Nieuws

"Lezingen en lekken beste CV security professional"

donderdag 9 augustus 2012, 13:50 door Redactie, 4 reacties

Wie als security professional aan de slag wil kan het beste naar beveiligingslekken opzoek gaan en lezingen tijdens grote conferenties geven. Dat adviseert de bekende Mac-hacker Charlie Miller. Miller werkte zelf vijf jaar voor het Amerikaanse National Security Agency (NSA). Hij kon nieuwe werkgevers echter niets vertellen over wat hij hier gedaan had. Het viel dan ook niet mee om een baan te krijgen.

Miller werkte aan zijn eigen vaardigheden en ontdekte verschillende beveiligingslekken. Zo won hij meerdere keren de Pwn2Own hackerwedstrijd via kwetsbaarheden in Safari. Toch adviseert hij beginnende security professionals om met webapplicatiebeveiliging te beginnen, aangezien daar het meeste werk is te vinden.

Daarnaast raadt hij beginners aan om zich niet blind op certificaten te staren. "Wat ik geleerd heb, is dat bij de dingen waar ik geinteresseerd in ben, certificeringen niet echt zinvol zijn om naar een baan te zoeken, behalve om te laten zien dat je de basis van het onderwerp begrijpt."

Kunstenaar
Miller stelt dat in de IT security diploma's en certificaten niet per definitie vaardigheden betekenen. "Alleen vaardigheden laten vaardigheden zien en het is lastig om vaardigheden te meten", aldus de Mac-hacker. Hij vergelijkt het met een kunstenaar of architect die een baan zoekt. "Het is minder belangrijk om te weten naar welke school die ging, dan de plannen en tekeningen die hij kan laten zien."

Dat was ook het probleem waar Miller tegen aanliep toen hij bij de NSA vertrok. "Ik had niets om aan te geven dat ik wist waar ik het over had." De beste manier om een CV op te bouwen is volgens hem het vinden van beveiligingslekken (CVE's) en het geven van lezingen. "Als ik een CV zie met een aantal indrukwekkende CVE's en een aantal lezingen op grote conferenties, trekt dat zeker mijn aandacht."

Poort 445 weer meest aangevallen poort

Duitse spionagesoftware wereldwijd actief

Reacties (4)

09-08-2012, 14:59 door Anoniem

Wat is dat weer een ontzettend bekrompen blik op het vak informatie beveiliging.
Dus als je niet kunt hacken, snap je niets van beveiliging...
En natuurlijk is een combinatie van diploma's / certificaten en vooral praktijkkennis / vaardigheden goed.
Maar dat geldt voor ieder vakgebied lijkt me, van timmerman t/m neurochirurg.

09-08-2012, 16:09 door Anoniem

Als hij een CV ziet met indrukwekkende CVE's raakt hij daarvan opgewonden. Leuk voor hem..
Ik kijk liever naar organisatie brede security implementaties.
Zal wel aan mij liggen...

09-08-2012, 16:44 door Anoniem

Fuzzing tools kunnen bedienen en assembler kunnen lezen is een deel van de kennis en ervaring die je moet hebben. Entry level stuff. Niet echt heel moeilijk maar eerder domweg tijdrovend. Leuk geprobeerd maar ik weet nog wel wat andere kennis die je echt moet hebben om een echte security expert te zijn. Gaten zullen altijd zitten in implementaties. Het gaat erom dat je implementaties ontwerpt die door 1 gat niet omvallen maar drie andere lagen erachter hebben zitten die rekening houden met de mogelijkheid c.q. zekerheid dat er ergens een gat zal zitten. Lees eerst maar eens de software requirements boeken van NASA of ESA om te begrijjpen wat ik bedoel.

Verder is het inderdaad wel zo dat vele "security experts" niet weten wat een heap of een stack is. Dat maakt het vrijwel onmogelijk om met echt inzicht technische risicobeoordelingen te kunnen doen. Men begrijpt domweg niet voldoende van de onderliggende techniek om zinnige uitspraken te kunnen doen. Alsof een kleermaker een autogordel laat ontwerpen terwijl deze niet de juiste SOORT kennis heeft van materialen waarmee je autogordels bouwt.

My two cents...

09-08-2012, 18:49 door Anoniem

Door Anoniem: Als hij een CV ziet met indrukwekkende CVE's raakt hij daarvan opgewonden. Leuk voor hem..
Ik kijk liever naar organisatie brede security implementaties.
Zal wel aan mij liggen...

Wel, security is dan ook een breed vakgebied.
In het segment (en niveau) waar Charlie Miller zit, vind ik zijn keuzes waar hij naar kijkt om iemand als peer te beoordelen goed gekozen.

"organisatie brede security implementatie" zegt in die hoek erg weinig, of is feitelijk zelfs een negatieve aanbeveling.
(gewoon, omdat je om ergens echt goed in te zijn er ook gewoon erg veel mee bezig moet zijn, en als je "organisatie brede implementaties" doet, blijft er echt te weinig tijd over je echt in applicatie lekken te verdiepen.

Overigens, "organisatie brede implementaties" kunnen ook goed of slecht gedaan worden, dus hoe maak jij die keuze als je een mening over iemand moet vormen ?

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer