В данный момент я студент. Мне интересна тема компьютерной безопасности, архитектуры ОС и сетей и прочий стафф. Интерес это конечно круто, но понимаю, что ведь довольно скоро придется самому зарабатывать себе на жизнь. По этому стараюсь регулярно просматривать вакансии на сайтах местных компаний, следить за тем, какие технологии востребованы сейчас. И надо заметить, что за все время не видел ни одной вакансии, где нужны были бы скилы kernel programming, не говоря уже о RE, уязвимостях и тд. Сплошь одна J2EE, HTML/CSS/JavaScript coder, Senior PHP/MySQL Developer... Вариант выезда за бугор неплохой, но это весьма рискованная перспектива. А быть админом сети за 10000 рублей не очень хотелось бы. Я живу в Украине, не знаю как дела в России по этому поводу, думаю немного получше. Хотелось бы услышать мнение здешних по этому поводу.
А в чем вопрос? Что делать? Если тебе уж настолько интересно все то, что ты перечислил - то выход практически один - стараться это все нормально изучить и уходить в blackhat. Если это не нравиться - то изучай пхп и джаву и получай 10000
meant > Мне интересна тема компьютерной безопасности, архитектуры ОС и сетей и прочий стафф. постойте. сети это одно, оси это другое, безопасность это третье. а прочий стафф непонятно каким местом. в настоящее время основной вектор атак это Java Script. чуть меньше 90% атак приходится именно на него. 10% - серверные атаки. из них 90% это всякие там sql инжекты и только 10% шелл-коды. таким образом, компьютерная безопасность это JS. что будет завтра -- сказать трудно, но крайне маловероятно, что акцент сместится на низкий уровень. скорее всего это будет что-то еще более высокоуровневое. > но понимаю, что ведь довольно скоро придется самому зарабатывать себе на жизнь. тогда вы делаете правильный выбор. в секьюрную индустрию с каждым годом вливается все больше и больше денег и без гроша в кармане вы не останетесь. > По этому стараюсь регулярно просматривать вакансии на сайтах местных компаний, извините, но вы случайно не знаете кому в деревне гаюкино требутеся летчик испытатель, а еще лучше космонтавт? я вот регулярно хожу в колхоз к председателю, а потом на главпочтам и... вот, блин! агроном говорит, аэродром у них есть, но испытавать там можно только нужду. кукурузник испытывать не надо, ибо он и так летает. безо всяких испытаний. не, ну серьезно. держать спеца по безопасности может только очень крупная контора, причем СБ никакого отношения ни к осям, ни к протоколам не имеет. там все решает организационный подход. типа тонкен в зубы, пропуск на шею, улыбнулся камере при входе и полез читать логи. вот и вся безопасность. > следить за тем, какие технологии востребованы сейчас. технология во все времена одна и таже. трансформация мозгов в бабло. > И надо заметить, что за все время не видел ни одной вакансии, > где нужны были бы скилы kernel programming, почему нет черной икры? потому что спроса нет. вот, посмотрите, никто не спрашивает. хотя на RSDN переодически что-то пробегает. и что-то никто не откликается на зов HR'ов. потому как вероятность найти непристроенного ядерного программера в данной точке пространственно-временного континиумма близка к нулю. формально, таких вакансий нет. нет смысла их официально открывать. никто же ведь не пишет объявлений -- познакомлюсь с брити спирс, но мне почему-то кажется, что бритни без труда найдет с кем потрахаться, если приспичит. то есть де-юре открытых вакансий нет, но де-факто они есть по умолчанию и хорошего специалиста возьмут с руками и ногами (ес-но возьмут в отряд летчиков испытателей, а не вторым пилотом кукурузника в колхозе). > не говоря уже о RE, уязвимостях и тд. OpenRCE.org, idapro.com - ну там вообще много форумов, где размешают вакансии. а так... идем на любой сайт любой фирмы и видим там раздел карьера, например, сюда: http://www.vupen.com/english/careers/ и вдумчиво это читаем. да вообще до фига таких сайтов по миру. > Сплошь одна J2EE, HTML/CSS/JavaScript coder, в объявлениях на вакансии есть то, на что есть спрос. если мне нужна пицца я наберу ее в гугле. если мне нужно почистить сортир, я схожу на месный региональный форум. но искать на местном форуме гравицаппу от пепелаца или переводчика с японского языка было бы наивно, хотя японисты все пристроены. просто нет мазы их там искать. > Senior PHP/MySQL Developer... Вариант выезда за бугор неплохой, можно работать и удаленно. очень многие американские фирмы берут спецов по удаленке, т.к. это обходится дешевле. да и не только американские. > но это весьма рискованная перспектива. а что тут рискованного? > А быть админом сети за 10000 рублей не очень хотелось бы. ну так и не будьте им > Я живу в Украине, не знаю как дела в России по этому поводу, так же, как и у вас. контор, куда можно сунуться немного, намного меньше, чем реверсеров, потому берут только толковых и уже обученных (или платят смешные деньги пионеам, потому что спецов на них не найти, да им спецы особенно и не нужны). в европе в среднем находится по одной - две крупных конторы на страну, т.е. дела примерно так же, как и в россии, ну и зарплаты не так, чтобы сильно выше. основные фирмы по безопасности сосредоточены в израиле и в штатах. > думаю немного получше. Хотелось бы услышать мнение здешних по этому поводу. а какое тут может быть мнение? офисную работу по безопасности в снг найти очень трудно, и если только вам не посчастливилось родиться в городе, где такая фирма есть (равно как если туда вас упорно не берут), остается одно из двух: удаленка или же переезд в другой город или страну. если интересны какие-то подробности -- без проблем отвечу, ну а так могу лишь пожелать удачи и не пассовать перед трудностями. а трудностей будет много -- это я вам обещаю.
kaspersky Во-первых, большое спасибо за ответ. > а что тут рискованного? Судя по тому, что я слышал, то найти компанию, которая проспонсирует тебе визу не так просто. > если интересны какие-то подробности -- без проблем отвечу Интересно было бы узнать, какого рода проекты приходится выполнять на удаленке. То есть в чем по сути заключается работа кул хекира =) Впринцыпи удаленка - это довольно не плохой вариант, но по-моему лучше таки находиться в команде, где люди друг у друга учатся и как результат прогрессируют намного быстрее. Или может я слишком большой идеалист.
"сразу и в дамки!" - отличная мечта! вы главное не сильно долго бегите за ней. время оно назад не вертается. по проектам на бордах - не читайте требования к. читайте суть проекта. если вам задание понравится, то детали инструментов вы быстро освоите в достаточной степени (впрочем, это от вас зависит). ну, или смените инструменты. вы удивитесь, но и веб, и в офис проектах есть место для хека и секурити. кроме того проганье - это не ядро, не сек и даже не ланги. проганье это логика и алгоритмы. их вы и на жабаскрипте отточить сможете. ну а освоитесь, поднаберетесь опыта - и ходов прибудет. вы путаете школу/ин с работой. если вы рассчитываете больше "учиться" в команде, то и денег вам будут платить со знаком "-". работа в команде в среднем сложнее работы соло, тк появляется проблема взаимодействия и стыковки с соседями по команде. с 0 этого бы я не советовал
meant Много чего интересно, но лучше сосредоточится на чем то одном, лучше знать углубленно, что то одно, чем поверхностно все - мое имхо, не более. Из языков Асм+Си - лучшая связка, умение работать в OllyDbg IDA Профи везде востребованы... средних везде хватает... все упирается в навыки kaspersky Пришли пжлста тестовое задание
А какое сейчас место занимает виртуализация на рынке? очень много просто фирм занимаются и созданием гипервизоров, реверсят вмварь... В Виртуал Бокс уже запускается макось..
meant > Во-первых, большое спасибо за ответ. как говорят американцы you're welcome. >> а что тут рискованного? > Судя по тому, что я слышал, то найти компанию, которая проспонсирует тебе визу не так просто. в мэйнстрийме -- да (и то, с оговорками). в самом деле, с визами все не так уж и просто. если говорить про штаты, то у вас всего два пути. H1 и L1. по первой петиции принимаются только до 1 апереля, после чего наступает день смеха и лотеряя (если виз больше, чем квот), причем в последнее время выдача виз ужесточилась (хотя это главным образом затронуло бодишопы). L1 - нужно отработать год на представительство штатовской компании вне штатов и только потом уже можно поехать в штаты. обе визы выдаются на три, макс. на пять лет с возможностью продления, но компания должна ждать сотрудника. и даже при удачном раскладе за вычетом всей бюракратической волокиты реально стоит закладываться, что процесс трудоустройства растянется на год - полтора, причем, без гарантий, что это вообще получится. возникает вопрос - а зачем эти сложности. ищем местных. но... увы. искать можно только выпускников универов. причем не последних курсов, а первых. а на первых они заняты учебой и на полную занятость работать не будут. т.е. фактически фирма все равно ждет года полтора даже при наеме спеца в мэйнстрие. и если уж ждать, то лучше брать СПЕЦА, а не студента, которого еще полтора года обучать за счет фирмы. причем у местного куча прав и он может послать всех нах. так что гребут людей из россии только так. после чего в американской дерене ночью слышишь русские маты и понимаешь, что русские вторые после негров по численности. что же касается специалистов по RE... то... тут сухо как в сахаре. спецов __ваще__ нет. только на соседних материках. а им по фиг собственно куда лететь. на западное побережье штатов или восточное. даже разница в $5k годовых уже может стать решающей. это же не местный жаба скриптер ну кому в голову придет искать работу черт знает где, когда она и тут есть? так что по RE фирм хоть и меньше, но сам визовый вопрос -- это совсем не вопрос (тут зависит только от государства -- выдадут или нет). единственная проблема -- некоторые виды работ требуют гражданства и особенно в сфере RE. тут действительно, без вариантов. правда, часто гражданства требуют даже там, где оно не нужно. в этом случае я прикидывался шлангом. т.е. сначала прошел тест, а потом поинтересовался: не помню, говорил вам или нет, что я из россии вообще-то? они -- харе шутить. я -- без шуток. що, по английскому не выкупили? они -- ну вот, а мы обрадовались, а теперь с вами мороки... но хочу заметить, что мороки со мной у них было действительно много. у меня нет образрвание и потому получать H1 мы даже и не пытались. да, кстати, прежде чем ломиться в фирму -- стоит убедиться если там миграционный отдел и имеют ли они опыт найма сотрудников из-за рубежа. если нет -- это несколько осложняет нашу участь. с другой стороны -- если миграционного отдела нет, то нанимается сторонний адвокат и он делает все быстро и четко, т.к. работает за гонорар и репутацию. а юристы своего миграционного отдела просто тянут резину, работая на окладе. >> если интересны какие-то подробности -- без проблем отвечу > Интересно было бы узнать, какого рода проекты приходится выполнять на удаленке. обычно такие проекты, которые требуют минимум взаимодействия между членами команды и им достаточно сношаться мылом или чатом. а так же не нужны допуски ко всякой инфе, которую не хотят передавать непонятно кому (хотя тут уже вопрос доверия). примеры реверсных работ с расценками от $35 за час (зависит от квалификации). сравнение пачей безопасности на предмет поиска чего они фиксят. написание своих сплоитов для демонстрации атаки (легально). анализ чужих сплоитов и малвари. анализ апплеух на предмет -- а не стыбрили ли их авторы патентованные алгосы или либы. "а вот тут у конкурентов есть такая клевая панелька к аутлуку экспересу, а в SDK них не сказано как такое вообще пишется, реверсеры -- ау!". > Впринцыпи удаленка - это довольно не плохой вариант, > но по-моему лучше таки находиться в команде, я тоже к этому склоняюсь. удаленка сосет. т.к. когда работаем вместе то такие идеи в голову приходят при мозговом штурме. ну и вообще, когда пара человек сидит за одной клавой, то я вижу какие трюки используют они (и беру себе на заметку), а они видят какие трюки использую я. > где люди друг у друга учатся и как результат прогрессируют > намного быстрее. Или может я слишком большой идеалист. зависит от команды, конечно, но даже плохая команда лучше удаленки. другой вопрос, что лучше кубики или оперспейс. я работал и там, и там. щас сижу в кабинете у главного архитектора. тьфу, щас еще раз глянул на табличку - директор угроз интеллендженс. звучит как фбр прям в кабине просторно, светло, из окна прекрасный вид, но... блин, кабинет на двоих. а кубик он твой собственный. и в кубиках народ подсаживается друг к другу и решает разные проблемы. а слышимость хорошая, т.к. "кардон лучший проводник звука" (с) и как бы в курсе всех новостей и набираешься разных вещей. типа слышишь люди тихонько обсуждают разные аспекты реализации JVM и мотаешь на ус, даже если в JVM не рубишь ни фига. но в кубиках как-то одиноко. зато хоть порнуху смотри опеспейс -- это же шум сплошной. и там ничего не расслышать. зато как бы сплочает. смотришь на лица видишь работу мозга. совсем другая атмосфера. но нет, я лучше в кубике или в кабинете. опен-спейса больше не хочу.
В России работа по данному профилю есть точно в Питере и Москве. Когда сам искал работу нарыл по профилю компаний пять (в Питере) у которых были открытые вакансии на тот момент. Эту цифру в принципе можно умножить на 1.5-2, тк много компаний просто не открывают публично подобные вакансии. Но я с трудом представляю, что где-то дальше в России можно что-то найти.
почему? агнитум искал. было там открыто несколько вакансий. за RE предлогали 40-50кр и рядом предлогали столько же за С++. и люди удивлялись зачем делать RE, если столько же можно получить за C++. а реально достойные бабки можно получить, в основном, когда заказчик сам к тебе обращается.
qqwe kaspersky друзья, а где вы видели интересную секьюрити работу удаленно? О_о Сеньоры пхп-девелоперы-это да, полно. а вот безопосность, реверс эт редкость.. линки в студию, пожалуйста!
в dr.web к примеру (а они являются лучшем работодателем за какой-то там год) на удаленку не берут(( только переезжать в питер.
Neonix > друзья, а где вы видели интересную секьюрити работу удаленно? я начинал с удаленки, пока, наконец, не трудоустроился на полную занятость. интересной работы было много. на эндевор-секьюрити (которая в dc) работал один дядька реверсером из атланты. удаленно ес-но. до сих пор работает. другой мой знакомый из ирана мигировал в лондон и оттуда работает удаленно на южно-африканскую компанию sensepost. реверсером. еще один знакомый из ливана работал удаленно на хорошо известную нам бельгискую компанию. сейчас работает на нее на полную занятось в офисе. еще примеры нужны? > а вот безопосность, реверс эт редкость.. редкость, конечно. потому удаленка и рулит, т.к. найти локального реверсера работодателям очень трудно даже в больших городах, а сподвигнуть человека на переезд -- это ж монументальное дело.
kaspersky Раньше Крис чтото писал иногда техническое, сейчас ничего и копается в г-скриптах. Весьма печально
Clerk > Раньше Крис чтото писал иногда техническое, сейчас ничего и копается в г-скриптах. Весьма печально 1) "знающий не говорит, говорящий не знает". вот так и получается, что раньше я говоил о том, чего не знаю, а сейчас знаю, но не говорю. не потому что секрет, а потому что... ну как бы английский еще не освоил до нужного уровня, а к русскоязычной аудитории интерес уже потерял; 2) ну я понимаю, что вам интересен асм, ядро и все такое, но на счет скриптов вы зря так. во-первых, это 90% от всех атак, во-вторых, это новая и бурно развивающая область хакерства, а, в-третьих, ковыря зловредные скрипты у меня складывается такое впечатление, что я попал в эпоху ms-dos и debug.com, тьфу, d8.exe. антиотладочные приемы ничуть не изменились. вот тут шикарная презентация: http://www.blackhat.com/presentations/bh-usa-08/Hoffman/Hoffman-BH2008-CircumventingJavaScript.ppt
