Karriär inom IT-säkerhet och drift?

Hej,

Jag är en i mängden av de "ungdomar" som sitter dag och natt och inte riktigt vet vad jag vill i livet bortsett från bort från den skitvardag jag har idag. Länge har jag varit inne på IT spåret, jag vet att det är brett och så luddigt som det bara kan bli. Nästan som att säga, jag vill jobba med människor... Men IT-Säkerhet och server drift är något som jag alltid fascinerats av (främst linuxbaserat). Jag skulle verkligen inte vilja påstå att jag har någon erfarenhet men jag undrar bland annat;

Hur ser en arbetsdag ut när man jobbar inom dessa områden?
Vilka utbildningar rekommenderas?
Hur är lönen (underbetald, medel eller "above average")?

Jag är den typen av person som på kvällarna sitter och "lär" mig saker. Alltifrån löjliga grejer så som att cracka WIFI till grunder för HTML, C etc etc. Vad skulle ni tipsa mig om att kika på för dessa områden?

får be om ursäkt att det inte finns någon röd tråd i mitt inlägg. Tack på förhand!

Inom just serverdrift så är arbetet att se till så att servrarna fungerar som de ska. Det kanske säger sig självt, men det kan även vara att nya komponenter ska installeras och alla möjliga program kan uppstå vid t.ex uppdatering/uppgradering. Ditt jobb lär ju vara att lösa dessa problem som uppstår.
En del av jobbet är att övervaka systemet rätt så grundligt, se till så att vissa attacker inte fortsätter och förhindra att de uppstår.

Som IT-säkerhetskonsult så är en vardag väldigt varierande(om man inte jobbar på ett projekt). IT-säkerhet betyder rätt så mycket då säkerheten ligger på flera områden. Just kodgranskning är ofta en del av arbetet och det är en bra metod för att finna buggar och upptäcka säkerhetsbrister. Att använda redan byggd mjukvara och testa den utifrån en användares perspektiv är även vanligt, så kallat pentesting. Detta har blivit mer vanligt, speciellt på appar. Att kunna använda program så som logcat ska vara en behörighet samt vilka vektorer du ska angripa och hur! Man kan se det lite som att man buggtestar en mjukvara med syfte att utnyttja buggarna man hittar.

En vanlig dag ser väl ut på så sätt att man kanske har fått ett nytt uppdrag och använder program för att identifiera vad som lär vara sårbart. Noterar vektorerna och försöker få fram så mycket information om ytorna som möjligt. T.ex "detta förväntar sig att jag skriver in en siffra, vad händer om jag skriver en bokstav" och sedan analyserar man svaret därefter och varför den regerade på det sättet och hur koden lär vara skriven.
Mycket av arbetet är även att jobba med sårbarheter. Man ska skriva egna och analysera redan publicerade samt finna patchar till dessa.
Jag brukar ta 3-4 veckor på mig per applikation oavsett storlek. Jag brukar ta en yta åt gången, t.ex hur en uppkoppling sker till och kollar på responsen. Det mesta för just mig är backend. Vi har jobbat lite med OpenSSL och försökt hitta sårbarheter i protokollet men det var väldigt nytt för mig och just inom info-sec så är det mycket nytt.

Det mesta du behöver göra är nog dokumentation. Det är otroligt mycket att dokumentera.

Tidigare arbetslivserfarenhet, ålder och utbildning spelar roll så detta är svårt att svara på. Att kolla på lönestatistiken skulle nog ge dig en glims på vilken lön du kan förvänta dig, men som sagt; statistik tar inte hänsyn till individuella personer. Men rent konkret så kan du förvänta dig medel till "above average".

Certifikat faktiskt. Detta är något jag rekommenderar till er alla och certifikat var exakt det som gav mig jobbet jag har idag. Jag är långt ifrån utbildad, jag har läst ett program och några kurser, men jag har flertalet certifikat och skriva white papers. Att kunna visa upp detta för en arbetsgivare är otroligt bra. För tro mig när jag säger att riktig IT-säkerhet lärs inte ut på något universitet här i Sverige.

Vägen ser annorlunda ut för alla, ingen väg är den samma lik. Du kan läsa böcker, ta certifikat, skriva white papers men ändå inte ha en längre utbildning inom info-sec. När du väl tagit det första jobbet så är du i stort sätt redan inne. Jag är lärling på en firma som fokuserar på applikationssäkerhet och tack vare denna firma har jag fått ta de nödvändiga certifikat jag behövt för att kunna jobba och fortsätta med info-sec. Det kommer komma en tid så jag måste sluta, men arbetslivet för mig kommer se ljust ut.

Vad många företag söker efter är förtroende.

Jag har själv väldigt dålig koll på IT-säkerhet men även jag vet att duktiga sådana är extremt eftertraktade. Detta är dock personer som är riktigt duktiga och inte de som tycker ämnet är tråkigt.

Bl.a. har jag en vän som arbetar på FRA och har tidigare arbetat inom IT-säkerhet på en väldigt stor bank, och honom är det många som vill åt.

Hur många vet om att han är anställd hos FRA?

Ingen aning, är inte särskilt bra vän med honom utan har fått höra det av bekanta. Men jag vet ju om det så det kan inte vara någon superhemlighet direkt.

Vill bara ge ett inlägg angående att universitet inte skulle vara bra på it-säkerhet.
Självklart varierar detta men tycker rent allmänt att det är ett felaktigt antagande.
Chalmers har följande kurser inom ren it-säk:
Language security
Network security
Computer Security
Cryptography
Linköping har en profil för it-säk.
http://www.ida.liu.se/edu/ugrad/program/profiler/secsy/
Luleå har en master i informationssäkerhet.
http://www.ltu.se/edu/program/FMISA
KTH har flertalet kurser inom it-säk.

Att univeristeten inte lär ut bra it-säk är struntprat, och att lärarna sedan inte skulle vara kunniga är ännu större struntprat. Som föreläsare på en universitetskurs så är man expert på det man undervisar i och oftast forskar man inom området halva sin tjänstetid eller liknande. Hur skulle de inte kunna vara bra på det de gör?

Sedan får man fråga sig, vad vill jag bli bra på?
Om man ska bli expert på att analysera webbapplikationer behöver man inte samma tunga tekniska bas som om du ska sitta och analysera saker i IDA hela dagarna, och då kanske det går snabbare att plugga hemma.

För ts kanske en ky utbildning inom server administration är lämplig och plugga sånt som intresserar en på fritiden.

Jag sa att vägen är olika för alla. Jag personligen hade inget konkret att hämta på universitet, det kommer vara olika för andra, givetvis.

Och nej, riktigt IT-säkerhet lärs inte ut på något universitet. Det är ouppdaterad fakta som kommer i bokformat. Vart tror du den absolut senaste informationen kommer ifrån? Böcker eller allmänt utforskande?

Alla tre kurser på KTH använde urgammal teknik och programvara. Hur ställer det sig mot dagens avancerade teknik? Inget, därför ska man ta certifikat. Men så klart, vill man inte utvecklas så studera du på KTH och läs fakta som är skriven i hieroglyfer.

Mjo man gillar ju vägen man tar som tur är
Har främst koll på chalmers kurser.
Låt oss ta ett urdrag av innehållet ur language security(från våren 2013):
Buffer overruns; Database security; Privacy-violating information flow in web applications

Design principles for security protocols

Authentication on the web (OAuth, OAuth2, OpenID) with real-world examples (Twitter, Facebook, Amazon, Google).
Invited lecture by Mattias Jidhage, Omegapoint and OWASP Gothenburg.

Advanced topics in web application security
Invited lecture by Mario Heiderich, Ruhr University (Bochum).

Malware
Invited lecture by Ben Livshits , Microsoft Research (Seattle).
Slides: here.

Dessutom så genomförde de labbar inom:
Eraser lab (on data races)
r00tshell lab (on buffer overruns)
WebAppSec lab (on web application security)
Project (man väljer eget research område)

Jag kan inte för min värld se hur du tycker detta är utdaterade saker?

Förövrigt körde Jonas Magazinius från Chalmers en grym föreläsning på Owasp Gothenburg tidigare i höst angående Polyglots.

Att gå hemmifrån ut i IT säkerehet är svårt utan referenser eller kontakter.
Hur gjorde jag?

PC support utblidning med betyg för att kunna söka till högskolan Data System Vetenskap --> Exjobb
--> personal uthyrning till Ericsson. De såg att jag kunde grejer och anställde en. Tok vidare utbildade mig inom Ericsson i fem år --> Anställd IT konsult med egen firma.

Server drift och säkerhet är det jag hållit på med.

IT branchen är lustig eftersom det är branchen med flest inkompetenta som arbetar där.
Det är oerhört få som kan det. Jag menar på en annan nivå än att klicka på gemet i Windows eller hacka shell scripts i Unix.

Jag menar fundament hur grejer fungerar i praktiken med etter och nollor + IF AND OR gates.

Eftersom just denna bas kunskap är något som är gemensamt oavsett vad man arbetar med inom IT.

När vi talar server drift/säkerhet så är det generelt Unix/Linux vi pratar om. En kort stund så har det funnits en ovana att släpa in Windows i server rummet men det är som tur påväg att slängas ut igen.

Serverdrift är coolt. Tex SAS IT.
De sitter i en bucker vid Arlanda. Hela väggen är med giganstiska skärmar med server status hit o dit. Det är som en film.
För är man riktigt bra på server drift så lägger man ned äckligt med tid att sätta upp allt perfekt. Målet är att man inte skall ha något att göra sedan.

Man sitter på dagarna och tittar lite på loggar/grafer för att se att allt rullar på. Och så kan det vara många månader. (=sitta o surfa/ragga brudar).

Om man håller på med säkerhet brukar man vara mer åt sysadmin hållet där säkerhet ingår. Men det är då inte bara server säkerhet utan även klienterna. Man kör oftast specifika hjälpprogram för den miljön man är på.

Så målet är att man får visa upp att man är duktig och att någon rekommenderar en.

Efter "hor" perioden som uthyrd där jag visade upp mig, efter det är alla jobb jag haft headhuntade/rekommenderade.

Och jag älskar detta jobb. Det är som en detektiv arbete / last line defence.
Många företag hyr in hackers/företag som gör audit varje år. Man vet inte när. Men helt plötsligt så ser man hur portscanningarna drar igång, nätverkslasten ökar, hur de försöker köra kända hål från patch missar till SQL injections.
Jag blir först alltid sur. "fucker som skall hacka mitt system". Sedan börjar man försöka att ta över deras system i stället.

Eftersom de flesta kör Linux/Unix så blir det ganska coolt om man kan logga in på den andra burken. Styra microfoner, ljudkort, spotta ut optiska skivor och messeage of the day som broadcasts till alla burkar på nätet. "xxx har en vissen purjo" osv...

Men bara för du tog upp de ämnen som tas upp så betyder det inte att det som lärs ut faktiskt är uppdaterat. Å andra sidan har jag inte så stor koll på just OAuth och dess säkerhet och hur mycket uppdateras det just där? Jag tänker mer på applikationssäkerhet som utvecklas precis hela tiden och dessa kurser kan omöjligt ta upp den nya informationen varje år, då skulle kursen förlora dess syfte om varje år var den olika.

Men att få sig en utbildning är aldrig fel, snarare tvärtom. I mina ögon finner du den senaste informationen redan i arbetslivet och inte på något universitet.

Jo du har en poäng antar ja! Sedan så är jag inte så naiv att jag tror att man blir kung på it-säk av att gå några kurser utan ser det snarare som ett bra komplement till sina hemmastudier.
Sen verkar vi ha skilda åsikter om vad universitet lär ut för saker men det är så det är.

Angående cert, rekommenderar du nått särskilt? Kollat mycket på OSCP från offensive security, verkar grymt bra helt enkelt, dock dyrt.

IT-säkerhet: allmänt --> Arbetsliv och arbetsmarknad
/Moderator