Temat wpisu celowo ma sprawić, że z większą ciekawością ktoś zajrzy do tego krótkiego wpisu.
Do rzeczy. Mniej więcej od roku 2004 mniej lub bardziej etatowo jestem trenerem. Miałem okazję prowadzenia różnych szkoleń z zakresu szeroko pojętego bezpieczeństwa informacji. Może powinienem napisać, że z pentestów, DDoSów, obchodzenia DEP'a czy innych fajnych słów kluczowych dla wyszukiwarek, ale nie ;)
Co mnie ciekawi?
Część firm organizujących szkolenia z "testów bezpieczeństwa" kieruje swoje usługi do szeroko pojętych pracowników działów IT. Pytanie brzmi, po co tam taki rozdział jak "Zacieranie śladów"? - jedyny przychodzący mi do głowy powód to pokazać jak ktoś może po sobie zacierać ślady i co po sobie pozostawi by go złapać. Z drugiej strony czy to jest potrzebne na tym szkoleniu?
Jak często w ramach usługi "testu bezpieczeństwa" ktoś zamówił "zacieranie śladów" po sobie? Do czego innego się to przyda?
Co z tym można zrobić?
Szczerze pisząc jeśli otrzymuję materiały szkoleniowe po innym trenerze i mam na to wpływ to staram się omówić taki punkt z zamawiającym/organizującym szkolenie, a jeśli nie znajdziemy uzasadnienia dla życia takiego rozdziału szkolenia usuwamy go lub zamieniamy na inny.
Inne pytanie: Czy developer piszący kod, którego zadaniem jest tworzenie możliwie bezpiecznych aplikacji musi znać bardzo wysublimowane sposoby wykorzystywania podatności czy przede wszystkim znać ogólne zasady ataków, a świetnie poruszać się w mechanizmach obronnych, które zaimplementuje/wykorzysta?
Moim zdaniem to drugie, które od pewnego[1] czasu wprowadzam na szkoleniach, które prowadzę[2] i to się sprawdza.
[1] - sorry, tajemnica zawodowa.
[2] - j/w, jeśli już prowadzę to głównie szkolenia zamknięte, których nie mogę/muszę promować.
Subskrybuj:
Komentarze do posta (Atom)
2 komentarze:
Jakoś tak mi się dziwnie Twój wpis skorelował w czasie z opublikowaną w pewnym miejscu informacją o nowym szkoleniu :)
Co do tematu, który poruszasz - częściowo masz rację. Ładowanie w program szkolenia masy tematów tylko dlatego, że brzmią ciekawie, nie koniecznie jest dobrym rozwiązaniem. Mogą one być omawiane kosztem tych zagadnień, które są bardziej przydatne dla szkolonej grupy. I ta część, w której masz rację, to co najmniej 80% przypadków, moim zdaniem.
A te 20%? Do pewnego stopnia uważam, że tematy typu "zacieranie śladów" mogą być przydatne. Jeśli na przykład uczestnikiem takiego szkolenia jest ktoś, kto potrzebuje wiedzy ogólnej, ogólnego obrazu tego co się może stać, jak to się może stać i co może stać się później (w tym przypadku - że ślady ktoś będzie chciał usunąć), być może nawet taka ogólna wiedza będzie wystarczająca do podjęcia w miarę sensownych decyzji. Nie tyle sam będzie zacierał ślady, co może przynajmniej zbierze dowody, zanim ktoś je usunie, lub nie da się łatwo oszukać, że skoro czegoś nie ma, to znaczy, że coś się nie zdarzyło. Albo jeśli ktoś pokaże scenariusz wykorzystania "self XSS" przy pomocy ui-redressing, ocena takich podatności może się zmieni z "niemożliwe do wykorzystania" na "mało prawdopodobne do wykorzystania, ale możliwe". To też ma pewną wartość.
Jak się wczytać w post to te "20%" też znajdzie się w jego treści :-)
Prześlij komentarz