Halo, Habr. Nama saya Vladimir Dushkevich, saya seorang spesialis keamanan informasi, seorang guru di fakultas Keamanan Informasi. Beberapa tahun yang lalu saya bergabung dengan tim GeekBrains dan saya ingin membicarakannya. Di akhir artikel akan ada pengumuman kecil untuk para pembaca yang juga ingin menjadi bagian dari tim kami. Tapi ini nanti, dan pertama adalah ceritaku.
Semuanya dimulai pada 2018, ketika saya pertama kali mendengar tentang GeekBrains. Dan, setelah memutuskan untuk meningkatkan keterampilan pemrograman saya, saya mengambil kursus. Kemudian saya mengetahui bahwa perusahaan sedang mencari seorang guru dalam keamanan informasi, dan saya tertarik. Saat itu, saya sudah mengajar di Sekolah Tinggi Telekomunikasi Arkhangelsk (AKT (f) SPbSUT) dan karir guru offline baik-baik saja bagi saya. Tetapi menarik untuk mengetahui bagaimana semuanya terjadi ketika Anda mengajar dari jarak jauh.
Sedikit tentang diri Anda
Saya lulus dari universitas pada tahun 2008 dengan gelar di bidang Fisika dengan spesialisasi tambahan Informatika di Universitas Negeri Pomor. M.V. Lomonosov. Kemudian ia berulang kali menerima pendidikan tambahan: di bidang keamanan informasi, Linux, jaringan dan teknologi web. Seorang profesional terus-menerus perlu belajar agar pengetahuan dan pengalaman tidak ketinggalan zaman - saya memahami dan memahami ini dengan baik. Tidak ada cara lain dalam TI. Misalnya, Anda tidak dapat menjadi spesialis keamanan informasi tanpa pengetahuan tentang pengaturan jaringan anti-virus, jadi sertifikat terakhir yang saya terima adalah sertifikat DrWeb.untuk administrasi DrWeb Enterprise Security Suite v.11. Di sisi lain, akan berguna untuk melihat keamanan dari sudut pandang penyerang, jadi saya harus mempelajari teknik yang digunakan dalam serangan jaringan. Secara khusus, terkadang Anda harus mempelajari file yang mencurigakan, jadi Anda tidak dapat melakukannya tanpa pengetahuan teknik.
Lingkungan untuk analisis malware dinamis.
Sayangnya, kursus pemrograman yang saya putuskan untuk ambil di GeekBrains tidak dapat diselesaikan, karena mengajar di kampus memakan banyak waktu. Kami baru saja menjalani akreditasi untuk spesialisasi 10.02.02 " Keamanan informasi sistem telekomunikasi ", dan saya harus menyusun sejumlah besar dokumen. Artinya, pekerjaan birokrasi sama sekali tidak menyisakan waktu untuk belajar.
Sekarang tentang bagaimana saya sampai ke GeekBrains. Pada Mei 2018, di portal hh.ru, saya melihat lowongan untuk guru keamanan informasi dengan format kerja jarak jauh. Saya ingin mencoba sendiri dalam bisnis baru, dan saya memutuskan untuk melamar lowongan tersebut. Metodolog menghubungi saya dan mengatakan bahwa saya perlu melakukan siaran uji coba di YouTube dengan pelajaran kecil. Saya berhasil melakukannya, setelah itu saya diundang untuk mengajar.
Pekerjaan saya di GeekBrains
Saat ini saya mengajar dua mata kuliah: sisi server dan keamanan sisi klien untuk aplikasi web. Kursus pertama dikhususkan untuk masalah keamanan informasi umum dan sejumlah kerentanan di sisi server aplikasi web. Secara khusus, ini mempertimbangkan:
- metodologi pencarian kerentanan;
- pentest dan Bug Bounty;
- badan intelijen;
- intelijen 2.0;
- kesalahan konfigurasi keamanan;
- penyertaan;
- eksekusi kode jarak jauh;
- kerentanan non-RCE.
Di tahun kedua, kami mempertimbangkan kerentanan dari sisi klien dan metode perlindungan yang mungkin. Ini adalah kursus interaktif tempat kami belajar:
- apa itu XSS;
- Konteks XSS;
- Klasifikasi XSS;
- eksploitasi XSS;
- melewati WAF;
- CSRF;
- kebijakan keamanan konten;
- kerentanan lain pada klien.
Manfaat pengajaran online
Saya sangat menikmati bekerja dari jarak jauh. Selain itu, proses pendidikan menjadi jauh lebih aktif, karena saya mencoba menganalisis materi yang lebih praktis.
Misalnya, kami mempertimbangkan skenario praktik untuk mencari 10 kerentanan teratas OWASP, yang sering kali kurang di lembaga pendidikan.
Lingkungan Owasp Mutillidae yang rentan digunakan dalam kursus untuk menunjukkan kerentanan.
Baik siswa dan guru mengeluh tentang sedikitnya praktik di perguruan tinggi dan universitas. Saya sudah kuliah selama sembilan tahun, jadi saya tahu apa yang saya bicarakan.
Bagi seorang guru, kerja jarak jauh juga bagus karena minimnya birokrasi. Di universitas atau perguruan tinggi, Anda selalu harus mengisi beberapa dokumen, menyiapkan kertas alat peraga, laporan, dll. Ditambah lagi, dalam situasi normal, guru hanya dapat menggunakan metode kerja yang terbatas. Di kejauhan, semuanya tidak begitu: tidak ada birokrasi, metode dan cara pemecahan masalah dipilih oleh guru sendiri (sesuai dengan konsep mata kuliah, tentunya).
Misalnya, dalam kursus kami menggunakan Kali Linux (dan utilitas dari komposisinya), dan dalam pekerjaan saya sebelumnya, penggunaan sistem operasi ini agak negatif.
Pemindai Nikto digunakan dalam kursus kami untuk menemukan kerentanan.
Bahkan dalam kursus kami, Anda dapat menyesuaikan dan mengembangkan program yang dikembangkan perusahaan, yang merupakan masalah besar dalam pengajaran offline. Saya mencoba melengkapi kursus dengan informasi yang menarik bagi siswa, menerapkan keterampilan dan pengalaman praktis saya (berdasarkan sifat pekerjaan saya, saya menangani masalah praktis dalam mendeteksi dan mencegah serangan, jadi ada sesuatu untuk dibagikan).
Saya menjelaskan tidak hanya pengalaman positif, tetapi juga masalah yang dapat muncul dalam pekerjaan seorang spesialis keamanan komputer. Misalnya, efek penggunaan beberapa utilitas sangat bergantung pada pengaturan sistem. Jika ada sesuatu yang hilang, maka alat biasa tidak akan berfungsi. Anda perlu membicarakan hal ini, mendemonstrasikan semuanya dalam praktik. Misalnya, Anda dapat memblokir penggunaan banyak utilitas "yang tidak diinginkan" untuk menganalisis server dan mencari informasi di dalamnya. Idenya adalah bahwa banyak utilitas memiliki nilai bidang yang
User_Agentunik. Salah satu metode pemblokiran adalah melalui file .htaccessjika ada modul yang diinstal dan diaktifkan mod_rewrite. Isi file akan seperti ini (misalnya Apache 2):
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} curl [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^$ [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Acunetix [NC]
RewriteRule ^.* - [F,L]
Dimana:
curlberarti kata "curl" harus muncul di lapanganUser_Agent;^Berarti awal dari sebuah baris, yaitu^Acunetixsebuah baris yang dimulai denganAcunetix;^$berarti kekosongan;RewriteRule ^.* — [F,L]- halaman 403 (Forbidden, opsi[F]); itu dikembalikan jika setidaknya salah satu kondisi terpenuhi.
Akibatnya, permintaan yang berisi
User_Agentutilitas curl akan diblokir:
Permintaan curl diblokir.
Apa yang didapat lulusan kursus keamanan informasi?
Jika kita berbicara tentang keseluruhan kursus, maka setelah menyelesaikan pelatihan, siswa tersebut menerima:
- keterampilan dalam bekerja dengan sistem operasi Linux, dasar-dasar pemrograman dengan Python dan pengetahuan tentang komponen utama yang membentuk web: URL, HTTP, HTML, JavaScript, Kebijakan Asal yang Sama, dll;
- keterampilan dalam mencari kerentanan di sisi klien aplikasi web, memanfaatkan kerentanan klien, pengetahuan tentang metode perlindungan, memahami prinsip-prinsip operasi protokol web utama dan mekanisme perlindungan browser;
- keterampilan dalam mencari kerentanan sisi server dan pemahaman tentang fitur Bug Bounty, yang memungkinkan Anda menghasilkan uang dengan Bug Bounty;
- keterampilan dalam menggunakan jaringan kabel dan nirkabel, memahami perangkat mereka, mengetahui bagaimana memastikan keamanan dalam jaringan dan kemampuan untuk menguji parameter keamanan mereka;
- keterampilan dalam rekayasa balik aplikasi, pencarian dan eksploitasi kerentanan biner, pengetahuan tentang dasar-dasar protokol kriptografi.
Adapun arahan yang saya pimpin dalam kursus ini, para siswa:
- belajar menemukan kerentanan di bagian klien dan server aplikasi web;
- menguji dan memvalidasi berbagai kerentanan;
- ;
- web-, ;
- , , , ;
- , web-, , .
Pengajaran online memiliki banyak keuntungan, bahkan mungkin lebih daripada bekerja di universitas atau perguruan tinggi. Setidaknya dalam hal pengalaman kerja saya.
Dan sekarang pengumumannya. Jika Anda ingin bergabung dengan tim GeekBrains, sekarang ada peluang bagus: perusahaan sedang mencari pengajar, penulis, dan peninjau baru, dari pengembang backend hingga ilmuwan data, dari penguji hingga spesialis keamanan informasi. Semua ini bisa digabungkan dengan pekerjaan utama. Pelajari lebih lanjut, serta ajukan aplikasi, jika Anda tertarik dengan penawaran tersebut, Anda dapat mengikuti tautan ini .