درخواست های ارتباط
جستجو
    لیست دوستان من
    صندوق پیام
    همه را دیدم
    • در حال دریافت لیست پیام ها
    صندوق پیام
    رویدادها
    همه را دیدم
    • در حال دریافت لیست رویدادها
    همه رویدادهای من
    تخفیف های وب سایت
    همه تخفیف ها

    عضویت در

    کانال تلگرام

    توسینسو

    اطلاعات مطلب
      مدرس/نویسنده
      محمد پزشکیان
      امتیاز: 8369
      رتبه:68
      10
      39
      3
      313
      عاشق امنیت - یه برنامه نویس ساده - دوست دار رمزنگاری - سابقه مدیریت بخش نفوذ تیم امنیتی هکران ناشناس - فعالیت در تعمیرات کامپیوتر. علاقه مند به : (روان شناسی ، تردستی، ورزش های رزمی) کسب دو مقام کشوری برنز در مسابقات اویاما کاراته پروفایل کاربر

      ویدیوهای پیشنهادی

      معرفی یکی از قویترین ابزار های جستجوی آسیب پذیری ها
      معرفی یکی از قویترین ابزار های جستجوی آسیب پذیری ها
      مدرس: Nima karimi
      6,000 تومان
      آموزش استفاده از یکی از بهترین ابزارهای رمزگذاری و رمزگشایی فرمت های مختلف
      آموزش استفاده از یکی از بهترین ابزارهای رمزگذاری و رمزگشایی فرمت های مختلف
      مدرس: Nima karimi
      5,000 تومان
      شناسایی آسیب پذیری XSS و Sql Injection با استفاده از ابزار xsscrapy
      شناسایی آسیب پذیری XSS و Sql Injection با استفاده از ابزار xsscrapy
      مدرس: Nima karimi
      8,000 تومان
      شناسایی آسیب پذیری در هدر مربوط به Web Server با استفاده از ابزار ShCheck
      شناسایی آسیب پذیری در هدر مربوط به Web Server با استفاده از ابزار ShCheck
      مدرس: Nima karimi
      6,000 تومان
      راه های مقابله و تشخیص حمله arpspoofing با استفاده از ابزار DAI , Xarp
      راه های مقابله و تشخیص حمله arpspoofing با استفاده از ابزار DAI , Xarp
      مدرس: Nima karimi
      7,000 تومان
      شنود ترافیک رمز شده پروتکل HTTPS با استفاده از حمله arpspoofing و ابزار SSLStrip
      شنود ترافیک رمز شده پروتکل HTTPS با استفاده از حمله arpspoofing و ابزار SSLStrip
      مدرس: Nima karimi
      19,000 تومان
      شناسایی SubDomain های یک دامنه با استفاده از ابزار Sublist3r
      شناسایی SubDomain های یک دامنه با استفاده از ابزار Sublist3r
      مدرس: Nima karimi
      7,000 تومان
      آشنایی با ابزار فوق العاده D-Tect برای شناسایی آسیب پذیری های XSS , Sql injection , Wordpress و انجام Port scan
      آشنایی با ابزار فوق العاده D-Tect برای شناسایی آسیب پذیری های XSS , Sql injection , Wordpress و انجام Port scan
      مدرس: Nima karimi
      8,000 تومان
      شناسایی مسیر های فایل ها و فولدر ها بر روی وب سرور های http , https با استفاده از ابزار dirsearch
      شناسایی مسیر های فایل ها و فولدر ها بر روی وب سرور های http , https با استفاده از ابزار dirsearch
      مدرس: Nima karimi
      6,000 تومان
      آموزش کرک کردن پسوردهای ویندوز
      آموزش کرک کردن پسوردهای ویندوز
      مدرس: UNITY
      16,500 تومان

      چرا سطح دانش امنیت در کشورمان انقدر پایین است ؟

      تاریخ 2 ماه قبل
      نظرات 2
      بازدیدها 64
      این پست یه پست مشارکتیه و ممنون میشم نظرات خودتون رو زیر پست بنویسید

      با سلام خدمت کاربران سایت توسینسو ، یک مطلبی بود گفتم خوبه دربارش صحبت کنیم که چرا سطح دانش عمومی درباره هک امنیت هکر خیلی پایینه ؟
      خب بنده یکوچولو در تیم های امنیتی فعالیت کردم و بعضی از دوستان هم آشنا هستن توی این زمینه (اقای ایمان جوادی (دکتر ایمان) و آقای آرتین غفاری (surreal)
      یادمه وقتی توی تیم های امنیتی کار میکردم همش وحشت داشتم که وای نکنه این متد پاب شه وای نکنه دانش عمومی در زمینه امنیت بالابره و هکشون سخت شه ، یکم که جلوتر امدم دیدم نه هرچیم به ملت میگی انگار نه انگار !


      با اجازه از مهندس و استاد بزرگوار اقای نصیری ، از اول شروع میکنیم :
      1) سطح دانش توی کشور ما خیلی پایین هستش ، دلیل عمده ای هم که میتونیم براش بیان کنیم اینه که نمیزارن در این مورد صحبت بشه ، در فرومی سایتی جایی .. نمیزارن مردم آگاهی پیدا کنن
      یه ایده اشتباهی رو من براتون بیان کنم از اول که دیدتون باز شه : اول باید راه نفوذو بشناسی بعد جلوشو بگیری ، اگر ندونی چطوری و از کجا نفوذ میکنن پس چطوری میخوای جلوشو بگیری ؟
      مطلبی که در کشور هستش اینه که میگن درباره هک صحبت نکن ، درباره نفوذ صحبت نکن و... همش بگو امنیت ... خب وقتی طرف نمیدونه طرز کار فیشینگ چیه 1000 بار بهش بگی https .. خب سخت میفهمه !
      پس اول شروع کنیم سطح دانش عمومی رو تا حد کمی افزایش بدیم درباره نفوذ که آگاهی پیدا کنن ، و چه بسا اگر راه نفوذو بفهمن خودشو بتونن جلوشو بگیرن و نیاز نباشه براشون راه های امنیتی هم بیان کنی !!!

      2)نداشتن آگاهی عمومی (ادامه مطلب بالا)
      وقتی توی کشور 4 تا دوره امنیت برگزار نمیشه ، که مردم اگاهی پیدا کنن و ببینن واقعا باید چیکار کنن، واقعا امنیت چیه ! تا یه پیامک تبلیغاتی امد زارت نرن به حرفاش گوش کنن
      آقای مسئول آقای فلان ... بخدا از کلاسای اموزشگاه ها ، از کلاس های CEH از کلاس های CCNA هکر کاه سیاه بیرون نمیاد !!!! اصلا هکر کلاه سیاه به اونا احتیاج نداره ...
      پس چرا میترسید (البته میدونم که زیر ساختاتون ضعیفه)
      الان با یه سرچ ساده توی اینترنت 10 تا پکیج امنیت اینستاگرام و هکش پیدا میشه با مبلغای بالای 200ت

      3)عدم بروزرسانی دانش
      این هم متودی است که به نوبه خودش جای مهمی داره !
      طرف رفته SQL Injection یاد گرفته بعد یه 10 تام بایپس یاد گرفته و چندین ساله داره با همونا کار میکنه ، به محض اینه به یه اروری میخوره میمونه و بایپسشو نمیدونه ! اطلاعاتش بروز نیست و به اطلاعات قدیمی خودش اکتفا میکنه !
      طرف مسئول امنیت یه سایتیه ، بعد 1 ماه مبینیه سایت دیفیس شده ... چرا؟ اکسپلویت جدید ثبت شده توی سایت های ثبت اکسپلویت و شما زحمت نکشیدی بری توی اون سایتا و اگر باگ توی سایتت بود قبل هک شدن پچش کنی !!!

      4)داشتن تعصب نسبت به بعضی از محصولات
      این هم بحث داغی است به نوبه خودش ! مخصوصا که میان انتی ویروس بومی میسازن و موتور بقیه رو کپی میکنن ، به قول مهندس نصیری بدنه پیکان موتور بوگاتی !!!
      UTM بومی میسازن کپی ایندین !!! بدون تغییر رنگ ، فقط فارسی سازی منو و نام !
      جالب تر از اون بودجه های کلان برای این کاره ... پیام رسان ملی .. یک ایده نو توش نبود ، عینا کپی پیست تلگرام ، عینا بدون تغییر(البته تغییر چرا امنیتش رو کلا گند زدن توش) 😐

      5)اپدیت بودن فقط در سخت افزار و تجهیزات
      این هم جالب است ! مهندس نصیری بار ها توی پادکست هایشان اشاره کردن ! چندین میلیون دستگاه میخرن ، فایروال یو تی ام و... آخرش کانفیگش که نمیکنن هیچ ، یه دستمالم روش نمیکشن ، فقط عین مجسمه یه جا هست و داره خاک میخوره

      6)عدم استفاده از متخصص کاربلد و استفاده از افراد نابلد (رانت ، پارتی و ..)
      مبحث دیگه هم که خیلی شیرینه اینه که متخصصای ما وضعیت خوبی ندارن ، طرف 10 سال فقط تجربه کاری داره و کلی دانش ولی نمیارنش سر کار ، چرا؟؟؟ چون پسر رئیس بلده باگ SQL Injection چیه ! اونو میارن میگن خب تست کن ببین سایت امنیتش چقدره ..
      بعضا هم پارتی .. که دیگه وارد بحثش نمیشم

      7) cert هایی با بار فنی کم
      وظیفه مرکز cert(ماهر) ترجمه مطلب بی ارزش و جا زدن آن به عنوان تحلیل و یا انتشار مطالب آموزشی کاربر ویندوز و صفر کردن بودجه میلیاردی نیست !! یک cert استاندارد دارد، فقط طبق حداقل های استاندارد حرفه ای رفتار کنید

      8) جدال غرور تعصب یکدندگی در کار خود و کم ارزش جلوه دادن کار همکار دیگر
      از مشکلات عمده کارشناسان امنیت در ایران ، غرور و تعصب بی جا بر روی کار خودشان است و در بسیاری از موارد ادعاهای واهی است ، بهتر نیست بجای جبهه گیری علیه هم ، دست به دست هم بدهیم و برای پیشرفت کشور تلاش کنیم ؟

      9)و برای حسن ختام یه نگاهی بیندازید به این لینک و ببینید چه شرکت تاپ ایرانی ، چه بانکی ، چه مخابراتی استخدام نیروی امنیت داره ؟
      لینک
      برچسب ها
      مطالب مرتبط

      در حال دریافت اطلاعات

      نظرات
      • سلام و روزبخیر،
        تمام حرفها و بحثها یک طرف بحث مقاومت در برابر یادگیری مردم هم یک طرف. این بارها به من اثبات شده که مردم (بقیه دنیا رو نمیدونم ولی در ایران خیلی دیدم) در برابر یادگیری و به روز شدن دانسته هاشون شدید مقاومت میکنن مثلا لوله آب میترکه از وسط درخت آب میزنه بیرون یکی هوار میزنه درخت گریه کرد و آی تبرکه حالا هرچی مامور آب و فاضلاب میگه لوله ترکیده زیرش و درخت خشک شده اکثریت حاضر نمیشن بپذیرن و فاصله درسافت اطلاعات اول و اطلاعات بعدی چند دقیقه بیشتر نیست ولی خب. یا برای مثال توی اداره ای که بودم زیاد پیش میومد که در قسمت نگهبانی دم در به اشتباه آدرس اتاق ما رو بجای اتاق مورد نظر ارباب رجوع بهشون میگفتند و وقتی ارباب رجوع میومد باید بارها بهش میگفتیم اون اولی اشتباه آدرس داده تا بپذیره یعنی وقتی چیزی توی ذهن مردم میره به این راحتیا نمیشه تصحیحش کرد سرتونو دردآوردم بگم همین داستان درباره شبکه و شهروند الکترونیک هم هست یعنی هرچی بگی اینا هم آموزش لازم داره و دیگه مثل سابق نیست چون الان پولتون و آبروتون توی شبکه اینور اونور میشه حاضر نیستند یاد بگیرند "چون تا الان همه استفاده می کردن آموزش هم نمیخواسته و مشکلی هم براشون پیش نیومده" و تازه این وسط اگر بگی هزینه داره که دیگه هیچ. تا جایی که حتی اگر بلایی هم بواسطه این ناآگاهی براشون رخ بده باز هم حاضر نیستند چندساعت در این باره مطالعه کنند.
        حالا همین رو تعمیم بدین به لایه بالاتر مثلا مدیران سازمانها. اونها هم همینطور هستند و فقط گاهی یهو یه سازمانی یا یه مافوقی حرفی درباره امنیت شبکه میزنه و شور حسینی ورشون میداره بعد میبینید چه ولوله ای شده که چه نشسته اید که امنیت شبکه مهمه و بعد کار سپرده میشه دست یه آدمهایی که هیچ درکی از این مساله ندارن و فقط دنبال قیمت پایین هستند مثل مدیران مالی و کارپردازی. برای اینها اینکه شما متخصص شبکه باشی یا مرده شور تفاوتی نداره ولی قیمتی که میدید مهمه و ... و یکی میاد یه ریپورت جمع میکنه و چهارتا نرم افزار نصب میکنه و این میشه امنیت و پدافند غیر عامل و اون ولوله میخوابه تا دوباره یه جایی یه افتضاحی پیش بیاد و دوباره جلسه ای و دوباره قیمتی و و این چرخه هی تکرار ...
        در زمینه متخصصین شبکه که مطمئنم اینجا همه موافقید که خیلیها اسمشون متخصص شبکه هست ولی حتی بپرسید شبکه چی هست و به چی میگیم شبکه ممکنه نتونن جواب بدند و پاسخهایی بشنوید مثل "خب اینترنت دیگه !" یا "همون وبه دیگه!" و خب طبیعیه که اینها خدای ناکرده به چند نفر درس بدند چه فاجعه ای در خروجی اون کلاسها می بینیم و بعد این شاگردها میشن همونهایی که دیگه نمیشه بهشون حالی کرد که اونی که بهت درس داده بوده سواد کافی نداشته و یه سری چیزا رو بهت اشتباه گفته و بدتر از اون اینه که یکی از همین مثلا متخصصین میشه مدرس در فلان ارگان یا سازمان که همونطور که گفتم احتمالا قیمت پایین یا به قول دوستمون فقط پارتی باعث این انتخاب شده و بعد یکی از همون شاگردا میاد توی تلویزیون و شبکه های اجتماعی افاضاتی میکنه از آبروریزی بدتر. بدبختانه چون تعداد این عزیزان کم نیست در نتیجه اکثر مواقع چیزایی از دور و بر میشنوید که سرتان سوت می کشد. این وسط یه عده مهندس آی تی واقعی هم هستند که در اکثر سازمانها جور اونایی که با پارتی مسئول آی تی شدند و یا همکارانی که با پارتی آمده اند میکشند که براشون آرزوی توفیق می کنم و به صبر و استقامتشون خدا قوت میگم و تنها این آدمها هستند که متوجه شدند آی تی تمومی نداره و همیشه باید یاد گرفت و همیشه احتمالش هست که دانش ما نیاز به به روز رسانی داشته باشه و از اونها چنین سهل انگاری هایی به ندرت دیده میشه.
      • مهندس پویان عزیز سلام
        واقعا ممنونم ک نظر دادی ☺♥️
        اره قبول دارم قیمت هم مشکل هست

        اون بحث مقاومت در برابر دانش هم بحث داغیه .. عالی گفتی نمیخوان یاد بگیرن ،مخصوصا دفاع شخصی ک خودم تجربه کردم
        طرف ی فیلم دیده زور گیری ، میگم بیا فنشو بهت بگم میگ ایشالا ک پیش نمیاد 😂😶😐

        بد فهمی و تلاش برای نفهمیدن هم مسئله دیگریس
        هرچند که مورد دیدم به چشم خودم که توی فنی حرفه ای درس میداد ب بچه های رشته کامپیوتر و یکی از بچه ها پرسید کامپیوتر چیه؟ گفت اسم خاصه دیگ ..یکی یه اسمی گذاشته 😂😂😂😂نتونستم جلو خودمو بگیرم 😂😂😂
        بگذریم ...هرچه بگوییم کم است
        ما دستی توی تغییر و تصحیح این مشکلات نداریم
        ولی ایکاش بشه یکی مقاله مارو بخونه (به چشم مثبت) و شروع ب اصلاح کنه

        موفق باشید 🌷♥️


      برای ارسال نظر ابتدا به سایت وارد شوید