?

Log in

No account? Create an account
Пособие для начинающего эксперта по ИБ.  
09:09pm 27/05/2009
 
 
The Toxa Himself
Называть себя "хакером" нынче не модно. Это раньше хакеры были замкнутыми в себе интеллигентными интровертами с IQ за 120, занимающиеся своим делом ради интереса, жажды новых знаний и желания сделать мир лучше. Теперь "хакер" - это даже не всегда толковый отморозок, занимающийся спамом, малварью, трейдингом ботнетов, написанием очередного Конфикера или модификации к нему и делающий все это исключительно ради бабла, которого, сука, всегда не хватает.

Поэтому тем, кто хочет быть причислен к лику святых, в наши дни путь один - в эксперты по информационной безопасности. Их в последнее время развелось как говна, многие даже работают в профильных компаниях, да и вообще "эксперт по информационной безопасности отдела консалтинга и аудита" - разве не пиздато звучит? По-моему, гораздо солиднее и взрослее, чем многогранное и дискредитированное понятие "хакер".

Стать экспертом по ИБ очень просто. Вы, наверное, думаете, что высокое звание эксперта может иметь только тот, кто прочитал все RFC, знаком с деталями функционирования стека сетевых протоколов, начиная как минимум с канального уровня, имеет богатый опыт реверсинга драйверов и ядерного программирования под все известные операционные системы и все такое? Вовсе нет. Типичному российскому эксперту по ИБ все это нахуй не упало. Стать членом клуба гораздо проще.

Во-первых, надо завести себе блог, и обязательно на блогспоте. Блог настоящего эксперта не может носить имя, отличное от expert_surname.blogspot.com, это же очевидно. Обращаю ваше внимание - времена хацкерских ников давно прошли! Если вас зовут, например, Пися Камушкин - срочно бегите и герайте pkamushkin.blogspot.com. Иначе никак.
Даже не думайте писать в этот блог что-либо, не связанное с ИБ! А вот вещи, к ИБ отношение имеющие, как раз должны публиковаться в избытке - не менее трех в неделю. Все равно, что это будет за хуета и насколько свежая - это никому не важно. Важны следующие вещи:
- Надо пугать. Не менее раза в неделю следует публиковать взятое из чужих источников или с потолка исследование, согласно которому будет очевидно: унылое IT катится в унылое говно, админы не хотят патчить серваки, юзеры не хотят ставить стойкие пароли, программисты не хотят писать грамотные приложения. Как итог - без экспертов по ИБ мы все умрем максимум через три года.
- Надо приводить статистику. "По результатом наших исследований, каждый третий сайт имеет SQL-инъекцию, на каждом втором Windows-сервере не отключены LM-хэши, а тридцать процентов пользователей готовы отдать пароль за минет" - статистика всегда звучит солидно и весомо. Читатель не должен интересоваться, откуда данные, он должен проникнуться ими.
- Надо публиковать свои исследования. Чтобы составить представление о том, как пишутся исследования, надо купить пару номеров журнала "Хакер" и почитать, например, статьи Криса Касперски. Подобный стиль вполне подойдет. Несвежесть и вторичность не имеет ни малейшего значения. "Вчера ради интереса посетил сайт одной известной компании. В поле поиска случайно вставил js-alert, а в поле GET-запроса - кавычку. И что же вы думаете - это сработало!". Дальнейшие шаги никого не интересуют, главное как можно быстрее перевести речь о том, что "веб-приложения сейчас как никогда критичны и уязвимы". Вообще, они критичны и уязвимы уже лет восемь, но вы не должны об этом помнить.
- Надо публиковать наглядные примеры тестирования на проникновение. Что ни говори, а настоящий эксперт по ИБ время от времени должен работать руками. Пугаться не стоит - разве я не говорил, что свежесть идей не является актуальным фактором? Так что вполне пойдет пост вида "недавно попробовал очень интересную атаку, с помощью которой можно аутентифицироваться в Windows с хэшем пароля..." или "сегодня проводил аудит беспроводной сети, которая была защищена WEP-ом. Открыл ноутбук, запустил aircrack...". В конце, как я уже говорил - пугать, обязательно пугать. Виндовс запретить, беспроводные сети сжечь. Или позвать экспертов по безопасности.
- Надо посещать конференции по ИБ и публиковать свои независимые отчеты. В конце концов, все ведь должны окончательно уверовать, что вы в тусовке, в теме.

Во-вторых, надо писать статьи. Это немного перекликается с предыдущим пунктом - впрочем, публиковать одно и то же в блоге и на сайте/в журнале не зазорно. В написании статей следует придерживаться тех же правил, что и в блоге:
- В статьях надо обязательно сделать реверанс в сторону "отраслевых стандартов: ISO 27x, PCI DSS, SOX и т.п.". Знать эти стандарты необязательно, их никто не знает, а созданы они лишь для того, чтобы придавать вашей статье весомый оттенок серьезности и энтерпрайзности.
- Следует регулярно ссылаться на свой опыт: такие обороты как "по нашему опыту аудитов..." и "как показывает практика.." обязательно должны присутствовать в статье. Статистические методы придумали дураки, одного-двух проведенных вами аудитов вполне достаточно, чтобы ссылаться на свой богатый опыт.
- Запомните: если в статье нет слова "комплаенс" - это не статья эксперта по ИБ! "Комплаенс" - специальное слово, придуманное консорциумом вендоров и консультантов для облегчения способа определения метрик эффективности и стоимости работ по консалтингу и внедрению продуктов ИБ. В итоге никто не знает, что конкретно оно означает, а значит - оно означает буквально все. И звучит пиздато.

В-третьих, надо искать уязвимости и писать адвайзори. Нет, не бойтесь - никто не заставляет вас брать в руки дизассемблер и лезть в ядро Windows. Мы живем в двадцать первом веке и это давно уже никому не нужно. Вам надо найти пару SQL-инъекций или CSRF/XSS-атак в каком-нибудь известном продукте. Это не так сложно, поверьте. Зато, найдя нефильтруемое поле ввода в веб-интерфейсе системы управления бэкофисом OpenWay, работающего с СУБД Oracle, вы можете бросить при случае: "Оракл? Ах да, я, помнится, находил в нем уязвимости" или "OpenWay? Да, я делал аудит защищенности этого продукта".

В-четвертых, надо напрячься и получить хоть какой-нибудь сертификат. Не обязательно профильный - их все равно никто не различает, а четыре заглавных буквы после фамилии смотрятся пиздато и солидно. Поэтому, если CISA или CISP - дорого и сложно, можно начать хотя бы с MCSE.

Следование этим несложным принципам поможет вам получить уважение в кругах тех, кого вы между собой гордо будете называть "вайтхэтами" и любовь в корпоративном секторе среди заказчиков.



Security expert cheatsheet: scott/tiger, sa:NULL, ms08-067, -1+union+select, meterpreter, <script>alert(document.cookie)</script>, whosthere, aircrack-ng, nmap, xp_cmdshell, cain, piggy, sh run, arcserve, veritas backup exec.
tags: security
 
    ipfw add - ipfw show 26 - - Link
 

(no subject)
 anthon
 
05:27pm 27/05/2009 (UTC)
 
 
зэ трабл из что идиоты это давно все знают и это работает.
это начало работать когда появилась NT и появились админы за $100, полностью дискредитировав профессию.
потом то же самое случилось с инженерами.
потом - "консультанты" появилис
 
    Reply - Thread - span>Link
 
(no subject)
 loginex
 
05:41pm 27/05/2009 (UTC)
 
 
THE TRUTH IS OUT THERE
ну зачем так на компах зацикливаться, информационная безопасность же не только к ним относится.
А вообще специалист ИБ без практических знаний(коих развелось еще больше) горазд хуже, чем Ваш саркастический вариант "начинающего".
 
    Reply - Thread - span>Link
 
(no subject)
 alexott
 
05:46pm 27/05/2009 (UTC)
 
 
Alex Ott
/me вспомнил, что давно не писал про ИБ в два блога на блогспоте - так уж и из клуба выгонят за несоблюдение правил!
 
    Reply - Thread - span>Link
 
(no subject)
 kyprizel
 
05:47pm 27/05/2009 (UTC)
 
 
kyprizel
о, пойду сдам MSCE $)
 
    Reply - Thread - span>Link
 
(no subject)
 vashchukov
 
07:59pm 27/05/2009 (UTC)
 
 
MCSE
 
    Reply - Parent - span>Thread - span>Link
 
(no subject)
 kyprizel
 
09:11pm 27/05/2009 (UTC)
 
 
kyprizel
да, забыл тег irony
 
    Reply - Parent - span>Thread - span>Link
 
(no subject)
 inetman
 
01:58am 28/05/2009 (UTC)
 
 
Inetman
Главное что не MSIE ;-)
 
    Reply - Parent - span>Thread - span>Link
 
(no subject)
 xblp
 
06:00pm 27/05/2009 (UTC)
 
 
BOPOHA
подписываюсь под каждым словом :)
 
    Reply - Thread - span>Link
 
(no subject)
 negative_dose
 
07:47pm 27/05/2009 (UTC)
 
 
negative_dose
>купить пару номеров журнала "Хакер"

Самоирония такая самоирония…
 
    Reply - Thread - span>Link
 
(no subject)
 megazlo
 
08:56pm 27/05/2009 (UTC)
 
 
Eugene
охуенный пост. в-пятых, надо организовать свой тренинг "стань экспертом по ИБ". можно к тебе записаться?
 
    Reply - Thread - span>Link
 
(no subject)
 inetman
 
02:00am 28/05/2009 (UTC)
 
 
Inetman
Ну вообще-то про подобных "XПертов по ZаShит'е" упомянутый журнал писал... дай бог памяти... Лет семь-восемь назад ещё ;-) Разве что с блогами и беспроводными сетями тогда похуже было, а так картинка один-в-один...
 
    Reply - Thread - span>Link
 
(no subject)
 sterh_n
 
04:56am 28/05/2009 (UTC)
 
 
sterh_n
CISSP, а не CISP ;) судя по всему, автор - истинный хакер без всякого налета эксперта по ИБ и без сертификатов тоже. ;)
 
    Reply - Thread - span>Link
 
(no subject)
 toxa
 
08:27am 28/05/2009 (UTC)
 
 
The Toxa Himself
Ололо, деточка. Мир состоит не только из Исаки/Иск^2, удивись.
 
    Reply - Parent - span>Thread - span>Link
 
(no subject)
 sterh_n
 
04:39pm 28/05/2009 (UTC)
 
 
sterh_n
Сцылку в студию!
 
    Reply - Parent - span>Thread - span>Link
 
(no subject)
 ex_ivlad
 
09:28am 14/06/2009 (UTC)
 
 
Let me google that for you: http://lmgtfy.com/?q=cisp

Вторая ссылка.

Мы, тут кагбэ сириоз бизнес делаем, а не бессмысленные бумажки собираем.
 
    Reply - Parent - span>Thread - span>Link
 
(no subject)
 013_van_gog_013
 
09:54pm 28/05/2009 (UTC)
 
 
ПИСЬМА ЛОБОТОМИРОВАННЫХ: МАРТА 3
токса, тебя клеят. твои пароли в опасности.
picword: МАРТА 3
 
    Reply - Parent - span>Thread - span>Link
 
(no subject)
 den_pokep
 
08:44am 09/07/2009 (UTC)
 
 
POKEP
ыы)))
 
    Reply - Parent - span>Thread - span>Link
 
(no subject)
 10004ertey
 
07:37am 28/05/2009 (UTC)
 
 
10004ertey
отдам пароль за минет
 
    Reply - Thread - span>Link
 
(no subject)
 den_pokep
 
08:45am 09/07/2009 (UTC)
 
 
POKEP
+стопиццот
 
    Reply - Parent - span>Thread - span>Link
 
(no subject)
 shaman007
 
10:41am 28/05/2009 (UTC)
 
 
Andrey Bondarenko
Пусть тебе греет душу, что во всех остальных областях человеческой деятельности ровно аналогичный пиздец. Вон, сходи на фотосайт, например.
 
    Reply - Thread - span>Link
 
(no subject)
 kachalin
 
10:19am 11/07/2009 (UTC)
 
 
Алексей "Sadman" Качалин
+1
Порой загрустишь за состояние дел, ан нет, всё так
 
    Reply - Parent - span>Thread - span>Link
 
(no subject)
 murdya
 
08:50am 29/05/2009 (UTC)
 
 
murdya
Сейчас помимо профильных стандартов стало модно задвигать про закон о защите персональных данных (благо в нём запутаться можно).
 
    Reply - Thread - span>Link
 
(no subject)
 toparenko
 
05:47pm 09/07/2009 (UTC)
 
 
toparenko: Комп
А что в нем путаться?
Один большой капкан, чтоб можно было нагинать любого, по собственному желанию.

Сами регулировщики регуляторы еще не осознают, что они наворотили :-D
picword: Комп
 
    Reply - Parent - span>Thread - span>Link
 
(no subject)
 devteev
 
03:46pm 23/06/2009 (UTC)
 
 
Да, Антон, прочитал я твое мнение о себе. Зря ты так.
 
    Reply - Thread - span>Link
 
(no subject)
 toxa
 
06:29pm 23/06/2009 (UTC)
 
 
The Toxa Himself
Да боже упаси, Дима. Я не писал тут мнение о тебе. Но может быть, это ты нашел здесь строчки о себе? Если да, то тебе стоит задуматься над этим. Если нет - ну так и не про тебя писано!
Иногда стоит смотреть на вещи чуть выше и замечать то, что находится за горизонтом.

зы: пошли пить пиво?
 
    Reply - Parent - span>Thread - span>Link
 
(no subject)
 slothar
 
03:13pm 21/08/2009 (UTC)
 
 
slothar
ну, это зря Вы так, многоуважаемый. чешете всех под одну гребёнку. нельзя же так. критика -- это, конечно, хорошо. "вы все унылое г-но, говорите 27001, а сами сидите джёппу протираете, воздух нам, здравым поцонам, портите". я сам, кстати, тоже так в глубине души считаю. да кто не считает. да любого возьмите, у каждого в душонке хоть одна гнилостная хакерская ниточка, да изыщется.

но нельзя же так. уж если и критикуете, то аргументированно надо. вот, например, возьмём это Ваше "вы все". возьмём меня, к слову. я вот тоже, например, буква в букву, на визитке так напечатано, "эксперт по информационной безопасности отдела консалтинга и аудита" :) однако ничем Вами описанным не занимаюсь и заниматься не собираюсь. жизнь гораздо интереснее и богаче жежешечки, sql-инъекций, не говоря уж о привейт одей сплоетах.

и, даже аргументированно критикуя, всё же следует предлагать альтернативу! которая лучше и правильнее, хоть даже и на Ваш личный, ткскть, персональный взгляд. вот мне, например, не нравится, скажем, Гордейчик, который говорит "пентесты фуфло, покупайте искпайдер", и сами пентесты презентует как нечто убогое в стиле "нажал кнопку-получил результат" с совершенно дебильными, но умно звучащими "векторами атаки". но я молчу, и буду молчать до тех пор, пока не скажу что-то достойное в ответ. потому что сказать Гордейчику "Гордейчик, ты не прав", не сказав ему как правильно, это будет всё равно что в воду пёрднуть.

потому у меня к Вам вопрос: вот Вы написали какие мы все говнодебильные эксперты, так напишите же теперь каким должен быть правильный эксперт :)
 
    Reply - Thread - span>Link
 


 
 
 
Navigation  
  Previous
Next
 


  Powered by
LiveJournal.com