Witam,
Mam 23 lata i studiuję kierunek który jednak niezbyt mnie interesuje i nie jest zbyt ścisły. Po namyśle stwierdziłem, że lepiej będzie dla mnie jeżeli go rzucę i zacznę studiować coś bardziej ścisłego. Jestem po mat-fizie. Maturę zdałem na 90% z matematyki rozszerzonej i 94% z fizyki roz., 84% z angielskiego roz.. Stwierdziłem że praca w cyberbezpieczeństwie ( pen-testing, audytowanie bezpieczeńśtwa systemów informatycznych firm itp ) mogłaby być interesująca.
Jak w ogóle można dostać pracę w branży? Czy sytuacja jest taka jak w przypadku programowania? ( Studia zwykle nie są potrzebne jeśli posiadasz kilkuletnie doświadczenie ).
Jakie w ogóle studia trzeba by skończyć żeby mieć szanse zaistnieć w branży?
Myślałem o WAT-cie ( cyberbezpieczeństwo lub informatyka ze specjalnością kryptologia / bezpieczeństwo ) bo nigdzie nie mogłem znależć czy na UW czy PW uczą czegoś w tym kierunku. Myślicie, że ma to sens? Bo z tego co widziałem to WAT wypada kiepsko w rankingach ( choć nie wiem na ile takie perspektywy są miarodajne ) i nie wiem czy nie lepiej po prostu iść na dobre ogólne studia informatyczne i dokształcać się w samemu w dziedzinie bezpieczeństwa systemów informatycznych.
Myślę że od początku ważne jest przykładanie uwagi do szczegółów, np niepopełnianie literówek w tytule wątku
Jakie w ogóle studia trzeba by skończyć żeby mieć szanse zaistnieć w branży?
Informatyka jak gdzieś znajdziesz to specjalizacja na cyberbezpieczeństwo aczkolwiek z tego co słyszałem na polskich uczelniach ten kierunek jest dość słaby. W branży liczą się też mocno certyfikaty, najbardziej: CISSP, OSCP, więc warto by było podczas studiów pomyśleć nad zrobieniem ich by pokazać że jednak coś umiesz.
Jak rozpocząć karierę w cyberbezpieczeństwie?
Ustawienie streama i bloga @Gynvael Coldwind na stronie startowej w przeglądarce (googluj gynvael coldwind)
Ogólnie też tych noobów polecam: https://p4.team/
Możesz ich pytać @Shalom @msm @Rev
Ale ogólnie to są trochę słabi, mało CRUDów na githubie, same jakieś algorytmy z uczelni itd i tylko top5 na świecie na 11000 drużyn :D
(I just realized, że oni PRAWIE wszyscy są tu modami)
Jakie w ogóle studia trzeba by skończyć żeby mieć szanse zaistnieć w branży?
Nie znam się, ale obstawiam, że aby zaistnieć to trzeba mieć faktyczne skillsy, a nie uczelnie :P
Oho, nowy trend wyczuwam.
Cyberbezpieczeństwo - czy warto?
Hacking, cracking, cyberbezpieczeństwo - co warto znać, jak to wygląda?
Wyglada na to, że @Shizzer się nie poddał. Może coś opowie :P
Cr0w napisał(a):
Oho, nowy trend wyczuwam.
Cyberbezpieczeństwo - czy warto?
Hacking, cracking, cyberbezpieczeństwo - co warto znać, jak to wygląda?
Wyglada na to, że @Shizzer się nie poddał. Może coś opowie :P
To widzę, że zanim się wykształcę to rynek będzie przesycony ( no nieukrywam, że brakuje mi podstaw w programowaniu, kryptografii, wiedzy o sieciach itp. O informatyce wiem tyle co w szkole o profilu mat-fiz- inf sie nauczyłem, pokompilowałem proste programy, czytałem też książki o algorytmach, C++ i uczyłem się webmasteringu we własnym zakresie, jestem początkującym użytkownikiem Linuxa i liznąłem struktury danych i programowanie obiektowe, także musiałbym najpierw porządnie się wykształcić ). Ostatnio zacząłem interesować się szyfrowaniem dysku, gpg, ogólnie takim OPSEC na Linuxie dla początkujących. I jak zobaczyłem kierunek cyberbezpieczeństwo na WAT-cie to stwierdziłem, że interesujący, a programistą raczej nie chcę być, bo o ile algorytmika, optymalizacja algorytmów, struktury danych mnie interesowały, to przypuszczam, że największy popyt na polskim rynku jest na proste aplikacje mobilne pisane w JAVA'ie.
Doświadczenie, doświadczenie i jeszcze raz doświadczenie, ale studia nie zaszkodzą. Cyberbezpieczeństwo jest tak szerokim pojęciem, że najpierw musisz się określić w czym się chcesz specjalizować, ale osobiście nie wyobrażam sobie specjalisty z tej dziedziny, który nie ma chociaż minimalnego doświadczenie jako programista i administrator
Cr0w napisał(a):
Oho, nowy trend wyczuwam.
Trend? Bo ktoś napisał 3 posty na kilkaset? Co jakiś czas pojawia się ktoś kto pyta o administrowanie bazami danych i aplikacjami, testowanie, czy pracę w SAP, czy BI. I nie jest to żaden trend. Dobrze, że ludziom otwierają się oczy, że w IT można robić coś innego niż bycie programistą java.
"słyszałem że programowanie to bezmyślne wklepywanie kodu i człowiek za bardzo się przy tym nie wykaże" - głupoty wypisujesz. Przy małych i średnich projektach często oprócz satysfakcji finansowej jest również satysfakcja wynikająca z tego, że stworzyło się coś nowego co autentycznie pomaga ludziom w pracy
Poza tym wydaje mi się, że swoje wyobrażenie o cyberbezpieczeństwie czerpiesz z filmów typu CSI Kryminalne zagadki LV lub podobnych. Niestety możesz się rozczarować bo rzeczywistość jest bardziej prozaiczna. W filmie w 15 minut odzyskują dane z dysku wyjętego z doszczętnie spalonego samochodu :):):):):)
Jakbyś na WAT się wybierał to dla Twojej informacji od kiedy otworzyli kierunek cyberbezpieczeństwo to na kierunku informatyka nie ma już specjalności związanych z kryptologią.
Dobra teraz już na serio. Jeśli chodzi o taki penetration testing aplikacji webowych czy sieci informatycznych to jest w ogóle na to zapotrzebowanie w Polsce? Jak jest, to większe niż kilka ekip najlepszych ludzi z branży z wieloletnim doświadczeniem?
Na audytowanie kodu źródłowego / binary exploitation zgaduję że nie ma zapotrzebowania w ogóle?
Jak jesteś dobry to znajdzie się ktoś kto cię zatrudni.
Trudno porównać zapotrzebowanie gdy w javie, PHP i js masz po 1k ofert, a python z rubym w sumie mniej niż 200 :P (pewnie wyolbrzymiłem). Inna sprawa, że konkurencja mniejsza.
Gdzieś widziałem że Samsung ma naboru na Inter w hackingu. ING, LogicalTrust, CERT (czy połowa p4 to nie okolice studiów?), big4 audytu- trochę tego jest.
Edit. btw Python raczej wszędzie w SEC jest mile widziany, więc może zamiast pytać się i marnować czas, nauczył byś się go.
Edit. btw Python raczej wszędzie w SEC jest mile widziany, więc może zamiast pytać się i marnować czas, nauczył byś się go.
Skąd takie hejtowanie? Nie wiedziałem o tym, ale dzieki za info
silent.thud napisał(a):
(...) a programistą raczej nie chcę być, bo o ile algorytmika, optymalizacja algorytmów, struktury danych mnie interesowały, to przypuszczam, że największy popyt na polskim rynku jest na proste aplikacje mobilne pisane w JAVA'ie.
To jest dobre myślenie i zarazem błędne. Z Javą masz poniekąd racje - rozumiemT, że może nie interesować Cię pisanie apek mobilnych. Błędne jest dlatego, że od razu zakładasz, że nie chcesz być programistą. Nie siedzę w tym zawodzie, bo jeszcze kilka lat przede mną i na razie się uczę, ale po opowieściach tych doświadczonych ludzi z security wygląda to tak, że większość najpierw zostaje programistami, a dopiero później idzie w ścieżkę bezpieczeństwa.
Zawsze jak ktoś pyta o "cyberbezpieczeństwo" to odpowiadam, że najważniejsza jest nauka samego programowania, a jak programowanie Cię w którymś momencie znudzi i poczujesz, że trzeba sobie zrobić chwilę przerwy to bierzesz się za CTF'y na przykład.
Jest jeszcze jedna dość nieprzyjemna sprawa - Twój wiek. W security trzeba mieć od groma doświadczenia. Musisz znaleźć czas nie tylko na zdobywanie skilla w programowaniu, ale również w bezpieczeństwie. Po przeczytaniu Twojego pierwszego posta widzę, że łapiesz się czego popadnie, a to niedobrze. Znajdź sobie to co chcesz robić i zacznij się tego uczyć. Jeśli faktycznie chcesz się tym zająć to musisz poświęcić ogromną ilość czasu na naukę.
Kiedyś zapytałem się Gynvaela o to jak wygląda rekrutacja np powiedzmy na Reverse Engineera. Odpowiedział mi, że wszystko zależy od skilla, ale on na początku był programistą, a potem wzięli go do firmy, która się zajmowała akurat RE. To powinno Ci dać do myślenia w kwestii tego ile w wieku 23 lat musisz poświęcić czasu żeby wbić się w tę niszę.
silent.thud napisał(a):
największy popyt na polskim rynku jest na proste aplikacje mobilne pisane w JAVA'ie.
No to musisz bardzo zmienić swoje przypuszczenia co do rynku. :)
Temat nie ogranicza się tylko do RE, zainteresuj się: https://www.isaca.org (można się z tematu przeszkolić, uzyskać certy i zostać audytorem bezpieczeństwa)
Do tego podstawą w tym obszarze wydaje mi się:
- chęć uzyskania odpowiedzi na pytania z serii "jak to działa"
- wyszukiwanie informacji i bycie "na bieżąco"
- śledzenie grup tematycznych (kiedyś było BugTraq, dziś to nie wiem co jest odpowiednikiem)
- "obracanie się w środowisku" (kiedyś IRC był takim miejscem, albo wymiana na dyskietkach tutoriali popełnionch przez różnych ziomków: p0wera, lcamtufa i innych )
Jakbyś już coś umiał, a XSS nie jest trudny, to można spróbować https://hackerone.com/hacktivity?sort_type=popular&filter=type%3Apublic&page=1&range=forever
Przyznaj się, że oglądnąłeś Mr. Robot i chcesz zostać hakerem :D A tak na poważnie to tak jak @cw i @Shizzer pisali, nie umiąc programować jest to niemożliwe, a jak w dodatku nie lubisz programować to zapomnij.
Jak @Cr0w wcześniej napisał, zacznij cokolwiek np. Python, żeby zrobić w tym karierę trzeba naprawdę dużo umieć więc nie warto marnować czasu tylko zacząć, bo podstawa to pracować regularnie Zgadzam się też z wypowiedzią @yarel bo trzeba być na bieżąco i obracać się w tym środowisku, już jako programista potrzebujesz umiejętności biegłego wyszukiwania informacji już o tym, że musisz znać technologie które wejdą jutro najlepiej na wczoraj nie wspomnę. Oprócz tego musisz się tym naprawdę pasjonować i interesować żeby być dobrym.
Ja mogę Ci coś podobnego zaproponować, a mianowicie "Social engineering" czyli socjotechnika, to jest bardzo ważna gałąź bezpieczeństwa, szczególnie w naszych czasach, tutaj z kolei musisz także być na bieżąco z technologią ale skupiasz się głównie na czynniku ludzkim, "osiągasz cel nie przez swój geniusz tylko przez nieudolność innych :D" także musisz wiedzieć jak ludzie myślą, umieć manipulować, improwizować, wiedzieć jak działają różne firmy i instytucję od środka czyli systemy zapytań, żargon itp. oprócz tego w obu zawodach potrzebne jest logiczne myślenie, patrzenie na problem w nietypowy, niekonwencjonalny sposób, zdobywanie informacji(niestety trzeba grzebać w śmieciach :D), spryt, inteligencja i cierpliwość, no i jak nie umiesz powtawić prostej stronki pułapki bo nie lubisz programować to też będzie ciężko. Jeżeli chodzi o socjotechnikę to polecam Ci na początek przeczytać książkę Kevina Mitnicka "Sztuka podstępu" żeby zrozumieć o co w tym mniej więcej chodzi.
Mam nadzieję, że chociaż trochę pomogłem.