка асоциального бывшего студента условия просто офигенные.
С другой стороны это значит что за оставшийся год крайне желательно найти тян, причем ту которая хочет замуж за лейтенанта, чтобы стать генеральшей(или там полковничихой), потому что потом уже будет как-то некогда.
А вообще, если тут есть ФСБ-куны, вы мне скажите, вы вообще жизнью довольны?
А чем заниматься? Писать эксплоиты для взлома ЦРУ?
Честно сказал, что не знает. Именно поэтому берут сразу после университета с базовой подготовкой в общей области безопасности.
Когда уже заключишь контракт, вроде как определят на конкретную работу и начнут на нее натаскивать.
Читал. Энивей вышка есть уже. В "программисты" 300к/с не хочу, не мое это. Да и не готовили нас в прогеры, от слова совсем. В какую область IT перекатываться тогда?
Программа самоликвидации подсознательно наслаивалась на поведение личности, в один прекрасный момент словил триггер и ее отработал.
>ФСБ-куны
В военаче у них тред
Они на всех досках есть.
Благодарю, туда тоже написал.
Анон, посоветуй книг или где лучше всего почитать про матчасть, по сетям, протоколам, серверам, как это все работает, для человека, который не имеет образования в этой сфере. Где то в ссылках шапки по сетям находил книгу и проебал, не могу найти сейчас.
https://www.ozon.ru/context/detail/id/1065023/?group=div_book
ну ты вроде взрослый, дальше сам разберешься
Блин, ну я выпустился пару лет назад, в дипломе значится специалист по защите информации.
По специальности работаю около года, в департаменте: я, ЭБ, директор. Весь левак с железом делают админы, у меня DLP, согласование, внутренние разборки, ну и банк-клиенты с отчётностью (ко-ко-ко ключи с криптографией, значит это твое), плюс частично выполняю работку ЭБ (т.к. там объемов много, а человечка не берут еще одного).
Все "безопасность" сводится к закрыванию отверстия, чтоб в него не присунули регуляторы. Плюс раздача пиздюлей сотрудникам, за несоблюдения ОРД. Бывает конечно проскакивает годнота, но все больше и больше из разряда эконом без.
Что касается варианта: "ну вот ты бы сам железом занимался, стал бы безопасником, ко-ко" - ну блять, это все хуйня. Железом пусть занимаются админы, эта их вотчина, мне надо просто понимать, что и как, а работать руками нахуй не надо. (но это моя личная позиция по данному вопросу).
Если брать в расчёте PT (почему? ну например по тому, что там работает человек 5 знакомых, и да это про перекат): по сути ребята делают, "аудиты" и додрачивают свои софтины (кст вполне приемлемые, но стоят овер дохуя, для простых контор): всех их требования в вакансиях "спец по иб", сводится к знанию пайтона, OSI, ну и "умение работать с железом" и участие в CTF. В итоге допиливают макс-патрол, спайдер и другие приблуды - аля простая софтовая компания.
Про пентестеров, реверсов и кулхацкеров говорить особо нечего, все как обычно, но все кто шарят, большая часть блэк хатят, держат все наликом или на счетах родственников и тп. Эта ниша для тех кто одарён и соображает, а не сидит на бордах (хотя быть может и есть, но это так) или ходит на вебинары где показывают как пользоваться kali.
Что касается общей картины, платина в ОП-посте, и правда раскрывает всю суть. А если рассматривать мухосрански менее 1кк жителей, то там и подавно, все по пизде. Дрочка на кприто-про у УЦ, аудиты с локаторами (и то если повезет), сидение на жопе в какой-то конторе и подрачивать (собственно как я).
Если рассматривать отрасль, то на мой взгляд тут палка о двух концах, если работать где-то на проектах, то стартовые ЗП там маленькие, но бывает различная годнота, можно поехать на АЭС, на нефте-газовый промысел, завод еще куда-то, тут и разные направления, и по стране покататься, да посмотреть что и как работает. ЗП там обычно начинает вырастать где-то через 2-3 года.
В крупных компаниях обычно все централизовано, вся движуха проходит в центральных офисах, все что на площадках и филиалах, решение прихотей центра. ЗП тут более менее приемлемые, но все равно мало (мск, спб начальная вилка при 2-3лет опыта 70-90к).
Может я конечно несу хуйню, но по большей части наши специальности нахуй никому не нужны, все ребята в погонах, решают наши вопросы на подскоках. А тех.часть админы обкашляют за кружкой пенного.
Хотя все брошюры в университетах пестрят о том, что специальность очень крутая, вотсребованная, работать можно везде и всюду, берут в фсб, мвд, мин.обор другие сорта силового блока - обычная вода в уши абитуры, на которую кстати я частично повелся. А всю суть своей дальнейшей работы понял только на 3 курсе, когда начался НИРС.
Да в целом, что говорить, что на прошлой, что на действующей работе удалось посмотреть на "расчётные листы" и понять кто и сколько получает.
Прошла работа, была в офисе филиала одного оператора большой тройки, смотрю расчётки: ген.дир 150к, ком.дир 130к, тех.дир 105к; руководители отделов ком.служб: 70-80-90. руководители тех.блока: 60-70
На нынешней работе аналогично: мой дир получает 75, дир логистов столько же, HR дир 65, а дальше продажники, закупшики, финики, комерсы и тд, у всех зп по 150к, у тех.дира 120.
По ЗП вырисовывается картина, что в руководящих позициях, так называемые технари далеко отстают от финансового сектора, и сектора реализации продукции (под продукцией прошу понимать любую вещь, что прозводит ваша конторка).
Лично у меня мысли пробовать перекатиться в какой-то финансовый сектор, в банки, консалтинг еще куда-то, ибо цифры не врут.
Да и хули толку, ну безопасник, ну имеешь доступы, чувствуешь развитие синдрома вахтера, а головняков дахуя, денег мало, работа так себе.
Кст на счет переката, еще есть вариант на должность pre-sale, или простым продажником, с одной стороны выглдяит как хуета, с другой если влиться, можно нормально подымать.
Да собственно о чем говорить, торговый представитель в филип-морис (это самая низкая позиция в компании), получает от 50-60к, а при выполнении плана еще больше.
В общем пока не поздно, думаю все же выкатываться из отрасли, ибо гиблое дело, особенно у нас.
p.s: возможно скомкано и хуево написано, но что поделать.
>А вообще, если тут есть ФСБ-куны, вы мне скажите, вы вообще жизнью довольны?
Есть. Создай новый тред и в нем спрашивай. Раньше был тред спецслужб,но портянкам надоело получать уринотерапию и они создали второй тред в /wm , куда мало кто ходит за вопросами о работе.
>А если рассматривать мухосрански менее 1кк жителей
Да тут не в каждом миллионнике нормальное ИТ есть, про ИБ я уж молчу. В ДС, в меньшей степени в ДС-2 что-то есть, в некоторых миллионниках единичные вакансии, иногда компании свои по ИБ имеются. Всё.
>по большей части наши специальности нахуй никому не нужны, все ребята в погонах, решают наши вопросы на подскоках
Именно! Сколько бы ни пиздели нам про "катастрофическую нехватку спецов".
>Хотя все брошюры в университетах пестрят о том, что специальность очень крутая, вотсребованная, работать можно везде и всюду, берут в фсб, мвд, мин.обор другие сорта силового блока - обычная вода в уши абитуры
Нам говорили, что у нас уникальная специальность, что у соседей аналогичная есть только в ещё более крупном ближайшем к нам миллионнике, некоторым из нас давали дополнительные стипендии как лучшим студентам по приоритетному направлению, но потом честно говорили, что по этой специальности работы нихуя нет, зато нужны толковые программисты.
>денег мало
Может быть всё не настолько печально, если идти в профильные компании типа pt, dsec, каспера. А так проще пойти в админство: девопс, биг дата, высокие нагрузки, sdn и что-то ещё из того, что сейчас в моде. Денег больше(но всё равно гораздо меньше, чем в разработке), геморроя меньше.
Хорошо, а если я захочу уйти в темную область, то какие перспективы по деньгам? Бекграунд неплохой, разработка + электроника, образование радиоэлектронная защита информации.
Слышал, что очень мало ловят, если не зарываться и с умом все делать.
> Раньше был тред спецслужб
До бамплимита год тонул периодически всплывая бампами мимокроков.
https://forum.reverse4you.org/showthread.php?t=1582
ну вот например.
если в белую, то обычно от 100к рублей и выше.
а так нужно в английский, ну и требуемые скилы.
один мой товарищ, живет этим, областной центр, квартира 100кв.м+, машина за 2кк+ евроремонты, мото техника, постоянные путешествия, и постоянные оставление бабла во всех кабаках.
в общем никто и не в чем себе не отказывает.
если по простому, то хватит на все и вся.... пока товарищ майор не наведается))
Нормально. С товарищем майором подключим параноидальный мод
А сколько получает смузихлеб-пинтустер?
>пока товарищ майор не наведается))
С чего бы ему наведываться,если человек официально трудоустроен? Он же не киллером на зарплате,а ресерчером трудится. Всеобщая боязнь товарища майора,самим товарищем майором умышленно раздута.
Знаю одну контору куда "товарищи майоры" пришли и изъяли всю коммерческую информацию,носители,ключи БК итд-целый день работали. Безопасник только расшаркивался с бывшими коллегами,чай-кофе лично носил,а на следущий день стоя в холле на коленях пиздюлей получал реальных,кровью весь ковер залил потому что выяснилось корочки у "товарищей майоров" были липовые. Двоих, по видеозаписям охранки, опознали в РОВД с ходу-бывшие старлеи,уволенные по компроментирущим,остальных они сдали втечении часа. Решили так подзаработать,надеясь,что начнут взятку предлагать.
Так что никого бояться не надо,есть закон,соблюдай его и проблем не будет,тогда и товарищи майоры закончатся.
Так а в чём конкретно безопасник провинился? Что на корочки повёлся?
>Так а в чём конкретно безопасник провинился? Что на корочки повёлся?
Один-единственный звонок с целью проверить полномочия отделяет спеца от рядового кукарека. Раз бывшие летейхи были в составе банды значит процедуру знали,работали под официоз. в таких случаях одним простым звонком дежурному можно было проблему предотвратить. Не сделал- значит не знает порядка,не знает порядка-значит кукарек.
Потому что перемешанны обязанности сб, иб, эб.
+ пытаются всучить админство
Откуда слышал интересно?
Новости не трубят многих дел, потому что они не понятны и скучны для обывателя.
Учитывай так же, что ты можешь работать в правовом поле в России, но при этом нарушать закон в США. Поэтому при попытке посетить цивилизованную страну будешь мигом доставлен в Гуантанамо.
Прецедентов сейчас предостаточно.
Не понимаю вашего нытья... обидно что не принесли все на блюдечке.
Высшее образование даёт вам отличную возможность старта. А дальше вы уж как то сами распоряжайтесь своей судьбой.
У меня вот не было такой возможности. Отучившись на электрика (не электроника с робототехникой, а электрика: розетки, проводка) пришлось очень много самому все учить.
В итоге да, у меня хорошая работа в одной из лучших компаний в этой сфере.
> ты можешь работать в правовом поле в России, но при этом нарушать закон в США.
2017, в ИБ еще остались шизики, работающие в сети под реальными именами?
Как и шизики, думающие, что они вообще не следят в интернетах, и корреляция - это не про них.
Ты такой наивный верящий в свою неуязвимость.
Но походу ты не в тебе от слова совсем.
Почитай про Кребса, как он вычисляет реальные имена неуязвимых кулхацкеров.
Он тебе о том и сказал, что от людей остаются следы.
И чем тогда выпускник вуза лучше? Вот только не надо про "базу".
>И чем тогда выпускник вуза лучше? Вот только не надо про "базу".
Ничем не лучше,более того есть две-три книжки, и лол они даже на русском, вызубрив и начав применять которые рядовой таджик с мозгами может стать более скилованым чем 90% уже работающих выпускников по ИБ.
Из-за излишнего стремления к академичности, там где это ненужно и лишних дисциплин, в РФ произошел перекос в образовании. Слишком многих спецов готовят 5-6 лет в вузах, а достаточно 1-2 года пту.
Заменив ебануто написанные учебники на нормальные вплоть до переводных также можно сократить обучение по многим курсам. Это кстати не только ИБ касается.
У вузов есть только один плюс -среда. Она формирует знакомства и связи,что в дальнейшем может дать неплохие шансы.
>Идешь в БЦ арендуешь комнату,а затем предлагаешь свой ИБ всем обитателям БЦ.
Добра тебе анон
Неделю назад прочитал твой пост. Теперь сижу в офисе.Пилю прохладную.
ДС. Турнули по сокращению из недр три месяца назад ибо нехуй своим ИБ начальство от секретарши и танчиков отвлекать. За это время догнал,что резюме моё читать и на собеседование звать никому нахуй смысла нет. Осталось 12,5 тысяч и съемная хата оплаченная до конца июля. Анон,ты не представляешь как плохо быть мной. Один хуй идти некуда,жить неначто.
Пошел в ближайший бизнес-гадюшник,снял офис за 8 тыс в месяц комната 5х4. Стол и стул мне подогнал местный завхоз. БЦ запилил бесплатную табличку на дверь "Консультант по информационной безопасности ФИО неудачника" и попугая-матершинника неработающий домофон на дверь. ИП и р.с. у меня были с прошлой фирмы,там чтобы нас в штате не держать оформили ИП. Пока сидел и думал как и что целый месяц жрать на оставшиеся 4 штуки,в дверь постучали.
Инстаграммного вида милфа зашла и спросила это вы новый компьютерщик,можете ли отключить пароль на ноуте? Да,но только за деньги подумал я,но хуй думал иначе и сказал только: несите. Пока эта коза таскалась за компом,решил сожрать дошик. Без кипятка и воды невкусно нахуй. Опять стук, еле успел закинуть дошик в ящик стола. Лысый вонючий долбоеб в косухе пришел интернет подключать и обрадовал в конце месяца оплата 5 штук. Попадалово нахуй.
Припиздила милфочка отключил пароль в её восьмерке. Думал позыркать, хуй там. Дала 5 тысяч и еще спросила нормально-ли. Анон 5 тысяч за отключенный пароль. Я в ахуе. Мой мир треснул напополам,да за эти деньжищи я бы в полдень её в жопу на красной площади выебал. Жизнь начала налаживаться. Дал ей свою визитку,которую сделал на 1 этаже 100 штук за 400руб.
Боги явно благоволят моим начинаниям. Отсканил калом беспроводные сетки с самым мощным сигналом,пробежался по корридору и сопоставил названия. Из 16 сеток 2 открылись сразу,еще 4 открыл легким брутом хендшейков. Выбрал ближайшую, от-ИБашил её на всю глубину моих знаний за 2 часа,составил репорты,согнал на флешку и попиздовал к начальнику этой фирмы.
Думаю мой припизднутый видон повлиял, на ресепшне этой фирмы дал флешку и попросил распечатать для ФИО их директора, они без слов распечатали. С этой папкой пошел к их директору. Представился,дал визитку и рассказал о пиздеце в их сетке. Тот вызвал своего эникея и начал ебать,тряся моими отчетами.
Обретать врага в лице местного эникея не хотелось,быстро встрял и начал пиздеть что сисадмин невиноват и не должен знать такие вещи. Для такого говна есть я и если дадите денег,то я всё сделаю в лучшем виде.
Пожали руки,директор предложил оформить договор,сейчас вот задаток 40 тысяч наличкой. Анон,40 тысяч. Мой мозг не отошел еще от милфы,а тут сходу дают 40 и еще 80 после окончания аудита.
Теперь неделю спустя я успешный ибач с 6 контрактами и еще 4 на подходе,периодически прибегают пидорасы с забытыми паролями.
Буду иногда заглядывать в этот тредик,задавайте свои ответы.
Думал пруфнуть контрактами,но подумал еще раз лол и решил идите на хуй.
Шизик-сёменоид, ты бы прежде чем так толсто срать, хоть бы почерк собственный изучил цифровой. После первого же отсутствия пробела после запятой, понял, кого я читаю. И дальше читать, собственно, не стал.
Бляя а ведь была такая история успеха(
Этот шизик весь тред форсит идею наебизнеса в ибэ. Вот арендуешь офис в тц и заживёшь.
А отсутствие пробела после точки ты не заметил, пиздец.
>почерк собственный изучил цифровой.
Мне конечно насрать на ваши тёрки. Я так понимаю пасту сочинил ты и уже второй тред сильно обижаешься на анона, её обосравшего.
Но справедливости ради LT показывает разное авторство. Вот это (18 строк) (полностью)
(полностью) писал один человек в программе нотепад++ там такая автоматическая система пунктуации (отсутствие пробелов после запятой, в тех местах где пробелы после запятой есть очевидна правка текста после вставки в форму двача). Можно предположить профессию бывший линукс программист теперь пользующийся окошками.
Вот это писал другой человек (89 отличий) стилистика совершенно разная, отличается слог, обороты, манера использования глаголов и их положение и синтаксис. Предположительно человек из глубинки(рабочий район), но с высшим техническим образованием. ЗЫ. По базе оборотов первый долго жил в ДС2. Интересная методика кстати, плагинчик прицепил посмотрел на абзацы внешне вроде похожи, а программа орёт разные. Вывод не покажу во избежание деанона, но когда программа показала я понял, что абзацы действительно разные. Более того я нашел на каком ресурсе долго сидел первый. Определить ник не смог, но влияние 146%. Это разные люди.
А в историю успеха я скорей верю чем нет. Сам об этом думал, вполне реально. Но ИПОТЕКА просто ссусь.
>Этот шизик весь тред форсит идею наебизнеса в ибэ. Вот арендуешь офис в тц и заживёшь.
Я лично насчитал в треде 2 сообщения про идею ИБ-бизнеса из 147. Это весь тред засрал? Тем более,что его посты адекватны и конструктивны. Скорей я поверю в то, что у тебя припекает от конкретного анона и тебе все равно по какому поводу на него наехать. Твои посты напротив это визги шизик-владичка стайл. Предположу и лет тебе немного и в /b зависаешь.
Свои запятые на всякий случай проверил, а то и меня приплюсуешь, поехавший.
> LT показывает
Уже диванон. Лолирую на весь ИБ-тред. 2 полные инсталяшки на РФ и полторы сотни без экстендед плагинов.
>,что
Прекрасный тонкий вброс, просто перфекто. Я,так,и,слышу,как,трещит,проверяя,текст,на,запятые,визжащая,портянка.
Как таким дипломы выдают. Не знать в 2017 о произвольном характере отпечатка пунктуации и орфографии в активных формах. Цифровой отпечаток на глаз. Производители тонн софта для лингвоанализа негодуэ. Что будет когда на бота нарвется? Потом пацаны 6-летние бухие под колеса сами прыгают, а коты банки хакают.
У меня есть стойкое ощущение, поцоны, что в треде нас ровно 4 шт из регулярно отписывающих. Один из них точно из ДС, а еще один из ДС2.
>2 сообщения
Он ещё предлагал модемы собирать, которые работают только с тема телефонами, что ввели номер и получили смс.
>Этот шизик весь тред форсит идею наебизнеса в ибэ. Вот арендуешь офис в тц и заживёшь.
Давай так- что предложил ты?
Нихуя, только ноешь. Как ты думаешь на чьей стороне я? Правильно. Пиздуй уже в /psy
>Он ещё предлагал модемы собирать, которые работают только с тема телефонами, что ввели номер и получили смс.
Читал это, только не модемы, а прошивки для бюджетных wifi точек доступа в кафе для исполнения закона чтобы не было wifi без реги. Модемы предполагались для приема смс и автоматом учетка регалась. Кто-то придумал проще и дешевле? Не оптимально, зато дешево.
> LT показывает разное авторство
Это про что он пишет?
> У меня есть стойкое ощущение, поцоны, что в треде нас ровно 4 шт
По нарисованным профилям 18 разных отписываются в каждом треде. Еще 34-36 от случая к случаю. Сколько мониторят не знаю - я в мейлру не работаю.
Вопрос, может, не по теме, но хуй знает. Пользуется кто сервисами типа этого: https://focus.kontur.ru/?promo=2762 ??? Можно контрагентов пробивать, если кому че нужно - там халявный доступ на 2 дня.
>Это про что он пишет?
Съебись в ужасе и пока всё из ОП-поста не прочитаешь не приходи.
Там про безопасность, а не лингвистику.
>Там про безопасность, а не лингвистику.
обязательный курс
>обязательный курс
Что ты несёшь? Там нет такого.
>вы всё врети
Один из них точно из миллионника-мухосранска. Это я.
история успеха: https://xakep.ru/2017/07/14/alphabay-rip/
Однако-ж alpha02, главного администратора, не поймали. Забавно, что повесившийся был главным по безопасности площадки.
Мисье защитники информации я решил вкатиться в вирусные аналитики .в вакансии пишут нужны знания архитектуры винды ,можете пояснить подробнее что хотят от меня знать?насколько глубоко в ней надо разбираться?
за Win32_API пояснишь че? а за АСМ? а за С? Дизассемблить могешь? Если нет пшел нахуй бумажник хуев.
Мимо
технобыдлу бомбануло
мимо ибшива
Что известно про Краснодарскую РосИнтеграцию?
До сих пор платят по 10к студентам и пилят госбюджеты?
Поясните.
До сих пор платят по 10к студентам и пилят госбюджеты?
Поясните.
Сейм щит. После вузика сразу в армию, вот, почти месяц как откинулся. NEET.
Втирали так же как
>Хотя все брошюры в университетах пестрят о том, что специальность очень крутая, вотсребованная, работать можно везде и всюду, берут в фсб, мвд, мин.обор другие сорта силового блока
Преподы до конца пиздели. Хотя насколько я, мамкин интроверт, слышал, по специальности из группы только один работает.
Проходил собес на вирусного аналитика. Было два тестовых задания(реверс малвари и crackme, оба простые, максимум на один вечер), на самом собесе спрашивали, насколько хорошо знаком с winapi, asm, c, позадавали базовые вопросы про виртуальную память, стек, соглашения о вызове функций, формат PE, SEH, DLL Injection, немного по сетям спрашивали. Сказали, что в основном будет малварь под винду, но много попадается образцов и под мобильные платформы(иногда даже приходится байт-код java анализировать). Под линуксы что-то крайне редко попадается.
Короч, рассказываю.
Учился на безопасника, профессию особо не выбирал и представления не имел. Лучше б сразу на кодинг ориентировплся. Но не суть.
Краснодар
Год работал по специальности.
С чего бы начать... После окончания универа взяли меня в местную крупную контору, зп 14к на старте. Даже сись одменам со старта платили 25к.
Ну, ладно, думал я, опыт главнее. На собеседовании обещали горы золота, Конторка в основном занималась задачами для гос.учреждений, коммерсов было пару за все время моей работы. Поставляли оборудование, программы, документы для проверок, занимались настройкой и внедрением всей этой чухни, продавали свой парашный сайт с шаблонами для производства докумкнтов по защите информации. Контракты были распильными, по факту моя работа нахуй не нужна была никому. Порой заказчик даже этого не скрывал. Увидел работу мелких и крупных госов изнутри - стабильно и бедно, тлен и стагнация. Компания работала по принципу выжить-выжать, цеплялись зубами за каждый рубль работников, постоянно набирала студентов - люди долго не держались и валили. ЗП спускалась фиксированная на отдел, начальники секторов/отделов решали как ее делить на остальных. Естественно, что свое отдавать никто не хотел, потому начальники занимались постоянными придирками, старались вызвать чувство вины (Но меня не наебешь, я сразу раскусил эту фишку). Через год у меня начал дергаться глаз. Отправляли в командировки по всему краю, день команлировки 500-700 рублей премии, на отели не более 1к за день, то бишь, чтоб максимально быстро и дешево, не дай бог задержишься.
Доработки документов для заказчика по выходным. Даже не скрывали, что мол - ты бы занимался самосовершенствованием, делал бы еще работу дома вечерком и на выходных. Отношение к сотрудникам, как к скоту - вот, что чувствовалось.
Изучил предложения конкурирующих фирм, не особо отличались условия. Бомбануло после того, как начальник начал наезжать, что мол, что-то ты неэффективно работаешь, следующий объект твой будет контрольным - не справишься, получишь зп без бонусов (то бишь не 15к, а 6к), а справишься - молодец. Еще вскольз намекнул, что мол, пока повышать рано, А ВОТ ГОДИКА ЧЕРЕЗ два-три - НОРМ. Тогда и уволился через пару недель.
Еще когда только устраивался решил, что свалю, если через год мое состояние и заработок не будут меня устраивать.
Три месяца искал работу тестировщиком, жава макакой, сисьодменом, учил базы данных и запросы. Устроился SQL разрабом, 35к, местная крупная фирма. Запросы, vba программирование, оракл, оптимизация, помощь юзерам, выдача доступов.
Никаких командировок, работаю 4-5 часов в день, двачую капчу, никто не давит, не прессует, повышение зп каждые 7 месяцев на 5к. Переработки оплачивают поминутно.
Забавно вышло. Эта мелкая конторка интегратор обещала мне ламповую и семейную атмосферу, а в итоге удобно мне оказалось в огромной компании.
Конторка продолжает жить за счет стулюдентиков без опыта, все продолжая жаловаться на тяжелые времена всем новоприбывшим.
Сформилирую краткую суть своего опуса. В раше ИБ не взлетело в большинстве случаев. Не тот уровень развития страны. Нет репутационных рисков, как таковых. Ты ничего не потеряешь, если конф.инфа всплывет где-нибудь. Ходит в этой среде байка, что один зеленый банк при краже базы данных юзеров ограничился лишь смсками о том, что стоит сменить пароли. Все повязаны и все друг друга знают. А у обычных людей не особо-то и выбора много. Все мероприятия по ИБ носят лишь вынужденный характер - лишь бы не нагнули органы, роскомпозор и все вот эти ребята. Развития никакого, пилишь красивые бумажки, очень много бумажек, лепишь схемы, устанавливаешь по и все, что можешь в итоге - как Лукацкий, Агеев и прочие вести свой уютный бложик про иб.
Сорри за текст - писал с телефона.
Это норма
Бля. Что-то много таких историй стало.
У меня вырисовываются предположения, что вы либо плохие специалисты сами по себе, которые пинали хуй в течении всех лет обучения в университете, либо искали работу в жутких мухосранях. Иначе - никак.
Открываю любой сайт с вакансиями ДС, ДС-2: все вакансии завязанные на ИБ с зарплатой в 60к+ месяц.
Может вы просто какие-нибудь "дежурные пульта управления", но причисляете себя к безопасникам, лол
А расскажи про свой бэкграунд на тот момент,хорошо знал си и асм?а winapi?есть кст по ним годная книга или статья?
Поясните за сертификаты. Хочу обзавестись одним ещё до окончания универа. Чтобы выделятся на фоне других выпускников без опыта. Что посоветуете?
На эти вакансии кого по-твоему берут?
Да в летуаль наверное. Любой, какой сможешь позволить. Эйчар стопроцентно баба, но если директор тоже, то лучше, наверное, ей. Хотя тут зависит от того, кто интервью проводит.
Хороших специалистов, подходящих под все требования.
Для чего было достаточно прилежно учиться в университете и активно заниматься самообучением, благо есть такие возможности.
Опыт работы нужен, дурашка. Да и знания, которые просят, в книжках не найдёшь, в них лишь основы.
>>10760
На нормальные сертификаты нужен ИБ-опыт подтвержденный трудовой.
Все остальные можно повесить в туалет.
На нормальные сертификаты нужен ИБ-опыт подтвержденный трудовой.
Все остальные можно повесить в туалет.
быстрофикс ИБ-вышка засчитывается за год опыта при сдаче
То есть для тебя всё, что за пределами ДС-ов это жуткая мухосрань?
Я тогда только недавно МухГУ закончил, поэтому релевантного опыта не было - все знания получены или в вузе, или на CTF. Читал мыщъха, Рихтера, Руссиновича, Солдатова, Сорокину. Ну и куда же без гугла и msdn.
>есть ли фсб-куны
Блядь, он спрашивает это на "анонимной" борде. Ну ебана. Мне уже стыдно за того, кто будет с ним носиться по всем комиссиям.
Не взяли его. Он психологические тесты завалил.
Чё, пацаны? Ламаем кудахты еотовых, сливаем БД с сайтиков, ебём в рот майора и творим беспредел?
>Из плюсов
>зарплата с первого дня 50 тысяч
Пиздец.
Извините.
Мало?
Он там расписывает все в военаче. Что за дебилоид.
Мда, видимо я один такой долбаёб.
Я не умею ломать кудахт.
О, спам-лист вообще лютый ад... Педалик отдыхает.
Анон,подкинь годного чтива по ЭБ. В шапке одна ИБ.
мимобудущийезопасник
мимобудущийезопасник
Где ты эти вакансии видишь?
Я 3 года работал в небольшой конторке и история почти таже.
Сначала платили 14 к т.к. я был студентом и реально нихрена не знал. Потом врубился что такое ПЭМИН изучил от и до и в своей диссертации доказал почему нынешние СЗИ (сертифицированные) не обеспечивают должную защиту от ПЭМИ.
НСД настраивал и разбирал на раз два (тоже были написаны письма разрабам о совершенствовании, которые они позже добавили).
Работу проводил от и до в кратчайшие сроки:
1. Мониторинг торговых площадок, участие в торгах, заключение договора.
2. Сбор первичных данных об ОИ.
3. Проведение аттестационных мероприятий (напоминаю это всё соло) ((неважно ИСПДН это, конфа, ДСП или ГТ))
4. Подготовка протоколов и остальных документов.
5. Тащу все на подпись.
К концу третьего года платили 35к. Командировки никак не оплачивались, давали суточные 500 р, но ЗП в итоге получалась меньше.
Дошло до того, что в один день надо было ехать в командировку (очень далеко), но я дома пол пальца отрезал (ну почти), наложили 6 швов. Командировка естественно обломалась т.к. я не позволил себе поехать. С меня содрали всю сумму за билеты и отправили на следующий день! (При чём я спокойно мог взять больничный, но не стал т.к. знал, что у нас был завал по подготовке документов, думал посижу попишу).
Пришлось ехать и с одной рукой монтировать ВП, при чем монитровать надо было не пару датчиков, а дохера.
С несправедливостью ФСТЭК и других организаций я вообще молчу... Хотя:
Такие ретарды как ГОС ОРГАНИЗАЦИИ типа ФГУП НПП ГАММА можно сказать вообще не работают. В плане ПЭМИН они вроде подросли и начали искать все информативные сигналы, но раньше был пздц. В плане НСД, что такое ЗПС они не знают до сих пор, ну может знают, но явно не пользуются этим т.к. проверяющие органы к ним не придерутся.
Сам же проверяющий орган (ФСТЭК) в большинстве случаев просто выёживается и пытается доказать то чего он сам не понимает.
Короче я все эти три года я понял, что никому защита инфы не нужна (кроме настоящих конфушников типа операторов сотовой связи, вот там реально война идет). Эта специальность реально будет востребована через 5 лет (сами знаете, что сейчас происходит). Когда устоятся вопросы касаемо ИБ, когда все поймут для чего это нужно, тогда везде появятся СПЕЦИАЛИСТЫ, а сейчас мы никому не нужны (ну випнетчики и ребята, которые работают в организациях, которые подмяли под себя аттестацию АСУ ТП конечно нужны).
И вот уже сижу пол года без работы и чёто приуныл.
p.s. есть возможность отсканить новую книгу Кондратьева, надо кому-нибудь?
Сферу сменить не пробовал?
Сейчас как раз этим и занимаюсь. Ищу себя в других сферах
Чувак, ты офисная крыса. Ибэшники инъекции sqlmap'ом ищут, сеть namp'ом сканят, уязвимости metasploit'ом эксплуатируют и проверяют чтобы дыры из owasp'а не всплывали. И не важно какие ты там бумажки на работе оформляешь т.к. сейчас некоторые ДСП получше большинства ГТ охраняют. И ты с своими бумажками этой охране никак не помогаешь. А книгу свою "новую" верни обратно в 90'ые.
лол, а обеспечивать сетевую безопасность это не означает быть офисной крысой.
Я руками монтировал САЗ, настраивал випнет и прочее говно типа даласа и сикрет нета.
Приведи мне хоть 1 пример где ДСП защищается лучше? Может ты имеешь ввиду конфу? Если ты даже в этих понятиях не разбираешься нам уже не о чем говорить. Думаешь почему в америке столько сливов секретки? Да потому, что они юзают сеть и хоть усрись, если есть выход в глобальную сеть, то сколько бы ты портов не перекрывал и не проверял дыры заюзаным калилинуксом это не поможет. Именно поэтому защита ГТ в рашке самая топовая.
>Приведи мне хоть 1 пример где ДСП защищается лучше?
Там где денег больше чем в госах.
> Если ты даже в этих понятиях не разбираешься нам уже не о чем говорить.
Я ещё и половины твоих ноунейм аббревиатур не знаю. Но это только доказывает на сколько ты со своими бумажками оторван от реальной безопасности.
>Думаешь почему в америке столько сливов секретки?
Не достаточно хороший контроль доступа сотрудников к информации? Излишние прозрачность и контроль работы силовиков? Безнаказанность предателей?
>если есть выход в глобальную сеть, то сколько бы ты портов не перекрывал и не проверял дыры заюзаным калилинуксом это не поможет
Доступ в глобальную сеть причина сливов? Сколько ты знаешь примеров когда намеренно взламывали такие сеть? Ни у кого нет столько средств чтобы взламывать каждую слабозащищенную сеть. Обычно концентрируются на ценной добыче не обращая внимания на её защиту.
>защита ГТ в рашке самая топовая.
Нет здесь топовой защиты
А в ДСах вообще нет вакансий подходящих?
Коллеги, не гоните на вышеотписавшегося ПД ТСР-куна , он не виноват, это рыночек порешал.
Добывание нужной информации можно осуществить несколькими способами. Для большей части бизнеса это- техническая разведка, it-разведка, ну и агентурная.
Специалисты бизнес-разведок добывают информацию наиболее простым и эффективным путем. А именно, it+агентура. Технические разведки используются редко, так как нужна куча дорогого и редкого оборудования, это все как-то надо доставить на объект, нужен специалист, умеющий это все юзать, а так же могут взять за жопу на горячем. Зачем это все нужно, если есть более простые, дешевые, эффективные способы?
Соответственно, бизнес так же вынужден защищаться связками кибербезопасник+оперативник+экономист. ПДТР не у дел.
Добывание нужной информации можно осуществить несколькими способами. Для большей части бизнеса это- техническая разведка, it-разведка, ну и агентурная.
Специалисты бизнес-разведок добывают информацию наиболее простым и эффективным путем. А именно, it+агентура. Технические разведки используются редко, так как нужна куча дорогого и редкого оборудования, это все как-то надо доставить на объект, нужен специалист, умеющий это все юзать, а так же могут взять за жопу на горячем. Зачем это все нужно, если есть более простые, дешевые, эффективные способы?
Соответственно, бизнес так же вынужден защищаться связками кибербезопасник+оперативник+экономист. ПДТР не у дел.
> настраивал випнет и прочее говно типа даласа и сикрет нета.
В приличном обществе о таком вслух не говорят.
>Там где денег больше чем в госах.
там где нас нет?
300 k рублей чтобы дистанционно снять инфу. Это по вашему дорого?
Если ты считаешь, что информационная безопасность это только обеспечение сетевой безопасности, то мне тебя жаль, но если тут весь тред такой, то он бессмыслен.
Тоже удивился, что у этого маняфантазера ИБ это один пентест , так даже не поиск новых багов а просто скан утилитками
Если только в этой модели угроз она топовая. Агентурная работа и банальный подкуп сводит эту топовость на ноль.
Он тут один такой.
Я уже не обращаю внимая на его феерические высеры
Думаю, это какой-то тестер из мелкой шарашки, клепающей говносайты для ООО и ИП.
Мнит себя крутым пентестером зарабатывающем 3000к $ за каждуб дыру (на самом деле 35к деревянных в месяц)
Так, я осознал, что поступать на ИБ было хуевой идеей туповат, но почему-то блять половине потока практику за деньги написал. Так вот, с корками этой специальности берут на всяких админов и подобное, или же сваливать пока не поздно?
А почему хуевой?интересно же ну
Институт дает тебе возможность для старта. если ты ожидал, что к тебе приползет лично биллгей и будет упрашивать пойти к нему за 300кк в наносекунду, то да, ты туповал.
Да тупой я слишком. Пока что профессиональные ну как, языки программирования, организация ЭВМ и чудом основы ИБ я делаю на отлично, но всякий матан и особенно физика держат меня на грани вылета.
А че там сложного? С точки зрения ИБ тебе из физики надо понять что такое акустическая волна и все вытекающие: виброакустика, акустлектрика, акустооптика. И электромагнитку понять, но тут без практики никак.
>ты офисная крыса.
>sqlmap'ом ищут,
>сеть namp'ом сканят, уязвимости
>metasploit'ом эксплуатируют
Офисная крыса плиз
А чё сколько там каналов утечки информации, или ты про аналоговую инфу не паришься?
>матан и особенно физика
4е по путал чёрт, запоминай формулы и учить их применять все. Это тебе русский язык с кучей исключений, грёбаным третьим лицом падежами и суффиксами
*учись
Странно, что за несколько тредов ни одной байки про внутренние расследования, разоблачения взяточников и т.д. инбифо профессиональная этика, либо спецы по внутренней кухне сидят не здесь
Я писал же как-то, как вычислил ИБшника-одмина, входящего в ОПГ местное.
Да, нашел в 3 треде. А сейчас часто что-то горячее случается или скука-рутина?
В одном из тредов писали, что автор Р-Системы был замечен на выступлении того, чье имя нельзя называть. Это словоблуда Лукацкого что ли?
И вообще, встречаются ли в наших интернетах вменяемые форумы по общей тематике СБ? Видел парочку ресурсов, но сложилось впечатление, что там сплошь экс-сапоги в колонну по два. Общение письменное у них такое специфическое, будто смесь копа низшего ранга и правонарушителя, лол. А ещё встречаются всякие персонажи со своей терминологией на американский манер. Увидев слово "сыскология" знатно проиграл с таких мэтров.
И вообще, встречаются ли в наших интернетах вменяемые форумы по общей тематике СБ? Видел парочку ресурсов, но сложилось впечатление, что там сплошь экс-сапоги в колонну по два. Общение письменное у них такое специфическое, будто смесь копа низшего ранга и правонарушителя, лол. А ещё встречаются всякие персонажи со своей терминологией на американский манер. Увидев слово "сыскология" знатно проиграл с таких мэтров.
Уволился оттуда уже пару лет как спасибо крымнашу. Нынче же глубоко в бумаге... Скучаю по тем временам, если честно.
Специфика работы не способствует открытому общению и обсуждению личных наработок. Спалил методику- ее отметили и начали учитывать в своей работе.
Про достижения- NDA.
Потому общаются в основном теоретики, а практики наблюдают и молчат.
С чего начать чтобы вкатиться в простенькие ctf? Умею немного писать на Си, пробовал свои силы в написании простенького эксплойта переполнения буфера, немного могу в сети, консольку *nix. Ну и читать/гуглить, да
Ты что, там нет Светочей - Лукацкого и Царева!
а на деле статья фуфло, кулстори в духе "я ломал его чат в торе" на уровне миста Робота. Информативности в ней ноль.
А ты хорош!
Может тебе еще Профессионал должен каждый шаг описать, чтобы взламывали соседей по сетке все кому не лень?
Статья описывает суть, а детали уже сам постигай.
Не назвал бы это ответом на мой вопрос, но история прохладная
Возьмёт ли работать государство, если у меня военник из-за псих диагноза?
Смотри разбор тасков с предыдущих ctf(в твоём случае в первую очередь в категории exploit/pwn), иногда есть возможность запустить сервис у себя, но часто даётся только ссылка, которая после ctf обычно протухает. Ссылки на тренажёры есть в шапке. Ещё добавлю https://backdoor.sdslabs.co/ - много тасков, рассчитаных на новичков.
И ещё освой какой-нибудь скриптовый язык(питон, например). И английский.
Статья достаточно информативна.
Хотя бы в том плане, что большинство вредных хакеров — недалекие люди, то есть тупые.
Да, сейчас любой может скачать nmap или metasploit, найти обучающий ролик на ютубе и начать хакать сбер.
Но он не станет экспертом в ИБ. Конечно, он будет себя мнить такие и это на руку настоящим экспертам, которое работают по белому.
Я очень часто сталкиваюсь с с такими псевдоикспэртами: что по работе, что в интернете.
Например, вот бредовые размышления такого иксэрта: http://telegra.ph/Opasnost-antivirusov-07-01
То что эксперт не описал подробностей - нет ничего особенного.
В законе однозначно написано, что взлом чужих компьютеров уголовнонаказуемое деяние.
Там нет никаких разделений, что компьютеры хороших парней взламывать нельзя, а плохих можно.
кстати я артем и никогда не был им, но когда стал понял что я н еартем, вот такие вот дела творятся у нас на руси!!!!!!!!!!!!
Что за академия?
Водного Транспорта.
Неужели все настолько плохо с рынком иб в этой стране?
Ну я работаю в западном вендоре и мне норм.
А как попал?И Кем работаешь?пинтустер-смузихлеб?устанавливальщик сикретнетов?
основная работа в отечественном вендоре - тут тоже все норм.
Пресейл-инженер. Провожу демонстрации на вебинарах/семинарах, делаю пилоты у заказчиков, консультирую и помогаю интеграторам когда у них кривые руки сложности с внедрением. Нравится, что работа динамичная. Ни о какой стагнации говорить не приходится, постоянно идет развитие навыков и знаний. Рекомендую.
Если только это не хуйня, выезжающая за счёт сертификатов ФСТЭК/ФСБ типа Инфотекса или Кода безопасности.
Не представляю, как у людей хватает совести впаривать это.
аналитик ИБ. продажам не имею никакого отношения
PT/Касперский/Group-IB?
ty
>попытался перевестись с 4ого курса инженерной специальности на ибшную
>вы не можете быть переведены, так как вы очень много предметов не сдадите
Пиздец. И что делать.
>вы не можете быть переведены, так как вы очень много предметов не сдадите
Пиздец. И что делать.
А нахуя тебе прям ИБшное?
Работу предлагают, и нужно именно такое образование.
А больше, думаешь, в жизни работы не будет?
такой - нет
Все правильно. Если для тебя важно что написано в дипломе, то отчисляйся и поступай заново на 2 курс.
Сын ванги? Хотя с таким настроем ты прав - не будет
аналитик ИБ. продажам не имею никакого отношения
Чё ты повторяешься?
Чего бы такого можно было бы запилить, чтобы совместить практику в кодинге и иб? Подкиньте идею, может веб-сервис какой?
Форкни чё нить на гите не сложное и с ибэшной темой в описании.
Анончики, а что можете сказать по Доктор Веб?Кто-нибудь там работал?есть инфа как таам?
хорошо там, где нас нет
менеджер сканов nmap\massscan, чтобы работал с удаленными хостами, чтоб можно было из админки задать подсети\айпишники и потом стянуть репорты.
Приветствую всех. Препаририуется сайт на WordPress 4.7.5. Случайным образом (просмотрел путь при открытии одной из пикч на сайте) открыл папки wp-includes и wp-content.
Вопрос 1: так должно быть? Можно ли получить доступ к открытию файлов(сейчас открываются пустые страницы)/редактированию?.
При вводе на /wp-admin редиректит на вход в сайт (в котором, чтобы залогиниться надо ввести только пароль, поле "логин" отстутствует). Прогнал сайт через wpscan в Kali, обнаружил одну уязвимость по версии Wordpress и одну по гугловскому плагину. Что делать дальше — не знаю, нуб ебанный. Прошу помощи, в нюфажном треде не помогли.
Вопрос 1: так должно быть? Можно ли получить доступ к открытию файлов(сейчас открываются пустые страницы)/редактированию?.
При вводе на /wp-admin редиректит на вход в сайт (в котором, чтобы залогиниться надо ввести только пароль, поле "логин" отстутствует). Прогнал сайт через wpscan в Kali, обнаружил одну уязвимость по версии Wordpress и одну по гугловскому плагину. Что делать дальше — не знаю, нуб ебанный. Прошу помощи, в нюфажном треде не помогли.
Почему программы сканеры могут только показать уязвимость и нет кнопки взломать?
Дальше тебя надо бы обоссать. Ты нашел в каком треде такие вещи спрашивать.
действительно
ну а в каком ещё? укажи дорогу. даже в /pr молчат, послали в воркач
Эриксон. Хакинг искусство эксплойта.
спасибо!
Постажировался я в Dsec и охуел, всё так пиздато, все безопасники такие успешные боги, потихоньку вкатываюсь в нашу элитную профессию. И мысль в голову пришла - нужно сделать себе какое-никакое имя. Дайте советов, как на конференцию попасть? Ну то есть вот я сяду за пекарню, буду чёнить ковырять, придумывать, обдумывать, найду интересную уязвимость, а потом что? Просто заяву кидать? Поделитесь опытом, пожалуйста.
Ты не путаешь безопасников с it безопасниками?
> Никогда штатный сисадмин,а зачастую эникей в фирмочке 20-30 пользователей не будет иметь тот багаж по айти-безопасности, что специалист.
Вопрос только где этот багаж нужен
> Наказуемо УК РФ. Это такой вор, только по ИБ. Ездит на бутылках и носит робу.
Шо, у вас уже кардеров начали ловить?
Тебе уже работу предложили? На zeronights можешь выступить со своей темой.
Постажировался удалённо в Dsec и охуел. Куратор спустя некоторое время забил на тему. Я сам не забил, но мотивация всё же куда-то делась, хотя исследование было очень интересное.
Лолблядь. Безопасник в рашке это типа гребень от айти?
Не всякая конторка берет без военника(выше комтайны), а ещё меньше организаций берёт с проблемами здоровья, вроде какой-нибудь эпилепсии.
Именно. Ит-гной, ит-мразь, ит-пидор
1075748-кун
1075748-кун
Нет. Гребень - это rnd
Хто?
Господа, расскажите как вы начинали участвовать в ctf. Сколько времени ушло изучение разных направлений?
Я работаю админом, соответственно большинство тасков network решаю, а вот с другими беда. Порой в принципе не понимаю в какую сторону копать, как понимаю для этого нужен творческий подход?
Я работаю админом, соответственно большинство тасков network решаю, а вот с другими беда. Порой в принципе не понимаю в какую сторону копать, как понимаю для этого нужен творческий подход?
Сначала смотрел задачки и разборы, но не участвовал, а потом присоединился к цтфэшному кружку.
Кто что знает о secsem ВМК МГУ? Команда bushwhackers оттуда два года подряд RUCTF выигрывала, да и вообще кажется что эта команда топовая в России по цтфу
Сам себя не похвалишь никто не похвалит.
Бля, ты крут.
По иб дохуя книг. А по цтф есть что?
Шапку смотри. Не книги, но информации достаточно.
Мне бы исчерпывающую книжечку. Чтобы было всё и по порядку. Или на крайние случай курс лекция, но побольше. На пол года например.
https://www.ozon.ru/context/detail/id/31649356/
https://www.ozon.ru/context/detail/id/20032936/
https://www.ozon.ru/context/detail/id/135726580/
изучай. будешь знать основы - будешь знать как и где найти дыры
Цтф это уязвимости искать?
База базой, а на цтф задания специфичные. Умения пользоваться правильными инструментами обычно важнее.
Это типичный интернет-персонаж, который на любые вопросы фыркает "иди рфц читай, ламер".
подготовка и выпуск технической книги происходит где-то за год. поэтому к выпуску она устареет. в от личии от основ, которые всегда актуальны.
знаю пример, где один разработчик писал книгу про свой инструмент. к моменту когда книга вышла, инструмент уже успел дважды обновиться, добавлены новые возможности, несовместимые со старыми.
поэтому нет смысла искать книги про инструменты. они или устарели, или их вообще не выпускали.
Привет, анончики, немного не по теме, но нужна ваша помощь.
Пишу диплом на тему "Безопасность веб приложений использующих базы данных". И не знаю, что написать в третьем разделе.
В первом разделе я просто описал основы веба и рассказал, во втором на примере сайта написанного на коленке показал уязвимости из списка OWASP top 10 и способы избавления от них.
Но еще не хватает 9 страниц, чтобы было минимальное количество страниц диплома, а я уже просто не ебу, что писать.
Подскажите, что там можно написать? Нужно какую-то аналитику, какие-то статистики, но хуй знает че писать и пиздец.
Прошу вашей помощи советом.
Пишу диплом на тему "Безопасность веб приложений использующих базы данных". И не знаю, что написать в третьем разделе.
В первом разделе я просто описал основы веба и рассказал, во втором на примере сайта написанного на коленке показал уязвимости из списка OWASP top 10 и способы избавления от них.
Но еще не хватает 9 страниц, чтобы было минимальное количество страниц диплома, а я уже просто не ебу, что писать.
Подскажите, что там можно написать? Нужно какую-то аналитику, какие-то статистики, но хуй знает че писать и пиздец.
Прошу вашей помощи советом.
Позитив красивую статью про sql инъекции со статистикой когда-то на хабр выкладывали.
описания уязвимостей и методы борьбы с ними я уже написал, показывая на примере своего приложения написанного на коленке, теперь нужно немного какой-то аналитики, рассуждения.
Была идея выписать типичные ошибки юзеров, программистов, админов. Но в основном везде только для программистов и инфы на страницу хватит.
Ты же статистику просил. Так нагугли статью со статистикой встречаемости этих уязвимостей.
Основ чего??? Кто эти уязвимости ищет? Все пользуются оотовыми сплоетами, нет?
А есть статистика языков и фреймверков на которых уязвимые сайты написаны?
>1080006
>Думаю, это какой-то тестер из мелкой шарашки, клепающей говносайты для ООО и ИП
осайты для ООО и ИП.
двачую, быть пентестером - это быть червем пидором в пищевой цепочки ИБ. Работаю в крупной консалтерской компании загнивающего запада. ИБ аудиторы, ISO27001 консультанты, PCI DSS пидоры - глубоко уважаемые люди, клиенты их боятся, руководство уважает. В командировках живут в 4-5* гостиницах, синьоры-аудиторы летают бизнес классом, служебные жоповозки С класса. Требуется всего два скила: умение задать вопрос с чек листа, красиво пиздеть с клиентом.
Пентестеры при всех раскладах в жоппе. Если нихуя не нашел, то клиент обычно ноет: нахуя мы платили за вашего пентестера 1к евро за рабочий день? Если дохуя нашел, то клиент начинает пиздеть, что это все теоретические уязвимости, удоли!!!!111 из отчета мы уже пофиксили, XSS - это не уязвимость а вектор атаки, настоящий хакор не обойдет наш FW. При этом требуется дохуя скилов, глубокая специализация в одной из областей и понимание смежных областей. Постоянное самообучение и практика. Единственная отрада, можно подрочить в свободное от работы время на багбаунти программах и немного поднять бабла по фану.
>Думаю, это какой-то тестер из мелкой шарашки, клепающей говносайты для ООО и ИП
осайты для ООО и ИП.
двачую, быть пентестером - это быть червем пидором в пищевой цепочки ИБ. Работаю в крупной консалтерской компании загнивающего запада. ИБ аудиторы, ISO27001 консультанты, PCI DSS пидоры - глубоко уважаемые люди, клиенты их боятся, руководство уважает. В командировках живут в 4-5* гостиницах, синьоры-аудиторы летают бизнес классом, служебные жоповозки С класса. Требуется всего два скила: умение задать вопрос с чек листа, красиво пиздеть с клиентом.
Пентестеры при всех раскладах в жоппе. Если нихуя не нашел, то клиент обычно ноет: нахуя мы платили за вашего пентестера 1к евро за рабочий день? Если дохуя нашел, то клиент начинает пиздеть, что это все теоретические уязвимости, удоли!!!!111 из отчета мы уже пофиксили, XSS - это не уязвимость а вектор атаки, настоящий хакор не обойдет наш FW. При этом требуется дохуя скилов, глубокая специализация в одной из областей и понимание смежных областей. Постоянное самообучение и практика. Единственная отрада, можно подрочить в свободное от работы время на багбаунти программах и немного поднять бабла по фану.
А чем в твоей компании занимаются "ИБ аудиторы" ?
в основном Common Criteria и государственные заказы
Звучит не так сложно, в основном бумажная работа со стандартами? И что, если не секрет, входит в гос. заказы?
Двачую еще одного прозревшего.
Да. вордпресс и пхп самые дырявые.
>Звучит не так сложно, в основном бумажная работа со стандартами?
в этом и есть вся суть моей боли в области ануса. Аудиторы в основном работаю с бумагами, часто не имея реального опыта работы с технической частью ИБ. Рынок сформирован так, что клиентам не выгодно менять аудитора, бюджеты больше, профит высокий.
>И что, если не секрет, входит в гос. заказы?
хер его знает, что-то для НАТО делают, эмигрантам вход в такие проекты заказан
>в этом и есть вся суть моей боли в области ануса. Аудиторы в основном работаю с бумагами, часто не имея реального опыта работы с технической частью ИБ
ну, таких и в рашке полно, правда не уверен что они получают больше, чем пентестеры
Мне бы именно статистику, на которую можно было бы ссылаться. Есть какой-то поис по базам уязаимостей?
А есть такое занятие как введение безопасного программирования? Я например при аудите бы тупо менял все скул запросы на параметризированные не разбираясь можно ди использовать уязвимость или нет - имхо, так будет гораздо быстрее, тупо поиск по файлам.
Я так понимаю, что суажем в джангокоде и искать особо нечего?
-кун
Ставь ссыдки нормально плес, с приложения тяжело искать
Ну хуй знает, посмотри где практику проходят, куда трудоустраиваются, погугли имена профессорского состава, группу вк в конце концов почекай на предмет отзывов
смотря где, аудит то проходит по выбранному стандарту. В PCI DSS есть воркшопы по безопасному программированию. Они обязательны если хочешь заветный сертификат. Но в сам код аудитор смотреть не будет, только бумажки проверит, что мол SDLC в компании есть, воркшоп прослушали, политиками обмазались. Пентестер тоже в код смотреть не станет, никто не оплатит анализ 100к строк кода, если можно сделать формальный black-box пентест с минимально возможным охватом тестирования.
Кроме SQLi есть еще много чего, глянь на OWASP Testing guide. В моей практике, чаще всего встречаются XSS и direct object reference.
> XSS
Сосет у шаблонизаторов, т.е. опять только пхп?
> direct object reference.
Проверки на стороне клиента? Ну это одна из вещей от которых фреймверкине защищают искаропки.
>Сосет у шаблонизаторов,
>Ну это одна из вещей от которых фреймверкине защищают искаропки.
смотрю ты шаришь в написании безопасных приложений, попробуй устроится в любой крупный банк СНГ и научи их писать безопасный софт. Надоело по десятку критических уязвимостей с каждого пентеста в отчет писать.
Хуле ты приебался, я вообще не снг. По сути есть че ответить?
По сути, если следовать всем рекомендациям по написанию безопасного софта, не выдумывать свои системы ААА, а использовать проверенные, построить SDLC, вероятно, что можно написать достаточно безопасный продукт. Чтобы во время пентеста не находили уязвимости из OWASP top 10 и школотроны не строчили на хабре очередной высер на тему: я перебирал ID в банкнейм и смог получить доступы платежам других клиентов.
Или что ты хочешь услышать в ответ?
> системы ААА
> SDLC
Переведи.
Вопрос был, в общем, что из названного того играет роль если писать не на голом пыхе?
Вообще есть что почитать именно про безопасную разработку? Или незачем вообще что-то читать, и так все работает?
Держи наводку.
В инете бесплатно надеюсь есть?
В душе не ебу. У меня бумажная. Если не можешь сам ответить на собственный вопрос, рекомендую завязывать с ИТ пораньше, не то, что даже с ИБ.
Ты о чем, маня? Ты книжку мне притащил, я тебе сказал что я не в снг, заказывать ее потому что ты скозал не буду.
Завязал тебе за щеку. Как я люблю когда букашки в интернете ра сказывают кому надо вон из профессии.
Вообще у разработчика не стоит задача разработать безопасный безбаговый продукт. У него задача создать продукт, в котором будет реализована запрашиваемая функциональность.
То, что он без багов - задача инженера qa, то что безопасный - задача ИБ. Иначе зачем вообще этот огромный штат из тестеров, пентестеров и прочих безопасников содержат банки?
А вообще-то мы говносайты на пэхэпэ обсуждаем или банки?
Создать безопасный продукт вообще не проблема. А вот интегрироваться в общую инфраструктуру это уже вопрос посерьёзнее. Ты просто в банк клиенте авторизуешься - запрос уже в 4 систем лезет. Потом подтягивается информация по счётам - ещё +8 систем.
Я обсуждаю безопасную разработку. А еще интересуюсь где вы собсно нужны.
> Вопрос был, в общем, что из названного того играет роль если писать не на голом пыхе?
Таки очень хотелось бы услышать ответ
Тогда это не про банки.
Я другой анон. Не безопасник. Программист - поэтому везде нужен
А ну ок. Что в этом треде делаешь?
SDLC - жизненный цикл разработки системы
AAA - Authentication, Authorization, Accounting
нет фреймворков защищающих от всех возможных атак.
>Я например при аудите бы тупо менял все скул запросы на параметризированные
да, это помогает от SQLi
>суажем в джангокоде и искать особо нечего?
и в таком коде будут уязвимости. Во-первых: уязвимости самого фреймворка (погугли CVE-2016-9013, CVE-2014-0474) во-вторых: плохо написанные куски кода.
Даун, тебя в гугле забанили что ли? Название есть, авторы тоже. Гуглится за секунды. Но нет, мы будем понты кидать и выебываться.
Школьник, тебе по жизни дальше еще тяжелее будет. Еще до этой самой профессии.
> уязвимости самого фреймворка
Это не зона ответственности проггера.
> плохо написанные куски кода.
Так какие конкретно уязвимости там могут встретиться и с какрй вероятностью?
> Даун, тебя в гугле забанили что ли? Название есть, авторы тоже. Гуглится за секунды. Но нет, мы будем понты кидать и выебываться.
Я с планшета, пнх.
> Школьник
Нахуй пошел с пляжа, мимо
> > Даун, тебя в гугле забанили что ли? Название есть, авторы тоже. Гуглится за секунды. Но нет, мы будем понты кидать и выебываться.
> Я с планшета, пнх.
Да хоть с утюга, хуйло ты ленивое. В тред пришел срать ты, так что на хуй можешь последовать сам.
> > Школьник
> Нахуй пошел с пляжа, мимо
Неужели детский сад?
двачую, поиск информации и источников - 90% времени работы безопасника.
>Так какие конкретно уязвимости там могут встретиться и с какрй вероятностью?
ты же сам понимаешь абсурдность этого вопроса? Любые описанные в OWASP и бесконечное множество не описанных там. Если не понимаешь, то зачем ты вообще пишешь в этом треде?
Срала иебе мама в кашку, а я спросил. А ты ттветил как говно.
> двачую, поиск информации и источников - 90% времени работы безопасника.
Но я здесь не работаю...
> Любые описанные в OWASP
Расскажи мне как сделать xss в шаблоне без умысла и не будучи полным дауном.
Вообще еслм ты на вопрос какие из аж 10!!! Уязвимостей могут встретиться тычешь бумажную книжку, то ты сам нихера в теме не понимаешь, имхо.
>Расскажи мне как сделать xss в шаблоне без умысла и не будучи полным дауном.
создать отдельный обработчик для "специального" поля ввода в обход фреймворка. Зачем? Во имя сатаны, распиздяйства и безумных требований клиента. Встречал такое и не раз в реальных проектах больших клиентов. В шаблоне же, можно вставлять вводимые данные прямо между тегами скрипт (тоже видел) или в комментарии к js (и такое встречал). А так то да, если писать на джанго и не выключать auto-escaping, то зафакапить с XSS сложно.
> Вообще еслм ты на вопрос какие из аж 10!!! Уязвимостей могут встретиться тычешь бумажную книжку, то ты сам нихера в теме не понимаешь, имхо.
Даун, ты настолько туп, что без цитирования ответ не понимаешь?
Книжку я кинул на прямой вопрос:
> Вообще есть что почитать именно про безопасную разработку?
Тебе кинули книжку, в ответ пошло типичное малолетнее "а найдите её за меня, а потом прочитайте её за меня, ну и вообще всё за меня сделайте".
Я сейчас внимательнее вчитался в твои посты. Так вот ты какой-то жирно-зеленый во всех смыслах этих слов . Еще и хамоватый тупенький лупень. Не пиши в этом треде больше.
> А так то да, если писать на джанго и не выключать auto-escaping, то зафакапить с XSS сложно.
Ну слава богу. А где можно нафакапить?
мммм ... нафакапил тебе за щеку, проверяй
Ты своей мамке нафакапил
Как пробросить трафик Nmар через Whоniх Gаtеwаy?
Описание ошибки здесь:
https://sourceforge.net/p/whonix/discussion/general/thread/ac04011c/
Пытался настроить согласно данному https://hackware.ru/?p=1582&PageSpeed=noscript гайду, не получается.
Описание ошибки здесь:
https://sourceforge.net/p/whonix/discussion/general/thread/ac04011c/
Пытался настроить согласно данному https://hackware.ru/?p=1582&PageSpeed=noscript гайду, не получается.
Здесь есть те, у кого стажировка в Dsec уже закончилась? Работу уже предложили? Берут ли стажировавшихся удаленно или только офисных стажеров? Сам хочу в следующем году попробовать - как раз Мухгу закончу.
Сбер или Каспер?
С Сбер платят больше. В Каспер вроде как поинтереснее.
С Сбер платят больше. В Каспер вроде как поинтереснее.
В сбере же вроде как ниже рынка платят.
Я за рынком не слежу. Среднему анону наверно платят ниже рынка.
Мне в предложении от Сбера на $1к больше чем в предложении от Каспера.
И оба предложения лучше чем сейчас. А сейчас я не жалуюсь.
И что?
Пасте про реалии ИБшничков это никак не противоречит.
помогите придумать тему для диплома по информационной безопасности
можно что нибудь связанное с новыми технологиями
можно что нибудь связанное с новыми технологиями
Защита персональных данных в организации. Воды можешь налить дохуя, читать эту хуету никто не будет. Линию защиты будешь вести на тезисе "организация против регуляторов". Тема на все времена, кек.
"Внедрение 552-п и последствия для банковской сферы РФ" тоже сочная и актуальная тема.
а что нибудь с новыми гаджетами годов 13-16 ?
Ну ты сам себе ее уже придумал тогда, дурашка.
я-то думал, ты совсем тугой, если к 5-му курсу до сих пор не знаешь, что тебе в сфере ИБ интересно
Ну может есть ещё какие нибудь идеи
> Защита персональных данных в организации.
А каким концом тут иб? рашка-говняшка
Концом выполнения требований регуляторов по ЗИ.
только за дипломы по защите пдн должны в морду бить, не? Ну или в чем профит вашей работы? Создать сзи испдн может куча народу
И плюс индивидуальные тараканы преподов аля математическое обоснование.
> помогите придумать тему для диплома по информационной безопасности
> можно что нибудь связанное с новыми
С 19 по 21 сентября в ДС будет проходить infosecurity russia 2017 с кучей докладов, в их названиях сплошные актуальности и тренды ИБ - ДЕРЗАЙТЕ. Там и материалы можно подчеркнуть
У нас защита персональных данных и ИБ в общем-то разные вещи.
> infosecurity russia 2017
Конференция скатилась в говно в последнее время. А когда-то была огого.
разве там бывают студенты?
Что-то тихо. Этому треду не хватает немного бредн Лукацкого.
http://lukatsky.blogspot.ru/2017/09/vs.html
http://lukatsky.blogspot.ru/2017/09/vs.html
Тезисно Хуяцкий местами прав, вот только бинарная логика хромает в том месте, что "пиджаки" на деле тупорылые солдафоны, вся их "безопасность" в 99% случаев заключается в изрыгании отделом ИБ миллиардов тонн бумаги, общий смысл которых, если уж говорить по чесноку - прикрыть жопы этих самых пиджаков в случае чего. Впрочем, этим сейчас 95% офисного планктона занимается.
Что пиджаки, что футболки хоть и работают в одной сфере, но делают не одно и то же. По сути нужно разделение труда, а работа найдётся и для тех, и для других. А теперь вспоминаем, в какой стране мы живём и прикидываем вероятность такого разделения где-то кроме профильных компаний и нескольких крупнейших банков и вероятность того, что погоны потеряют в других местах монополию.
А если с программистским средне-специальным учиться по теме и устраиваться, примут по безопасности(в фирмы, не в полицию всякую)?
Куда-то примут. Где-то вообще образование не смотрят. В каспер нужно высшее техническое.
Блядь, поставил вчера и настроил новый АРМ-КБР-Н. Центробанк пидарас.
Привет, аноны! Расскажите про иб интеграторов, как работается, что на собеседованиях спрашивают, какие подводные камни? Почитал пару историй в треде и обе какие-то грустные. Профильная вышка, работал в госконторе, совмещая админство и иб. Думаю, стоит ли перекатываться
>олее того есть две-три книжки, и лол они даже на русском
название и автора можно?
сложили с себя ответственность на банки - для него это давно норм.
Доронин Бизнес Разведка бгг.
Привет, анончики. Учусь в мухосрани 600к человек на ЭБ. специальность в нашем городе новая, преподают только второй поток. поступил ради интереса, но никто из преподов/кафедры не может сказать в чем конкретно будут состоять мои обязанности, где можно будет работать и тд. в инете тоже вся инфа расплывчатая. я из-за этой неопределенности уже отчаялся и хочу дропнуть нахуй специальность. ребята, объясните кем есть возможность работать после выпуска? чем заниматься вообще? планирую перекатиться в ДС2.
Ну вот тебе навскидку несколько вариантов: свободная касса, просто экономист, сб какого-нибудь банка,но тебя туда хуй возьмут без связей и опыта армия с последующим перекатом в какую-нибудь силовую структуру тут хз, но чисто в теории можно себе представить. А вообще да, поздравляю, ты начал прозревать - поступать надо было не на то, что интересно, а на то что реально востребовано ну или где есть блат. Вангую, что через несколько лет ты будешь сидеть вот как я сейчас - зоонаблюдая как на весь город (в моем случае миллионник) - полторы вакансии по иб и спрашивать себя: "нахуя я на это учился"
Иркутск?
Подкиньте тему для курсовой. 4-курс Шарага.
Еще один даун... Кекнул с того, что ИБ теперь еще и в ПТУ, прям топкек.
По krack курсач напиши.
Кто-нибудь участвует в квесте ZN?
><22 лет,
26 лет
Фейл?
Маня, ну какие 60к в ДС, ты предлагаешь бомжевать на вокзале и доедать с помоек?) (Ну если ты только не у мамы на шее сидишь, и все за ее счёт)
Мне в мухосрани 50к не хватает. (Квартира, еда, и тд).
Цены растут быстрее зарплат. И это видно в любой отрасли.
А что касается "вакансии в дс1-2", не все имеют возможность переехать.
Ну и что вы имеете под "безопасниками"? Малваря-дрочеров, пентустеров и подобный скам надеюсь не учитываешь ?:)
Пиздец, дашчан мозга ебет.
Аноны, назрел вопрос. Видел в нескольких группах в Телеге и твитторах треп за какую то группу dc8800. кто в курсе что за группа и чем знамениты?
ага, они вроде
Вечер в хату, коллеги-безопасники!
Сам я уже много лет тружусь по линии экономической безопасности. Надеюсь, получится продуктивно тут пообщаться. Тема узкая, деликатная, вопросов много. :3
В качестве затравки предлагаю такую дисциплину:
http://infosystems.ru/services/konkurentnaya_r_638.html
Бесплатный семинар Андрея Масаловича: подключись из любого города!
1 ноября с 11.00 до 14.00 в Академии Информационных Систем состоится бесплатный семинар по теме: «Конкурентная разведка и обеспечение экономической безопасности бизнеса. Методы защиты конфиденциальной информации от действий инсайдеров, рейдерства и мошенничества».
Автор и ведущий семинара: Масалович Андрей Игоревич, к.ф.- м.н., ведущий эксперт по конкурентной разведке в Интернете. Семинар пройдет при поддержке и участии ведущих разработчиков информационно-аналитических систем.
Место очного проведения: г. Москва, ул. Плеханова, 4-А, БЦ Юникон
Для всех желающих предусмотрено дистанционное участие в семинаре с подключением через Интернет!
Кто что про это думает? Может, уже учился кто?
Сам я уже много лет тружусь по линии экономической безопасности. Надеюсь, получится продуктивно тут пообщаться. Тема узкая, деликатная, вопросов много. :3
В качестве затравки предлагаю такую дисциплину:
http://infosystems.ru/services/konkurentnaya_r_638.html
Бесплатный семинар Андрея Масаловича: подключись из любого города!
1 ноября с 11.00 до 14.00 в Академии Информационных Систем состоится бесплатный семинар по теме: «Конкурентная разведка и обеспечение экономической безопасности бизнеса. Методы защиты конфиденциальной информации от действий инсайдеров, рейдерства и мошенничества».
Автор и ведущий семинара: Масалович Андрей Игоревич, к.ф.- м.н., ведущий эксперт по конкурентной разведке в Интернете. Семинар пройдет при поддержке и участии ведущих разработчиков информационно-аналитических систем.
Место очного проведения: г. Москва, ул. Плеханова, 4-А, БЦ Юникон
Для всех желающих предусмотрено дистанционное участие в семинаре с подключением через Интернет!
Кто что про это думает? Может, уже учился кто?
Масалович гей и шарлатан. Больше говорить ничего не буду. Все его курсы - это реклама его Авеланча.
Вот да, как раз этот вопрос меня и интересует. Я видео его лекций потихоньку просматриваю, и интересных моментов много, но лично в моей работе это малоприменимо. Темп высокий, редко когда есть возможность вдумчиво и подолгу копать одну тему. Смотрю видео и пытаюсь понять - он и его падаваны действительно зарабатывают дофига? Или он кормится с лекций и платных семинаров имени себя?
Можете что-нибудь сказать про ИБ-интеграторы?
Крок, Информзащита, Джет... Как там работается?
Крок, Информзащита, Джет... Как там работается?
> Или он кормится с лекций и платных семинаров имени себя?
This
Как на галере.
Эх, жаль слышать. Кулсторей много у него, красивые. Захотелось жить в деревне с интернетом и работать за 1000 Евро. В день. :3
http://yushchuk.ru/internet-razvedka/keis-po-konkurentnoi-razvedke-andrei-masalovich-zapchasti-k-vertoletam-v-otkrytyh-istochnikah/
http://www.forbes.ru/tekhnologii/internet-i-svyaz/280391-razvedka-setyu-kak-sistema-avalanche-pomogaet-spetssluzhbam-i-bi
Хотя вот эта кулстори довольно потешная:
http://yushchuk.livejournal.com/239036.html
Инфу про китайский авианосец можно спокойно мониторить на какой-нить Авиабазе.ру. Там целоо сообщество трудилось, новости ловилок и все на русике выкладывало. То есть, совсем необязательно к кому-то там лезть было.
>целое сообщество трудилось, новости ловило
Быстрофикс.
> Ющук
Такая же петрушка. Еще бы Лукацкого притаранил.
лукатский бох
Такой же членосос, как и царев. Они походу уже и забыли, что такое работа. Только по всем конференциям еблом светят.
Сижу на онлайн-семинаре Масаловича (бесплатном). В общий чат все пишут "Здравствуйте!", "Добрый день!". Тоже все безопаснички, видимо.
Подмывает написать "ВЕЧЕР В ХАТУ". :3
Подмывает написать "ВЕЧЕР В ХАТУ". :3
КАПЕЦ, МАСАЛОВИЧ МОНИТОРИТ ДВАЧ. Вот это сообщение только что процитировал:
Как будто что-то плохое
Стоит ли ботать физику(знаю плохо) для сдачи ЕГЭ или лучше поискать в вуз где принимают информатику(знаю нормально)?
Нужны ли знания физика для безопасника в реальной работе?
Нужны ли знания физика для безопасника в реальной работе?
эй крутые чуваки, придумайте тему для диплома по ИБ
Зависит от твоих скиллов, маня. Распиши что умеешь и что хочешь, может и придумоем всем двачом тебе диплом. Для затравки держи:
"Дуалистический принцип использования сельскохозяйственных орудий в полях по модулю 5393"
И мне придумайте.
Могу в python.
Мимодругойстраждущий
"Способ безопасно лайкать и репостить экстремистские записи вконтакте, находясь в России и при этом не угодить на бутылку за экстремизм"
Диплом про прокси/тор написать?
Оценил юмор.
что это?
Я так понял обеспечение ИБ на физическом и аппаратном уровне, особо никому нахуй не упёрлось, кроме гос/военных учереждений? Намного интересная тема, чем искать ошибочки в коде, но можно ли заграницей найти такую работу?
ребятки, правда ли, что если я умею сети, линукс, пентест и т.д то могу устроиться в сладенький банк тысяч за 150-200 в руки? (мне так сказали в соседнем треде)
ну вроде в лицензиатах ФСБ этим занимаются, а там не только гос и военные структуры заказывают, если ты о лицензировании помещений или проведении спец. исследований
Народ, что там с образованием, насколько важно?
Если я заочно поступлю на "прикладную информатику" а затем второе высшее возьму юридическое, то прокатит?
Вкатывальщик 25 лвл, решил сменить профессию (раньше был техником наладчиком НТО)
Какие подводные? Спрашивают ли за возраст?
Если я заочно поступлю на "прикладную информатику" а затем второе высшее возьму юридическое, то прокатит?
Вкатывальщик 25 лвл, решил сменить профессию (раньше был техником наладчиком НТО)
Какие подводные? Спрашивают ли за возраст?
тред мёртв?
Мёртвый тред, мертвой профессии, хуль.
Почему профессия мертва?
Мне казалось, что защита информации - это актуальное дело на века
Потому что ИБ в России - это написание бумажек, чем большая часть треда сейчас занимается.
> это актуальное дело на века
Потому что ИБ в снг это какая-то мудрённая хрень, на котором все стараются экономить, а потом выходит:
ЧТО НАДО ДЕЛАТЬ? ИБ ОРГАНИЗОВАТЬ? А СКОЛЬКО СТОИТ? МММ, СПАСИБО, НАШ СИСАДМИН САМ ЭТИМ ЗАЙМЁТСЯ, ЕЩЁ И ДЕНЕЖЕК СЭКОНОМИТ НАМ)))
@
КАК ЭТО СЛИЛИ НАШУ БД? ЧТО ЗНАЧИТ УБЫТКИ НА 1 МЛН???
Потом заказывают всякие ксзи один раз и на всю жизнь, думая что это спасёт от всех бед.
Ахаха, в голове этот прикол уже давно вертелся, можно расширить всякой хуетой и обозвать "Методы личностной безопасности и сокрытия данных от спецслужб разных стран"
Двачую
Алсо, какой бы взять диплом чтобы по минимуму ебаться с бумагой? Меня просто тошнит от моделей угроз, моделей нарушителя, банков угроз, уровней всякого говна червя-пидора, вот прямо люто бесит, получу диплом и пойду работать шлюхой
Любая C# SQL Microsoft Linux Tor Bloackchain Arduino TvoyaMamka - ебота сгодится
Однако, преподы говорят что "к разработке вас не допустят, ведь нужно сделать что-то пиздец уникальное и актуальное"
Идите в интегратора какого-нибудь или дистрибьютора и займитесь актуальными средствами ИБ типа NGFW, Endpoint security, Sandbox от нормальных вендоров (Check Point, Palo Alto, Cisco. Отечественные типа Инфотекса и Кода безопасности нормальными не считаются).
У меня много знакомых работающих в интеграторах и там огромная нехватка специалистов, которые могут написать проект и внедрить его.
Вы познакомитесь со множеством заказчиков и службами ИБ в них, можете выбрать какое-нибудь вкусное место. Если будете себя показывать хорошо, вам наверняка предложат остаться и сопровождать то, что вы внедряете.
Я знаю как минимум 20 инженеров, прошедших по такому пути, работающих сейчас в крупных банках, нефтегазовых и промышленных компаниях. Это не считая тех, кто попал в иностранные вендоры, где все еще шоколаднее.
У меня много знакомых работающих в интеграторах и там огромная нехватка специалистов, которые могут написать проект и внедрить его.
Вы познакомитесь со множеством заказчиков и службами ИБ в них, можете выбрать какое-нибудь вкусное место. Если будете себя показывать хорошо, вам наверняка предложат остаться и сопровождать то, что вы внедряете.
Я знаю как минимум 20 инженеров, прошедших по такому пути, работающих сейчас в крупных банках, нефтегазовых и промышленных компаниях. Это не считая тех, кто попал в иностранные вендоры, где все еще шоколаднее.
Аноны, опишите типичный день типичного безопасника.
Всегда восхищался этой темой, тем, каким количеством знаний надо обладать, чтобы реально шарить в этом. Я хотел бы быть таким, но нет. Один список необходимой литературы из шапки уже вызывает трепет.
Ещё я вспоминаю одного шапочного знакомого красноглазика. Мы с ним ходили на одни курсы по подготовке к поступлению в ВУЗик. Он в итоге пошел на радиоэлектронику, а я (как типичный дебил), пошел за всеми на Машиностроительный. Он лихорадочно рассказывал мне, что он вычитал в журнале Хакер, про то как можно прослушивать порты и ещё какую-то дичь. Ещё я видел студентов из ХИРЭ, утомленных жизнью, с забитым взглядом. Они ехали по одиночке, сутулясь, с засаленными волосами, постоянно что-то читая.
Я завидовал им и мечтал быть одним из них, мне это казалось романтичным. Но вкатился я в итоге в веб-макакинг (и то, после 6 лет на совершенно других работах). Что было по моим силам, так сказать.
Так что вот. Опишите своё житье-бытье, реально интересно, как проходит жизнь рядового безопасника.
Как вкатиться?
Дипломированный безопасник в вузовском понимании - чувак, сидящий за компом и выполняющий 99.9% работы в ворде, изредка настраивает программно-аппаратную хуиту у клиентов по инструкции
Либо ты мамин хакир, либо находишь прибыльное место, либо забудь о безопасности если ясный рассудок тебе важен
Если пинтустер,реверсер то можешь чекнуть любой цтф и его решение впринципе вот чем будешь заниматься
Если как выше писали установщик всякой хуйни типо сикрет нет то это тебя пошлют к заказчику и будешь думать куда и как ставить этот сикрет нет хотя на первых наверно будет типо -Алло еба у меня сикрет нет блочит принтер иди разбирись или добавить пару галочек в настройках для большей безопасности
Мимо безработный не дня не работал на безопаске
Знает кто-нибудь, будут write-up ructfe 2017 и если да, то когда?
В шапке
>Так же есть вариант перекатиться из смежных профессий
Учусь на Фундаментальной информатике и инф. технологии по направлению Открытые инф. системы. Смогу ли я, после окончания ВУЗа, вкатиться самостоятельно в безопасность?
А чому в треде ни слова о баг баунти? поднял 6к баксов за ~3 месяца в свободное от основной работы время
Алсо, есть площадки с предложениями по проведению пентестов по удаленке?
какой у тебя бэкграунд?долго вкатывался?
Я зеленый студент на последнем курсе ИБ, учусь в Мухосранске.
Насколько я понял, мне в будущей моей профессии придется перекладывать и рожать бумажки, прикрывая задницу от ФСТЭКА и ФСБ с РНК - в общем, тот самый классический ИБ о которой говорится в пасте. Я в принципе уже смирился с этим и начал потихоньку самообучаться по теме,
но блжад, я чувствую, что мне критически не хватает знаний по работе с документами. Кое-какие обрывки ФЗ 152 и 63 и приказов фстэка я помню, да и нагуглить их можно, но нет полной картины того, что мне делать, когда приду в организации.
Нет системного представления о том, что мне делать и с чего начать.
Ну вот к примеру, начинаю аудит организации, определяю информацию, которую обрабатываем и тип нашей системы, и если ГИС, то 17 приказ ФСТЭК, если ИСПДН - ПП1119, дальше нужно классификацию составить, модель угроз запилить, написать ТЗ и при этом рожая по бумажке на каждом этапе и я представления не имею как они должны выглядеть и что в них писать
И таких случаев просто туева хуча, когда проводим аттестацию, когда новое оборудование, когда электронная подпись, когда ПД и надо защищаться от РНК и т.д.
Есть ли где хороший гайд для зеленых именно по этой части? Где расписано что где и как
знаю что тут полтора анона, но все-таки
сажа случайная
Докину вопросик: предлагают после выпуска поехать на север работать безопасником в местный крупный механический завод Магадан за 80к, при условии что проработаю 2 года.
В чем подвох?
Может ли быть так, что когда я устроюсь, регуляторы проведут ВНЕЗАПНУЮ проверку и ко мне применят ебательный метод?
Кто решает?
https://twitter.com/dc8800/status/941777234892869632
Я дошел до картинки, не понимаю что дальше
https://twitter.com/dc8800/status/941777234892869632
Я дошел до картинки, не понимаю что дальше
Пригласили пойти программистом в крутую компанию.
Первый этап собеседования прошёл.
Второй будет по цитирую: «в области информационной безопасности» + «стандарты в области защиты информации»
Что почитать посмотреть?
Готов упокоится за праздники.
Первый этап собеседования прошёл.
Второй будет по цитирую: «в области информационной безопасности» + «стандарты в области защиты информации»
Что почитать посмотреть?
Готов упокоится за праздники.
Вкатывался недолго.
Начальство требует чтобы я прошёл переподготовкам лаку по информационной безопасности.
Посоветуйте контору.
Посоветуйте контору.
город ?
москва
80 тыс.руб. Охереть у вас пределы мечтаний.
Вот, зацени что может нормальный безопасник:
https://hackerone.com/kxyry?sort_type=latest_disclosable_activity_at&filter=type%3Aall%20from%3Akxyry&page=1&range=forever
Человек по ссылке-безопасник в одной известной российской IT конторе.
Напомните багхнатинг сайт для тех у кого нет программы вознаграждения. Там было куча сайтов, которые даже не просили и проверке и куча уязвимостей найденных на этих сайтах. Некоторые из них были помечены незакрытыми. Кидали ссылку в бэ и говорили, что там как-то зарабатывали. Не понимаю как.
https://www.openbugbounty.org/
насколько я помню, просто сообщали СБ организации об уязвимости, которую сами же увидели в качестве чужого репорта на сайте. Мутная тема, не думаю что такое прокатит, за исключением редчайших случаев
Рейт ми https://hackerone.com/ruvlol
В помещении имеется инфракрасный датчик движения. Есть доступ к нему днём и надо обойти ночью. Правильно понимаю, что если обернуться заранее его фольгой, то нормально функционировать он перестанет?
Какой-то способ обхода курильщика, здоровые люди заливают линзу лаком. Поможет, если нет антимаскинга. Есть ли антимаскинг- зависит от места установки, 99% что отсутствует.
Это если пассивный датчик, если активный ик барьер с приемной частью, там сложнее, их проще обходить по мертвым зонам.
До сих пор не понимаю как вы это делаете. Вроде на базовом уровне знаю JS, CSS и HTML, очень неплохо владею бурпом, прочитал кучу книг по хакингу. А вот найти что то из программы Hackerone и получить за это деньги-никак. При этом в своей компании, в которой я работаю(не безопасником) уже нашел не один десяток XSS и CSRF. Но тут я досконально знаю продукт, знаю когда релизы.
Оно. Спасибо.
Я не понимаю как это работает. Зачем исследователи выкладывают туда информацию про уязвимости? Они собирают выхлоп из sqlmap и туда скидывают или делают более подробный анализ? Прямо сейчас там куча непропеченных уязвимостей про которые владельцам сайтов доложили более 3ёх месяцев назад и все они xss. Можно как-нибудь заработать просто заюзав уязвимости от туда или они на столько бесполезны, что проще сначала найти где заработать, а потом уязвимость?
За ручку даже не держался.
но вообще ты молодцом, конечно
Сап, безопасники. Помогите решить загадку выскажите свое мнение
Есть 2 стула: на одном 1С дроченый на другом ИБ точеный, так вот, на какой стул наиболее безболезненно присесть, чтобы потом не охуеть в Большом Мире от микрозарплат и Работа_404?
Спасибо.
Есть 2 стула: на одном 1С дроченый на другом ИБ точеный, так вот, на какой стул наиболее безболезненно присесть, чтобы потом не охуеть в Большом Мире от микрозарплат и Работа_404?
Спасибо.
Если твердо решил в Рассеюшке жить, то без вариантов 1С. Иначе оба стула с хуями.
И про 1С я почти серьезно. Вот тебе пример жизни сферического в вакууме 1С кодера:
https://fixin.livejournal.com
Тоже будешь шлюх ебать и в Турцию кататься.
https://fixin.livejournal.com
Тоже будешь шлюх ебать и в Турцию кататься.
А если вдруг захочу по блю карте сваливать в европку, то тогда имеет смысл на ИБ идти?
Да и мы вроде там не только 1С учить будем, но и что-то зарубежное правда я не в курс что именно, просто не знаю как это востребовано за границей.
И спасибо за ответ. и да, может кто подскажет, очень ли сложно работать по 1С? Сильно ебут?
Красиво живет. Вот уж да, выходит из 1С можно таки неплохо выбиться. от ЧСВ подохуел,
конечно.
Здарова безопаснички.
Пришло время выбирать себе дальнейший карьерный путь. Захотел я в безопасность, но не по личной своей мотивации, а потому что у меня в ИБ BATYA. Ну, то есть, я сам-то люблю ИТ, но именно в ИБ меня зарекламировал отец. А отец мой отучился в каком-то, прости Господи, питерском техникуме, потом поработал в некогда крупном банке в своей мухосрани, потом съебал в ДС-2 в головной офис того же банка, там получил сильно дохуя опыта в области ИБ(сам устанавливал и настраивал системы-хуемы, с которыми в середине нулевых в России в принципе-то мало кто знаком был), с этим опытом скакнул в местное представительство одной международной конторы и лет через пять перевёлся в Европку. Ясное дело, что такой гамбит - дело великой удачи и мне его провернуть вряд ли удастся, да и не об этом вопрос. Дело в том, что я в этом году поступаю в вуз, и мне надо бы наконец, блять, определиться, где и на кого я хочу учиться. Чекнул я ситуацию на рынке, почитал ваш охуеннейший тред, и приуныл. Более того, на всём российском рынке ойти точно такой же пиздец, а через четыре года я и вовсе на хуй никому не буду нужен.
Внимание, вопрос: штоделать? Есть вариант завести трактор и уебать учиться за бугор, насколько там востребована вся эта хуйня? Есть тут люди, знакомые с забугорным ИБ? Насколько правдива паста в начале треда, действительно ли я не пригожусь где родился? Что мне, блять, делать, аноны?
С матешей у тебя как?
Пикрилейтед. Я школу-то давно закончил и еще и в шараге поучился, с вышматом и дискреткой всё отлично было.
Ну тогда не еби самому себе мозг и иди тупо на фундаменталку или прикладную матешу. Все эти "специальности" в Рашке - нафталиновая слоупочная лет на 10-15 хуета без задач. На выходе знаний один хуй не получишь толком. С фундаменталкой проще таки в итоге, да и просто математики наши до сих пор где-то, да котируются.
И нахуя оно мне надо? Если поверить во все, что тут пишут - я не устроюсь никуда.
Братишка по-мойму если есть варик съебать то надо его юзать
Просто матеша на выходе тебе наоборот даст больший выбор, куда идти, мань. Например в бигдату там пойдешь, или те же аналитики.
А так, ну будешь "погроммистом" или "специалистом по ИБ" на бумаге, а на деле, ни принципов алгоритмов понимать не будешь, ни принципов даже крипты злоебучей, максимум сможешь сайтики пиликать, или ключики в PKI выпускать за мелкий прайс.
Но я, собственно, не настаиваю. Жизнь твоя, и как ее проебывать решаешь только ты сам, а не папка твой или омноним на двощах.
>в бигдату
Сильно перспективно? Я с этим не очень знаком, разве это не слишком узкая сфера?
А вообще, вот этот братишка дело говорит
Если есть шансы учиться за бугром, вали из этого болота к хуям. В свои 30+ могу точно сказать, эта страна катится обратно в ебучее средневековье. И если ты учась в нашей шаражке этого еще не понял, то это печально.
Если есть шансы учиться за бугром, вали из этого болота к хуям. В свои 30+ могу точно сказать, эта страна катится обратно в ебучее средневековье. И если ты учась в нашей шаражке этого еще не понял, то это печально.
Экспоненциальный рост объемов генерируемой человечеством хуеты инфы, говорит прямо, что это очень актуально.
Я оптимист просто. И не люблю запад, больше хочется в азию съебать, думал, через Расеюшку проще будет. Ну да не суть, если на это забить, то съебать действительно куда лучший вариант. И про наводку с бигдатой спасибо.
Используй scholarship для магистратуры в Азии, там охуительнейшие программы. Правда подойдет только если ты в бакалавриате в рашке не хуи пинал, а хотя бы на конференциях выступал, не говоря уж о высоком среднем балле.
У меня в принципе вышки нет. И мне уже двадцать три, так что идти на вышку ради халявной учебы в Азии слишком долго, тут уже реально легче трактор завести к родителям в Европу
>кроме настоящих конфушников типа операторов сотовой связи, вот там реально война идет
что за война?
> участвовать в ctf
участвовать в ctf - это означает лишний раз палить свое ебало
при том что если хочешь рубить бабло, надо идти в блек
>пентестинг
>подрочить в свободное от работы время на багбаунти программах и немного поднять бабла по фану
угу и при том что занимаясь тем же самым в блеке и не боясь за свои яица можно поднимать на порядки больше
лол, НЕТ
Тебя очень дико наебали. Максимум сотку, и то, если AD досконально знаешь.
Че-то хз откуда вы такие маленькие зп берете.
ДС, ручной тестировщик(то есть код почти не пишу), 100+ на руки. При этом до безопасников мне как раком до Луны, у них уверен сильно больше
Ну какому-то хую со стороны виднее сколько мы получаем, да.
Планирую поступать на сабжевую специальность в ВУЗ, поэтому встал вопрос о покупке ноутбука. Подойдут ли новые ноуты за 15-20к или лучше купить подержанный за те же деньги? Ну, то есть ясен хуй, что новые за такие деньги будут довольно слабые, однако, при покупке подержанного, хоть он и будет мощнее, гораздо больший шанс соснуть хуйца при внезапной поломке.
И еще: правильно ли я думаю, что лучше основной ОС иметь виндовс для всяких вордов, вижуал студий и прочего, а линукс для специализированного софта держать на флешке?
И еще: правильно ли я думаю, что лучше основной ОС иметь виндовс для всяких вордов, вижуал студий и прочего, а линукс для специализированного софта держать на флешке?
как по мне, так лучший ноут ленова 220
в какой операционной системе работаешь - той и держи основной
научись сначала в элементарную логику
банк - финансово-кредитная организация, производящая разнообразные виды операций с деньгами и ценными бумагами и оказывающая финансовые услуги
за редким исключением, ИТ для банка - это статья расходов. так с какого хуя платить тебе больше сотки, если ты не генеришь банку прибыль?
Не стоит тебе в эту специальность идти, дурашка.
Я бы и рад что-то другое выбрать, начитался ваших тредов, но проблема в том, что ИБ это единственная специальность, которая мне нравится хоть как-то. Остальное почти никакого интереса не вызывает.
>ленова 220
Даже подержанные они дорогие.
>так с какого хуя платить тебе больше сотки, если ты не генеришь банку прибыль?
потому что если не платить мне, то можно пострадать от действий злоумышленников и потерять не только деньги, но и доверие клиентов
можно не платить тебе, а когда банк пострадает от действий злоумышленников, выебать тебе мозги по полной, обвинить в халатности, выкинуть на улицу по статье, и когда СБшник с новой работы будет интересоваться тобой, то красочно расписать твой "подвиг"
>выкинуть на улицу по статье,
1. для того чтобы выкинуть, нужно сначала взять
2. статьёй будешь мамку свою пугать
>красочно расписать твой "подвиг"
Это делается повсеместно и без каких бы то ни было поводов
1. да мне то похуй
2. вот в банке и будешь это говорить, при обосновании почему тебе должны платить 200к
мамке это своей расскажи
Именно так и происходит, обычно. Какой косяк (особенно, если ЦБ узнал), и весь отдел ИБ на улицу тем же днем. Трустори.
А т.к. тусовка у нас с комариный хуй, такой зашквар превращается в натуральный "волчий билет", в банках уж точно. Ну и слава ЦБ, кстати, с каждым годом банков у нас все меньше, соответственно рыночек восстребованных там ИБшничков тоже не растет. Но тупые дети, насмотревшиеся мистера робота, не умеют в стратегическое мышление и осознание, что через 5 лет все будет совсем иначе.
Как дела там у тебя в БЦ твоем?
Информзащита
Насколько я знаю, в роисе на иб нихуя не учат, а когда ты выйдешь,то работы мало, а если и есть, то ты на хуй пойдёшь с той залупой которую тебе дали в вузе
Те кто хотят поступить на ИБ в вуз, то забейте хуй. Всё что у нас было из полезного: БД, администрирование линуха и впринципе всё. Остальное было: криптология, стеганография, алгоритмы шифрования)) Бесполезнейшая хуита, а не ИБ.
)))))
У нас ещё программирование было, много программирования. И попытки обучить реверсу и пентесту.
БД, администрирование линуха - это полезно для сисадминского дна, а не для ИБ
математеку-криптолуху в одной крупной ИБ конторе платят за 200к
сисадмину - 80к
> платят за 200к
Слишком малый выхлоп учитывая сколько надо дрочить. Плюс сколько вакансий дно админа, а сколько криптохакира.
Ньюфаг в треде. Как люди начинают работать пентестерами? Ведь везде требуется опыт в районе где-то от 1 года и это минимум. А как же попадают те, у кого опыта работы не было? Я понимаю, что нужны навыки для того, чтобы приняли без опыта, но я просто не представляю что именно люди говорят на собеседовании в таком случае. Неужели классическое "просто до этого неофициально работал" и "знаю все про все уязвимости"?
Все самооценились, лол? Я вот из-за этой ебатеки уже очень серьезно думаю натурально съебать из РашкоИБ куда подальше, хоть в Мак, хоть в быдлоадмины, лишь бы эту ебучую таблицу больше в глаза не видеть, как и больше не насиловать свой мозг косноязычными высерами вроде:
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию лиц, обладающих правами:
по осуществлению доступа к защищаемой информации;
по управлению криптографическими ключами;
по воздействию на объекты информационной инфраструктуры, которое может привести к нарушению предоставления услуг по осуществлению переводов денежных средств, за исключением банкоматов, платежных терминалов и электронных средств платежа.
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию своих работников, обладающих правами по формированию электронных сообщений, содержащих распоряжения об осуществлении переводов денежных средств (далее - электронные сообщения).
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию лиц, обладающих правами:
по осуществлению доступа к защищаемой информации;
по управлению криптографическими ключами;
по воздействию на объекты информационной инфраструктуры, которое может привести к нарушению предоставления услуг по осуществлению переводов денежных средств, за исключением банкоматов, платежных терминалов и электронных средств платежа.
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию своих работников, обладающих правами по формированию электронных сообщений, содержащих распоряжения об осуществлении переводов денежных средств (далее - электронные сообщения).
> Слишком малый выхлоп учитывая сколько надо дрочить.
Сразу видно школотрона, кек. Который еще не понял, что фраза "если ты такой умный, то почему бедный" - правда жизни.
Ибратик сколько платят в банковском секторе иб обычнохую?
70К на ручки.
>сисадмину - 80к
Это уровень обычного виндового шивы, админы могут и гораздо больше получать. Хотя судя по обзору зарплат на хабре меньше админов получают только тестеры.
И ИБшники
Это уже с другого обзора зарплат.
>тред безопасников
>ни одного упоминания о 187 ФЗ
ясно
>ни одного упоминания о 187 ФЗ
ясно
Очередной полоумный высер бешеного принтера. Я вот благо не работаю в госсекторе, мне за глаза другого припизднутого чтива вроде 152-фз и подзаконнок хватает. Плюс ЦБшные писульки.
Чем больше бумажной возни, тем меньше времени на саму безопасность остается.
Ну этот высер громче 152 фз, теперь в гос секторе начнется тотальный пиздорез на фоне безденежься и недоумевания "А НА ЧТО ЭТО 10 МИЛЛИОНОВ, ЧТО ЗА МЭ ТАКИЕ? ШТА ЛУЧШЕ ЗАКУПИМ ЕЩЕ ПРИНТЕРОВ". Отчасти мне доставляет принятие этого закона, теперь мое руководство будет подгорать от осознания того что нужно ТРАТИТЬСЯ И что за это уголовная ответственность
Поделитесь ссылками на тесты по ИБ
Видел я несколько историй успеха, где люди в школьные годы пытались программировать и что-нибудь ломать ради фана, работали кодерами, учась в вузе и потом внезапно понаезжали в ДС и устраивались в какой-нибудь PT.
Мужички, есть где площадки по тренировкам по курсу comptia security+ ну щоб прям сеть виртуально конфигурировать и прочая малафья?
И конкретно вакансии специалиста по форензике есть?
И конкретно вакансии специалиста по форензике есть?
>сеть виртуально конфигурировать
Cisco Packet Tracer не вариант?
Что вообще за животное такое эта ваша Госсопка, что она из себя будет представлять? Это проект по принудительному отжатию бабла в пользу pt и solar?
Безопаснички, есть у кого-то в доступе "Безопасность Oracle" Полякова? Оказалось, что бесплатную полную версию так просто не отыскать. Если покупать, то стоит ли она своих денег?
Посоны, я вам анекдот принёс
https://www.kommersant.ru/doc/3546784
https://www.kommersant.ru/doc/3546784
Погроммистов тоже, говорят, не хватает.
Все, выкатился из этой параши под названием ИБ. Теперь нормальный айтишник.
Рад за тебя, бро. Пили прохладную.
Да что там пилить. На хую видал Минкомсвязи и 63-фз. А прочих бумагоебов и подавно.
В какую хоть степь ИТ перебрался?
Сегодня окончательно убедился, что типичные сисадмины это такие же тупорылые животные, как и юзеры, только презрения к ним больше.
Подальше от любых госрегуляторов. в девопс тайгу
Нужен ли нам перекат? Или пусть тред отправляется туда же, куда и вся ИБ в Этой стране
Пусть самый успешный, повелитель БЦ, перекатывает.
как и о gdpr
> gdpr
Обмажутся своим комплаЕнсом и ябут друг-друга в жеппы.
Какой gdpr, лупень? Тут под 152-фз до сих пор не то, что системы, доки большинство подвести не может.
любая компания, которая делает и продает продукт на международном рынке для конечного пользователя
в россии таких конечно мало яндекс, мейл да каспер
в основном всякие интеграторы да ауотсосы либо пилят бюджет госпроектов либо заказную разработку для крупных компаний
если ты лупень не в курсе то gdpr про защиту персональных данных
сколькими ты продуктами инфоджет вомпользовался за свою жизнь?
я вообще не знаю ни одного чела, который бы пользовался каким-то их продуктом и подписывал с ними лицензионное соглашение
Разворачивал их корявый DLP году так в 2013-м. Где твой бог теперь?
мамке своей? соседу?
помница работал в ланите.
родичам говорю:
- гордитесь! работаю в самой крупной ит компании россии"
- яндекс?
- ланит
- первый раз слышем. а что они делают?
конечно он прав. для большинства рос компаний это не актуально
потому что они не делают продуктов для массового рынка
как поедешь в гейропку, подойди к любому европейцу и спроси
сколько DLP российский производителей установлено у него дома
да и вообще знает ли он хотя бы один ит продукт произведенный в рашке
Ты чего так рвешься-то? Завидуешь манагерам, что тебя работать заставляли, пока они с ИБшничками госконтор водовку попивали, да бюджетики пилили? Трустори, кстате, кек.
Так-то если простую европидораху спросить вообще про DLP, то он тебе тоже ничего внятного не промычит. Т.к. DLP, что в Рахе, что в Гермахе стоит дохуя и простому юзверю до них, как мне до трактора в эту самую Гермаху.
Ну и не забывай, что сей утопающий тред - про ИБ в России, а не world wide. Так-то пока лишний раз лишь своим баребухом пасту с расстановкой всех точек над ИБ подтвердил.
просто не пойму, как связанны регламент по защите персональных данных и всякие dlp джетов?
Андрей Янкин просто капитан очевидность. Мог бы с таким же успехом сказать, что положение о биоцидных веществах для большинства российских компаний не актуально. Или что для них неактуальны проблемы беженцев. Или квоты на импорт молочных продуктов в странах ЕС. В общем, любая хуйня в мире с которой российские компании не взаимодейсвуют.
а вот на счет последнего он не прав. моя компания предоставляет небольшой сервис, в том числе европейским потребителям и мы еще как попадаем под gdpr. с середины прошлого года доработка новых фич прекращена и все заняты только изменениями связанными с новым регламентом.
Ну что, как относитесь к вселенскому вай-фаю от ЦРУ?)
Сугубо положительно. один хуй наши дебилы его глушить собираются
>Сугубо положительно
А расширение влияния PRISM, сбор данных, etc?
Скоро участвую в своём первом ctf.qctf Как подготовиться?
Тебе-то не похуй? Если ты капчуешь с ведра/гейфона, ты и так уже сливаешь достаточно.
>Тебе-то не похуй? Если ты капчуешь с ведра/гейфона, ты и так уже сливаешь достаточно
У меня нокиа на симбиане :(
Ну и лох ретроградный, сиськастый хуй
Добрый день!
Приглашаем в наше уютное болото, тут собираются товарищи которые занимаются информационной безопасностью, а так же экономической.. (понаехали в последнее время)
Архивы предыдущих тредов:
>Первый тред: http://arhivach.org/thread/42689/
>Второй тред: http://arhivach.org/thread/104980/
>Третий тред: http://arhivach.org/thread/171358/
>Четвертый тред https://arhivach.org/thread/190594/
>Пятый тред тонет где-то тут https://2ch.hk/wrk/res/723039.html
>Шестой в архиве не нужен из-за наплыва портянок,тред тонет где-то тут https://2ch.hk/wrk/res/965178.html
F.A.Q
В: Хочу вкатиться в информационную безопасность/ экономическую, с чего начать?
О: Поступить в вуз на данную специальность. Или выйти на пенсию товарищем майором.
В: В какие ВУЗы поступать на ИБ?
О: Если тебе <22 лет, и ты хочешь научиться самым тонкостям профессии - то поступай в Академию. Для всего остального есть МИФИ/МИРЭА/ИТМО/ПОЛИТЕХ ну и остальные вузы, в которых есть такая кафедра. Так же есть вариант перекатиться из смежных профессий.
В: Хочу быть еба-криптогафом. Что делать?
О: Забыть. Но если же ты свихнулся на ней (и морально готов быть изнасилован математикой) - то переходи к ответу выше - но с одним исключением: тебе будет доступна только Академия, МИФИ и еще какой-то Томский ВУЗ (ТГУ,ТУСУР).
В: Как взломать аккаунт впаше, мылору?
О: Просто УЕБЫВАЙ... сходи на античат, в даркнет, к товарищу майору
В: Мне кажется, что за мной все следят. Что делать?
О: Вам в криптач (/crypt).
В: А что почитать, где посмотреть?
О: взято из поста анона
КНИГИ
Поляков - Безопасность Oracle глазами аудитора: нападение и защита
Paul Wright - Protecting Oracle Database 12c
O'Connor - Violent Python
Seitz - Gray Hat Python
Гифт Джонс - Python в системном администрировании
Василенко О. Н. - Теоретико-числовые алгоритмы в криптографии
Борис Бейзер - Тестирование черного ящика
Блинов — Информационная безопасность
Горбатов/Полянская — Основы технологии PKI
Саттон, Грин, Амини — Фаззинг: Исследование уязвимостей методом грубой силы
Поулсен - KingPIN
В.А. Сердюк - Организация и технологии защиты информации.
Бирюков А.а. - Информационная безопасность: защита и нападение
Джеймс Лэнс - Фишинг
Новак - Как обнаружить вторжение в сеть
Просис - Расследование компьютерных преступлений
Еще можно нашего Федотова - Форензику посоветовать, чтобы понять, какая это ебала у нас.
Авторы,статьи на тему ИБ,которых следует мониторить: Вехов ВБ,Костин ПВ,Мещеряков ВА,Исаева ЛМ,Ищенко ЕП, Поляков ВВ,Россинская ЕР, Максимович АБ,Введенская ОЮ.
Про учебу ИБ неплохие обзоры делали Чванова МС ,Анурьева МС
Эриксон Хакинг Искусство эксплойта 2е изд - убергоднота.
http://readmanuals.github.io/
https://shodan.me/books/Security/
ССЫЛКИ
Стандарты:
http://www.pentest-standard.org/index.php/Main_Page
https://www.owasp.org/index.php/Main_Page
https://www.pcisecuritystandards.org/
http://www.cbr.ru/credit/gubzi_docs/st-10-14.pdf
http://www.27000.org/
CTF и прочие хак-тренажёры:
https://ctftime.org/
https://xakep.ru/2015/04/17/exploit-exercises/
https://habrahabr.ru/company/pentestit/blog/261569/
https://stackoff.ru/resursy-dlya-tex-u-kogo-cheshutsya-ruki-i-mozg/
https://github.com/ctfs - райтапы(разбор заданий)
Конференции:
https://defcon.org/
http://blackhat.com/
http://www.phdays.ru/
http://zeronights.org/
https://csaw.engineering.nyu.edu/
http://conference.hitb.org/
http://nullcon.net/website/
http://hack.lu/
http://www.codegate.org/
Блоги:
http://shell-storm.org/ - есть райтапы для CTF и база шеллкодов под разные архитектуры
http://expdev-kiuhnm.rhcloud.com/
http://passing-the-hash.blogspot.ru/
http://raz0r.name/
https://cyberoperations.wordpress.com/
https://www.corelan.be/
Сайты:
http://www.cvedetails.com/
https://www.offensive-security.com/
https://www.exploit-db.com/
http://www.vulnerability-lab.com/
https://xakep.ru/
http://www.securitylab.ru/
https://securelist.ru/ - осторожно, присутствует реклама продуктов лаборатории Касперского
https://forum.antichat.ru/ - в основном ценность имеют старые статьи
https://rdot.org/ - отпочковался от античата, вроде подаёт признаки жизни
https://habrahabr.ru/hub/infosecurity/ - для дополнительного чтения
Интервью:
http://blogerator.ru/page/izvestnyj-programmist-pokonchil-zhizn-samoubijstvom-aaron-shvarc-aaron-swartz-prichina-smerti-podrobnosti-detali-pochemu - несколько видео внутри(Аарон Шварц)
http://blogerator.ru/page/evangelie-ot-myshhha-kris-kasperski-intervju-1 - Крис Касперски
http://blogerator.ru/page/edrian-lamo-hakerskaja-teorija-schastja-intervju - Эдриан Ламо
http://echo.msk.ru/programs/arsenal/1691688-echo/ - Алексей Марков(президент Эшелона)
Интернет вещей:
https://habrahabr.ru/company/intel/blog/187706/ - просто хотел показать, что есть такая операционка. Взлетит или нет - вопрос времени.
https://securelist.ru/analysis/obzor/22001/internet-veshhej-kak-ya-xaknul-svoj-dom/
https://habrahabr.ru/company/pt/blog/275853/
https://securelist.ru/analysis/obzor/27244/uchimsya-zhit-v-internete-veshhej/
Анонимность, анти-анонимность и бэкдоры:
https://forum.antichat.ru/threads/5093/
https://habrahabr.ru/post/191448/
https://habrahabr.ru/post/190396/
https://xakep.ru/2013/10/03/mozhno-li-doveryat-vpn-setyam-svoi-sekrety/
http://javascript.ru/unsorted/id
https://xakep.ru/2015/01/30/user-web-tracking-howto/
https://xakep.ru/2007/12/05/41412/
https://habrahabr.ru/company/neuronspace/blog/264235/
https://habrahabr.ru/company/pt/blog/191384/
http://www.securitylab.ru/analytics/482547.php
http://www.securitylab.ru/analytics/432914.php
http://www.securitylab.ru/contest/437841.php
http://www.securitylab.ru/contest/438339.php
https://xakep.ru/2011/12/26/58104/
https://xakep.ru/2011/03/29/55194/
https://habrahabr.ru/company/neuronspace/blog/254671/
Google hacking:
https://freehacks.ru/showthread.php?t=2428
https://habrahabr.ru/post/283210/
Прочее:
https://learnxinyminutes.com/ - быстрое ознакомление с языком программирования
https://adsecurity.org/
https://securelist.ru/analysis/obzor/27338/russkoyazychnaya-finansovaya-kiberprestupnost-kak-eto-rabotaet/
https://securelist.ru/analysis/obzor/25509/kak-pryachut-eksplojt-paki-vo-flash-obekte/
https://habrahabr.ru/post/134638/ - о возможности проникновения во внутреннюю сеть через роутер
https://habrahabr.ru/company/eset/blog/303086/ - Control-flow Enforcement Technology
http://xakep-archive.ru/xa/118/080/1.htm - TLS(Thread Local Storage)
https://habrahabr.ru/company/mailru/blog/228681/ - вирусы
https://xakep.ru/2008/07/29/44663/ - System Management Mode
https://xakep.ru/2010/05/04/51978/ - System Management Mode
https://xakep.ru/2015/02/24/hack-admin-rules-linux/ - повышение привилегий в Linux
https://xakep.ru/2014/12/24/hack-admin-rules/ - повышение привилегий в Windows
https://forum.antichat.ru/threads/119047/ - Быстрый Blind SQL Injection
https://habrahabr.ru/post/122445/ - SSH
Ресурсы Хакердома:
https://ulearn.azurewebsites.net/Course/Hackerdom
http://training.hackerdom.ru/
Курс молодого бойца от Андрея Петухова:
https://docs.google.com/document/d/13zgZ_CRRHADwxf41mSSSuoJQLkMc67TXxpYLoW6lRak/edit#
Курс CTF на Физтехе
https://github.com/xairy/mipt-ctf
Анализ безопасности веб-проектов: https://stepic.org/course/%D0%90%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7-%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8-%D0%B2%D0%B5%D0%B1-%D0%BF%D1%80%D0%BE%D0%B5%D0%BA%D1%82%D0%BE%D0%B2-127/
Базовый курс по архитектуре компьютеров: https://stepic.org/course/%D0%92%D0%B2%D0%B5%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5-%D0%B2-%D0%B0%D1%80%D1%85%D0%B8%D1%82%D0%B5%D0%BA%D1%82%D1%83%D1%80%D1%83-%D0%AD%D0%92%D0%9C-%D0%AD%D0%BB%D0%B5%D0%BC%D0%B5%D0%BD%D1%82%D1%8B-%D0%BE%D0%BF%D0%B5%D1%80%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D1%8B%D1%85-%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC-253/
http://itsecwiki.org
http://kmb.ufoctf.ru/
http://resources.infosecinstitute.com/tools-of-trade-and-resources-to-prepare-in-a-hacker-ctf-competition-or-challenge/
Ассемблер в Linux для программистов C:
https://ru.wikibooks.org/wiki/%D0%90%D1%81%D1%81%D0%B5%D0%BC%D0%B1%D0%BB%D0%B5%D1%80_%D0%B2_Linux_%D0%B4%D0%BB%D1%8F_%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%B8%D1%81%D1%82%D0%BE%D0%B2_C
Статьи:
http://pycode.ru/2011/01/ctf/
http://cyberleninka.ru/article/n/o-sorevnovaniyah-ctf-po-kompyuternoy-bezopasnosti
Подкасты на русском:
Квант безопасности — http://nikitarrr.podfm.ru/securitynews/
Открытая безопасность — http://www.open-sec.ru/
Диалоги поИБэ — http://risspa.podster.fm/
Noise Security Bit — http://noisebit.podster.fm/
Securit13 Podcast — securit13.libsyn.com
Архивы phdays https://www.phdays.com/broadcast/
Торенты видеокурсов по ИБ https://rutracker.org/forum/viewforum.php?f=1560