
مرحبا هبر. اسمي فلاديمير دوشكيفيتش ، أنا متخصص في أمن المعلومات ، مدرس في كلية أمن المعلومات. قبل بضع سنوات انضممت إلى فريق GeekBrains وأريد التحدث عن ذلك. في نهاية المقال ، سيكون هناك إعلان صغير لأولئك القراء الذين يرغبون أيضًا في أن يصبحوا جزءًا من فريقنا. لكن هذا لاحقًا ، وأول قصتي.
بدأ كل شيء في عام 2018 ، عندما سمعت لأول مرة عن GeekBrains. وبعد أن قررت تحسين مهاراتي في البرمجة ، أخذت دورات. ثم علمت أن الشركة كانت تبحث عن مدرس في أمن المعلومات ، وكنت مهتمًا. في ذلك الوقت ، كنت أقوم بالتدريس في كلية أرخانجيلسك للاتصالات السلكية واللاسلكية (AKT (f) SPbSUT) وكانت مهنة المعلم غير المتصل جيدة معي. لكن كان من المثير للاهتمام معرفة كيف يحدث كل شيء عندما تقوم بالتدريس عن بعد.
قليلا عن نفسك
تخرجت من الجامعة في عام 2008 بدرجة في الفيزياء مع تخصص إضافي للمعلوماتية في جامعة ولاية بومور. م. لومونوسوف. ثم تلقى تعليمًا إضافيًا مرارًا وتكرارًا: في مجال أمن المعلومات ، Linux ، وتقنيات الشبكات والويب. يحتاج المحترف دائمًا إلى التعلم حتى لا تصبح المعرفة والخبرة قديمة - لقد فهمت هذا جيدًا وأفهمه. ببساطة لا توجد طريقة أخرى في مجال تكنولوجيا المعلومات. على سبيل المثال ، لا يمكنك أن تكون متخصصًا في أمن المعلومات دون معرفة إعدادات شبكة مكافحة الفيروسات ، لذلك كانت آخر شهادة تلقيتها هي شهادة DrWebالإصدار 11 من برنامج DrWeb Enterprise Security Suite للإدارة. من ناحية أخرى ، قد يكون من المفيد النظر إلى الأمان من منظور المهاجم ، لذلك كان علي أن أتعلم التقنيات المستخدمة في هجمات الشبكة. على وجه الخصوص ، في بعض الأحيان يتعين عليك دراسة الملفات المشبوهة ، لذلك لا يمكنك الاستغناء عن المعرفة بالتقنيات.

بيئة لتحليل البرامج الضارة الديناميكي.
لسوء الحظ ، لا يمكن إكمال دورات البرمجة التي قررت الالتحاق بها في GeekBrains ، حيث استغرقت وظيفة التدريس في الكلية الكثير من الوقت. لقد كنا نجتاز للتو اعتماد التخصص 10.02.02 " أمن المعلومات لأنظمة الاتصالات " ، وكان علي إعداد عدد كبير من الوثائق. أي أن العمل البيروقراطي ببساطة لم يترك وقتًا للدراسة.
الآن حول كيف وصلت إلى GeekBrains. في مايو 2018 ، على بوابة hh.ru ، رأيت وظيفة شاغرة لمدرس أمن المعلومات بتنسيق العمل عن بُعد. أردت أن أجرب نفسي في عمل جديد ، وقررت التقدم للوظيفة الشاغرة. اتصل بي أخصائي المنهج وقال إنني بحاجة إلى إجراء اختبار بث على YouTube مع درس صغير. لقد أجريت ذلك بنجاح ، وبعد ذلك دعيت للتدريس.
وظيفتي في GeekBrains
أقوم حاليًا بتدريس دورتين: الأمان من جانب الخادم والعميل لتطبيقات الويب. الدورة الأولى مخصصة لقضايا أمن المعلومات العامة وعدد من نقاط الضعف في جانب الخادم لتطبيقات الويب. وهي تعتبر على وجه الخصوص:
- منهجيات البحث عن نقاط الضعف ؛
- pentest و Bug Bounty ؛
- خدمة ذكية؛
- الذكاء 2.0 ؛
- خطأ في تكوين الأمان
- تضمين؛
- تنفيذ التعليمات البرمجية عن بعد ؛
- نقاط الضعف غير RCE.
في السنة الثانية ، نأخذ في الاعتبار نقاط الضعف من جانب العميل وطرق الحماية الممكنة. هذه دورة تفاعلية نتعلم فيها:
- ما هو XSS؟
- سياقات XSS ؛
- تصنيف XSS ؛
- استغلال XSS ؛
- تجاوز WAF ؛
- CSRF ؛
- سياسة أمن المحتوى ؛
- نقاط الضعف الأخرى على العميل.
فوائد التدريس عبر الإنترنت
أنا أستمتع حقًا بالعمل عن بُعد. بالإضافة إلى ذلك ، أصبحت العملية التعليمية أكثر نشاطًا ، حيث أحاول تحليل المزيد من المواد العملية.
على سبيل المثال ، نأخذ بعين الاعتبار سيناريوهات الممارسة للبحث عن أهم 10 ثغرات أمنية في OWASP ، والتي غالبًا ما تفتقر إلى المؤسسات التعليمية.

تُستخدم بيئة Owasp Mutillidae الضعيفة في الدورات لإظهار نقاط الضعف.
يشتكي كل من الطلاب والمعلمين من قلة الممارسة في الكليات والجامعات. لقد كنت في الكلية لمدة تسع سنوات ، لذلك أعرف ما أتحدث عنه.
بالنسبة للمعلم ، يعد العمل عن بُعد جيدًا أيضًا نظرًا لوجود حد أدنى من البيروقراطية. في إحدى الجامعات أو الكليات ، يتعين عليك باستمرار ملء بعض المستندات وإعداد وسائل التدريس الورقية والتقارير وما إلى ذلك. بالإضافة إلى ذلك ، في الوضع الطبيعي ، يمكن للمدرس استخدام نطاق ضيق فقط من أساليب العمل. في مكان بعيد ، كل شيء مختلف: لا توجد بيروقراطية ، يتم اختيار طرق ووسائل حل المشكلات من قبل المعلم نفسه (وفقًا لمفهوم الدورات بالطبع).
على سبيل المثال ، في الدورة التدريبية ، نستخدم Kali Linux (والأدوات المساعدة من تكوينه) ، وفي عملي السابق ، كان استخدام نظام التشغيل هذا سلبيًا إلى حد ما.

يتم استخدام الماسح الضوئي Nikto في دوراتنا التدريبية للعثور على نقاط الضعف.
حتى في دوراتنا ، يمكنك تعديل وتطوير البرنامج الذي طورته الشركة ، والذي توجد به مشكلات كبيرة في التدريس دون اتصال بالإنترنت. أحاول استكمال الدورة بالمعلومات التي تهم الطلاب ، وتطبيق مهاراتي وخبراتي العملية (حسب طبيعة عملي ، أتعامل مع القضايا العملية لاكتشاف الهجمات ومنعها ، لذلك هناك شيء أشاركه).
لا أصف التجارب الإيجابية فحسب ، بل أصف أيضًا المشكلات التي يمكن أن تنشأ في عمل أخصائي أمان الكمبيوتر. على سبيل المثال ، يعتمد تأثير استخدام بعض الأدوات المساعدة كثيرًا على إعدادات النظام. إذا كان هناك شيء مفقود ، فلن تعمل الأداة المعتادة. أنت بحاجة إلى التحدث عن هذا ، وإظهار كل شيء في الممارسة. على سبيل المثال ، يمكنك منع استخدام العديد من الأدوات المساعدة "غير المرغوب فيها" لتحليل الخادم والبحث عن معلومات عنه. الفكرة هي أن العديد من الأدوات المساعدة لها قيم حقل
User_Agentفريدة. إحدى طرق الحظر هي من خلال ملف .htaccessإذا كانت هناك وحدة نمطية مثبتة ومنشطة mod_rewrite. سيكون محتوى الملف على هذا النحو (على سبيل المثال Apache 2):
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} curl [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^$ [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Acunetix [NC]
RewriteRule ^.* - [F,L]
أين:
curlتعني أن كلمة "curl" يجب أن تظهر في الحقلUser_Agent؛^يعني بداية السطر^Acunetix، أي السطر الذي يبدأ بـAcunetix؛^$يعني الفراغRewriteRule ^.* — [F,L]- الصفحة 403 (Forbiddenخيار[F]) ؛ يتم إعادته إذا تم استيفاء شرط واحد على الأقل.
نتيجة لذلك ،
User_Agentسيتم حظر الطلب الذي يحتوي على أدوات curl:

طلب الضفيرة المحظورة.
ماذا يحصل خريج دورة أمن المعلومات؟
إذا تحدثنا عن الدورة بأكملها ، فعند الانتهاء من التدريب ، يتلقى الطالب:
- المهارات في العمل مع نظام التشغيل Linux ، وأساسيات البرمجة في Python ومعرفة المكونات الرئيسية التي تتكون منها الويب: URL و HTTP و HTML و JavaScript ونفس سياسة الأصل وما إلى ذلك ؛
- المهارات في العثور على نقاط الضعف في جانب العميل من تطبيقات الويب ، واستغلال نقاط ضعف العميل ، ومعرفة طرق الحماية ، وفهم مبادئ تشغيل بروتوكولات الويب الرئيسية وآليات حماية المتصفح ؛
- مهارات البحث عن نقاط الضعف من جانب الخادم وفهم ميزات Bug Bounty ، والتي ستتيح لك كسب المال باستخدام Bug Bounty ؛
- المهارات في استخدام الشبكات السلكية واللاسلكية ، وفهم أجهزتهم ، ومعرفة كيفية ضمان الأمن في الشبكات والقدرة على اختبار معايير الأمان الخاصة بهم ؛
- مهارات في الهندسة العكسية للتطبيقات ، والبحث عن نقاط الضعف الثنائية واستغلالها ، ومعرفة أساسيات بروتوكولات التشفير.
بالنسبة للتوجيهات التي أقودها في الدورة ، فإن الطلاب:
- تعلم كيفية العثور على نقاط الضعف في أجزاء العميل والخادم لتطبيقات الويب ؛
- اختبار والتحقق من نقاط الضعف المختلفة ؛
- ;
- web-, ;
- , , , ;
- , web-, , .
يتمتع التدريس عبر الإنترنت بالعديد من المزايا ، وربما أكثر من العمل في جامعة أو كلية. على الأقل عندما يتعلق الأمر بتجربة عملي.
والآن الإعلان ذاته. إذا كنت ترغب في الانضمام إلى فريق GeekBrains ، فهناك الآن فرصة جيدة: تبحث الشركة عن معلمين ومؤلفين ومراجعين جدد ، من مطوري الخلفية إلى علماء البيانات ، ومن المختبرين إلى المتخصصين في أمن المعلومات. كل هذا يمكن دمجه مع الوظيفة الرئيسية. تعرف على المزيد ، بالإضافة إلى تقديم طلب ، إذا كنت مهتمًا بالعرض ، يمكنك اتباع هذا الرابط .