[SOLUCIONADO] Trabajo en seguridad en informatica

Buenas muchachos, como andan?

Bueno, paso a presentarme. Mi nombre es Gaston, tengo 24 años y soy programador senior en ruby. Hace poco me volvi a interesar por una pasion de mi adolescencia, el hacking y la seguridad en informatica.
Ando con ganas de ponerme a estudiar a full, actualmente me puse a leer un libro para cerficar LPCI-1 y seguramente me ponga a aprender Networking en profundidad.
Mi duda viene porque, la vision de un trabajo en esta area no sea la mas presisa que tenga. No tengo idea como son las areas de trabajo (yo se que hay un monton de areas dentro de seguridad en informatica), ni las tareas a relizar dia a dia, ni los ambientes de trabajo, ni el estres generado por el trabajo ni los sueldos.
Alguien me podria contar su experiencia? Aclaro que la seguridad en informatica me interesa por curioso, pero si algun dia lo puedo llevar al ambiente laboral seria genial.
Tambien, no se si estoy siguendo un buen camino para aprender.

Administracion de linux -> Networking TCP/IP -> Programacion en C -> Libros de CEH, Seguridad en Redes, etc

Agregame a skype (andresgo_tkf).

Saludos,

Hola TestTest, bienvenido a la comunidad.
Actualmente trabajo en una empresa como QA, no es 100% orientado a seguridad, pero si me toca realizar testeos de ese tipo.
Por otro lado, tambien consegui trabajo en el gobierno como un estilo de freelance, y ese si es orientado a la seguridad de la informacion.
No se de que pais sos, pero creo que la seguridad es un departamento importante que deberian tener las empresas y que de a poco va creciendo.

Saludos
ANTRAX

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola TestTest, bienvenido a la comunidad.
Actualmente trabajo en una empresa como QA, no es 100% orientado a seguridad, pero si me toca realizar testeos de ese tipo.
Por otro lado, tambien consegui trabajo en el gobierno como un estilo de freelance, y ese si es orientado a la seguridad de la informacion.
No se de que pais sos, pero creo que la seguridad es un departamento importante que deberian tener las empresas y que de a poco va creciendo.

Saludos
ANTRAX

Hola Antrax,

Soy de Argentina. Contame un poco como son las tareas de tu dia a dia, que clase de test haces. Interactuas direcamente con los clientes o los owners de las plataformas que testeas? Es muy estresante el trabajo? Es bien pago?

Hola, s3cur1tyr00t,
ahora no puedo conectarme a skype. Si queres contame un poco por aca o si queres por MP. Sos de LinuxParaTodos?

TestTest, tambien soy de Argentina.
Los testeos que realizo son:

- Seguridad (Web/Servidores/Redes)
- Automatizaciones
- Stress / Load
- Performance
- Funcional

Trato con el cliente, que en la mayoria de las veces son de EEUU, o con managers u owners, eso es depende del proyecto

Saludos!
ANTRAX

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
TestTest, tambien soy de Argentina.
Los testeos que realizo son:

- Seguridad (Web/Servidores/Redes)
- Automatizaciones
- Stress / Load
- Performance
- Funcional

Trato con el cliente, que en la mayoria de las veces son de EEUU, o con managers u owners, eso es depende del proyecto

Saludos!
ANTRAX

Excelente. A mi particularmente me interesan los test de seguridad. Me gustaria aprender de ese mundo, como hacer pent testing y como defender bien un sistema. Para eso se que tengo que leer de todo, desde SO (Linux, Windows), Networking, programacion (Bash, Ruby, Python) y temas de seguridad. Voy bien por ahi?
Ahora bien, te voy a ser sincero. Talves tengo la misma vision romantica de cuando era chico de estar detras de un monitor, tirando comandos por la shell para testear alguna vulnerabilidad y/o explotarla. Bien a lo oldschool y copado. No quiero talves meterme en este mundo (laboralemente) y encontrarme con un trabajo burocratico y alejado de esa vision que tenia. Mi idea seria entender bien como es la forma de trabajar, que hacen y ver si es realmente como me veo antes de imaginarme laburando de esto y talves tomandolo solo como un hobbie y seguir con la programacion web. Se que PenTesting tiene mucho de esto, pero no se que onda las otras partes de la seguridad

El dia que pises una empresa, te vas a desilusionar.
A mi tambien me gusta tirar comandos desde la consola, pero en las empresas se suelen usar mucho herramientas que automaticen todo, simplemente por el hecho de ganar tiempo, ya que el tiempo es plata. Lo mas triste de esto, es que te vas a topar con compañeros que ponen una url en el havij y ya le tira si es vulnerable o no y con eso se conforman. Pero nunca saben que pasos hace el programa por atras. Esto es simplemente por que solo les interesa saber si posee fallas el sistema para luego arreglarlo. En el underground, usamos mas el testeo manual, que si bien es mas tedioso, a la vez es entretenido, y lo hacemos con el fin de obtener acceso a algun lado. En la empresa ese tipo de cosas no les importa.
Quizas como hobbie por tu cuenta, puedas hacerlo, pero en una empresa no. ya que cumplis horas y tenes que pasar informe de forma rapida.

(Esto es contado con mi experiencia, quizas no en todos los casos sea asi)

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
El dia que pises una empresa, te vas a desilusionar.
A mi tambien me gusta tirar comandos desde la consola, pero en las empresas se suelen usar mucho herramientas que automaticen todo, simplemente por el hecho de ganar tiempo, ya que el tiempo es plata. Lo mas triste de esto, es que te vas a topar con compañeros que ponen una url en el havij y ya le tira si es vulnerable o no y con eso se conforman. Pero nunca saben que pasos hace el programa por atras. Esto es simplemente por que solo les interesa saber si posee fallas el sistema para luego arreglarlo. En el underground, usamos mas el testeo manual, que si bien es mas tedioso, a la vez es entretenido, y lo hacemos con el fin de obtener acceso a algun lado. En la empresa ese tipo de cosas no les importa.
Quizas como hobbie por tu cuenta, puedas hacerlo, pero en una empresa no. ya que cumplis horas y tenes que pasar informe de forma rapida.

(Esto es contado con mi experiencia, quizas no en todos los casos sea asi)

Claro, me imagine que en muchos casos seria asi. A mi me interesa saber que pasa de fondo, entender porq uso tal utilitario y que es lo que hace y porque. Por eso me iba a interiorisar en el funcionamiento interno de Linux y de las redes para entender un poco todo a bajo nivel. Y aprender bien C para entender bien como funciona un BufferOverflow por ejemplo. Que decepcion que en las empresas valoricen velocidad ante la calidad, pero bueno pasa como en el desarrollo de soft. A algunas empresas no le importa que apliques tal patron o tal arquitectura, le interesa que el programa ande, que salga rapido y q el cliente este contento.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
El dia que pises una empresa, te vas a desilusionar.
A mi tambien me gusta tirar comandos desde la consola, pero en las empresas se suelen usar mucho herramientas que automaticen todo, simplemente por el hecho de ganar tiempo, ya que el tiempo es plata. Lo mas triste de esto, es que te vas a topar con compañeros que ponen una url en el havij y ya le tira si es vulnerable o no y con eso se conforman. Pero nunca saben que pasos hace el programa por atras. Esto es simplemente por que solo les interesa saber si posee fallas el sistema para luego arreglarlo. En el underground, usamos mas el testeo manual, que si bien es mas tedioso, a la vez es entretenido, y lo hacemos con el fin de obtener acceso a algun lado. En la empresa ese tipo de cosas no les importa.
Quizas como hobbie por tu cuenta, puedas hacerlo, pero en una empresa no. ya que cumplis horas y tenes que pasar informe de forma rapida.

(Esto es contado con mi experiencia, quizas no en todos los casos sea asi)

Claro, me imagine que en muchos casos seria asi. A mi me interesa saber que pasa de fondo, entender porq uso tal utilitario y que es lo que hace y porque. Por eso me iba a interiorisar en el funcionamiento interno de Linux y de las redes para entender un poco todo a bajo nivel. Y aprender bien C para entender bien como funciona un BufferOverflow por ejemplo. Que decepcion que en las empresas valoricen velocidad ante la calidad, pero bueno pasa como en el desarrollo de soft. A algunas empresas no le importa que apliques tal patron o tal arquitectura, le interesa que el programa ande, que salga rapido y q el cliente este contento.

No todo es como lo plantea ANTRAX. Si trabajas con gobierno es muy probable que te encuentres con una estructura como la mensionada anteriormente. Si trabajas con startups, corporaciones "cool", si vendes servicios, productos, etc. La historia es muy diferente...

En mi caso personal, vivo en los dos mundos. Creo que de ambos se sacan cosas muy productivas.