Показать сообщение отдельно
Старый 22.07.2019, 16:33   #27
Grey
 
Аватар для Grey
 
Регистрация: 30.06.2010
Сообщений: 38
По умолчанию

Куда все ушли?

По большей части все старое поколение осело в IT/ИБ-компаниях. Вся активность сместилась в соответствующее русло:
  • поиск уязвимостей - проектная деятельность
  • исследования - если такие вообще имеют место быть, то публикуются от лица сотрудника компании (т.е. ассоциируются с конкретным ФИО, но не каждый готов/хочет связывать свое ФИО с ником на форуме)
  • 0day - постить зиродеи на форуме, мягко говоря идет в разрез с нормами этики (зиродеи улетают вендорам, и опять же нередко можно в деталях CVE моэно найти референс с ФИО)
  • CTF/конкурсы/таски - опять же много CTF подготавливается в рабочее время и проводятся от лица компаний
Не так и много остается того, что можно было бы зашарить на форуме: 1day, общие техники и подходы, суперобезличенные примеры интересностей, встречающиеся на проектах.

Отрасль и молодняк

За все эти годы отрасль набрала обороты, если раньше количество ВУЗов, где было ИБ можно было сосчитать по пальцам, то теперь такую специальность можно встретить почти в любом ВУЗе. Не могу не отметить, что это напрямую сказывается на качестве кадров. Если раньше на собеседованиях кандидаты были полны энтузиазма, то теперь это "меня этому учили в ВУЗе, берите меня на работе, хочу много-много денег".

Сильно сказывается и развитие разных BugBounty - с одной стороны это подразумевает множество плюсов:
  • для исследователя - можно практиковаться, оставаясь белым и пушистым
  • для исследователя - можно заработать деньги и в большинстве случаев, это в разы легче чем фриланс
  • для компаний - как минимум это дешевле, чем проведение пентестов на регулярной основе
Но есть и обратная сторона - многие концентрируются исключительно на однотипных уязвимостях (не вопрос, если это хорошо автоматизировано, но чаще бывает, что совсем полное превращение в обезьянку), полностью забивая на свое дальнейшее развитие. Оно и очевидно, проще найти 10 XSS, чем одну интересную RCE.
На выходе получаем "специалистов", которые не разбираются дальше одной-двух атак, но при этом уже неплохо прикормленных деньгами и как следствие, с сильно завышенными ожиданиями.

Коммерция/зачем оно нужно?

Тут то мы и подобрались к "материальной" составляющей, которая имеет место здесь быть. Этот проект вклад в отрасль в контексте создания новых кадров (даже не так важно, куда именно пойдет работать юное дарование). Звучит очень размыто, но находить действительно стоящих сотрудников очень сложно и даже один-два сотрудника, которые могли бы осесть в какой-либо компании - это уже успех.

И это действительно работает - если показать интересный материал/файндинги, то тебя обязательно заметят и это сильно увеличивает шансы быть приглашенным на собеседование в какую-нибудь тру-компанию.

Как поддержать активность

На мой взгляд, нужно различать привлечение новых посетителей и поддержку активности. Публикация дайджестов - клевая тема, которая позволит форуму обратить на себя внимание. Сюда же можно отнести какие-нибудь полные рекомендации из серии "с чего начать" с качественной подборкой материалов, лаб и т.д.
Что же касается активности, то как я уже написал, стоит оперировать чем-то, что не будет идти в разрез с этикой (зиродеи, уязвимости на конкретных хостах и т.д.) или с личными интересами, а именно:
  • небольшие исследования, которые скорее обозначают направления для последующего углубления в тему
  • поддержка базы знаний каких-нибудь супер пробивных 1day уязвимостей с эксплойтом / фингерпринтов и т.д. - все то, что полезно всем, но требует постоянных обновлений
  • сильно обезличенные истории успеха (как некий обмен опытом)
Grey вне форума   Ответить с цитированием