محمد حسن پزشکیان
عاشق امنیت و نفوذ ، رد تیم و دوستدار بزن بکش :)

بررسی دلایل پایین بودن سطح دانش امنیت اطلاعات در کشور

این پست یه پست مشارکتیه و ممنون میشم نظرات خودتون رو زیر پست بنویسید.با سلام خدمت کاربران سایت توسینسو ، یک مطلبی بود گفتم خوبه دربارش صحبت کنیم که چرا سطح دانش عمومی درباره هک امنیت هکر خیلی پایینه ؟ خب بنده یکوچولو در تیم های امنیتی فعالیت کردم و بعضی از دوستان هم آشنا هستن توی این زمینه (اقای ایمان جوادی (دکتر ایمان) و آقای آرتین غفاری (surreal) یادمه وقتی توی تیم های امنیتی کار میکردم همش وحشت داشتم که وای نکنه این متد پاب شه وای نکنه دانش عمومی در زمینه امنیت بالابره و هکشون سخت شه ، یکم که جلوتر امدم دیدم نه هرچیم به ملت میگی انگار نه انگار ! با اجازه از مهندس و استاد بزرگوار اقای نصیری ، از اول شروع میکنیم :

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
  • 1) سطح دانش توی کشور ما خیلی پایین هستش ، دلیل عمده ای هم که میتونیم براش بیان کنیم اینه که نمیزارن در این مورد صحبت بشه ، در فرومی سایتی جایی .. نمیزارن مردم آگاهی پیدا کنن

یه ایده اشتباهی رو من براتون بیان کنم از اول که دیدتون باز شه : اول باید راه نفوذو بشناسی بعد جلوشو بگیری ، اگر ندونی چطوری و از کجا نفوذ میکنن پس چطوری میخوای جلوشو بگیری ؟ مطلبی که در کشور هستش اینه که میگن درباره هک صحبت نکن ، درباره نفوذ صحبت نکن و... همش بگو امنیت ... خب وقتی طرف نمیدونه طرز کار فیشینگ چیه 1000 بار بهش بگی https .. خب سخت میفهمه !پس اول شروع کنیم سطح دانش عمومی رو تا حد کمی افزایش بدیم درباره نفوذ که آگاهی پیدا کنن ، و چه بسا اگر راه نفوذو بفهمن خودشو بتونن جلوشو بگیرن و نیاز نباشه براشون راه های امنیتی هم بیان کنی !!!

  • 2)نداشتن آگاهی عمومی (ادامه مطلب بالا)

وقتی توی کشور 4 تا دوره امنیت برگزار نمیشه ، که مردم اگاهی پیدا کنن و ببینن واقعا باید چیکار کنن، واقعا امنیت چیه ! تا یه پیامک تبلیغاتی امد زارت نرن به حرفاش گوش کنن ، آقای مسئول آقای فلان ... بخدا از کلاسای اموزشگاه ها ، از کلاس های CEH از کلاس های CCNA هکر کاه سیاه بیرون نمیاد !!!! اصلا هکر کلاه سیاه به اونا احتیاج نداره ... پس چرا میترسید (البته میدونم که زیر ساختاتون ضعیفه) الان با یه سرچ ساده توی اینترنت 10 تا پکیج امنیت اینستاگرام و هکش پیدا میشه با مبلغای بالای 200ت

  • 3)عدم بروزرسانی دانش

این هم متودی است که به نوبه خودش جای مهمی داره ! طرف رفته SQL Injection یاد گرفته بعد یه 10 تام بایپس یاد گرفته و چندین ساله داره با همونا کار میکنه ، به محض اینه به یه اروری میخوره میمونه و بایپسشو نمیدونه ! اطلاعاتش بروز نیست و به اطلاعات قدیمی خودش اکتفا میکنه ! طرف مسئول امنیت یه سایتیه ، بعد 1 ماه مبینیه سایت دیفیس شده ... چرا؟ اکسپلویت جدید ثبت شده توی سایت های ثبت اکسپلویت و شما زحمت نکشیدی بری توی اون سایتا و اگر باگ توی سایتت بود قبل هک شدن پچش کنی !!!

  • 4)داشتن تعصب نسبت به بعضی از محصولات

این هم بحث داغی است به نوبه خودش ! مخصوصا که میان انتی ویروس بومی میسازن و موتور بقیه رو کپی میکنن ، به قول مهندس نصیری بدنه پیکان موتور بوگاتی !!! UTM بومی میسازن کپی ایندین !!! بدون تغییر رنگ ، فقط فارسی سازی منو و نام ! جالب تر از اون بودجه های کلان برای این کاره ... پیام رسان ملی .. یک ایده نو توش نبود ، عینا کپی پیست تلگرام ، عینا بدون تغییر(البته تغییر چرا امنیتش رو کلا گند زدن توش) 😐

  • 5)اپدیت بودن فقط در سخت افزار و تجهیزات

این هم جالب است ! مهندس نصیری بار ها توی پادکست هایشان اشاره کردن ! چندین میلیون دستگاه میخرن ، فایروال یو تی ام و... آخرش کانفیگش که نمیکنن هیچ ، یه دستمالم روش نمیکشن ، فقط عین مجسمه یه جا هست و داره خاک میخوره

  • 6)عدم استفاده از متخصص کاربلد و استفاده از افراد نابلد (رانت ، پارتی و ..)

مبحث دیگه هم که خیلی شیرینه اینه که متخصصای ما وضعیت خوبی ندارن ، طرف 10 سال فقط تجربه کاری داره و کلی دانش ولی نمیارنش سر کار ، چرا؟؟؟ چون پسر رئیس بلده باگ SQL Injection چیه ! اونو میارن میگن خب تست کن ببین سایت امنیتش چقدره .. بعضا هم پارتی .. که دیگه وارد بحثش نمیشم

  • 7) cert هایی با بار فنی کم

وظیفه مرکز cert(ماهر) ترجمه مطلب بی ارزش و جا زدن آن به عنوان تحلیل و یا انتشار مطالب آموزشی کاربر ویندوز و صفر کردن بودجه میلیاردی نیست !! یک cert استاندارد دارد، فقط طبق حداقل های استاندارد حرفه ای رفتار کنید

  • 8) جدال غرور تعصب یکدندگی در کار خود و کم ارزش جلوه دادن کار همکار دیگر

از مشکلات عمده کارشناسان امنیت در ایران ، غرور و تعصب بی جا بر روی کار خودشان است و در بسیاری از موارد ادعاهای واهی است ، بهتر نیست بجای جبهه گیری علیه هم ، دست به دست هم بدهیم و برای پیشرفت کشور تلاش کنیم ؟

  • 9)و برای حسن ختام یه نگاهی بیندازید به این لینک و ببینید چه شرکت تاپ ایرانی ، چه بانکی ، چه مخابراتی استخدام نیروی امنیت داره ؟

لینک


محمد حسن پزشکیان
محمد حسن پزشکیان

عاشق امنیت و نفوذ ، رد تیم و دوستدار بزن بکش :)

کارشناس تست نفوذ سنجی ، علاقه مند به امنیت تهاجمی و رد تیمینگ | عضو انجمن بین المللی ورزش های رزمی کشور آلمان و دارای احکام بین المللی و داخلی کمربند مشکی در سبک های کیوکوشین ، هاپکیدو ، کیک بوکسینگ و چند تام قهرمانی کشوری

نظرات