после совсем откровенного намека «работа должна быть оплачена», попытка сделать меня шантажистом (я уже друга адвоката думал подключать);
Так это и бы натуральный шантаж. Нифга это не ВайтХат подход. Авторитет это нефига не поднимает.
Частенько услышишь мнение, что безопасности (пентестеры, аналитики и др.) стали на светлую сторону силу, только потому что не смогли получить профит на тёмной стороне.
Я скажу скорее так: безопасники (пентестеры, аналитики и др.) стали на светлую сторону силу, потому что они впаривать безопасность гораздо легче, чем создавать и поддерживать продукт.
Дело в том, что нет никаких ограничений на спонсорство и зависимость Дефкон групп от компаний нет, ну создайте свою дефкон группу, пусть Пентестит будет спонсором и основой. Так вполне можно. Вся эта «антикомерческая» фигня, это траблы только группы Defcon-Russia, это мы придумали, и за это боремся, но Вам то не обязательно пытаться угодить нам, вы можете создать свою группу с блекджеком, и никто вам слова (за использование «дефкон») не скажет — вы официальная группа!
Я не говорю, что раскол будет, я говорю, что он может быть — дальнейшее зависит от Вас. Я поясню — люди не любят, когда берут раскрученный бренд и начинают использовать в «для себя». Люди реагируют. Это реакция по сути негативное явление, но это ответная реакция… нет дыма без огня, это как раз про эту ситуацию 8) Все понимают, что слова «DefconRu — не коммерческий», это просто слова, ведь тут дело не в монетизации бренда или юридическом лице, а в его использовании. Например Российские Дефкон группы, обе две — то же юзают этот бренд, но исключительно в рамках объедения коммунити под теми идеями, ради которых «дефкон группы» и задуманы. Любые другие использования этого слова, в рамках нашей хак сцены — исключительная прерогатива владельцев конференции DEF CON. Напоминаю, что такое Defcon Group:
What does it mean to have a DC Group in my city?" The DC Group function is a cooperative environment where each member contributes somehow. They get together once a month and mull over a particular technical topic (no politics or 'save the planet' crap here). Hanging out to meet fellow hackers is recommended, but not required (some of you won't even get along with your own mom). Presentations given at the meetings should be put on the website for other groups to use as inspiration for their own groups.
Ваш единственно «законный», с точки зрения коммунити, шанс юзать это слово — регать в Москве вторую группу официально, устраивать регулярные встречи:
Q: Does this mean that there can be multiple groups in a single area?
A: DEF CON will not stop the formation of competing groups in the same city or region. We understand that there are often personality or political conflicts that might cause issues. As such, we assume that Darwin's law of evolution will take effect and only the strongest groups will survive. If you think you have what it takes to successfully lead a DCG in your area, we encourage you to read the DCG POC FAQ on this same site.
Все остальное, использование чужого «бренда», просто потому что он крутой… это и вызывает тот самый негативный ответ (исключая все остальные притенении, которые еще были к слову «Russia», которые теперь улажены).
Я думаю, это просто модный «лейбл», раскрученный мировым и, даже, Российским сообществом DEF CON, который можно спокойно юзать во славу 8)
Например первый же пост на блоге ДефконРу — отчет о ивенте, к слову — очень хорошем ивенте, бесплатном — для людей, но почему он не на блоге Пентестита, какой смысл несет этот «ДефконРу», кроме как аллиас к «Пентестит» — непонятно. Это может привести лишь к колизиям, про которую уже говорили в мейл треде ДефконГруппе и твитторе, что, в худшем случае приведет к расколу и не приятным эмоциям, что не на пользу сообществу.
Что ж, могу пожелать удачи. Хотя мне бы была интересна статистика и KPI деятельности. Рынок таких кадров в РФ мне кажется довольно мелким, учитывая всего пять-шесть хантящих пен-тест фирм и с десяток R&D, где могут нужны быть инженеры с таким опытом (и то штучно). Я могу ошибаться в объемах рынка кадров, мне бы хотелось ошибаться, но вот такое субъективное мнение(
Про доступ это уже орг вопрос организации, я же тут скорее про квалификацию и требования к кандидату — мы же про кадры говорим)) Главное тут единое мнение и это хорошо
2. человек, который выявляет ит-уязвимости в компании, не должен заниматься их устранением, а именно — патчами приложений и конфигурацией инфраструктуры, этим должны заниматься администраторы и разработчики.
— Он должен знать как их устранять, как их устранять нельзя. Как минимум для валидации и надежности. Как очевидно — консультанция, так как часто после выявления придут админы и разрабы с вопросом: что посоветуете и если Ваш человек скажет, я ХЗ, я просто выявляю — гоните его в шею, бесполезный кадр запускающий сканеры. Ну и как максимум — бывают ситуации когда нуден срочный workaround средствами IPS, WAF или иное.
С технической части это ОК, идея хороша. Но я не стал бы заказывать 8)
1) Да, ХР имеет проблемы с фильтрами для человеков из ИБ. Они могут читать резюме, и выбирать их для нас, но собеседовать не могут, так как в предметной области не очень. Предлагается решить именно эту проблему? Это единственный плюс по сути.
2) Мне не нужен абстрактный специалист в вакууме — мне нужен человек, который может решать задачи которые есть у нас. С ИБ это особенно важно. Прохождение абстрактной лабы — это прикольно, но не интересно для HR, по сути равносильно OSCP сертификату (хороший серт., но проблему кадров не решает).
Та же задача решается у нас довольно просто и дешевле (ну как нам кажется) — у нас есть свой стенд в инете — всем желающим работать технарем по ИБ в HERE Nokia, выдается урл. Предлагается так же все зохакать и написать отчет (что нашли, что захакали, как это все починить). Эти отчеты можно тихо и спокойно читать не сильно отвлекаясь от работы + можно глянуть логи с стенда-сервера (это самое интересное, смотреть что и как человек делал, что бы достичь или не достичь результата). По этому отчету на 99% можно оценить тех. навыки по определенным областям, скилам и опыт. И уже потом, если нас устраивает результат — собеседование в живую и да, опять техническое собеседование. И дело тут не в том, что мы хотим удостоверится, что человек знает базу, а в том, что он понимает что от него мы хотим, что ему предстоит делать, с кем работать и какие задачи мы решаем. Ведь не только работодатель собеседует, но и работодателя ;) + тут многие вещи важны — мотивация, интересы и тд (например, что бы работать в Близзард, надо быть фанатом игр Близзард). Короче от собеседований отказаться нельзя, даже от технических, а потому дополнительные траты на абстрактный результат — не очень интересно (ИМХО).
+ Я вижу явную бизнес модель, она конечно хорошая:
1) Чувак хочет работать в ИБ, покупает курсы у конторы X и тратит свое бабло
2) Работодатель хочет повысить квалификацию сотрудника и платит бабло X за его обучение
3) Работодатель ищет спеца и платит конторе X бабло, за то, что бы они из пула 1 и 2 сразу вытащили свободного человека (я Вам рекомендую сразу сделать базу всех кто у вас учился, где они работают и их статус и за это еще брать бабла, тогда даже собеседовать не придется, просто перекидывайте людей, по крайне мере в РФ может прокунть, если спрос будет на технарей по ИБ, пока что то его не особо, хотя я могу ошибаться — рынка не знаю)
Многие серваки, что тебя ломали, сами были взломаны, например через SSH brute или PHP-CGI, а ты им обратно трояна? Это немного не справедливо и капельку не законно 8)
JBOSS: Jmx-Console и JMXInvokerServlet. Сколько же серверов было взломано и забекдорено благодаря JBOSS. Черви, шеллы, руты… Ностальгия. JBOSS, cпасибо тебе, за такие простые и эффективные механизмы pwnage и внимательных админов, что читают мануалы!
Еще есть Мерседес. И то же в 2020 году прогоноз. www.youtube.com/watch?v=LHqB47F12vI
Мы кстати участвуем в работах для этого проекта (http://habrahabr.ru/company/Nokia/blog/209998/).
Таких контор много. Я в одной РФ конторе, крупоной… прям в мануале видел: "… Вы увидите окошко о не действительном сертификате. <скриншот окошка>. Пожалуйста нажмите кнопку Игнорировать. ..." Дело в том, что бы построить процесс с сертификатами для многих гиморно — и особенно если это какая-нить админская фигня доступная только с внутреннего интерфейса. Все так надо правильно рассчитывать риски и не стрелять из пушки по воробьям.
Так это и бы натуральный шантаж. Нифга это не ВайтХат подход. Авторитет это нефига не поднимает.
Я скажу скорее так: безопасники (пентестеры, аналитики и др.) стали на светлую сторону силу, потому что они впаривать безопасность гораздо легче, чем создавать и поддерживать продукт.
What does it mean to have a DC Group in my city?" The DC Group function is a cooperative environment where each member contributes somehow. They get together once a month and mull over a particular technical topic (no politics or 'save the planet' crap here). Hanging out to meet fellow hackers is recommended, but not required (some of you won't even get along with your own mom). Presentations given at the meetings should be put on the website for other groups to use as inspiration for their own groups.
Ваш единственно «законный», с точки зрения коммунити, шанс юзать это слово — регать в Москве вторую группу официально, устраивать регулярные встречи:
Q: Does this mean that there can be multiple groups in a single area?
A: DEF CON will not stop the formation of competing groups in the same city or region. We understand that there are often personality or political conflicts that might cause issues. As such, we assume that Darwin's law of evolution will take effect and only the strongest groups will survive. If you think you have what it takes to successfully lead a DCG in your area, we encourage you to read the DCG POC FAQ on this same site.
Все остальное, использование чужого «бренда», просто потому что он крутой… это и вызывает тот самый негативный ответ (исключая все остальные притенении, которые еще были к слову «Russia», которые теперь улажены).
Например первый же пост на блоге ДефконРу — отчет о ивенте, к слову — очень хорошем ивенте, бесплатном — для людей, но почему он не на блоге Пентестита, какой смысл несет этот «ДефконРу», кроме как аллиас к «Пентестит» — непонятно. Это может привести лишь к колизиям, про которую уже говорили в мейл треде ДефконГруппе и твитторе, что, в худшем случае приведет к расколу и не приятным эмоциям, что не на пользу сообществу.
)
— Он должен знать как их устранять, как их устранять нельзя. Как минимум для валидации и надежности. Как очевидно — консультанция, так как часто после выявления придут админы и разрабы с вопросом: что посоветуете и если Ваш человек скажет, я ХЗ, я просто выявляю — гоните его в шею, бесполезный кадр запускающий сканеры. Ну и как максимум — бывают ситуации когда нуден срочный workaround средствами IPS, WAF или иное.
1) Да, ХР имеет проблемы с фильтрами для человеков из ИБ. Они могут читать резюме, и выбирать их для нас, но собеседовать не могут, так как в предметной области не очень. Предлагается решить именно эту проблему? Это единственный плюс по сути.
2) Мне не нужен абстрактный специалист в вакууме — мне нужен человек, который может решать задачи которые есть у нас. С ИБ это особенно важно. Прохождение абстрактной лабы — это прикольно, но не интересно для HR, по сути равносильно OSCP сертификату (хороший серт., но проблему кадров не решает).
Та же задача решается у нас довольно просто и дешевле (ну как нам кажется) — у нас есть свой стенд в инете — всем желающим работать технарем по ИБ в HERE Nokia, выдается урл. Предлагается так же все зохакать и написать отчет (что нашли, что захакали, как это все починить). Эти отчеты можно тихо и спокойно читать не сильно отвлекаясь от работы + можно глянуть логи с стенда-сервера (это самое интересное, смотреть что и как человек делал, что бы достичь или не достичь результата). По этому отчету на 99% можно оценить тех. навыки по определенным областям, скилам и опыт. И уже потом, если нас устраивает результат — собеседование в живую и да, опять техническое собеседование. И дело тут не в том, что мы хотим удостоверится, что человек знает базу, а в том, что он понимает что от него мы хотим, что ему предстоит делать, с кем работать и какие задачи мы решаем. Ведь не только работодатель собеседует, но и работодателя ;) + тут многие вещи важны — мотивация, интересы и тд (например, что бы работать в Близзард, надо быть фанатом игр Близзард). Короче от собеседований отказаться нельзя, даже от технических, а потому дополнительные траты на абстрактный результат — не очень интересно (ИМХО).
+ Я вижу явную бизнес модель, она конечно хорошая:
1) Чувак хочет работать в ИБ, покупает курсы у конторы X и тратит свое бабло
2) Работодатель хочет повысить квалификацию сотрудника и платит бабло X за его обучение
3) Работодатель ищет спеца и платит конторе X бабло, за то, что бы они из пула 1 и 2 сразу вытащили свободного человека (я Вам рекомендую сразу сделать базу всех кто у вас учился, где они работают и их статус и за это еще брать бабла, тогда даже собеседовать не придется, просто перекидывайте людей, по крайне мере в РФ может прокунть, если спрос будет на технарей по ИБ, пока что то его не особо, хотя я могу ошибаться — рынка не знаю)
www.youtube.com/watch?v=LHqB47F12vI
Мы кстати участвуем в работах для этого проекта (http://habrahabr.ru/company/Nokia/blog/209998/).
Ну и BMW: www.youtube.com/watch?v=xHV3dXRCM7A
Короче много кто рванул в этй гонку.