Finnes det noen form for utdanning some går ut på dette emnet, i Norge?

http://hig.no/studietilbud/it/bachelor/bis
http://www.dagbladet.no/dinside/2005/04/12/428642.html

http://www.hig.no/studietilbud/master/mis

Hvordan er arbeidsmuligheten for dette i Norge? Tenker da mest på penetration testing. Er det jobber å få eller ender de fleste opp som driftsansvarlige?

btw, den artikkelen fra dagbladet var rimelig utdatert og det samme er www.hackerhighschool.org som den viser til.

Angående dette IT-emnet! Hva er det man lærer på Datateknikk linja på Ntnu?

I tromsø har man datasikkerhet på uit Videre om man er spesielt interessert kan du evt ta ingeniør utdanning med master i informatikk. Å bygge på det

Hvis du er dyktig i det du gjør, er det alltid jobb å få. Men hvis du utelukkende vil jobbe med penetrasjonstesting er det nok vanskelig å få jobb.

Men hvis du legger på sårbarhetsskanning, koderevisjon og andre former for sikkerhets-"auditing" er det ikke noe problem å få jobb.

Hva er en "etisk hacker" da? Er Julian Assange en etisk hacker?

En etisk hacker (white hat) er en person som sjekker sikkerheten til en bedrift over internett. De kan bli betalt av bedriften på forhånd, eller de kan gjøre det frivillig for å så true med å gå til avisen hvis de ikke får penger.
Eller så sjekker de programmer for sikkerhetshull. Men poenget er at de sier ifra til de ansvarlige slik at det kan bli fikset.

Julian Assange er bare en som har oppe en webside?

Ta kurs hos f.eks. Infosec Institute i USA. De har mange interessante kurs. Jeg har tatt flere av de. Ikke for å skryte, men jeg tror jeg er av de med flest sertifiseringer innen etisk hacking i Norge. Ved spørsmål, send helst PM.

Mtp. trådane dine her inne så er i så fall dei sertifiseringene påfallande lite verdt.

Folk som dyret her inne har mildt sagt meir overbevisande kunnskaper enn deg...

Haha. Jeg kan være enig i at jeg har en del dumme spørsmål i tråder her ja. Men mange har en bra forklaring. Eksemplene dine:
1. Jeg skulle ha admin rettigheter på cmd-line uten å få grafisk spørsmål. Jeg fant vel aldri noen god løsning. Jeg husker ikke helt hvorfor jeg skulle det, men tror det var etter at en pc var kompromitert med vanlig bruker rettigheter.
2.Jeg kan ikke verken HTML eller PHP så godt.... For å være ærlig kan jeg ingen programmerinsspråk godt, men kan litt av flere. Nok til å klare meg i mange tilfeller.
3.Skulle jeg visst..
4.Hadde problemer med å finne frem i menyene i Office 2007....
5.Dette er jeg fullstendig enig i at er et ekstremt dumt spørmål. Hadde ikke drevet så mye med mail da. Den gang endte jeg med å sette opp en egen smtp-server tror jeg.
6.Var for å fiske om programmet konboot var kjent blandt folk. Jeg hadde mine grunner.

Ja, veldig etisk å utpresse bedrifter eller privatpersoner.

Prøv heller med å informere bedriften om feilen(e), si at du vil publisere en advisory om feilen innen en rimelig tid(Gi de nok tid til å fikse problemene). Publiser og håp at det lille ekstra er nok for å overbevise en bedrift om at du er dyktig nok til å teste programmene/sidene deres.

Julian Assange er vel strengt tatt en mer "ekte" hacker(Ekte som i den klassiske beskrivelsen og ikke den som media har laget).


For å holde meg litt på topicen så vet jeg ikke så mye om hvor man kan få en slik utdannelse. For å være helt ærlig tror jeg de fleste slike steder som tilbyr "hacker" utdannelse er humbug. Virker som populær søppel.

Hvis du virkelig vil bli en hardcore hacker(Og *IKKE* fordi du vil bli "pro h4x0r" som på filmen Hackers) så lær deg teori. Teori, teori og mer teori. Selvsagt må du også lære deg å programmere, men når du skjønner teorien bak datamaskiner, hvordan tankene er back div. stacker(Type nettverksstack etc) så blir det så mye, mye lettere å få gode idér om hvor sårbarheter ligger.

Merk at jeg tenker ikke å hacking som i noen tullinger med noen SQL-injections eller noen tåpelig XSS-MySpace-SuperWorms.

Det kan jo godt tenke seg at du er den mest sertifiserte personen innenfor etisk hacking i Norge, men det sier jo egentlig ingenting. Hva er det du er sertifisert innenfor?

Driver du f.eks. med nettverkssikkerhet, reverse engineering, websikkerhet?

Kanskje du er dyktig innenfor kryptografi og matematikk. Jeg sjekket litt gjennom trådene du har startet og skjønte ikke helt hva slags hacking du driver med eller har drevet med, men det kan jo tenke seg at du er hardcore på noen områder.

Helt ærlig så vet jeg ikke om så veldig mange tunge sertifiseringer innen etisk hacking. Men for all del, pek meg gjerne i retning av noen.

Hvis man vil jobbe med Infosec i Norge, er det godt utgangspunkt å tilbringe 5 år i enten Gjøvik eller Trondheim. Start med en master, jobb hardt, og få deg en jobb i et selskap som er villig til å utdanne deg videre.

Det er ikke nødvendigvis et must å ta rene "Informasjonssikkerhets"-grader, har snakket med flere som har fått jobb, som har tatt ting som kunsting intelligens. Hovedpoenget er å gjøre en såpass stor egeninnsats, at du blir attraktiv

Etter at du har kommet deg i en jobb som er villig til å investere i deg, ville jeg forsøkt å kommet meg på forskjellige kurs og konferanser med jevne mellomrom.

(Mange av de gode kursene og konferansene koster en del penger, så det er veldig greit å ikke måtte betale for dem selv).

Når det gjelder kurs og konferanser, så har SANS en del gode kurs (konferansene deres er ikke dårlige de heller):
http://www.sans.org/

En konferanse som bør oppleves er BlackHat (helst Las Vegas), før konferansene er det også en del gode kurs.
http://www.blackhat.com/

Av rene kurs, som er spennende og ekstremt lærerike, kan jeg anbefale Immunity sine kurs:
http://immunityinc.com/education-overview.shtml

Veldig mye forskjellig, det finnes et par fag om sikkerhet og du er selvfølgelig velkommen til å fordype deg i sikkerhet.
Datateknikk-linja utdanner i førsterekke sivilingeniører i datateknikk (som betyr at veldig mange av fagene går med på å forsørge en sivilingeniør-kompetanse og en datateknikk-kompetanse), men som sagt så kan du velge litt selv mot slutten og spesialisere deg i sikkerhet.

Sikkerhet er forøvrig så mangt, på akademisk nivå så er det nok noe mer tyngde på matematisk sikkerhet på NTNU - med tematikk som eValg og BankID som veldig hotte temaer. Mye av denne forskningen har vært ledet fra matematiske miljøer.

Det finnes mange sertifiseringer innen etisk hacking. F.eks. Certified Information Systems Auditor, Certified Ethical Hacker, Certified Penetration Tester, Licensed Penetration Tester +++
Kurs blir gitt av blandt annet Global Knowledge, InfosecInstitute, SANS mm. På Blackhat har jeg nok hatt noen av mine beste kurs. Immunity har jo et artig kurs som heter "Unethical hacking" :-) som er et generelt hacking kurs men med en del fokus på Immunity sitt Canvas pentestverktøy.

Men i tillegg til å ta rene ethical hacking kurs, må man kunne flere OS, litt av flere programmering/skripte-språk, nettverksteknologi (spesielt Cisco). Personlig så er jeg selvlært på OS, og har vært innom alle Windows versjon, flere Linux distroer, MS-DOS() litt OSX og noen andre. Lærte C/C++ og assembly på skolen, og lært meg litt av andre språk privat og i jobbsammenheng. Assembly er essentielt hvis man skal drive med reverse engineering og/eller exploitskriving. Nettverk har jeg lært på skolen, på Cisco-kurs, jobb og privat.

Ja, det finnes mange sertifiseringer, men som jeg sa, ikke så veldig mange TUNGE sertifiseringer.

CISA og CEH for eksempel vil jeg ikke kalle tunge sertifiseringer. CISA er omfattende, men generell. CEH holdes hos steder som Global Knowledge og Infosec Institute. Infosec Institute lister sertifiseringer som CompTIA SEC+ som "pre-requisite". Det i seg selv sier sitt.

BlackHat har mange bra kurs, men det er dårlig med sertifiseringer.

SANS har en del gode kurs med sertifiseringer, som gir et bra underlag innenfor enkelte emner, men det er veldig avhengig av at instruktøren er god.

Og jeg er ikke helt enig i uttalelsen din om at "Unethical hacking" kurset til Immunity er et "generelt hacker kurs med fokus på Canvas".

Jeg tror det var toppen en dag med Immunity Canvas. Resten var debugging med Olly/Immunity debugger, exploit utvikling mot stack overflow og basic heap spraying.

Men, det er jo bare min mening. Om du mener ISACA CISA og CEH er tingen om du vil jobbe med pentesting og red teaming skal du få lov til å mene det. Men spør du meg er det mer CISO mat.