امنیت یه چیزی شبیه چیپسه. همه دوست دارن. همه دوست دارن امنیت کار کنن.
امروز در “جلسه باز طراحی وب” چند نفر گفتن که دوست دارن امنیت کار کنن یا دارن امنیت کار میکنن. سوالی اینجاست که مگر امنیت رو کار میکنن ؟؟ حداقل تو ایرانی من ندیدم کسی رو استخدام کنن که براشون امنیت کار کنه.
بعد اکثر هم گفتن که برای ابن که بتونن امنیت رو کار کنن پایه امنیت طراحی وب بود! و دارن طراحی وب کار میکنن. حالا چون موضوع امنیت به بخث جلسه مربوط نمیشد من اونجا ادامه ندادم. ولی من اینجا چند مورد که به نظر خودم میاد رو مینویسم.
اولا امنیت چیست ؟
امنیت در حالت کلی به شاخه های زیادی تقسیم میشه که هر کدوم تعریف خودش رو داره، اما امنیت در حوزه IT به دو دسته اصلی تقسیم میشه :
- امنیت شبکه
- امنیت نرم افزار
دو دسته بالا خودشون شاخه و زیرشاخه دارن که اینجا مد نظر من نیست.
بحث اصلی اینجاست که این امنیت یک چیزی نیست که شما کلاس بری یا کتابش رو بخونی و تمام. شما وقتی میخوای امنیت کار کنی مثلا در حوزه نرم افزارهای تحت وب.اولا نمیتونی همه زبان ها رو بلد باشی و امنیت همه پروژه های تحت وب رو بررسی و حل کنی. مثلا هیچ کس نمیتونه PHP و ASP و پایتون رو کاملا حرفه ای بلد باشه. پس میشه گفت یک فرد میتونه یکی از اینها رو خوب و کامل بلد باشه. اون وقت شخص مورد نظر چون کاملا به این زبان مسلط هست میتونه مشکلات و حفره های امنیتی رو هم کشف و برطرف کنه یا برطرف نکنه و بترکونه.
به نظر من برای اینکه بتونید دزد ماهری باشید که قفل ها رو راحت باز میکنه. باید اول از ساختار فقل و نحوه کارکردن اون کاملا اطلاع داشته باشین. تا بتونید فقل رو باز کنید یا اینکه اون رو دوباره طوری بسازید که بازکردن سختتر بشه و توجه کنید که هر دزدی در زمینه قفل خاصی تخصص داره و هر نوع قفلی رو نمیتونه باز کنه.
پس امینت رو کار نمیکنن
شک نکن خیلیا دوس دارن مثل تام کروز ماموریت غیر ممکن انجام بدن. برای شروع هم احتمالا میرن سراغ بدنسازی یا بهترین حالت ورزش رزمی!
کلا هر دورهای یه چیزی مد میشه و همه جوگیر میشن که یاد بگیرن. بدون اطلاع از چون و چرا هم دل رو میزنن به دریا و …
الان مثلا طراحی وب مد شده. سیستمهایی مثل جوملا هم که دست رو بازتر کرده. یکی دو سال قبل این جو بیشتر بود. الان ملت کم کم دارن میرن سمت برنامهنویسی موبایل و اندروید و …
این چیزا بد نیست. جزو طبیعت این حرکت هستش. اما چه خوبه که آگاهی هم پشتش باشه که حرکت حرفهای بیشتر انجام بشه.
سلام
—-
داداش فرمودی امنیت رو کار نمیکنند !!
بایستی عریض کنم کار میکنند چه جورم :دی من 10 ها مورد میشناسم ،دیدم،شنیدم،… که کار میکنند و درامد بسیار خوبی هم دارند نحوه کار کردنش ،کجا و ایناش بماند پس کار میکنند
بعد فرمودی نمیشه چندین زبان رو یاد گرفت !!
به طور کامل هیچ زبانی رو نمیشه باد گرفت و گفت من صد در صد بلدم اما یک Pentesterحرفه ای بایستی به چندید زبان رایج در حوزه امنیت مسلط باشند تا در کشف اسیب پذیری ها موفق باشند
به نظر خود من شیرین ترین حوزه فعالیت در سیستم های صفر و یک امنیت هست چون شما مجبورید با ریز مطالب و چند و چوت و پشت پرده ها آشنا شید
اما بایستی عریض کنم کسانی که می خواهند در این حوزه “کار کنند و فعالیت مفید نجام دهند گ راه بسیار دشوار و ناهوار و موانع بسیاری در پیش رو دارند چون در این مسیر تنها و تنها خودشان به خودشان کمک خواهند کرد!
متاسفانه وقتی بحث امنیت پیش میاد همه تصور میکنند اینی خطر یعنی یک ادم غییر مفید اما اگر بدانند همین افاد چه خدمتی…..میکنند هرگز همچین فکری نخواهند کرد
تشکر استاد ما هستی 😉
ممنون میشم یک مورد از اون 10ها مورد رو نام ببری و بگی دقیقا چیکار میکنن
Markus P.15. September 2012Servus MÃhr,¼nencsuche einen Kletterpartner für ein bis zwei Touren von18. bis 29. September auf Mallorca !Würd mich freuen wenn jemand gleichzeitig vor Ort ist und Lust hat auf:Klettern am Seil – bis 6 am Fels.Schöne Grüße,Markus – 32J München
نوشته خوب و مفیدی بود ….
موفق باشید
مسعود جان :
من نه با افراد رویایی کار دارم نه مد !!! چون کار و اینده نا با رویا ساخته میشه نا با مد شیک میشه …
قرار نیست افراد که متخصص پنتست هستند برای کار های جزئی کار کنند و فرضا یک شرکت بزنند فلان شرکت پن تست امنیتی انجام میده بله هستند همچین شرکت های اما…. اون اماش مهمه فقط بدونید این شرکت ها خیلی چیز ها پشت پرده دارند که نه من میتونم بگم نه همچین اجازا ای دارم اما شما هر وقت چندین سال وقت و عمر تونو گذاشتید پشت امنیت و قتی 48 ساعت یک سره بدون استراحت نشستید پشت امنیت بفرمایید کار نمیکنند استاد
من گفتم امنیت کار نیست؟! از کجای نوشتههای من این برداشت رو کردید؟ “امنیت” و “کار” و “حرفه” صحبت من نبود و کلمهای هم بیان نشده.
من فقط گفتم این که یه نفر مییاد میگه دارم وب کار میکنم که بعدش امنیت کار کنم و این چیزا، همه جوی هستن که اگه هدایت نشن تهش راه به جایی نمیبره. یه مدت جو وب بود، یه مدت جو اندروید هست، یه عده هم میگن امنیت کار میکنیم. من نوشتم باید آگاه باشن که امنیت یعنی چی و بعد ببینن اصلا اهلش هستن یا تا از مد بیفته یا دست زیاد بشه و سود نکنن ول میکنن بره؟
حرف من این بود. من اصلا در مورد موقعیت کاری اندروید و وب و امنیت و مسائلی این قسم صحبت نکردم. اگه این سوء برداشت شده عذر میخوام.
پیام جان من در این زمینه که امنیت رو کار نمی کنن باهات مخالفم میشه دقیق شد روی امنیت و اون رو تخصص قرار داد. افراد موفقی تو این حوزه میشناسم که شاید برنامه نویس ماهری نباشن ولی امنیت کارحرفه ای هستن
فرید جان به نظر من نمیشه برنامه نویس خوبی نبود ولی در مورد امنیت کار کرد.
اگر برنامه نویس ماهری نباشه و داره امنیت کار میکنه یک سری قوانین روتین رو داره اعمال میکنه. که به نظر من نمیشه گفت امنیت.
اینو من باب بحث های دیروز نوشتی ؟ :دی
در جواب “سوالی اینجاست که مگر امنیت رو کار میکنن ؟حداقل تو ایرانی من ندیدم کسی رو استخدام کنن که براشون امنیت کار کنه”
بله ، خیلی از شرکت ها کار تخصصیشون امنیته و خیلی از شرکت ها بخش تخصصی امنیت دارند ، ولی عمده شرکت های بزرگ بخشی دارند به اسم SOC که این کارو انجام میدن.
مطلب آموزنده و مفیدی بود تشکر
موفق باشید