image

"Lezingen en lekken beste CV security professional"

donderdag 9 augustus 2012, 13:50 door Redactie, 4 reacties

Wie als security professional aan de slag wil kan het beste naar beveiligingslekken opzoek gaan en lezingen tijdens grote conferenties geven. Dat adviseert de bekende Mac-hacker Charlie Miller. Miller werkte zelf vijf jaar voor het Amerikaanse National Security Agency (NSA). Hij kon nieuwe werkgevers echter niets vertellen over wat hij hier gedaan had. Het viel dan ook niet mee om een baan te krijgen.

Miller werkte aan zijn eigen vaardigheden en ontdekte verschillende beveiligingslekken. Zo won hij meerdere keren de Pwn2Own hackerwedstrijd via kwetsbaarheden in Safari. Toch adviseert hij beginnende security professionals om met webapplicatiebeveiliging te beginnen, aangezien daar het meeste werk is te vinden.

Daarnaast raadt hij beginners aan om zich niet blind op certificaten te staren. "Wat ik geleerd heb, is dat bij de dingen waar ik geinteresseerd in ben, certificeringen niet echt zinvol zijn om naar een baan te zoeken, behalve om te laten zien dat je de basis van het onderwerp begrijpt."

Kunstenaar
Miller stelt dat in de IT security diploma's en certificaten niet per definitie vaardigheden betekenen. "Alleen vaardigheden laten vaardigheden zien en het is lastig om vaardigheden te meten", aldus de Mac-hacker. Hij vergelijkt het met een kunstenaar of architect die een baan zoekt. "Het is minder belangrijk om te weten naar welke school die ging, dan de plannen en tekeningen die hij kan laten zien."

Dat was ook het probleem waar Miller tegen aanliep toen hij bij de NSA vertrok. "Ik had niets om aan te geven dat ik wist waar ik het over had." De beste manier om een CV op te bouwen is volgens hem het vinden van beveiligingslekken (CVE's) en het geven van lezingen. "Als ik een CV zie met een aantal indrukwekkende CVE's en een aantal lezingen op grote conferenties, trekt dat zeker mijn aandacht."

Reacties (4)
09-08-2012, 14:59 door Anoniem
Wat is dat weer een ontzettend bekrompen blik op het vak informatie beveiliging.
Dus als je niet kunt hacken, snap je niets van beveiliging...
En natuurlijk is een combinatie van diploma's / certificaten en vooral praktijkkennis / vaardigheden goed.
Maar dat geldt voor ieder vakgebied lijkt me, van timmerman t/m neurochirurg.
09-08-2012, 16:09 door Anoniem
Als hij een CV ziet met indrukwekkende CVE's raakt hij daarvan opgewonden. Leuk voor hem..
Ik kijk liever naar organisatie brede security implementaties.
Zal wel aan mij liggen...
09-08-2012, 16:44 door Anoniem
Fuzzing tools kunnen bedienen en assembler kunnen lezen is een deel van de kennis en ervaring die je moet hebben. Entry level stuff. Niet echt heel moeilijk maar eerder domweg tijdrovend. Leuk geprobeerd maar ik weet nog wel wat andere kennis die je echt moet hebben om een echte security expert te zijn. Gaten zullen altijd zitten in implementaties. Het gaat erom dat je implementaties ontwerpt die door 1 gat niet omvallen maar drie andere lagen erachter hebben zitten die rekening houden met de mogelijkheid c.q. zekerheid dat er ergens een gat zal zitten. Lees eerst maar eens de software requirements boeken van NASA of ESA om te begrijjpen wat ik bedoel.

Verder is het inderdaad wel zo dat vele "security experts" niet weten wat een heap of een stack is. Dat maakt het vrijwel onmogelijk om met echt inzicht technische risicobeoordelingen te kunnen doen. Men begrijpt domweg niet voldoende van de onderliggende techniek om zinnige uitspraken te kunnen doen. Alsof een kleermaker een autogordel laat ontwerpen terwijl deze niet de juiste SOORT kennis heeft van materialen waarmee je autogordels bouwt.

My two cents...
09-08-2012, 18:49 door Anoniem
Door Anoniem: Als hij een CV ziet met indrukwekkende CVE's raakt hij daarvan opgewonden. Leuk voor hem..
Ik kijk liever naar organisatie brede security implementaties.
Zal wel aan mij liggen...

Wel, security is dan ook een breed vakgebied.
In het segment (en niveau) waar Charlie Miller zit, vind ik zijn keuzes waar hij naar kijkt om iemand als peer te beoordelen goed gekozen.

"organisatie brede security implementatie" zegt in die hoek erg weinig, of is feitelijk zelfs een negatieve aanbeveling.
(gewoon, omdat je om ergens echt goed in te zijn er ook gewoon erg veel mee bezig moet zijn, en als je "organisatie brede implementaties" doet, blijft er echt te weinig tijd over je echt in applicatie lekken te verdiepen.

Overigens, "organisatie brede implementaties" kunnen ook goed of slecht gedaan worden, dus hoe maak jij die keuze als je een mening over iemand moet vormen ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.