Ciao, a parte il fatto che da qualche anno sono fioriti un certo numero di corsi universitari e master su sicurezza informatica e materie simili, credo che oltre acquisire esperienza sul campo sarebbe opportuno andare verso le spesso vituperate certificazioni, che dimostrano qual è il livello minimo di competenza delle persone.
Ce ne sono diverse. E’ vero sono costose ma dimostrano che una persona ha acquisito certe competenze, ha fatto un percorso ben preciso e organico e non ha competenze a “macchia di leopardo” tipiche di molti autodidatti. Nel campo della sicurezza informatica (ISC)2 la fa da padrone. Per info https://www.isc2.org/ Nel campo della sicurezza e dell’attacco, un nome importante è quello di SANS. Ti consiglio di vedere il percorso da loro suggerito su https://www.sans.org/media/security-training/roadmap.pdf Anche EC Council è molto considerata nel campo: https://www.eccouncil.org/programs/certified-ethical-hacker-ceh/ Nel campo offensivo: https://www.offensive-security.com/ Queste organizzazioni sono stimate per la serietà; non andrei molto oltre anche se ce ne sono altre importanti. Soprattutto all’estero, avere una certificazione è talvolta più importante di una laurea, in Italia se ne comincia a parlare. Ripeto, in genere sono costose. Ma l’investimento ripaga. Spero di essere stato utile. Buon lavoro. SR Il giorno 30 agosto 2016 15:09, Lorenzo Nicolodi <[email protected] > ha scritto: > ciao! > > secondo me, prima di lavorare in questo ambito devi avere delle skills che > ti permettono di farlo, perchè trovare una ditta che ti dia la formazione > da zero è molto, molto complesso. > > diciamo che quello che mi sento di consigliarti è di rimboccarti le > maniche: iniziare con dei lavori più base (es: sysadmin, sviluppatore) che > ti possono dare delle ottime basi (prima di rompere del codice bisogna, > tendenzialmente, saperlo scrivere… e conoscere gli internals di un sistema > operativo è mandatorio per cercare di attaccarlo, anche se non sempre è > necessario). > > in parallelo a questo lavoro, puoi iniziare a curare la tua formazione piu > specifica in diversi modi: ci sono eccellenti corsi online, sia gratuiti > che a pagamento (mi viene in mente coursera ma ce ne sono tantissimi > altri), ci sono libri (syngress, oreilly, etc…) e ci sono corsi da seguire > (che spesso costano… anche in questo caso, avere un lavoro aiuta ad avere > le risorse da investire). in questo caso mi sento di consigliarti > tantissima pratica da unire alla teoria, perchè c’è troppa gente che ha > letto come si fanno cose che poi, nella realtà, non ha mai provato. se sai > mettere in pratica quello che conosci, sei secondo me già sulla strada > giusta. > > altra cosa è non scoraggiarti: più le cose sono difficili e più le fanno > in pochi (i you know what i mean). > > che sia italia o estero, a mio avviso, poco cambia all’inizio: ci sono dei > tecnici di altissimo livello anche qui in italia e fare networking e > sentire le loro opinioni a me ha aiutato tantissimo anni fa (per quanto non > condivida in toto i punti di vista di tutti, un confronto è sempre > positivo). > > aggiungo una cosa, ma non per spegnerti, ma per evitare che tu abbia > bruschi risvegli (come è successo a me :D): > > *"VA e PT, ma anche analisi malware, sviluppo stesso di exploit e malware, > intelligence”* > > forse mi sbaglio, ma l’idea che mi ha dato questa frase è piuttosto > “cinematografica”…. lavorare sulla sicurezza è sicuramente (almeno per me) > mooooolto più intrigante che fare 1000 altre cose, ma per capirci, per > scrivere exploit reali serve una dose di studio e di pratica non > indifferente… analizzare malware ti porta via magari 6 mesi a guardare > codice assembly che sembra non avere senso, fare intelligence vuol dire > anche passarsi le giornate a scremare informazioni senza senso; e quando > hai finito, tutto quello che hai fatto va documentato nel dettaglio, cosa > che porta via una *marea* di altro tempo (nei film invece attaccano e poi > vanno a sfondarsi di birra in spiaggia…beati loro...). > > come dicevo, sono il primo a sostenerti e a tifare per te, ma occhio che > soprattutto all’inizio si possono avere visioni distorte. > > se sei convinto che questa sia la tua strada, inizia a percorrerla appena > puoi che c’è bisogno di gente brava (e, da quello che sembra, ce ne sarà > sempre più bisogno). > > daje! > > Lo > > — > > *“The brick walls are there for a reason. The brick walls are not there to > keep us out. The brick walls are there to give us a chance to show how > badly we want something. Because the brick walls are there to stop the > people who don’t want it badly enough. They’re there to stop the other > people.”* > > Randy Pausch > > On 29 Aug 2016, at 21:21, Tripoli Neve <[email protected]> wrote: > > Ciao a tutti, > > spero di non aver sbagliato luogo per chiedere consiglio su quanto segue: > > Cosa offre l'Italia a un giovane laureato in ingegneria/informatica, che > sia appassionato della materia sicurezza, possegga un buon curriculum > accademico (ed eventualmente lavorativo ma non in ambito sicurezza) abbia > moltissima voglia di imparare e lavorare, ma relativamente poca conoscenza > della materia (livello "Junior autodidatta"), data la quasi totale assenza > di insegnamenti relativi all'università? > > Cercando un po' mi pare di aver capito che le grandi società di consulenza > e alcuni tra i maggiori istituti finanziari assumano candidati giovani con > un'esperienza limitata se non addirittura nulla, ma l'idea che mi sono > fatto è che ci sia sì da imparare, ma in maniera limitata rispetto a un > contesto in cui la sicurezza informatica sia l'obiettivo principale delle > attività. Mi sbaglio? > > Esistono in Italia delle realtà cui rivolgersi per avere al tempo stesso > un compenso dignitoso e la possibilità concreta di crescere? > Come trovarle e come proporsi? > Se non in Italia, dove? > > In particolare, nel mio caso sono più interessato alla parte "offensiva" e > di ricerca (VA e PT, ma anche analisi malware, sviluppo stesso di exploit e > malware, intelligence), per cui qualche consiglio mirato sarebbe molto > apprezzato. Le considerazioni etiche non sono secondarie (niente sviluppo > di sistemi di sorveglianza per governi dittatoriali o mafie varie, > ovviamente!) > > Anche consigli più generali sarebbero molto apprezzati, sia da me che dai > molti altri nella mia situazione con cui mi sono confrontato (alcuni dei > quali spero siano iscritti a questa lista...). > > Grazie e ciao! > > > T. > > > > > > > >
