Być może pamiętacie z nie tylko mojego wpisu, że bezpieczeństwem Joomla zajmują się różne osoby z całego świata. Powoduje to, że w tym gronie są także nasi rodacy. Nie tak dawno temu jedno z polskich nazwisk pojawiło się tuż obok aktualizacji i wykrycia błędów w Joomla 1.7 oraz pierwszym wydaniu 2.5. W ten sposób mój trop padł na Jakuba, z którym zamieniłem kilka słów w formie wywiadu.
Redakcja: Na początek, Jakub powiedz, czym się zajmujesz?
J.G.: Od lat zajmuję się zawodowo zabezpieczaniem serwerów i stron internetowych. Oprócz realizowania zleceń na terenie kraju, co raz częściej współpracuję z firmami z za granicy, wspierając rozwój bezpiecznego oprogramowania.
Redakcja: Jakie były twoje pierwsze kroki jako informatyk?
J.G.: Informatykę wspieram od 13 roku życia. Wtedy po raz pierwszy zrealizowałem „testy bezpieczeństwa serwera” współpracuję pod czujnym okiem szkolnego informatyka.
Jako nastolatek trudno przekonać „duże firmy”. Wiele razy udowadniałem swoją wartość realizują projekty za darmo na poczet budowania CV (15 latkowi nikt oficjalnie nie chciał powierzyć projektu, ale za darmo – proszę bardzo ;). Tak przedarłem się do Warszawy i zacząłem „profesjonalną ścieżkę kariery”.
Redakcja: Dlaczego akurat wybrałeś temat bezpieczeństwo również CMS, przecież jak sam pewnie wiesz informatyka jest jak medycyna tyle jest różnorodnych zagadnień?
J.G.: Dokładnie tak, tutaj jak i w medycynie potrzeba fachowców.
Hobbystyczne podejście do tematu „security” pozwala mi „robić więcej” i działać dłużej, niż firmowi administratorzy czy informatycy, którzy swoją „przygodę” z IT zazwyczaj kończą o 16:00. Bezpieczeństwo IT wybrałem ponieważ to doskonała zabawa. Poza tym, to temat rzeka, więc nie ma szans na nudę.
Redakcja: Co Cię skłoniło do wyboru właśnie Joomla i od ilu lat zajmujesz się tym systemem?
J.G.: Wybór Joomla był rzeczą naturalną, ponieważ testuję różne CMS’y. Joomla byłą „kolejnym do testów”, moje wsparcie możecie częściowo sprawdzić na stronie producenta (joomla.org).
Redakcja: Który według Ciebie komponent do ochrony przed „hakerami” jest warty uwagi ?
J.G.: Myślę, że najistotniejszym aspektem obrony przed hakerami jest… myślenie. :)
Co z naszych milionów złotych wydanych na polityki antywirusowe czy firewall’e sprzętowe, jeśli klikniemy link z e-mail’a z tematem „I love You”?
Od red. Od red. Jakub obiecał w najbliższym czasie przyjrzeć się popularnym komponentom bezpieczeństwa Joomla (RSFirewall oraz Akeeba Tools Pro) i napisać kilka słów o nich. Także będę informował.
Redakcja: Jakie umiejętności, czy też wiedzę musi posiadać osoba, która chciała by zajmować się testami penetracyjnymi aplikacji webowych? Co byś doradził początkującym?
J.G.: Jeśli chodzi o tzw. „trudne początki”, najłatwiej jest, gdy młody adept sztuk posiada dwie umiejętności: umie czytać oraz pisać. „Reszta jest w internecie”.
A mówiąc serio, oprócz wymienionych cech, liczy się upór i faktyczna chęć rozwoju, ponieważ czytania i pisania jest tyle (z racji rozwojowego tematu), że to najczęściej zraża „młodych”.
Redakcja: Jak słyszałem prowadzisz również szkolenia, jaki jest ich zakres i czy forma online także wchodzi w ten zakres?
J.G.: Tak, zdarza się. Zakres szkoleń to głównie ćwiczenia praktyczne. Przerabiamy ataki internetowe i sposoby obrony przed nimi. Ostatnio jednak szkolenia ewoluowały w „konsultacje”.
Taka forma relacji z Klientami umożliwia mi połączenie i testów penetracyjnych i „szkoleń”.
Redakcja: A nad czym ostatnio pracujesz?
J.G.: Ostatnio intensywnie badam bezpieczeństwo nowych webaplikacji ponieważ cały czas szukam kolejnych zleceń. Oprogramowanie dostępne np. na
http://sourceforge.net instaluję w domu i „przeprowadzam testy”.
Dzięki temu wiem, jak pracować później u Klienta, (który często korzysta z darmowych rozwiązań, np. Joomla) i jakie zabezpieczenia proponować podczas projektu.
Redakcja: Dziękujemy za ten wywiad i życzymy powodzenia w realizowaniu własnych projektów i dzielenia się nimi na łamach http://hauntit.blogspot.com.
J.G.: Dziękuję.
Śmieszne. Znam sie na joomli, ale jakiej aplikacji użyć do jej zabezpieczenia nie wiem. Najlepiej nie klikaj w maila ” aj law ju „. To rzeczywiście mamy do czynienia za specjalista ds. bezpieczeństwa. (…) Tak przedarłem się do Warszawy i zacząłem „profesjonalną ścieżkę kariery”. NIOM.
Cześć Zdzich:
Z tej strony Jakub Gałczyk, dzięki za komentarz od razu pod wywiadem, fajnie że jesteś czytelnikiem Pawła :)
Wywiad, z tego co ustaliłem z Pawłem, nie miał prezentować najnowszych trendów w zabezpieczeniach. O takich możesz porozmawiać ze mną lub Pawłem (jako autorem książek o konfiguracji Joomla), bardziej prywatnie niż w komentarzach :)
Pozdrawiam ciepło,
Kuba
zdzich – faktycznie mało konkretów, ale z drugiej strony wyobrażasz sobie, że w jednym wywiadzie człowiek zdradzi Ci wszystkie tajniki swojej pracy? Z tą Warszawą i profesjonalizmem to jest faktycznie przegięcie… Mieszkam na wsi, to co? Nie mogę się znać na bezpieczeństwie?
Nie dostrzegacie, że w Warszawie jest najwięcej dużych firm z branży IT. Będąc na miejscu w Warszawie, łatwiej się spotkać, rozmawiać twarzą w twarz, łatwiej się współpracuje. Poza tym duże korporacje często chcę mieć fachowca na miejscu u siebie i dla siebie. Jesteś fachowcem od bezpieczeństwa IT, otrzymujesz propozycję dobrze płatnej pracy. Warunek, praca w siedzibie firmy.
Każdy medal ma dwie strony.
Praca zdalnie i praca w siedzibie firmy, w której jesteśmy zatrudnieni, jedno i drugie ma swoje plusy i minusy.
Procek – jakie tajniki ? „Specjalista” nie zna podstawowych komponentów joomli do zabezpieczania jej jako systemu cms, nie serwera. Dalszy ciąg jego CV w wywiadzie albo jakieś książeczce Helionu o majsterkowaniu przy stronach internetowych są mi zbędne.
procek: dzięki za komentarz :)
Fajnie zauważyłeś, że nie da się w krótkim wywiadzie przenieść nastu lat pracy. Historia „Warszawy” w pigułce brzmi: czasy mojego wyjazdu tam, były czasami gdzie na Podlasiu na którym wtedy byłem, tematy IT kojarzyły się niektórym z obsługą kas fiskalnych. Jeśli więc cokolwiek „poważniej” myślałeś o pójściu w tym kierunku, najbliżej była Warszawa (i nabory „świeżaczków” jak to nazywam, których „korporacja” mogła wyszkolić od początku pod swoje potrzeby.
Pozdrawiam,
Kuba
No można by się pokusić o jakieś chociaż większe zagłębienie w temat.
Podoba mi się ten rodzaj wpisów, może będzie więcej wywiadów.
Dla mnie w ogole bezpieczenstwo „za miliony złotych’ i joomla nie ida w parze no ale co kto lubi.
Dawno tak się nie uśmiałem ;) Gałczyk to kompletny lamer i nie ma zielonego pojęcia o bezpieczeństwie, co już udowodnił w nie jednej firmie :) każdy, kto się obraca w branży ma dokładnie taką samą opinie:)
A ja z Panem Gałczykiem współpracuję od lat i jestem bardzo zadowolony ze współpracy. Rzetelny i konkretny. Polecam.