لطفا وارد شوید یا ثبتنام کنید تا به انجمنها دسترسی کامل داشته باشید.
|
سوالی در فرایند تبدیل شدن به متخصص امنیت
|
|
2010-03-09, 06:27 PM,
ارسال : #1
|
|||
|
|||
|
سوالی در فرایند تبدیل شدن به متخصص امنیت
قبل از همه بگم میدونم کار یکی دو روز نیست .
میدونم باید باید روی سه زمینه : ۱- برنامه نویسی (چندین زبان که جاش اینجا نیست) ۲- سیستمهای عامل (حداقل یونیکس و ویندوز ... مخصوصا اولی ) ۳-شبکه های کامپیوتری (از اصول کلی گرفته تا سیستم عامل روترها و ...) تا سطوح بالایی مسلط بود !! اما سوال من از اینجا شروع میشه .... ۱- من برنامه نویسی رو بلدم (بیشتر C و پرل) . پس نیازی به یادگرفتن حداقل این دو تا ندارم . اما مثلا تو مباحث پیشرفته پوینترها کم میارم . نمیتونم با GDB خوب کدهای بزرگ رو دیباگ کنم و تقربا همیشه در بحث پوینترها (ارسال به تابع و همچنین پوینتر به پوینتر به مشکل میخورم) . از دیدگاه امنیتی چکار کنم رو این زمینه قوی شم ؟؟ ۲- در زمینه سیستم عامل و شبکه پیشنهاد میکنید کدوم رو اول شروع کنم و با چه کتابهایی ؟ اصول کلی شبکه رو میدونم ولی از ساختار داخلی سیستمهای عامل (مدیریت حافظه - تخصیص پروسه از طرف CPU و... هیچ نمیدونم) . لطفا اگه امکان داره کتاب (فارسی یا انگلیسی) معرفی کنید . و اگه حالت قدم به قدم داشته باشه خیلی عالی میشه . مثلا اول کتاب سیستم عامل فلان - بعد کتاب X در ساختار کرنل لینوکس - بعد کتاب Y در مورد ساختار IP و به همین صورت ... چون میدونم افرادی با قابلیتهای بالا در این فروم هستند این سوال رو اینجا پرسیدم .... بینهایت از لطف همگی ممنونم ... |
|||
|
|
2010-03-09, 08:11 PM,
ارسال : #2
|
|||
|
|||
|
منظورت از متخصص امنیت چی هست؟
اگه می خوای متخصص امنیت بشی باید بری دنبال CEH اگه می خواهی هکر بشی (البته از نوع خوبش) یه مقاله تو همین سایت هست "چگونه هکر شویم" را بخون. We make the net work |
|||
|
|
2010-03-09, 09:17 PM,
ارسال : #3
|
|||
|
|||
unixsvr4 نویسنده :منظورت از متخصص امنیت چی هست؟ منظورم مشخصه .... منظورم هکر شدن (به معنی برنامه نویسی خلاقانه در دنیای FOSS -اونطور که منظور اریک ریموند هست- نیست) . منظورم کسی هست که در بخش security یه شرکت بزرگ نرم افزاری کار میکنه (حالا میشه روش اسمهای مختلف گذاشت) . احتمالا چیزی شبیه همین CEH که گفتید . اما منظور من بیشتر دانش عمیق در اون زمینه است . نه فقط برای یه امتحان یه سری مطالب خوندن و تست زدن .... بطور مثال کتاب Buffer overflow Attacks به طورت کامل رو همین زمینه (و نه چیز دیگه) زوم میکنه که باعث عمیق شدن دانش شما در این زمینه به خصوص میشه ... نمیدونم منظورم روشنه ؟؟ |
|||
|
|
|
2010-03-09, 09:24 PM,
ارسال : #4
|
|||
|
|||
|
من الآن فهرست منابع کتاب official certified ethical hacker review guide که رفرنس رسمی خودشون هم هست رو تو آمازون دیدم .
مطلقا منظورم این نبود .... اینا رو تو هر کتاب security میشه دید ... منظورم دید پایه ای تر بود . همونطور که در پست اولم گفتم و در پست دوم مثال زدم ..... |
|||
|
|
|
2010-03-09, 11:16 PM,
ارسال : #5
|
|||
|
|||
نقل قول :بطور مثال کتاب Buffer overflow Attacks به طورت کامل رو همین زمینه (و نه چیز دیگه) زوم میکنه که باعث عمیق شدن دانش شما در این زمینه به خصوص میشه ...دوستت عزیز این سایت رو ببین و پی دی اف هاشو دانلود کن http://www.shell-storm.org/papers/index.php?lg=english با خواندن این سبک مقالات و کتاب هاست که میتونی دید عمیقی داشته باشی این دو سایت رو هم ببین http://www.hat-squad.com http://www.snoopmag.net |
|||
|
|
|
2010-03-09, 11:27 PM,
ارسال : #6
|
|||
|
|||
|
یک جواب ناقص برای مورد اول:
ابندا defensive programming را یاد بگیرید. در این صورت عادت خواهید کرد که برنامههای درست بنویسید که طبیعتا کمتر خطا خواهد داشت و مراحل دیباگ به حداقل میرسد.  بعد از آن راه حلی برای مشکلات دیگر پیدا خواهد شد.به نظر من کتاب Code Craft را بخوانید: <!-- m --><a class="postlink" href="http://www.amazon.com/Code-Craft-Practice-Writing-Excellent/dp/1593271190">http://www.amazon.com/Code-Craft-Practi ... 1593271190</a><!-- m --> و همچنین کتاب Coders at work: <!-- m --><a class="postlink" href="http://en.wikipedia.org/wiki/Coders_at_work">http://en.wikipedia.org/wiki/Coders_at_work</a><!-- m --> <!-- m --><a class="postlink" href="http://www.amazon.com/gp/product/1430219483">http://www.amazon.com/gp/product/1430219483</a><!-- m --> |
|||
|
|
|
2010-03-10, 12:06 AM,
ارسال : #7
|
|||
|
|||
Anonymous نویسنده :نقل قول :بطور مثال کتاب Buffer overflow Attacks به طورت کامل رو همین زمینه (و نه چیز دیگه) زوم میکنه که باعث عمیق شدن دانش شما در این زمینه به خصوص میشه ...دوستت عزیز این سایت رو ببین و پی دی اف هاشو دانلود کن منابع بسيار عالي بود . به خصوص اولي اي كاش يه Reading list هم اگه اشنا بوديد ميداديد در اين زمينه ... به هر حال مقالات و tutorial ها درسته كه خيلي مفيد هستن اما عمق كتابا رو ندارن . ولي در كل عالي بود . ممنون
|
|||
|
|
|
2010-03-10, 12:14 AM,
ارسال : #8
|
|||
|
|||
kakilik نویسنده :یک جواب ناقص برای مورد اول: منبع اول بسيار عاليه به خصوص بخش دوم كتاب :<!-- m --><a class="postlink" href="http://www.amazon.com/reader/1593271190?_encoding=UTF8&ref_=sib_dp_bod_toc&page=8#reader_1593271190">http://www.amazon.com/reader/1593271190 ... 1593271190</a><!-- m --> خوشحالم كه سوالمواينجا پرسيدم . اما كاش شماها كه تجربه بيشتري در security علاوه بر برنامه نويسي داريد ، يه به اصطلاح Reading List رو هم معرفي ميكرديد .... مثلا من تا حالا دو كتاب خوب رو واسه مطالعه دارم : يكي همين overflow و دومي code craft . |
|||
|
|
|
2010-03-10, 12:33 PM,
ارسال : #9
|
|||
|
|||
|
برای تمیز کد نوشتن کتاب زیر هم منیع عالی هست:
Code Complete استیو مک کانل: http://www.amazon.co.uk/Code-Complete-Pr...0735619670 |
|||
|
|
2010-03-10, 10:59 PM,
ارسال : #10
|
|||
|
|||
|
منظور شما دقیقا از متخصص امنیت چی هست
یک منخصص امنیت الازما نباید یک برنامه نویس خبره باشد در مقوله ceh اگر هدف تبدیل شدن به یک شخص برای vula asusment +pentst هست میونه یک نقطه شروع باشه ولی بدون شک کافی نیست! اول مبانی خودتون رو قوی کنید و حتما سری به انجمن های امنیتی ـبزنید تا دیک دیدگاه کلی پیدا کنید امنیت خودش شاخه های زیادی داره <!-- m --><a class="postlink" href="http://www.rashtonline.ir">http://www.rashtonline.ir</a><!-- m --> ===دور ه های آموزش لینوکس <!-- m --><a class="postlink" href="http://www.gullug.org">http://www.gullug.org</a><!-- m --> <<== وب سایت رسمی گروه کاربران لینوکس گیلان <!-- m --><a class="postlink" href="http://www.hashem-wolf.ir">http://www.hashem-wolf.ir</a><!-- m --><====وبلاگ شخصی |
|||
|
|
|
2010-03-10, 11:35 PM,
ارسال : #11
|
|||
|
|||
|
حوزه ی مورد علاقتون رو بهتر مشخص کنید، احتمال این که به جواب ایده آل برسید خیلی بیشتره.
امنیت شاخه های زیادی داره، مثلا Penetration، نفوذ و ... . Penetrator ها کمتر به برنامه نویسی نیاز دارند و کارشون بر طبق یک روال معین پیش میره. نفوذگر ها معمولا باید اسکریپت نویس های خوبی باشند برای نوشتن اکسپلویتهاشون در صورت نیاز و ... |
|||
|
|
|
2010-03-11, 03:13 AM,
ارسال : #12
|
|||
|
|||
|
ممنون از توجه و اظهار نظرها ....
خوب باید یه خورده بیشتر در مورد خودم توضیح بدم و اگه طولانی میشه ببخشید . من computer science میخونم (مقطع لیسانس اما در خارج از ایران) و دوست دارم بعد از فارغ التحصیلی وارد مقوله امنیت بشم ولی نه فقط pen test و استفاده از ابزار های موجود (رایگان - تجاری) برای ایمن کردن سیستم . بیشتر از اینکه بخوام وارد فیلد Admin بشم به دلیل علاقه مندی به کد نویسی سعی دارم وارد فیلد نرم افزاری قضیه بشم تا صرفا یه مسول امنیت شبکه ... در واقع مساله از اونجا شروع شد که در یه job fair که اخیرا دانشگاه گذاشته بود شرکتهای امنیتی بزرگی شرکت کرده بودن که دنبال افرادی بودن که توانایی ساختن ابزار امنیتی دارن (Tool making) . مثلا یه مسابقه در طول دو روز نمایشگاه برگزار شده بود که کی میتونه یه اسکنر کوچیک مثل کاری که nmap انجام میده با زبان C بنویسه . و خوب یه یکی از گیک های دپارتمان نوشت و همونجا یه offer کاری گرفت (چیزی که واسه خیلی از ماها یه رویاست) . من منظورم فقط استفاده از ابزار نیست (گرچه در جای مناسب خیلی مفید هم هست) . دانش ساختن اینا هست بیشتر (واسه همین از اون کتاب مثال اوردم) . این سوال رو من صراحتا از presenter های خود اون شرکتها هم پرسیدم ! اما چون هم بیشتر از بخش نیروی انسانی (HR) شرکت بودن و هم به دلایل مسایل درون شرکتی زیاد حرف نمیزدن ... فقط یه چیزی گفتن که منو شدیدا به فکر فرو برد و وادار به جستجو و پرسش از افراد و فرومهای مختلف (از جمله همین تکنوتاکس یه رفرنس فنی در کشور عزیز خودمونه) کرد : گفتن این ابزار ها چیزی نیست چون ایده های برنامه نویسای خلاق و اعجوبه .. درسته ؟ خوب به همین دلیل این نرم افزارها میتونن بوسیله یه سری اعجوبه های دیگه از کار بیفتن بدون اینکه کسی متوجه بشه !! ما نیازی به افرادی داریم که نه تنها بتونن از این ابزارها استفاده کنن بلکه اونها رو با برنامه نویسی دقیق و هوشمندانه شکست بدن و بعد بیش از پیش secure کنن ! به این دلیله من اینقدر رو دانش عمیق تر از استفاده صرف از ابزارها پافشاری میکنم  میدونم کار یکی دو روز نیست ... اما بالاخره باید از یه جا شروع کرد . ممنون از همگی و همچنان منتظر راهنمایی شماها هستم ... |
|||
|
|
|
2010-03-11, 07:34 AM,
ارسال : #13
|
|||
|
|||
|
سلام.
کتاب های ذکر شده ( مانند craft code ) تو ایران هم قابل دست یابی هست ؟ یا باید بگی دوستی/آشنایی برات بیاره ؟ ممنون. |
|||
|
|
|
2010-03-11, 11:44 PM,
ارسال : #14
|
|||
|
|||
|
من نرمافزاری به نام MetaSploit میشناسم که اکثر Explit ها توش هست و میشه ازش استفاده کرد
توی سایتش هم یه چند تا کتاب خوب در این باره هست: Syngress-Zero-Day Exploit Syngress, Metasploit Toolkit For Penetration Testing Exploit Development And Vulnerability Research Syngress - Penetration Tester's Open Source Toolkit <!-- m --><a class="postlink" href="http://www.metasploit.com/">http://www.metasploit.com/</a><!-- m --> و این هم برای شناسایی حفره های امنیتی سایت ها هست: <!-- m --><a class="postlink" href="http://www.rapid7.com/">http://www.rapid7.com/</a><!-- m --> |
|||
|
|
|
2010-03-13, 02:37 AM,
ارسال : #15
|
|||
|
|||
|
خوب بچه ها من تقريبا يه ريدينگ ليست خوب رو از يكي از مشاوران همون شركت امنيتي كه كه گفته بودم گرفتم ...
در واقع خيلي شبيه به ريدينگ ليست DEFCON هست : <!-- m --><a class="postlink" href="http://www.defcon.org/html/links/book-list.html">http://www.defcon.org/html/links/book-list.html</a><!-- m --> با اين تفاوت كه حالت قدم به قدم رو سعي كرده رعايت كنه ، و بخش به بخش طبقه بندي شده (خودش ادعا ميكرد تمام اين كتابا كه هيچ ، دو برابرشو خونده !!!). به هر حال شايد به قول خودش واسه سالي 120K دلار درآمد بايد پيه اين كارا رو هم به تن ماليد من اين ريدينگ ليست رو اينجا ميذارم .... اميدوارم به درد هموطناي من هم بخوره : چيزي كه بايد بهش توجه كنيد اينه كه فقط در مورد دنياي سيستم عامل و شبكه ها واسم طبقه بندي كرد . در زمينه كتب تخصصي Security گفت هر كدوم از كتاي اين آدرس كه گذاشتم خوبه و ترتيب خاصي نداره ... OS : 1- Fundamentals of Computer Organization and Architecture (Wiley) 2- Operating Systems Internals and Principles 3- Unix in a Nutshell: System V & Solaris 2.0 4- UNIX Shells by Example 5- The Complete Freebsd 6- Solaris Performance Administration: Performance Measurement, Fine Tuning, and Capacity Planning 7- Applied Cryptography Network : 1- TCP/IP Illustrated 2- TCP/IP Network Administration 3- Unix Network Programming (Stevens) 4- Windows Sockets Network Programming 5- Apache, The Definitive Guide 6- DNS and BIND 7- Virtual Private Networks 8- Managing Mail Lists 9- Managing IP Networks with Cisco Routers 10 - OSPF: Anatomy of an Internet Routing Protocol 11 - Cisco 12.0 IOS Configuration Fundamentals |
|||
|
|
|
2010-03-14, 12:59 PM,
ارسال : #16
|
|||
|
|||
|
با سلام به همه دوستان عزیز،
از دوستان کسی راجع به رفرنسهای فارسی در خصوص امنیت چیزی می دونه؟ آیا کسی خبر داره چندتا کتاب ارزشمند در خصوص امنیت به زبان فارسی وجود داره؟ و اگر وجود داره نویسنده اش چه عزیزی هست؟ و عنوان کتاب و موضوعاتش چیه؟ علت این سوال من این هست که بنده در حال ترجمه ترکیبی و تالیف کتابی با موضوع امنیت اطلاعات هستم که سیلابسش منطبق بر کتاب CISSP آقای دکتر Shon Harris هست. سعی کردم هم طبقه بندی و هم سیلابس استانداردی داشته باشه و هم مباحث امنیتی رو بطور کامل پوشش بده و مطابق بر آخرین مباحث امنیتی دنیا (2010-2009) باشه. حدس می زنم، در آخر حدود 700 صفحه بشه و انشاءاله تا آخر شهریور چاپ بشه. نظر شما دوستان متخصص رو هم در این مورد می خواهم بدونم. آدرس ایمیل بنده: <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e --> |
|||
|
|
|
2010-03-14, 07:43 PM,
ارسال : #17
|
|||
|
|||
Anonymous نویسنده :ممنون از توجه و اظهار نظرها .... عجب بابا .... پس اگه اینطوری باشه که ما ول معطلیم !! من تویه شرکت سطح بالای ایرانی کار میکنم و در بخش امنیت اونجا هم هستم . ولی هیچوقت نشده که بخوام یه کد رو نگاه کنم .... کاری که ما میکنیم استفاده از solution خریداری شده از شرکتهای خارجی هست که واسه ما نصب کردن . الحمدلله هیچ مشکلی هم نداشتیم . فکر کنم این کارا واسه اوناست که هی مغزشونو منفجر کنن نه واسه ماها ... چون این شرکتا تو دنیا خیلی محدودن . به نظر من شما زیاد نمیخواد خودتو درگیر جزییات کنی . بجاش از زندگی خارج لذت ببر ارادتمند . |
|||
|
|
|
2010-10-06, 08:52 PM,
ارسال : #18
|
|||
|
|||
|
چند تا سوال:
واسه این کاره شدن دانشگاه رفتن تاثیر گذاره؟ کلا به تحصیلات آکادمیک احتیاجه؟ احتیاجی به ریاضیات پیشرفته هم داره؟ چند سال زمان میبره، برای یه کسی که اراده، صبر، حوصله و انگیزه لازم رو داشته باشه؟ |
|||
|
|
|
2010-10-06, 09:54 PM,
ارسال : #19
|
|||
|
|||
Anonymous نویسنده :واسه این کاره شدن دانشگاه رفتن تاثیر گذاره؟ کلا به تحصیلات آکادمیک احتیاجه؟به نظره من هیچ تاثیری نداره Anonymous نویسنده :چند تا سوال:فکر نمیکنم.مگر اینگه احتمالا بخواین برین تو کار ایجاد الگوریتم های رمزنگاری و یا شکستن رمز Anonymous نویسنده :چند تا سوال:هیچ محدودیتی براش وجود نداره A computer GeeK |
|||
|
|
|
2010-10-07, 12:19 AM,
ارسال : #20
|
|||
|
|||
|
لطفا شرایط زیر رو در نظر بگرین و نظر بدین در مورد این انتخاب برای آینده، میدونم سوال کلی کردم، خوب نظر دیگه(علاقه و انگیزه به اندازه ی کافی هست) بیشتر میخوام بدونم زیاد دیر نیست، هرچند هیچ وقت دیر نیست.
بنده 22 سال سن دارم، مدارک و چیزایی که یاد دارم: تئوری شبکه در حد Network+ شاید بیشتر. تجربه عملی مدیریت شبکه مبتنی بر ویندوز در ابعاد کوچک محلی. مدیریت و راه اندازی سرویس های سیستم های گنو/لینوکسی، تا حدودی. آشنایی با تکنولوژی های رایج طراحی و برنامه نویسی وب.(دو تا وب سایت حاصل کار با asp.net) تجزیه و تحلیل نرم افزارها در ابعاد کوچک و تکنیک های رایج. برنامه نویسی C/C++ ، در حد برنامه های آکادمیک. برای مثال پیاده سازی ساختارهای B Tree و تسلط تقریبا خوب به ساختمان داده ها در سطح مقدماتی. ریاضیاتم هم بدک نیست. یه فوق دیپلم کامپیوترم دارم(عمرم هدر رفت). زبان و . . . در صدد انتخاب ادامه راه هستم. |
|||
|
|
|
|
کاربران در حال مشاهده موضوع : 1 مهمان
قدرت گرفته شده از نرمافزار متنباز MyBB و فارسی شده توسط تیم مایبیبی-آیآر و پوستهی MySkins
میزبانی شده بر روی سرورهای قدرتمند سینداد
میزبانی شده بر روی سرورهای قدرتمند سینداد