• Как быстро проверить какие пакеты имеют уязвимости в composer.json?

    @Flying
    Локально можно делать проверку так, как описано здесь.

    Но поскольку проверка уязвимостей должна быть постоянным процессом - лучше всё-таки использовать либо упомянутый вами roave/security-advisories либо, если ваш проект на GitHub - то через GitHub action.

    В конечном итоге все эти варианты опираются на один и тот же источник информации.
    Ответ написан
    Комментировать
  • Как стать специалистом по информационной безопасности?

    CityCat4
    @CityCat4 Куратор тега Информационная безопасность
    //COPY01 EXEC PGM=IEBGENER
    Начать с ответа на вопрос - зачем я иду в ИБ. Не, я не троллю (в данный момент). ИБ - огромная, чрезвычайно многогранная и не всегда приятная область работы, в которой черт знает сколько различных направлений, поднаправлений и подподнаправлений :D

    Кем Вы себя видите в ИБ:
    - кодером, взламывающим вирусы и восстанавливающим файлы, поеденные криптором?
    - сетевиком, настраивающим средства сетевой защиты, сканеры, системы раннего предупреждения?
    - админом СМП, мониторящим работу сотрудников? (да, это тоже часть работы ИБ - и не дай Бог Вам ею заниматься!)
    - разработчиком документации, положений, инструкций?
    - админом PKI, отвечающим за корпоративные сертификаты?
    Ответ написан
    Комментировать
  • Как отследить программу?

    Самый идеальный вариант отправить её на hybridanalysis, там будет вам детальная информация о том что куда сливается.
    Ответ написан
    Комментировать
  • Как прокачаться и научиться языку программирования\аналитики R?

    @aksm
    SEO analyst
    Рекомендую взять в оборот блог r-analytics.blogspot.ru/.
    Ребята недавно выпустили методичку по всему материалу блога: r-analytics.blogspot.ru/2014/12/r.html
    Ответ написан
    Комментировать
  • Законно ли обучать написанию программ для тестирования безопасности?

    Jump
    @Jump
    Системный администратор со стажем.
    Законно ли обучать написанию программ для тестирования безопасности?
    Да.

    буду учить писать программы для брутинга, ботнетов и прочего.
    Обучение написанию таких программ вполне законно, а вот написание этих программ незаконно.
    Но решается просто.
    Пишите программы не для брутафорса и создания ботнетов, а для борьбы с брутофорсом и созданием ботнетов только и всего. Это законно.

    Тут принцип какой если вы написали софт и позиционируете его как софт для взлома - это незаконно.
    Если он предназначен для борьбы со взломом это уже законно. Хотя софт один и тот же.
    Примерно как с ножом - если это холодное оружие, посадят, если это кухонный прибор все отлично.
    Ответ написан
    4 комментария
  • Нужен ли ASSEMBLER специалисту по информационной безопасности?

    @Karpion
    Знать ассемблер не нужно, но вот иметь представление о нём - необходимо. Хотя бы потому, что без этого невозможно понять, каким образом возникают уязвимости типа MeltDown.

    Необходимый уровень знания ассемблера - зависит от специализации внутри профессии "ИБ".

    Скорее всего, программировать на ассемблере не понадобится. Впрочем, ИБ-специалисты довольно редко программируют сами - они больше в чужих программах копаются.
    Ответ написан
    Комментировать
  • Куда движется профессия системного администратора?

    athacker
    @athacker
    Выбирайте то, к чему душа больше лежит. IT Ops останутся навсегда, какие бы облака там не парили над нами. Всё равно полно организаций, которые не доверяют потусторонним конторам хранение своих данных и обслуживание своей IT-инфраструктуры (и правильно делают). Особенно в свете развития законов и методик оповещения об утечках и т. п.

    IT Ops, на мой взгляд, поинтереснее (сам такой потому что), так как задачи разнообразнее. Но в DevOps, например, денег больше платят. Хотя в IT Ops сейчас тоже много из DevOps наприлетало -- Infrastructure as a Code, ansible/chef/puppet, хранение конфигов/плейбуков в VCS, вот это вот всё. И это действительно приводит к тому, что нужно меньше людей, чтобы управлять существенно бОльшими по размеру инфраструктурами. Но и квалификация этих людей тоже должна быть выше, и программерский бэкграунд какой-то тоже нужен. Потому что даже в IT Ops очень много автоматизации, которую нужно писать руками на Shell, Powershell, Python, смотря где как принято.

    Отдельный денежный сегмент -- это DBA. Oracle, PostgreSQL, MariaDB -- прокачанных DBA мало, и стоят они дорого. С другой стороны, рынок, где требуются DBA -- довольно узок. И чтобы не было проблем с поиском работы -- квалификация должна быть высокой.

    Есть ещё NetOps, т. е. сетевые инженеры. Но там сейчас грустно -- несмотря на то, что для работ в операторских сетях, например, нужна нефиговая такая квалификация и знание особенностей кучи вендорского железа (редко кто строит гомогенные в смысла вендора сетевого железа сети, в основном сборная солянка - -Cisco/Juniper/Mikrotik/Dlink/Huawei), но зарплаты там (по Москве) -- 90-100 тысяч. При этом практикуются ночные/выходные дежурства и всё такое. Можно найти прекрасные места, где сетевой инженер будет зарабатывать бОльшую сумму, но в целом -- как-то так.

    Если резюмировать -- в IT Ops ниже порог вхождения в целом. Т. е. можно найти работу, где не требуется серьёзная квалификация, но и денег будет соответственно.

    DevOps -- порог вхождения выше, т. к. DevOps подразумевает выполнение вполне конкретного набора задач, и для их выполнения уже вряд ли возьмут человека с улицы, надеясь, что он "по ходу разберётся" (а вот в IT Ops или даже NetOps в мелких и средних конторах ещё может прокатывать). Квалификация требуется выше, но и денег больше.

    DBA -- всё ещё сложнее, чем с DevOps. Рынок узкий, квалификация нужна высокая, но зарплаты тоже высоки, повыше DevOps, по моим наблюдениям.

    В чистый NetOps сейчас уходить... Ну такоэ... Есть крупные конторы, где этим можно нормально зарабатывать, но всё равно, квалификация требуется высокая, а денег относительно требуемого объёма знаний платят не так уж много. Вот IT Ops + NetOps -- это да, тут можно найти хорошую работу. Но для этого книжек придётся прочитать в полтора раза больше, чем отдельно IT Ops и в два раза больше -- чем отдельно NetOps :-)
    Ответ написан
    4 комментария
  • Куда движется профессия системного администратора?

    Stalker_RED
    @Stalker_RED
    От системного администратора отделяются всякие ветки, типа хелпдеска, безопасников, администраторов БД, DevOps, и так далее. Ничего с ними особенного не случится, но ветки будут отделяться и в будущем. Выбирайте какая вам больше по вкусу или оставайтесь в "generic-компутерщик".
    Ответ написан
    6 комментариев
  • Аутентификация по смарт-картам в Active Directory, используются ли пароли пользователей далее?

    Francyz
    @Francyz
    Photographer & SysAdmin
    Тестировал двухфакторную авторизацию и насколько я помню, там просто добавляется дополнительный способ авторизации по смарт-картам. Т.е. логин и пароль будет по-прежнему работать, если он специально не отключен в настройках ГПО (но это не точно).
    Если есть денек свободного времени - это легко проверить на виртуалках - я там подобное специально проверяю перед внедрением в инфраструктуру. Очень удобно.
    Ответ написан
    2 комментария
  • Как защитить PDF от распространения?

    @vvs76vvs
    Посмотрите на решения от Truscont
    TrusCont Enhanced DVD-R диски со встроенной защитой от копирования
    TrusCont Secure Flash Drive. USB Flash Drive со встроенной защитой от копирования.
    Файлы шифруются с привязкой к уникальному коду на носителе, менеджер защиты (должен запускаться первым) расшифровывает их прямо в Acrobat/Foxit, при этом блокирует пересохранение копировать/вставить, печать и printscreen.
    Ответ написан
    Комментировать
  • Как заставить ПО работать из одного каталога но на разных рабочих станциях?

    15432
    @15432
    Системный программист ^_^
    Хмм, а если сделать симлинк на шареную папку?
    sourcedaddy.com/windows-7/how-to-create-symbolic-l...

    Программа будет считать, что она находится где-нибудь в C:\program files, но это будет симлинком на Z:/soft
    Ответ написан
    Комментировать
  • Какая программа менеджмента паролей подойдет для совместной роботы в IT отделе?

    XXX
    @XXX
    Решение где-то рядом
    Данил под ваш запрос, на 100% готового и бесплатного решения нет, нужно брать за основу одно из готовых решений или писать велосипед под свои нужды.

    Посмотрите варианты: passbolt (open source, есть расширение для chrome и firefox), teampass.
    Ответ написан
    Комментировать
  • Как защититься от смены SIM?

    @gremilkar Автор вопроса
    К сожалению,для Сбербанка генератор паролей видимо уже не актуален: izvestia.ru/news/604681 . Возможно я не совсем точно сформулировал вопрос,меры защиты для компьютера понятны. Интересуют меры для защиты от перевыпуска сим карты. Т.е. можно ли как-то мониторить активность сим карты, к примеру я сплю,а в это время кто-то осуществляет перевыпуск моей симки при содействии представителя оператора связи (если не ошибаюсь была история со взломом привязанной почты с помощью перевыпущенной симки).
    Ответ написан
    2 комментария