tamadon

سلام

So, you want to work in security?

خانم «پریسا تبریز» برای کسایی که مباحث هکینگ و امنیت رو دنبال می‌کنند فردی کاملا شناخته‌‌شده‌ است. خانم تبریز در حال حاضر در شرکت گوگل کار می‌کنه و در اون شرکت با لقب «شاهزاده‌ی امنیت» شناخته می‌شه.

اخیرا مطلبی توسط ایشون منتشر شده که تجربیات خودش رو با افرادی به اشتراک گذاشته که دوست دارند در زمینه‌ی امنیت کامپیوتر، اطلاعات، سایبر و... کار کنند.

از اون‌جایی که خانم تبریز در این زمینه فرد موفقیه به نظرم خیلی خوبه که تجربیات ایشون رو بخونیم.

من تقریبا به صورت آزاد این مقاله رو ترجمه کردم و سعی کردم موارد مهم رو از قلم نندازم. خیلی خوب! شروع می‌کنم:

هرچند وقت یکبار از افراد مشتاق، ایمیل‌هایی دریافت می‌کنم که از من می‌پرسند چجوری می‌تونم در زمینه‌ی امنیت کار پیدا کنم؟

این خیلی خوبه!  ما به افرادی با اشتیاق بیشتر، خلاق‌تر و سخت‌کوش‌تر احتیاج داریم که بخوان تکنولوژی رو برای استفاده، امن‌تر کنند. البته باید یه جوری هم باشه که برای زندگی‌کردن ثبات مالی داشت.

هشدار: این شبیه فیلم ها نیست.

کار در فیلد امنیت هیچ شباهتی به هالیوود نداره. من هم عاشق اینم که فیلم‌های فوق‌العاده‌ی هکری که در اون پر از کارهای عجیبه رو تماشا کنم اما هیچ کدوم از روزای کاری من شبیه اون چیزی که در فیلم‌ها نشون میده و به اون باحالی نبوده.

این حرف برای اکثر حرفه‌ای ها یک واقعیته و حتی اگه من تمام طول روز رو برای فهمیدن یک قطعه کد در یه زیر زمین صرف نکنم بازهم فکر می‌کنم که کار کردن در این فیلد، جذاب‌ترین و چالش‌برانگیز‌ترین و مهم‌ترین کار باشه.

هیچ استاندارد یا برنامه‌ی آموزشی مشخصی وجود ندارد

امنیت یک فیلد وسیع، بین رشته‌ای و کاربردی محسوب میشه. چیزهای زیادی وجود داره برای افرادی که می‌خوان سیستم‌های امن رو بسازند و طراحی کنند، افرادی که می‌خوان سیستم‌ها رو هک کنند، افرادی که به دنبال تشخیص مزاحمت‌ها و خرابکاری‌ها هستند و خیلی چیزهای دیگه. بعد از همه چیزهایی که یاد گرفتم متوجه شدم که هیچ مسیر استاندارد یا مشخصی وجود نداره.

مستقل از این که چجوری با مقوله‌ی امنیت آشنا شدید باید درک عمیقی از علوم کامپیوتر کاربردی داشته باشد و اینکه کامپیوترها و نرم افزارها چجوری کار می کنند.  علوم کامپیوتر بیشتر در این مورده که چجوری می شه مسايل رو در لایه‌های انتزاعی حل کرد و امنیت در نقطه‌ی مقابل اون به دنبال پیدا کردن رخنه‌ها و آسیب‌پذیری‌هاست و بعدش به دنبال این که چجوری میشه اون رو به بهترین شکل وصله (یا اکسپلوییت) کرد.

من این معلومات رو در دانشگاه یادگرفتم.  درس‌هایی مثل سیستم‌عامل، شبکه، معماری کامپیوتر و طراحی کامپایلر خیلی مفید بود. علاوه بر دروس دانشگاهی در دوره‌هایی که فکر می‌کردم جالبه شرکت کردم. (مثل پردازش سیگنال‌های دیجیتال، مهندسی پزشکی، هوش مصنوعی). ضمنا مباحث شبکه، تکنولوژی‌های افزایش حریم خصوصی و امنیت برنامه‌های تحت وب و کلاینت رو با انجام پروژه‌ها و کارآموزی یادگرفتم.

همینطور باید یاد بگیری که مردم (کاربران، مشتریان و ...) چجوری با تکنولوژی کار می‌کنند. الان که فکر می‌کنم یادم میاد که در زمان دانشجویی در کلاس‌های روانشناسی، جامعه‌شناسی و انسان‌شناسی هم شرکت کردم.
با افراد متخصصی که دارای پس‌زمینه‌ی دانشگاهی سنتی بودند هم کار کردم. (افرادی با مدرک مهندسی کامپیوتر، علوم کامپیوتر، ریاضی و...)

حتی افراد زیادی که خیلی هم به این رشته مربوط نیستند رو میشناسم. (مثل شیمی‌دان‌ها، دانشجویان فیلم و هنر، روانشناسان، طراحان گرافیکی) و حتی افرادی که قبل از دریافت مدرک تحصیلی، ترک تحصیل کردند!

در خصوص «مدارک و گواهینامه‌های امنیتی» من هیچ مدرکی ندارم. شاید در بعضی از کشورها برای استخدام و این حرفا به این مدارک احتیاج داشته باشند که خوب تکلیف معلومه!

توصیه می‌کنم که مانیفست هکرها و چگونه هکرشدن رو بخونید. چون برای خیلی از متخصصین امنیت منشاء الهام و قطب‌نمای اخلاقی بوده تا مسیر رو گم نکنند. حتی اگر نمی‌خواین هکر هم بشین به شما کمک می‌کنه تا با طرز تفکر افرادی که در کنار شما کار می‌کنند آشنا شین.

حالا از اینجا به بعد وارد نکات آموزنده میشیم!!

از اونجایی که معمولا مطالب طولانی خونده نمیشه: ادامه‌ی این مطلب رو به صورت موردی میارم و اگر دوست داشتین می‌تونین به مقاله‌ی اصلی رجوع کنید:

۱. خواندن رو بس کن و شروع کن به کار عملی: برای این سوال که چجوری به دنبال کسب تجربه باشید جواب ساده‌ای بلد نیستم. در کنفرانس‌ها، کلوب‌ها، سازمان‌ها و... شرکت کنید. من قبل از استخدام در گوگل سابقه‌ی SysAdminای داشتم.

۲. شروع کنید به برنامه‌نویسی و کدزنی: بهترین افراد متخصصی که میشناسم خودشون دارای تجربه‌ی برنامه‌نویسی بودند.  سعی کنید باگ‌های موجود در برنامه‌های متن‌باز رو پیدا و وصله کنید. همه‌ی مردم، افرادی که باگ‌ها رو وصله می‌کنند رو دوست دارند!

۳. کدها را بشکنید و هک کنید: وقت زیادی برای کشف آسیب‌پذیری‌ها بذارید. یاد بگیرید که چجوری با دیباگرها، اسکنر‌های شبکه و.. کار کنید. در سایت‌هایی که برای افزایش مهارت هکینگه شرکت کنید. اولین سایتی که از اون استفاده کردم hackthissite.org بودش که به زمان دانشجوییم بر میگرده و بعدش هم سایت  infosec.rocks. همینطور مسابقات فتح پرچم به عنوان یک ایده‌ی خوب مطرحه. علاوه بر باگ‌هایی که خودتون پیدا می‌کنید، مطالعه و بررسی باگ‌هایی که بقیه پیدا می‌کنند هم خالی از لطف نیست.

۴.  دانش خود را به اشتراک بگذارید: شروع به کار من در زمینه‌ی امنیت مربوط به شرکت در گروه ACM بود. سخنرانی‌های مربوط به همایش DEFCON هم بسیار عالی بود. موارد دیگه به خرید کتاب‌ها و مقالات امنیت یا حتی چت‌کردن با افراد دیگه مربوط میشه. اشتراک دانش به دلایل زیر خیلی مهمه:

• موضوع اشتراک گذاری در شرکت‌ها یا پروژه‌های بزرگ یک موضوع خیلی مهم و بهترین تمرینه. (امیدوارم درست فهمیده باشم)
• معمولا وقتی می خوام مقاله یا ارائه‌ای رو آماده‌ کنم مجبور میشم تا نقاطی که برام تا اون موقع ناشناخته است و در موردش چیزی نمی‌دونم رو یاد بگیرم.
• از حاضرین در جلسه، از سوالات، نظرات و .... چیزهای خوبی یاد می‌گیرم.
• از هر دست بدی از همون دست می‌گیری. (Pay it forward)

۵. تمرین تعامل با دیگران: کار کردن در زمینه‌ی امنیت یعنی اینکه مجبوری مشکلات فنی پیچیده رو به افراد مختلفی توضیح بدی که هرکدومشون دارای اصطلاحات و تخصص‌های مختلفی هستند. بنابراین باید تمرین کنی که بتونی با افراد مختلف ارتباط بگیری و به زبون خودشون با اون‌ها صحبت کنی.

۶. انتظار داشته باش که سخت کار کنی و شکست بخوری: شاید این موضوع کاملا بدیهی باشه اما بعضی وقت‌ها فراموش میشه. کار امنیت یک کار چالشی است. همیشه باید چیزهای جدید رو یاد بگیری چون مواردی که موظفی امنیت اون‌ها رو فراهم کنی به شدت و خیلی سریع رو  به افزایشه. امنیت می‌تونه تنش‌زا و اضطراب‌آور باشه. شما با مشکلات ناشناخته، راه‌حل‌های نامعلوم، داده‌های محدود و تهدیدات واقعی برای ایمنی آدم‌ها سر و کار دارید.دست‌یابی به امنیت بسیار سخته و تجربه‌ی من نشون می‌ده که مردم معمولا شکست‌ها رو می‌بینند.

۷. (سعی کن) خوش بین باشی.

۸. از دیگران کمک بگیر.

مترجم: تمدن

مطالب مرتبط:

مهارت‌های انتزاعی و لمس‌ناپذیر برای هکر شدن
مهارت های فنی و تخصصی لازم برای هکر شدن
کنجکاوی و طرز تفکر هکرها