Il 30/Ago/2016 17:26, "ram ste" <[email protected]> ha scritto: > > Ciao, > > a parte il fatto che da qualche anno sono fioriti un certo numero di corsi universitari e master su sicurezza informatica e materie simili, credo che oltre acquisire esperienza sul campo sarebbe opportuno andare verso le spesso vituperate certificazioni, che dimostrano qual è il livello minimo di competenza delle persone. > > Ce ne sono diverse. E’ vero sono costose ma dimostrano che una persona ha acquisito certe competenze, ha fatto un percorso ben preciso e organico e non ha competenze a “macchia di leopardo” tipiche di molti autodidatti. > > Nel campo della sicurezza informatica (ISC)2 la fa da padrone. Per info https://www.isc2.org/ > > Nel campo della sicurezza e dell’attacco, un nome importante è quello di SANS. Ti consiglio di vedere il percorso da loro suggerito su https://www.sans.org/media/security-training/roadmap.pdf > > Anche EC Council è molto considerata nel campo: https://www.eccouncil.org/programs/certified-ethical-hacker-ceh/ > > Nel campo offensivo: https://www.offensive-security.com/ > > Queste organizzazioni sono stimate per la serietà; non andrei molto oltre anche se ce ne sono altre importanti. > > Soprattutto all’estero, avere una certificazione è talvolta più importante di una laurea, in Italia se ne comincia a parlare. > > Ripeto, in genere sono costose. Ma l’investimento ripaga. > > Spero di essere stato utile.
Ciao. Solo una esperienza. Ho due certificazioni SANS su pentest ing. In ambedue le occasioni, a Londra e Berlino, di italiani oltre ai miei colleghi non ne ho visti, forse un paio, di cui uno lavorava all'estero. In ambedue le occasioni i partecipanti erano svariate centinaia. Parliamo di corsi di svariate migliaia di euro, a parte i costi non piccoli dei viaggi. E le certificazioni vanno rinnovate... Insomma il gioco deve valere la candela. E non sono per niente sicuro ciò accada se lavori in italia ... Un saluto > > Buon lavoro. > > SR > > Il giorno 30 agosto 2016 15:09, Lorenzo Nicolodi < [email protected]> ha scritto: >> >> ciao! >> >> secondo me, prima di lavorare in questo ambito devi avere delle skills che ti permettono di farlo, perchè trovare una ditta che ti dia la formazione da zero è molto, molto complesso. >> >> diciamo che quello che mi sento di consigliarti è di rimboccarti le maniche: iniziare con dei lavori più base (es: sysadmin, sviluppatore) che ti possono dare delle ottime basi (prima di rompere del codice bisogna, tendenzialmente, saperlo scrivere… e conoscere gli internals di un sistema operativo è mandatorio per cercare di attaccarlo, anche se non sempre è necessario). >> >> in parallelo a questo lavoro, puoi iniziare a curare la tua formazione piu specifica in diversi modi: ci sono eccellenti corsi online, sia gratuiti che a pagamento (mi viene in mente coursera ma ce ne sono tantissimi altri), ci sono libri (syngress, oreilly, etc…) e ci sono corsi da seguire (che spesso costano… anche in questo caso, avere un lavoro aiuta ad avere le risorse da investire). in questo caso mi sento di consigliarti tantissima pratica da unire alla teoria, perchè c’è troppa gente che ha letto come si fanno cose che poi, nella realtà, non ha mai provato. se sai mettere in pratica quello che conosci, sei secondo me già sulla strada giusta. >> >> altra cosa è non scoraggiarti: più le cose sono difficili e più le fanno in pochi (i you know what i mean). >> >> che sia italia o estero, a mio avviso, poco cambia all’inizio: ci sono dei tecnici di altissimo livello anche qui in italia e fare networking e sentire le loro opinioni a me ha aiutato tantissimo anni fa (per quanto non condivida in toto i punti di vista di tutti, un confronto è sempre positivo). >> >> aggiungo una cosa, ma non per spegnerti, ma per evitare che tu abbia bruschi risvegli (come è successo a me :D): >> >> "VA e PT, ma anche analisi malware, sviluppo stesso di exploit e malware, intelligence” >> >> forse mi sbaglio, ma l’idea che mi ha dato questa frase è piuttosto “cinematografica”…. lavorare sulla sicurezza è sicuramente (almeno per me) mooooolto più intrigante che fare 1000 altre cose, ma per capirci, per scrivere exploit reali serve una dose di studio e di pratica non indifferente… analizzare malware ti porta via magari 6 mesi a guardare codice assembly che sembra non avere senso, fare intelligence vuol dire anche passarsi le giornate a scremare informazioni senza senso; e quando hai finito, tutto quello che hai fatto va documentato nel dettaglio, cosa che porta via una *marea* di altro tempo (nei film invece attaccano e poi vanno a sfondarsi di birra in spiaggia…beati loro...). >> >> come dicevo, sono il primo a sostenerti e a tifare per te, ma occhio che soprattutto all’inizio si possono avere visioni distorte. >> >> se sei convinto che questa sia la tua strada, inizia a percorrerla appena puoi che c’è bisogno di gente brava (e, da quello che sembra, ce ne sarà sempre più bisogno). >> >> daje! >> >> Lo >> >> — >> >> “The brick walls are there for a reason. The brick walls are not there to keep us out. The brick walls are there to give us a chance to show how badly we want something. Because the brick walls are there to stop the people who don’t want it badly enough. They’re there to stop the other people.” >> >> Randy Pausch >> >>> On 29 Aug 2016, at 21:21, Tripoli Neve <[email protected]> wrote: >>> >>> Ciao a tutti, >>> >>> spero di non aver sbagliato luogo per chiedere consiglio su quanto segue: >>> >>> Cosa offre l'Italia a un giovane laureato in ingegneria/informatica, che sia appassionato della materia sicurezza, possegga un buon curriculum accademico (ed eventualmente lavorativo ma non in ambito sicurezza) abbia moltissima voglia di imparare e lavorare, ma relativamente poca conoscenza della materia (livello "Junior autodidatta"), data la quasi totale assenza di insegnamenti relativi all'università? >>> >>> Cercando un po' mi pare di aver capito che le grandi società di consulenza e alcuni tra i maggiori istituti finanziari assumano candidati giovani con un'esperienza limitata se non addirittura nulla, ma l'idea che mi sono fatto è che ci sia sì da imparare, ma in maniera limitata rispetto a un contesto in cui la sicurezza informatica sia l'obiettivo principale delle attività. Mi sbaglio? >>> >>> Esistono in Italia delle realtà cui rivolgersi per avere al tempo stesso un compenso dignitoso e la possibilità concreta di crescere? >>> Come trovarle e come proporsi? >>> Se non in Italia, dove? >>> >>> In particolare, nel mio caso sono più interessato alla parte "offensiva" e di ricerca (VA e PT, ma anche analisi malware, sviluppo stesso di exploit e malware, intelligence), per cui qualche consiglio mirato sarebbe molto apprezzato. Le considerazioni etiche non sono secondarie (niente sviluppo di sistemi di sorveglianza per governi dittatoriali o mafie varie, ovviamente!) >>> >>> Anche consigli più generali sarebbero molto apprezzati, sia da me che dai molti altri nella mia situazione con cui mi sono confrontato (alcuni dei quali spero siano iscritti a questa lista...). >>> >>> Grazie e ciao! >>> >>> >>> T. >>> >>> >>> >>> >>> >>> >> >
