Главная » Руководство по Linux

Кто такой специалист по информационной безопасности и как им стать: подробный обзор профессии

Опубликовано: Руководство по Linux

BackTrack (Kali Linux)

Kali Linux не легкая и не самая тяжелая ОС. Для портативной ОС она немного тяжелая с размером 2 ГБ. Но 300+ доступных приложений достаточно, чтобы оправдать этот дополнительный размер. Этот дистрибутив Linux считается фаворитом хакера и предназначен для тестирования безопасности. ОС Kali может использоваться для взлома беспроводных сетей, эксплуатации сервера, оценки веб-приложений и так далее. Хотя BackTrack Linux содержит несколько графических инструментов, но этот дистрибутив Linux хорош для экспертов в области командной строки.

BackTrack серьезно относится к анонимности. Пользователям не нужно регистрировать какие-либо имена, банковские счета или учетные записи пользователей как часть получения ISO-образа. Нет шпионских программ отчитывается перед любым поставщиком. Ncrack — это инструмент в этом конкретном дистрибутиве, который помогает пользователю идентифицировать учетные записи пользователей со слабыми паролями без необходимости входа на каждый хост. Следует отметить, что все средства, предлагаемые дистрибутивом Kali Linux, должны использоваться только на законных основаниях. Проект BackTrack продолжается как Kali Linux.

Основные характеристики:

  • Размер — 2 ГБ
  • RAM — 512 МБ

Подробный обзор Kali Linux в написан в этой статье

Инструкция по установке Kali Linux описана в этой статье

Профессия IT №4. Разработчик видеоигр

Обязанности

Разработчик видеоигр должен уметь немало, особенно если он сам занимается и созданием программного кода игры, и ее визуализацией, и дизайном. Ему постоянно нужно освежать знания, поскольку игровая индустрия не стоит на месте.

Где работать

Работать можно в компаниях, которые занимаются разработкой популярных игр, а можно и самостоятельно разрабатывать простые браузерные и мобильные игры. 

Зарплата

Средняя зарплата разработчика видеоигр в компании 50 тысяч рублей, однако если вы найдете заказчика и все будете делать сами, то за готовую игру можно заработать 100-130 тысяч.

Kali Linux

Kali Linux основан на Debian и был создан, чтобы предложить дистрибутив Linux с потрясающим проникновением для этического взлома, экспертов по безопасности, цифровой криминалистики и оценки сетевой безопасности. Этот дистрибутив является одним из лучших и наиболее безопасных дистрибутивов Linux для личного пользования, предоставляя пользователям такие пакеты инструментов, как Foremost, Wireshark, Maltigo as-Aircrack-ng, Kismet и другие. Эти пакеты предлагают пользователям различные преимущества, такие как использование приложения-жертвы, проверка целевого IP-адреса и выполнение сетевого обнаружения.

Вы можете использовать Kali Linux через USB-накопитель или DVD, поэтому этот дистрибутив довольно прост в использовании, как и дистрибутив Tails, упомянутый ранее в списке. Kali Linux совместим как с 32-, так и с 64-битными системами. Кроме того, основные требования Kali Linux – это 512 МБ ОЗУ и 10 ГБ на жестком диске. Согласно многочисленным опросам, разработчики считают Kali Linux одним из лучших и наиболее безопасных доступных дистрибутивов Linux.

Плюсы и минусы Kali Linux

Плюсы Минусы
Распространение с открытым исходным кодом, к которому можно легко получить доступ. Может сделать систему немного медленнее, чем обычно.
Многоязычная поддержка Inxluswa. Пользователи сталкиваются с проблемами, связанными с программным обеспечением.
Позволяет пользователям легко находить различные двоичные файлы. Иногда Kali Linux портит систему.

TENS (Trusted End Node Security)

Продукт, предназначенный для использования Министерством обороны США

   Мастер шифрования

   Несколько редакций

   Отсутствует менеджер пакетов

TENS (Trusted End Node Security) — это live-дистрибутив на базе Linux (ранее именуемый как «LPS» от Lightweight Portable Security»), разработанный Научно-исследовательской лабораторией ВВС Министерства Обороны США, предназначенный для того, чтобы позволить пользователям работать на компьютере без риска подвергнуть свои учетные и личные данные воздействию вредоносных программ, кейлоггеров и других угроз.

Дистрибутив использует рабочее окружение Xfce, которое настроено таким образом, чтобы имитировать Windows ХР. Макет рабочего стола, размещение и название программы запуска приложений, а также оформление окон будут выглядеть аналогично Windows.

Одним из уникальных аспектов дистрибутива является приложение Мастера Шифрования (Encryption Wizard). Вы можете перетаскивать файлы внутрь него и указывать пароль для их блокировки. Вы также можете зашифровать файлы с помощью файла сертификата или сгенерировать безопасный пароль, чтобы получить более устойчивую к дешифровке парольную фразу. Он использует 128- и 256-битное AES-шифрование и поддерживает сжатие зашифрованных архивов.

TENS выпускается в двух редакциях:

   Deluxe-издание включает в себя обычные настольные приложения для повседневного использования, такие как: LibreOffice, Totem Movie Player, Evince PDF reader, Firefox, Thunderbird и другие.

   Регулярный выпуск включает в себя приложение шифрования и некоторый небольшой набор дополнительных программ.

В отличие от других дистрибутивов, TENS не поддерживает установку большего количества программного обеспечения и в нем отсутствует менеджер пакетов.

Основные инструменты для анонимности

Сразу после запуска система устанавливает VPN-соединение с серверами Kodachi, затем через него соединяется с сетью Tor, а  DNS-запросы шифрует с помощью DNScrypt. Для сети Tor вы сами можете выбирать страну выходной ноды (этой стране будет принадлежать ваш внешний IP-адрес), а вместо DNS-cервера вашего провайдера можете установить другой, используя скрипты Yandex DNS, level 3, Google и подобные. Возможны также альтернативные варианты анонимизации трафика.

Kodachi VPN не столь быстрый, как хотелось бы, но система из коробки поддерживает несколько платных сервисов: Nord VPN, Mullvad, Hideme, Proton VPN. Собственные VPN-серверы разработчика расположены в Нидерландах, Франции и Германии. Поскольку этот VPN бесплатный, количество трафика ограничено — используя файлообменные сети и другие «прожорливые» сервисы, вы рискуете быть заблокированными.

В Kodachi Linux предустановлены следующие веб-браузеры: Firefox, Sphere, Tor Browser и собственный Kodachi. Такой выбор не случайный — именно они лучше всего защищают пользователей от фингерпринтинга (составления цифрового отпечатка) и отслеживания. Кроме того, для браузеров можно использовать proxychains — цепочку прокси-серверов для сокрытия своих следов.

Для шифрования файлов вы можете использовать Veracrypt, для хранения паролей — KeePassXC. Для общения есть множество мессенджеров — модифицированных версий популярных программ и других, ориентированных на сохранение вашей анонимности: Bettergram, Demonsaw, Signal, Wire. Помимо сети Tor здесь доступно соединение с i2p в один клик.

Стоит упомянуть и весьма необычный скрипт — Nuke. Он работает при условии, что диск был зашифрован на этапе установки. При запуске скрипта потребуется задать специальный пароль, который можно использовать вместо пароля пользователя. Если ввести его во время входа в ОС, вся система и данные в ней будут уничтожены без возможности расшифровки. Такая опция предусмотрена на случай экстренных ситуаций. Также есть простой скрипт Destroy system, уничтожающий файловую систему без возможности восстановления.

6. IpderiaOS

IpderiaOS — ориентированная на приватность ОС на основе Fedora Linux, которая может работать в live-режиме или быть установлена на ваш диск. Также, как и Tails маршрутизирует все соединения через сеть Tor для анонимности, Ipderia шлёт весь трафик через сеть I2P. Это называется «Garlic Routing» — чесночная маршрутизация — это процесс, где I2P устанавливает однонаправленные зашифрованные туннели для защиты ваших данных.

В теории это намного безопаснее, чем «луковая маршрутизация» в Tor, которая отправляет данные через установленные «цепи», что подвергает эти данные опасности рассекречивания. Дистрибутив включает в себя анонимный почтовый клиент, torrent-клиент и доступ к eepsites (специальные домены с расширением .i2p).

В отличие от Tor, I2P не работает, как шлюз в обычный интернет, поэтому Ipderia не может безопасно соединяться с обычными веб-сайтами. Преимущество доступа к eepsites в том, что ваше соединение не возможно отследить. I2P разработана специально для «скрытых» сервисов и соединений.

Плюсы:

Малый риск рассекретить ваш реальный IP онлайн.

Минусы:

  • Проект скорее мёртв, чем жив, не обновляется с 2013 года.
  • Нет лёгкого способа получить доступ к обычным веб-сайтам.

А теперь немного советов

Будьте готовы к падению дохода в первое время — на такую же ЗП, как у вас сейчас, скорее всего, сходу не получится устроиться — на своем текущем месте вы могли быть супер-экспертом, а в IT поначалу будете джуниором. Так что текущая ЗП может упасть процентов на 20-30, плюс снизятся премии. Для решения этой проблемы (и многих других) перед тем, как уходить с предыдущей работы нужно сделать финансовую подушку на 3-6 месяцев. Либо нужно снизить текущие расходы соответственно падению дохода. Можно разок не поехать в отпуск на море – тоже хорошо помогает стабилизировать финансовую ситуацию. При хорошем раскладе вы доберете все, что потеряли, в ближайшие 2-3 года.

Обязательно нужен ментор – старший коллега, который будет учить вас работать первое время. Без него будет очень трудно, практически невозможно.

Также очень помогает в трудных жизненных ситуациях поддержка родных и близких – если они в вас верят, если помогают и словом, и делом – становится значительно легче

Еще поначалу очень смущает непривычная корпоративная культура и стиль управления в IT. Вместо жесткого авторитаризма (я начальник – ты дурак) — почти полная демократия (даже некое подобие уважения со стороны начальства), но это совсем не страшно, непривычно больше, немного чувствуешь себя не в своей тарелке, и привыкание приходит быстро.

Невозможно спрогнозировать время, которое потребуется для решения рабочих задач — если ты такого (никакого) типа задач не решал никогда, как же предугадать время ее выполнения? Я, например, прикидывал за сколько времени я бы это сделал и умножал на 3 – в итоге примерно так и получалось.

Еще совет – в офисе open-space вокруг вас будет много специалистов разных профессий и разного уровня, много начальников, больших и не очень, но никто из них не будет знать, чем вы занимаетесь в данный момент, кроме вашего лида. Поэтому не суетитесь, сидите за компьютером расслабленно, делая вид, что вы очень заняты важным делом, чтобы все считали, что вы как минимум, новый Фейсбук разрабатываете (а не «Hello World» у вас не получается).

Но самое трудное будет, и об этом никто пока не догадывается – безумно сложно начинать в 45+ снова все с нуля!  Будет ощущение, что совсем ничего не понимаешь, а вокруг все уже такие крутые специалисты, по сравнению с которыми вы просто тупой неуч, что у вас вообще ничего не получается сейчас и не получится никогда —  и вы пожалеете о том, что затеяли эту авантюру и захочется все бросить и вернуться обратно  к прежней «легкой и понятной» сфере деятельности.

Так вот, когда этот момент наступит, просто скажите себе – «Обратной дороги нет» — и удвойте усилия! У вас все получится, хоть не сразу, конечно. Сравнивайте себя не со своими коллегами, а с самим собой в прошлом – и вы увидите, что развитие идет, и неплохими темпами, пройдет совсем немного времени и у вас все получится!

Удачи!

«Расскажите мне о времени, когда вы сделали все возможное, чтобы угодить покупателю?»

Работодатели не просто хотят, чтобы кто-то делал минимум или строго придерживался своей должностной инструкции в качестве представителя службы поддержки клиентов.

Поэтому они задают такие поведенческие вопросы, как этот, чтобы увидеть, действительно ли вы можете доставить удовольствие клиентам и выйти за рамки простых вещей.

Если у вас есть предыдущий опыт работы с клиентами, будьте готовы подробно рассказать о том, когда вы проявили творческий подход или приложили дополнительные усилия, чтобы угодить клиенту.

Например, если вы работали в продуктовом магазине, что вы сделали из того, чего они на самом деле не ожидали, и добились успеха?

Может быть, вы помогли им найти потерянного ребенка, когда магазин закрывался.

Возможно, вы специально заказали товар, который обычно не носите с собой.

Подумайте о том, чего нет в описании должности. Вот о чем следует говорить, отвечая на этот вопрос интервью.

Если вы никогда раньше не работали в сфере обслуживания клиентов, они могут задать аналогичный вопрос, например: «Расскажите мне о времени, когда вы вышли за рамки того, что от вас ожидали на работе?»

Поэтому, даже если вы никогда не работали в сфере обслуживания клиентов, будьте готовы рассказать о ситуации, когда вы сделали больше, чем ожидалось от вашей работы.

Fedora Security Spin

Fedora Security Spin также является неплохим вариантом для учебных целей. Поддерживается большим сообществом энтузиастов и исследователей в области безопасности. Как и большинство других аналогов Kali Linux, поставляется с целым рядом полезных элементов для аудита безопасности и тестирования на проникновение.

Подписывайтесь на канал и узнавайте первыми о новых материалах, опубликованных на сайте.

Если считаете статью полезной,не ленитесь ставить лайки и делиться с друзьями.

Сетевые адаптеры WAN Miniport. Откуда они взялись и почему нет сети?Сверхлёгкий электровелосипед EeyoНеверная кодировка при распаковке архивов ZIP и RAR«Профессионализм» сервиса Pedant.ru и почему стоит особенно беречь экран iPad ProПочему не стоит спешить с приобретением HomePodDeepen Linux и права суперпользователя. Как установить AnyDesk и Remmina

Как получить работу?

Итак, вы новичок, но уже что-то умеете. Если прошли большой курс, у вас уже есть свой проект или даже несколько. Они и станут визитной карточкой на собеседованиях. Вам нужно показать проект работодателю и по шагам рассказать, что, как и для чего вы делали в нём. 

На что обращают внимание в процессе собеседования:

  • знание процессов, происходящих в индустрии — следите за новинками;
  • умение использовать готовые решения и понимание того, что именно вы пишите. Если не понимаете значение той или иной строки, погуглите и разберитесь;
  • soft skills и просто умение поддержать беседу и показать свою заинтересованность и готовность вовлекаться — будьте проактивны;

Также перед встречей с HR-ом изучите, чем занимается компания, и подумайте о том, чем вы будете ей полезны. 

Ошибки конфигурации

Небезопасные настройки довольно распространены и всегда были критическим вопросом в области безопасности. Первая версия OWASP Top 10 Web Risks от 2004 года, включала в себя «Небезопасное управление конфигурацией» (Insecure Configuration Management); в версии списка 2017 года название изменилось на «Ошибочные настройки безопасности» (Security Misconfiguration).

Когда предприятия стали массово переходить на облачные технологии для обеспечения операционной и экономической устойчивости во время пандемии COVID-19, неправильная конфигурация стала ещё более серьёзной проблемой: по мере переезда предприятий и организаций в новые экосистемы они непреднамеренно вносили ошибки в конфигурации облачной инфраструктуры, контейнеров и бессерверных сред.

Ниже перечислены наиболее распространённые проблемы безопасности в конфигурации Linux.

Слабые пароли в Linux как массовое явление

Использование паролей по умолчанию или слабых паролей до сих пор удивительно распространено, причём даже самые популярные дистрибутивы не отличаются в лучшую сторону. 

Например, в дистрибутивах Debian/Ubuntu время жизни пароля по умолчанию составляет 99 999 дней, а если требуется принудительно задать сложность пароля, придётся устанавливать пакет libpam-pwquality или его аналог. 

Известный пример злоупотребления из-за отсутствия аутентификации произошёл в Tesla, когда злоумышленники получили доступ панели управления административной консоли, смогли взломать работающую подсистему Kubernetes и получить AWS-удостоверения Tesla для запуска майнера криптовалюты.

В ноябре 2020 года ФБР выпустило предупреждение о том, что злоумышленники злоупотребляют неправильно настроенными экземплярами SonarQube, который обнаруживает ошибки и уязвимости в безопасности исходного кода. Из-за того, что некоторые организации не поменяли настройки систем по умолчанию, они были доступны через порт 9000 с использованием учётных данных admin/admin.

Такая же проблема массово присутствует среди работающих под управлением Linux IoT-устройств, производители которых часто не утруждают себя безопасными настройками паролей. Многие IP-камеры и роутеры также поставляются без паролей или с паролями по умолчанию, которые можно легко найти в общедоступной базе паролей по умолчанию (Default Passwords Database). Причём в некоторых случаях пароли жёстко прошиты и не могут быть изменены. 

Уязвимые службы в интернете

Развитие специализированных поисковых систем привело к тому, что уязвимый открытый порт в интернете можно расценивать как приглашение к атаке. Например, используя специализированную поисковую систему Shodan, мы обнаружили более 8 тыс. уязвимых экземпляров Redis, размещённых в публичном облаке без TLS-шифрования и даже без пароля. Позже оказалось, что все они уже использовались кем-то для майнинга криптовалюты. 

Открытые файловые ресурсы на Linux-серверах

Публично доступные FTP-, SMB- и NFS-ресурсы, разрешённый листинг каталогов на веб-серверах под управлением Linux, открытые облачные службы хранения данных Amazon S3 и Azure Blob создают потенциальный риск несанкционированного доступа. С помощью Shodan мы обнаружили более 3 млн уязвимых публичных FTP-серверов.

Путь продвижения: профессия IT-маркетолога

Но вакансии в сфере IT не ограничиваются программированием – этому бизнесу, как и любому другому, требуется широкий спектр специалистов. И для «входа» в отрасль часто легче не обучаться разработке с нуля, а использовать релевантный опыт из своей специальности. Скажем, если раньше вы работали специалистом по продвижению в ресторане, вам будет намного легче переквалифицироваться и стать IT-маркетологом.

Дело в том, что компетентный маркетолог должен понимать принципы устройства бизнеса, уметь устанавливать цели, которые в конечном итоге скажутся на росте прибыли; выстраивать маркетинговые стратегии и обеспечивать их поддержку при тесной работе с другими структурными подразделениями – например, отделом продаж, финансами или HR. И такой специалист будет цениться в любой сфере, в том числе и IT.

Однако для переквалификации маркетологу придется подробно изучить рынок и накопить собственную базу знаний. Здесь необходимо разобраться, по каким принципам строится взаимодействие между участниками рынка, какие направления и продукты на нем представлены

Какие из них являются «дойными коровами», а какие – потенциальными или реальными «звездами»? Помимо этого, важно учитывать, что на IT-рынке работают как В2В, так и В2С-компании – и они требуют разного подхода при продвижении. Поэтому при переобучении сразу необходимо определиться с сегментом, в котором планируется развитие

Еще один прикладной совет для будущего IT-маркетолога – «прокачивать» навыки digital-маркетинга. Даже если вам не придется собственноручно настраивать кампании в Яндекс.Директ и Google Ads или запускать таргетированную рекламу, это поможет оценивать эффективность работы подрядчиков. Но главное – формировать свое видение присутствия компании в цифровой среде на стратегическом уровне.

Почему Ubuntu медленно работает?

1. Загрузка процессора

Чаще всего когда компьютер или сервер тупит виноват либо процессор, либо оперативная память. Начнём с процессора. Удобнее всего посмотреть нагрузку на ядра процессора с помощью утилиты htop. Сначала её надо установить:

Затем запустите:

Здесь в верхней части программы расположена статистика по загрузке ядер процессора. Вы можете сориентироваться на сколько процессор загружен в данный момент в процентном соотношении. Ниже можно отсортировать все процессы по нагрузке на процессор, это колонка CPU%, в колонке Command видно какой командой была запущена программа:

На домашней машине будет достаточно завершить нагружающий систему процесс или если это графическая оболочка, то сменить её на более легкую. На сервере же такой подход не пройдёт, там обычно уже и так работает только то, программное обеспечение, которое надо. Здесь надо будет уже разбираться дальше, например, если всё процессорное время занимает интерпретатор PHP, то скорее всего, кто-то очень усердно пытается перебрать ваш пароль от админки WordPress и следует его просто забанить и настроить fail2ban.

2. Недостаточно памяти

Если виновен не процессор, то скорее всего, дело в памяти. Когда вся оперативная память будет занята, то компьютер попросту зависнет и будет ждать пока ядро не решит какой процесс ему убить чтобы освободить память. Но обычно этого не происходит, потому что существует раздел или файл подкачки на жестком диске, куда скидываются неиспользуемые данные из памяти. Если в файле подкачки находится много данных, то операционная система начинает тупить, потому что доступ к этим данным медленный и лучше чтобы всё находилось в оперативной памяти.

Оценить ситуацию по использованию памяти и раздела подкачки не устанавливая никаких дополнительных утилит можно с помощью команды free.

Надо обратить внимание на колонку Всего и Занято. Если в колонке Доступно указано, что свободно мало памяти, это ещё не значит, что памяти нет, может просто часть памяти используется на какие нибудь буферы и просто зарезервирована

Более удобно смотреть эту информацию в утилите htop. Здесь информация о памяти находится сразу под информацией о загрузке процессора:

Аналогично предыдущему варианту можно отсортировать процессы по колонке MEM% чтобы понять какая программа потребляет больше всего памяти. На домашнем компьютере это обычно браузер. Сложно представить, что окружение рабочего стола съест все 8 Гб оперативной памяти. Вам остается только открывать меньше вкладок, сменить браузер на более легкий или докупить памяти. Обычно последний вариант помогает лучше всего.

3. Нагрузка на диск

Операционная система Linux не читает много данных с диска, но большая нагрузка на диск может в какой-то мере замедлить вашу систему особенно, если система работает на медленном HDD. Посмотреть текущую нагрузку на диск можно с помощью утилиты iotop:

Тут надо обратить внимание на колонки IO Read и IO Write, особенно на вторую. Утилита показывает все программы, которые активно ведут запись на диск или читают с диска

Обнаружив такую программу, вы можете её удалить или отключить. А затем смотреть стала ли система работать лучше.

Нагрузку на диск могут создавать различные утилиты-индексаторы, которые готовят свой индекс для того чтобы вы могли потом быстро находить нужные файлы. Одним из таких индексатров был Nepomuk в KDE 4. Тогда все старались его как можно скорее отключить. Также это могут быть и другие программы.

Жесткий диск может работать медленно не только потому, что он сильно нагружен, но и потому, что хочет сломаться. Чтобы проверить состояние жесткого диска можно использовать утилиту smartctl. Она находится в пакете smartmontools:

Чтобы проверить состояние диска запустите её с опцией -H и передайте имя нужного диска. Например:

Если в строчке test result вы увидите значение Passed, значит всё хорошо. Если там написано Failed, как на снимке, значит жесткий диск уже отслужил своё и его пора менять на новый. Читайте подробнее про проверку диска в статье Проверка диска в Linux. Ещё один вариант ускорить операционную систему за счёт диска — установить её на SSD.

4. Драйвера видеокарты

Свободные драйвера в последнее время работают очень хорошо. Но именно отсутствие проприетарных драйверов могут вызвать проблемы при работе графического окружения. Это может быть как медленная работа и фризы, так и просто тиринг и мерцание. Установить проприетарные драйвера на видеокарту в Ubuntu не так уж сложно. На сайте есть инструкция как для AMD, так и для Nvidia.

Вредоносное ПО

Под Linux существуют многие разновидности вредоносных программ: вымогатели, криптомайнеры, руткиты, черви, бэкдоры и трояны удалённого доступа (RAT). Преступники успешно используют их для получения финансовой выгоды, шпионажа, саботажа, хактивизма или просто из желания доказать, что системы могут быть скомпрометированы.

Ниже перечислены наиболее распространённые типы вредоносных программ в экосистеме Linux.

Вымогатели

Это, безусловно, самая финансово успешная категория вредоносных программ за последнее время. Учитывая растущую популярность Linux, злоумышленники, управляющие вымогателями, считают эту операционную систему очень перспективной мишенью.

В качестве примера Linux-вымогателей можно привести RansomEXX/Defray7777, относительно недавно портированный под эту операционную систему. Его применяла кибергруппировка Gold Dupont, атакующая организации из сфер здравоохранения и образование и технологические отрасли. 

Другой вымогатель — Erebus, впервые замеченный в сентябре 2016 года, — в июне 2017 года Erebus заразил 153 Linux-сервера южнокорейской хостинговой компании NAYANA и вывел из строя 3400 клиентских сайтов. 

Криптомайнеры

Относительно новым мотивом для злоумышленников является проникновение и злоупотребление вычислительными ресурсами для добычи криптовалюты. 

Многие вредоносные криптомайнеры не просто заражают Linux-системы, но и очищают их от присутствия майнеров-конкурентов, а также стремятся захватить как можно более мощные системы с практически неограниченными вычислительными возможностями, такие как контейнеры Docker или Redis.

Для проникновения в систему майнеры используют распространённые уязвимости. Например, программа coinminer, детектируемая  компанией Trend Micro под названием Coinminer.Linux.MALXMR.SMDSL64, использует уязвимости обхода авторизации SaltStack (CVE-2020-11651) и обхода каталога SaltStack (CVE-2020-11652).

Вредоносные скрипты

Командные интерпретаторы присутствуют на всех UNIX-машинах, поэтому злоумышленники активно используют его, тем более что это значительно проще, чем использовать скомпилированные вредоносные программы. 

Причин популярности вредоносных скриптов для атак на Linux:

  • они легко загружаются в виде текстовых файлов;

  • они имеют небольшой размер;

  • меньше вероятность того, что они будут легко обнаружены;

  • они могут быть созданы «на лету».

Веб-шеллы и бэкдоры

Веб-шелл — установленный на веб-сервере скрипт, который выполняет команды преступника и обеспечивает ему прямой доступ к взломанной системе. Например, в августе 2020 года мы столкнулись с Ensiko, веб-оболочкой PHP, нацеленной на Linux, Windows, macOS или любую другую платформу, на которой установлен PHP. Помимо удалённого выполнения кода с помощью Ensiko злоумышленники могут выполнять команды оболочки и повреждать веб-сайты.

Руткиты

Руткит — набор вредоносных программ, которые внедряются в Linux-систему, частично или полностью подменяя стандартные системные утилиты, драйверы и библиотеки. Основная цель руткита — скрывать своё присутствие от администраторов и пользователей скомпрометированной системы, обеспечивая злоумышленнику полный или частичный контроль.

В ходе наших исследований мы сталкивались с несколькими семействами руткитов. Чаще всего это были Umbreon, Drovorub или Diamorphine. 

Почему работодатели спрашивают, почему вы выбрали эту карьеру или работу?

Во-первых, они искренне любопытны.

Если вы работаете лаборантом, им будет любопытно, как вы к этому пришли. У ваших родителей была научная карьера? Вы влюбились в эту тему после вводного курса в колледже? И т.п.

Затем они хотят выяснить, нравится ли вам это поле. Вы увлечены этим или, по крайней мере, заинтересованы?

Потому что, если вам кажется, что вам не все равно, вы будете усерднее работать и преодолевать трудности. Если вам кажется, что вам все равно, у вас больше шансов бросить, когда станет трудно. Или приходи поздно. Или расслабься.

Так что вам ДЕЙСТВИТЕЛЬНО нужно казаться, что это карьера, которая вам небезразлична и в которой вы хотите работать.

Но вам НЕ нужно казаться одержимым этим. Я понимаю (и менеджер по найму тоже) — работа — это лишь одна часть жизни. Вы просто не можете казаться несчастным или совершенно неинтересным.

«Хочу как в Google»: как стать разработчиком

Традиционно наиболее привлекательным направлением в IT-сфере для соискателей остается разработка: рынок растет, компании испытывают дефицит кадров и предлагают разработчикам привлекательные условия работы – в том числе комфортный офис, гибкий график, карьерный рост и быстрое финансовое развитие. Однако это относится к продвинутым специалистам уровня middle или senior: согласно исследованию HeadHunter, больше половины IT-вакансий приходится на специалистов с опытом работы от года до трех лет.

Доля открытых вакансий для начинающих специалистов – 9%, по сравнению с 2016 годом показатель вырос почти на треть. При этом рынок труда переполнен новичками, а бизнес мало заинтересован в найме кандидатов без опыта. Поэтому, чтобы найти свою первую работу, начинающему разработчику придется постараться. И в первую очередь – научиться быстро «прокачиваться» самостоятельно.

Если вы совсем незнакомы с технологиями, стоит начать с изучения Computer Science – ряда наук, посвященных программированию, математике и всему, что связано с разработкой

Здесь важно изучить основы структур данных и алгоритмов, объектно-ориентированного программирования, создания баз данных. Программировать можно и без этих знаний, но с наработанной основой будет легче углубляться в конкретную предметную область

Именно знание основ позволит в будущем стать более востребованным, а следовательно, и высокооплачиваемым специалистом.

После этого можно переходить к выбору специализации и начать изучать языки программирования. В каждой сфере «правят» свои технологии: в системной разработке используются в основном С, С++, Java и ASM; в веб-разработке – Java Script и фреймворки React, Angular, Vue для frontend-разработки и PHP, Go, Python для backend. В мобильной разработке наиболее востребованы Java, C#, Swift.

В целом в качестве первого языка отлично подойдут Python, PHP и JavaScript – они широко распространены и при этом относительно просты в изучении

На этом же этапе важно начать создавать портфолио – при найме реализованные проекты требуются даже от новичков

Хочу в IT, но кодить не нравится совсем. Что делать?

IT-сфера предполагает не только код, есть широкий спектр профессий, не связанных с программированием. Среди них HR-ы и рекрутеры, менеджеры по продажам, дизайнеры и аниматоры, копирайтеры, аккаунт и project-менеджеры. 

Например, последняя вакансия прекрасно подойдёт тем, кто интересуется сферой в целом, но лучше проявляет себя в организационных моментах и хорош в софт-скиллз. Проджект контролирует рабочую группу, отслеживает бюджет проекта и уровень слаженности работы всей команды. 

Да, нужно иметь общее представление о сфере деятельности и принципах работы, понимать, кто за что отвечает внутри проекта, но кодить не придётся. Кросс-функциональная команда специалистов — залог успеха любой корпорации, в том числе и IT. 

Data scientist

Невозможно начать рейтинг горячих IT-специальностей как-то иначе. Тем более что именно в этой области активнее всего ищут новичков. Эксперт по Data Science объединяет в себе аналитика, специалиста по машинному обучению и визионера, обнаруживающего в данных скрытые возможности. 

Кроме мощного технического аппарата, ему нужны развитые навыки коммуникации – успех дата-сайентиста зависит от того, как он получает исходную информацию от коллег и презентует им результаты. 

В Data Science приходят профессионалы из статистики, аналитики и прочих областей, связанных с серьезным анализом данных. В эту профессию можно также перейти из аналитиков данных, которые меньше занимаются кодом и математикой и больше погружены в организацию информационных хранилищ.

Александр Турилин, основатель школы SkillFactory

Профессия IT №5. Тестировщик

Обязанности

В его обязанности этого >IT специалиста входит поиск вероятных ошибок и сбоев в функционировании продукта или программы. Тестировщик создают модели различных ситуаций, которые могут возникнуть в процессе использования предмета тестирования, чтобы разработчики смогли исправить обнаруженные ошибки. Он сам придумывает сценарий тестирования и сам его осуществляет.

Где работать

Работать можно в технических отделах больших корпораций и банков, а также в IT-компаниях, которые занимаются проектной работой.

Зарплата

Зарплата IT специалиста по тестированию во многом зависит от того, что он тестирует и в какой компании трудится. В среднем тестировщик зарабатывает от 50 до 100 тысяч рублей. 

Рейтинг
( Пока оценок нет )
0
Понравилась статья? Поделиться с друзьями:
Ваша ОС
Вам также может быть интересно
.
Расшифровка хранимых в windows паролей с помощью mimikatz и dpapi - hackware.ru
Руководство по Windows 0
Модели в информационной безопасности
Добрый день, Хабровчане! 1. Вместо вступления Недавно опубликованный перевод Ментальные модели ИБ заинтересовал меня не только
Ваша ОС
Mx linux: подробный обзор набирающего популярность дистрибутива
Руководство по Linux 0
Mx linux: подробный обзор набирающего популярность дистрибутива
В данном обзоре подробно рассматривается дистрибутив MX Linux. Для пользователей Linux предоставлена информация набирающего
Ваша ОС
Лучшие дистрибутивы linux. обзор дистрибутивов linux / ravesli
Руководство по Linux 0
Linux debian: подробный обзор дистрибутива
В данной статье представлен подробный обзор дистрибутива inux Debian. Пользователи linux узнают в чем
Ваша ОС
Kali linux — национальная библиотека им. н. э. баумана
Руководство по Linux 0
Обзор kali linux
Дистрибутив Kali Linux набирает огромную популярность в последнее время. Взлом и тестирование безопасности становится
Ваша ОС
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: