こんにちは、Habr。私の名前はウラジミール・ドゥシュケビッチです。私は情報セキュリティの専門家であり、情報セキュリティ学部の教師です。私は数年前にGeekBrainsチームに参加しましたが、それについて話したいと思います。記事の最後に、私たちのチームの一員になりたい読者のための小さな発表があります。しかし、これは後で、最初は私の話です。
それはすべて、GeekBrainsについて最初に聞いた2018年に始まりました。そして、プログラミングスキルを向上させることを決意し、コースを受講しました。すると、会社が情報セキュリティの先生を探していることに気づき、興味を持った。その時、私はすでにArkhangelsk College of Telecommunications(AKT(f)SPbSUT)で教えていて、オフラインの教師のキャリアは私にとっては大丈夫でした。しかし、リモートで教えるときにすべてがどのように行われるかを知ることは興味深いことでした。
あなた自身について少し
私は2008年に大学を卒業し、物理学の学位を取得し、Pomor州立大学でさらに専門的な情報学を学びました。M.V. Lomonosov。その後、情報セキュリティ、Linux、ネットワーク、Webテクノロジーの分野で追加の教育を繰り返し受けました。専門家は、知識と経験が時代遅れにならないように常に学ぶ必要があります-私はこれをよく理解し、理解しています。ITには他に方法はありません。たとえば、アンチウイルスネットワーク設定の知識がなければ情報セキュリティスペシャリストになることはできないため、最後に受け取った証明書はDrWeb証明書でした。管理用DrWebEnterprise Security Suitev.11。一方、攻撃者の視点からセキュリティを見ると便利な場合があるため、ネットワーク攻撃で使用される手法を学ぶ必要がありました。特に、疑わしいファイルを調べなければならないことがあるので、テクニックの知識がないとできません。
動的マルウェア分析のための環境。
残念ながら、GeekBrainsで受講することにしたコーディングコースは、大学での授業に時間がかかったため、完了できませんでした。専門分野10.02.02「通信システムの情報セキュリティ」の認定を受けたばかりで、大量の書類を作成しなければなりませんでした。つまり、官僚的な仕事は単に研究のための時間を残しませんでした。
では、GeekBrainsにたどり着いた方法について説明します。2018年5月、hh.ruポータルで、リモートワーク形式の情報セキュリティ教師の欠員が見つかりました。新しいビジネスに挑戦したかったので、空席を申請することにしました。方法論者から連絡があり、小さなレッスンでYouTubeでテスト放送を行う必要があるとのことでした。私はそれを成功裏に実施し、その後私は教えるように誘われました。
GeekBrainsでの私の仕事
私は現在、Webアプリケーションのサーバー側とクライアント側のセキュリティの2つのコースを教えています。最初のコースは、一般的な情報セキュリティの問題と、Webアプリケーションのサーバー側のいくつかの脆弱性に焦点を当てています。特に、次のことが考慮されます。
- 脆弱性検索方法;
- ペンテストとバグバウンティ。
- インテリジェンスサービス;
- インテリジェンス2.0;
- セキュリティの設定ミス。
- 包含;
- リモートコード実行。
- 非RCEの脆弱性。
2年目には、クライアント側の脆弱性と考えられる保護方法を検討します。これは、私たちが学ぶインタラクティブなコースです。
- XSSとは何ですか。
- XSSコンテキスト;
- XSS分類;
- XSSの悪用;
- WAFをバイパスします。
- CSRF;
- コンテンツセキュリティポリシー。
- クライアントの他の脆弱性。
オンライン教育のメリット
私はリモートでの作業を本当に楽しんでいます。さらに、より実用的な資料を分析しようとするにつれて、教育プロセスはより活発になりました。
たとえば、実際には、教育機関では不足していることが多いOWASPトップ10の脆弱性を検索するためのシナリオを検討します。
脆弱なOwaspMutillidae環境は、脆弱性を実証するためのコースで使用されます。
学生も教師も、大学での練習が少ないことに不満を持っています。私は大学に9年間在籍しているので、私が何について話しているのかを知っています。
教師にとっては、事務局が最小限であるため、遠隔作業も適しています。大学や大学では、常にいくつかの文書に記入し、紙の教材、レポートなどを準備する必要があります。さらに、通常の状況では、教師は狭い範囲の作業方法しか使用できません。遠隔地では、すべてがそうではありません。官僚主義はなく、問題を解決する方法と手段は、教師自身が選択します(もちろん、コースの概念に従って)。
たとえば、コースではKali Linux(およびその構成からのユーティリティ)を使用しますが、私の前の作業では、このオペレーティングシステムの使用はかなり否定的でした。
Niktoスキャナーは、脆弱性を見つけるためにコースで使用されます。
私たちのコースでも、オフライン教育で大きな問題を抱えている同社が開発したプログラムを調整して開発することができます。私は、実践的なスキルと経験を応用して、学生にとって興味深い情報でコースを補足しようとしています(私の仕事の性質上、攻撃の検出と防止の実践的な問題に取り組んでいるので、共有することがあります)。
ポジティブな経験だけでなく、コンピューターセキュリティスペシャリストの仕事で発生する可能性のある問題についても説明します。たとえば、一部のユーティリティを使用した場合の効果は、システム設定に大きく依存します。何かが足りない場合、通常のツールは機能しません。あなたはこれについて話し、実際にすべてを実演する必要があります。たとえば、多くの「不要な」ユーティリティを使用してサーバーを分析し、サーバーに関する情報を検索することをブロックできます。多くのユーティリティには
User_Agent固有のフィールド値があるという考え方です。.htaccessインストールされてアクティブ化されたモジュールがある場合、ブロック方法の1つはファイルを使用することですmod_rewrite。ファイルの内容は次のようになります(たとえば、Apache 2)。
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} curl [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^$ [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Acunetix [NC]
RewriteRule ^.* - [F,L]
どこ:
curl「カール」という単語がフィールドに表示される必要があることを意味しますUser_Agent。^行の始まり、つまり;^Acunetixで始まる行を意味しAcunetixます。^$空を意味します。RewriteRule ^.* — [F,L]-403ページ(Forbidden、オプション[F]); 少なくとも1つの条件が満たされた場合に返されます。
その結果、
User_Agentcurlユーティリティを含むリクエストはブロックされます。
ブロックされたカールリクエスト。
情報セキュリティコースの卒業生は何を取得しますか?
コース全体について話すと、トレーニングが完了すると、学生は次のことを受け取ります。
- Linuxオペレーティングシステムの操作スキル、Pythonでのプログラミングの基本、およびWebを構成する主要コンポーネント(URL、HTTP、HTML、JavaScript、同じオリジンポリシーなど)の知識。
- Webアプリケーションのクライアント側の脆弱性を検索するスキル、クライアントの脆弱性を悪用するスキル、保護方法の知識、主要なWebプロトコルの動作原理とブラウザー保護メカニズムの理解。
- サーバー側の脆弱性を検索し、Bug Bountyの機能を理解するスキル。これにより、BugBountyで収益を上げることができます。
- 有線および無線ネットワークの使用、デバイスの理解、ネットワークのセキュリティを確保する方法の知識、およびセキュリティパラメータをテストする能力。
- アプリケーションのリバースエンジニアリング、バイナリ脆弱性の検索と活用のスキル、暗号化プロトコルの基本に関する知識。
私がコース内で導く方向性については、学生は次のように述べています。
- Webアプリケーションのクライアント部分とサーバー部分の脆弱性を見つけることを学びます。
- さまざまな脆弱性をテストおよび検証します。
- ;
- web-, ;
- , , , ;
- , web-, , .
オンライン教育には多くの利点があり、おそらく大学や大学で働くよりもさらに多くの利点があります。少なくとも私の仕事の経験に関しては。
そして今まさに発表です。GeekBrainsチームに参加したい場合は、今が良い機会です。同社は、バックエンド開発者からデータサイエンティスト、テスターから情報セキュリティスペシャリストまで、新しい教師、作成者、レビュー担当者を探しています。これはすべて、メインの仕事と組み合わせることができます。詳細を確認し、申し込みを送信してください。オファーに興味がある場合は、このリンクをたどることができます。