Aujourd'hui je recois un mail d'un mec qui veut des informations a propos de VMware. La personne en question est CISSP, SANS GCIA, MCSE, CCSA, CCSE, CSA, CCNA, et CNA. Ca fait beaucoup. Les questions sont: Et votre exploit il fait quoi??? Et ca marche sous ESX???
Donc apparemment plus avez de certifications, moins vous savez utiliser Google. Et ca semble diminuer d'autant votre comprehension de l'Univers aussi. Et les questions (ou leurs reponses pour etre exactes) sont destinees a etre ajoutees a des slides pour une presentation ayant lieu dans 2 semaines a une grosse conference.
C'est pas mal de decouvrir ce qui se passe deux semaine avant. Ca doit etre ce qu'on appelle la veille.
Leveling Up Fuzzing: Finding more vulnerabilities with AI
-
Posted by Oliver Chang, Dongge Liu and Jonathan Metzman, Google Open Source
Security Team
Recently, OSS-Fuzz reported 26 new vulnerabilities to open source...
4 days ago
10 comments:
Je ne suis pas sûr qu'il y ait un lien. En fait maintenant presque tout le monde a une certification.
Les élèves sortent d'école avec les certifications Cisco ou Microsoft (et pourtant il y en a très peu qui comprennent quoi que ce soit à l'informatique).
Microsoft fait même des opérations "deux pour le prix d'une" sur les salons.
Donc la certification, c'est juste une vignette à coller sur son pare-brise. Ca ne veut pas dire que le conducteur a le permis ...
Les CISSP sont senses respecter le "code ethique" ISC2:
https://www.isc2.org/ethics/default.aspx
En particulier les canons:
"Provide diligent and competent service to principals"
"Advance and protect the profession"
Ca ressemble plus a un permis qu'a une vignette.
"To protect and serve..."
Ca me fait marrer qu'autant de monde se vante d'être CCNA vu le niveau des modules. Le reste je sais pas je les ai po :D
J'avais vu un article sur les indiens qui bachotent les CCNA comme on se tape du code de la route. Ils peuvent réussir l'exam sans avoir lancé une seule commande d'IOS !
Sinon moi j'ai un truc marrant sur mon VMPlayer (dernière version avec les vmtools) sous windows XP sp3 (à jour). Quand je lance openproj 1.4 (le truc compatible avec Ms Project qui est super mal codé) VMPlayer passe de fullscreen à un mode fenêtré tout seul. Bref je me dis c'est bizarre.
Je ne sais pas si c'est un truc super courant ou si mes indices sont trop vagues pour servir à quelque chose...
Je file juste l'info au cas où...
En tout cas je reste encore scotché par ton cloudburst qui confirme bien qu'on ne peut pas avoir une confiance totale dans l'isolation des machines virtuelles.
Le code d'éthique de l'ISC2 ...
En France, je n'ai pas encore vu un CISSP jouer le "whistleblower" dans un projet critique (même s'il a juré sur la Bible de le faire).
Mais qui sait, ça viendra peut-être un jour ? ;)
Bah, vendez-lui une formation pour passer la NOP, et profitez-en pour lui faire passer la UTFGSECE[1] dans la foulée.
Plus sérieusement, les certifications, c'est essentiellement fait pour donner du crédit auprès de gens qui ne savent pas ce qu'il y a dedans. Ceux qui savent sont sont qui les vendent, ou vendent les presta de ceux qui les ont. Du coup, quoi qu'elles veulent dire, tout le monde s'en tape, sauf ceux qui les bachotent, ce qui ne dure pas très longtemps...
Allez, hop, au dodo, et see you very soon ;)
[1] "Use The FuckinG Google Search Engine" Certified Engineer...
On me souffle dans l'oreillette qu'il y a une recrudescence ces temps-ci de fake CISSP du côté du Canada ... mais bon quand on tombe sur un CISSP auditor lors de l'entretien, qu'il a accès à la database des CISSP et que la personne n'est pas connue dans le fichier ... bref :)
@pello : il suffit de demander à la personne son numéro de CISSP et d'aller sur le site de l'ISC2. Nul besoin de déranger un auditeur CISSP pour cela, enfin.
Pour ce qui est des certificats, si les ressources humaines faisaient leur travail et cessaient de demander des CISSP (ou des NOP) pour adminster un pare-feu, nous n'en serions pas là.
Ca sent le troll ici!
http://www.01informatique.fr/securite-118/rssi-annee-2009-52086/Les-directions-generales-doivent-impliquer-davantage-leurs-RSSI/
Les multiples certifications sécurité sont-elles, pour la carrière du RSSI, un passage obligé ?
ED : C’est un peu complexe à dire. Avoir une certification CISSP (Certified Information System Security Professional) ne vous garantit pas d’offre mirobolante ou de retour à l’emploi, mais, sans elle, impossible de postuler à certains emplois. On compte assez peu de certifiés CISSP en France – officiellement 400 – car les certifications sont anglo-saxonnes. Les Lead auditeurs ISO sont aussi peu nombreux et le marché semble déjà bien pourvu. Ce qui compte dans le CV d’un RSSI, c’est sa pratique du métier, la multiplicité des expériences et les projets qu’il a dirigés. Les certifications viennent ensuite, excepté dans le conseil où ces éléments sont tous importants.
Pour continuer un peu dans la "troll attitude" ;) j'avais lu il y'a un bout de temps, une vieille vanne sur le blog de sid concernant les lead auditor. Perso, je n'ai pas de certif : pas le temps car j'ai du boulot, de la prod à gérer et des connaissances à approfondir ;). Mais sinon, quelle est votre vision du lead auditor ? (Mon boss vient de la passer)
Post a Comment