December 13, 2009

Snoop-Mag 3 release /+/ Wi-Fi Attacks article by me

Few moments before I leave computer to bed, I noticed the release of third issue of Snoop Security Magazine, available here . Once again I recommend this magazine the only technical security magazine in Persian, worth reading. That`s mainly because topics are strictly picked up by mag and not every unpolished copy/translate/paste set of articles are allowed through it. There may be few titles co-authored by crew or contributors, but they are selected to have some minimum quality levels. I`m personally so strict about text materials and their quality, but it does not prevent me from showing positive feedback about their great efforts.
I can name it as a Persian competitor for hacking e-magazines like Hackin9 .

Above point of view made me gladly begin contributing articles to this mag. "Analysis of common Wi-Fi Attacks" was my first contribution there. I hope to be able to cover more interesting topics in future issues (I've already picked up some titles). A copy of my article is separately available for download. Comments and feedbacks are highly appreciated.




لینک دریافت مقاله

Analysis of common Wi-Fi Attacks - Part I

I've also tried to bring up a place to store all of stuff I've prepared by any mean/form. I`m too lazy to maintain a personal domain, so I've just used yet another google service again :) Below is the link to my google site :


December 7, 2009

L2-3

مشترک گرامی

بدلیل سوزش نواحی تحتانی مراجع ذیصلاح، دسترسی به این سایت نیز امکانپذیر نمی باشد

اصلآ دسترسی به چی در این فیلترنت امکانپذیر "می باشد" که حالا این وبلاگ جزو "نمی باشد" ها رفت؟ ممنون از تبریک همه دوستان، آشنایان و فامیل های وابسته به مناسبت "نمی باشد" شدنم.

در ضمن جا دارد همینجا از سرعت عمل بسیار بالای برادران زحمت کش در فیلتر کردن تقدیر و تشکر کنم که در کمتر از 24 ساعت از ارسال پست قبلی، به مطالب عنوان شده لبیک گفته و صحت آنرا اثبات کردند. خدا قوت !

December 6, 2009

لعنت بر پدر و مادر کسی که اس. اس.ال را فیلتر می کند



آدم از دست بعضی از کارهای "اینها" دوچار یبوست مزمن فنی می شود! هر چه پیش می رود روز به روز وضع بهتر می شود. پریروز خلاف شرع را فیلتر می کردند، دیروز خلاف عقاید فسیل و احمقانه سیاسی خودشان، امروز هم که به سلامتی هر آنچه خلاف قابلیت های تجهیزات فنی شان باشد را فیلتر می کنند.

جدیدآ نمی دانم کدام شیر نا پاک خورده ایی به اینها یاد داده است که حالا که نمی توانید با تجهیرات موجود خود در سطح گسترده اقدام به شنود ارتباطات رمز شده کنید، خیلی راحت آن را بلوکه کنید. جدیدآ مد شده تا تقی به توقی می خورد "حاجی اون کانفیک Limited SSL Bandwith رو بیار بالا... گفتن خطر در کمینه... " . مردم شاکی می شوند؟ به درک! بشوند. و البته سیستم به حیات خود ادامه دهد.

به گمانم باز هم دست همان نخبه ها و متخصصینی که قبلآ ذکر خیرشان بوده در کار است. برادران مخلص (Mokh-less ?!) و متعهد که قصد شنود ارتباطات اینترنتی مردم را دارید، شنود ترافیک رمز شده با SSL بخدا آنقدر ها هم که فکر می کنید سخت نیست! شما که روز روشن هر بلایی که دل پاکتان می خواد سر ترافیک و اینترنت می آورید، این یک قلم را هم اضافه کنید به کارهایتان. من به شخصه حاضرم تمام توانم و معلومات نداشته ام را در اختیار شما بگذارم تا یک راهکار تر و تمیز برای شنود تمام و کمال ترفیک پیاده سازی کنید. فقط اینقدر این کاربران بیچاره اینترنت در ایران را عذاب ندهید!

آن قدیم ندیم ها می گفتند اگر امضای دیجیتال گواهی های SSL با نسخه اصلی تطبیق نکند، و مرورگر کاربر به وی اخطار دهد که ممکن است کسی در حال جعل و شنود ترافیک SSL باشد، کاربر می بایست فکری جدی به حال خود کند. حالا که همه عالم و آدم خبر دارند چی به چی است، کسی دیگر نکران آن اخطار مرورگر وب خود نیست! همه در طول مکالمات و ارتباطات دیجیتال خود عرض سلام و خسته نباشیدی هم به شما براداران عزیز و زحمتکش همیشه در صحنه دارند. شما که چندین میلیارد تومان هزینه صرف خرید تجهیزات Deep Packet Inspection و Content Filtering کرده اید، چند میلیون دیگر هم خرج کنید و جلوی آنها چند دستگاه SSL Accelerator نصب کنید و با خیال راحت ارتباطات SSL را نیز با یک گواهی جعلی من در آوردی شنود کنید. باور کنید در این شرایط روح امواتتان در آن دنیا آسایش بیشتری خواهند داشت! کسی هم به شما گیر نخواهد داد که چرا نسخه SSL صفحه لاگین یاهو، با یک گواهی دیجیتال صادره از نا کجا آباد Sign شده است. بخدا راست می گویم. مردم ما خیلی صبور تر از این حرف ها هستند!

من یک سوال برایم پیش آمده و خیلی مشتاق پیدا کردن جوابی منطقی برای آن هستم:

چیست خاصیت دولت و نظامی که (به هر دلیل) ارتباط مردم اش با هم به نحوی که قابل شنود و ردیابی نباشد،(مثلآ خدای ناکرده از طریق SSL ) ارکان آن نظام را سست می کند و به خطر می اندازد ؟! اصلا چرا باید آنقدر پشت پرده گند زده شود که حالا نگران شکایت مردم و سرکوب آن بود؟ و کار آنقدر بیخ پیدا کند که حتی چت کردن مردم با هم و فرستادن چند ایمیل نیز آنقدر وحشت آور و خطرناک باشد؟!

برادر مخلص و با ایمان، چند روز دیگر ما وارد سال 2010 می شویم. اینطور که گفته میشود، این سالها، دوره و عصر ارتباطات دیجیتال است و خود شما هم خودتان را با مباحثی مثل دولت الکترونیک خفه کرده اید. متحیرم که واقعآ به ذهن شما نمی رسد که این تمهیدات هوشمندانه شما برای فیلترینگ و محدود کردن ارتباطات اینترنتی و پهنای باند در هر ساعت چه هزینه و ضرر سنگینی را ایجاد می کند؟ وب سایت های خارجی و ارتباطات با اتباع و کشور های بیگانه به درک، به وب سایت های داخلی خودمان مثل بانک ها و ... فکر کرده اید؟ اصلآ شک دارم که "فکر" در کار باشد. اخیرآ کشوری (فکر کنم نروژ ؟ ) دسترسی به اینترنت پرسرعت را جزو حقوق مسلم شهروندی مردم کشور اش آورده است، و ما در ایران.... !


(بروز رسانی شده – 21 آذر/ 13 Dec )

مثل اینکه زیاد هم طول نکشید تا مثال (نه چندان) شوخی من در مورد جعل گواهی دیجیتال مصداق عینی و واقعی پیدا کند! چند روز پیش در کمال ناباوری شاهد خارج شدن وب سایت بالاترین از فیلتر، و در عوض دستکاری رکورد DNS آن برای هدایت بازدید کنندگان به یک وب سایت موهن (همان جنبش سبز الکی!) بودیم. بقول مرحوم شست چی، کاراکتر یکی از برنامه های پخش شده از سیمای جمزوری اسلامی ایران؛ "به بــه...به بــــــــــه.... ! " . ایول اخوی ، ایول! انصافآ زبان قاصر است از بیان این همه خلاقیت و زیرکی و نکته سنجی در پس تصمیمات... . این یکی از موارد نادری بود که سجده بر آن واجب است!

November 24, 2009

روایتی دیگر از ارائه نبوغ ایرانی (!!!) در قوطی حلبی روغن قو

در طی چند سال اخیر بارها و بارها شاهد ارائه محصولات امنیتی "مید این وطن" در پس سروصدا ها تبلیغاتی بوده ایم که در اغلب موارد اگر مخاطب ضریب هوشی کمی بالاتر از پلانگتون داشته باشد، فاصله بسیار زیاد ادعاهای مطرح شده با واقعیت را در همان نگاه اول متوجه خواهد شد.
من نه خصومت و مشکلی با شخص یا شرکت خاصی در ایران داشته و دام و نه خدای را هزارمرتبه شکر وابستگی شغلی و مالی و فنی و ... به هیچ کدام. از هر نوع پیشرفت و نو آوری هم در زمینه کاری خودم توسط دوستان و به روایتی دیگر هم وطنان همیشه استقبال کرده ام. اما یک مورد را هرگز نتوانسته ام تحمل کنم و آن هم ادعاهای کذب و فریبنده و دهان پر کن برای بازاریابی و تبلیغات توسط برخی از این شرکتهاست.
بسیاری از افراد فنی (تقریبآ تمام) دستگاه های فایروال وطنی موجود را نمونه های بارز و شاخص این زمینه می دانند. نیاز به ذکر نام محصول یا شرکت خاصی نیست ! همه به خوبی می دانند که چه هزینه های گزاف و نیروهای زبده و خلاقیت هایی صرف زیر پا گذاشتن قوانین GPL و GNU و دزدی از محصولات کد باز در روز روشن شده است. عمق فاجعه گاهی تا آن اندازه زیاد می شود که تولید کننده (!!!) ادعا می کند کلیه ماژول های سیستم توسط متخصصین خود شرکت طراحی و تولید و پیاده سازی شده است و از عبارت "اولین در ..." نیز مثل نقل و نبات استفاده می شود.

طراحی و توسعه محصولات (کد باز) دیگران و ارائه آن بعنوان محصولی جدید حتی بصورت تجاری اتفاق جدید و یا حتی بدی نیست. بسیاری از پروژهای شناخته شده به همین ترتیب و توسط پشتیبانی شرکت های تجاری به وضعیت کنونی خود دست یافته اند، اما ، در هیچ یک از موارد حقوق معنوی منبع مورد استفاده نادیده گرفته نشده و یا بد تر از آن، مخفی و انکار نمی شود!

برادر نخبه، برادر متخصص، برادر توسعه دهنده، برادر میهن پرست و عشق "ایران"، چه اشکالی دارد اگر بگویی من محصولی با قابلیت های چینین و چنان مبتنی بر پروژه کد باز فلان تولید کرده ام؟! چه اشکالی دارد اگر بتوانی با کارآمد تر کردن رویه های گرافیکی ابزارهای موجود، آنها را بعنوان محصولی جدید تر معرفی کنی؟! چه اشکالی دارد اگر بگویی آنقدر توانایی و تخصص داشته ام تا یک محصول کد باز را حتی بدون هیچ تغییر خاصی (و با استفاده از روش های بازاریابی و بیزینس!) به مشتری بفروشتم؟؟ این هنر شماست که میتوانید iptables و نرم افزارهای مشابه را در قوطی حلبی روغن قو قرار داده، رنگ کرده و ده ها دستگاه از آن را بعنوان فایروال کاملآ ایرانی بفروشید. این قدرت شماست که میتوانید با عوض کردن تم (theme) های رویه گرافیکی نرم افزارهای کد بازمجانی، آنها را بعنوان "تولیدات کد نویسان شرکت خود" ثبت کنید و مثل کشمش روی وب سرورها گسترده کنید،در شرایطی که حتی توانایی و دقت لازم برای پاک کردن همه کامنت های برنامه نویسان اصلی پروژه را هم ندارید. این تیزهوشی شما را نشان میدهد که کپی برابر اصل راهکارهای تجاری و کرک شده VoIP خارجی را "باز تولید" کرده و با گرفتن سطح دسترسی بالا از کاربر و مشتری سیستم، مانع از افشای دزدی خود میشوید. در نهایت این نشانه نبوغ شماست که با نوشتن یک رابط کاربری ساده تحت وب، کل تکنولوژی و حاصل چندین سال تحقیقات و تجربه پیاده سازی شده در یک پروژه کد باز مثل Snort را بعنوان "محصول تمام ایرانی" به خورد مشتری بدهید و در دفاع از آن بگویید که خود ابداع کننده و توسعه دهنده تکنولوژی بوداید و حتی اگر قضیه لو رفت باز هم عنوان کنید که آن پروژه را در سطح گسترده تکمیل کرده اید، پس محصول شماست. شما حتی می توانید آنقدر قوی عمل کنید که تکنولوژی آنتی ویروسی که بیش از 10 سال از عمر و کارایی آن گذشته و بیش از 90% بد افزارها را شناسایی نمی کند (این درصد کاملآ فنی و قابل دفاع است!) را نیز کماکان بعنوان یک محصول امن و قابل اطمینان وطنی به خورد ارگان های دولتی بدهید. و باز هم میتوانید چند میلیارد تومان از بودجه ایی که باید صرف نخبگان واقعی شود را برداشته و اینترفیس ترجمه شده KDE را بعنوان "سیستم عامل ملی" رو کرده، Knoppix را ویرایش کرده و بعنوان نگارش زنده لینوکس ایرانی قالب کنید. این ها همه توانایی ها و تخصص شما محسوب می شوند، باور کنید! این ایران چه ها که نمیکند...

امروز نیز برگ زرین دیگری در این زمینه در دفتر افتخارات متخصصین و نخبگان ایرانی به ثبت رسید. من در این چند سال تصور میکردم که تکنولوژی Application Layer Firewalling که سالهاست در قالب محصولات تجاری و کد باز سخت افزاری و نرم افزاری توسط شرکت های معتبر در دنیا در حال ارائه است، حاصل تحقیق و توسعه خود آنهاست. نمی دانستم این تکنولوژی نیز همانند هر چیز دیگری که آنرا به تاریخ 2400 ساله ایران ( بیچاره ایران !!!) ربط میدهند و ایرانی را صاحب آن می کنند، بنیانگذار این تکنولوژی نیز نخبگان ایرانی هستند و برای اولین بار در جهان اقدام به ارائه محصولی خود ساخته کرده اند. همینطور پیش از این من تصور می کردم که یک سخت افزار امنیتی، تشکیل شده از تعدادی چیپ و ترانزیستور و مدار که همه آنها در کنار هم خود به خود و یی هو!!! منجر به برقراری امنیت میشوند. و البته راهکارهای نرم افزاری نیز با پرینت بر روی کاغذ و قرار دادن در مسیر عبور کابل ها، قابل استفاده می شوند.

آقا جان مادرتون دیگه بیخیال !!! بس کنید! کاش حداقل همین دزدی ها را نیز درست و کامل انجام میدادید و مشکلات تاریخ مصرف گذشته محصولاتتان را حل می کردید و بعد در مورد "امنیت" آنها شعار میدادید!

خدا پدر این اسرائیل و امریکای ها را بیامرزد که با تولید ابزارها و نرم افزارهای مختلف و چپاندن قابلیت های جاسوسی در تک تک آنها، موجبات پیشرفت این مرز و بوم را فراهم آوردند، و همه هم دروغ میگویند و نیت سوء دارند بجز "ما" !

این را هم اضافه کنم که بعضی این قبیل بزرگنمایی های فنی و علمی توسط رسانه ها و روزنامه ها را ناشی از عدم آگاهی خبرنگار و تهیه کننده مطلب از موضوع می دانند. این که نشد توجیه. خواهر خبرنگار، برادر مترجم، با کمال احترام شما که در زمینه ایی تخصص و یا حتی دانش اولیه را هم نداشته و هر مزخرفاتی را که تحویل میکروفن و قلمت دهند منتشر میکنی ، بیخود میکنی به سراغ آن موضوع میروی! حداقل مشورت بگیر، خودت کمی تحقیق کن...!

باور کنید هر بار که صدا و سیما درباره اکتشافات ناسا از سیارات دیگر خبر می دهد من منتظرم هر آن گوینده خبر از پیشینه این کشف در سلسله هخامنشیان یا تاریخ و تمدن اسلامی دانشمندان ایرانی بدهد. البته در ممکلتی که توانایی های رئیس جمهور در بکارگیری قابلیت های نرم افزار Excel بیداد میکند، تکنولوژی بصورت قاچاق و بازارسیاه از روسیه و چین و کره وارد شده و به اسم دانشمندان ایرانی ثبت میشود، فرانسه میسازد و "ایران" هوا میکند آن هم با 50 سال تآخیر تکنولوژیک، و در مملکتی که در تجمعات آن آدم کشته می شود ولی رسانه ها خبر از تولد میدهند، وارونه جلوه دادن حقیقت های فنی آن هم در این سطح بسیار جزئی و ابتدایی که اصلآ چیزی نیست!

اصلآ کی به کیه آقا جان، ویندوز Seven را هم ایرانی ها درست کرده اند اما به دلایل سیاسی ترجیح دادند آنرا تحت نام تجاری Microsoft عرضه کنند. Linus Torvalds (پدر لینوکس) هم دانشجوی فوق شریف بود و شاگرد دکتر فلانی... شکایتی داری؟؟؟؟!!!

September 17, 2009

Microsoft`s BinScop

Microsoft has recently announced publicly releasing another tool-set from their SDL bag. BinScop is an interesting tool both for hackers and developers, although it`s target is developers. To give you a very brief description here`s what BinScop has been developed for: Checking given binary file for becoming sure if the analyzed file has used any/all of security features Microsoft has provided in it`s compiler (VisualStudio) and Operating systems. Result of analyze will tell you if the binary has been compiled to support /GS, /SafeSEH, NX, ASLR, ... or not .
This is not the first ever release tool of it`s kind . LookingGlass of Errata Security is a similar tool, showing you some of flags checked by BinScope, plus a more interesting feature that let you check running processes for mentioned flags and also showing you export of possibly unsafe clib functions used in binary . Process Explorer of sysinternals is just another tool let you check running processes for NX/DEP/ASLR compatibility, however it can hardly be classified in same family of tools like above.

September 1, 2009

A quick grep on recent IIS Ftp 0day

You must have already heard about recently released 0day for Mircosoft IIS 5.0/6.0 .Well , I`m glad that I've started a project some times ago about gaining knowledge of Iranian`s public IP addresses .
So , in case you're curious how many _possible_ victims may be out there in Iran before I publicly release my paper about the entire analysis , below is a quick grep for your estimations :)


$>cat IRAN | grep -i "microsoft ftp" -c
914

$>cat IRAN | grep -i "microsoft ftpd 5" -c
62
[*Numbers updated,as I used the wrong source for grep at first]

'microsoft ftp' represent IIS 6.0 Ftp , and 5.0 is clear . Since it`s not an intrusive kind of grep for now, I can not tell you how many of above numbers may be really affected since :

1-Vulnerability is NOT triggerable on default IIS (only 6.0 tested) because ~>
2-Exploiting this vulnerability require privileged (write) access on ftp and ~>
3-Even if anonymous access is allowed , it does NOT have write access by default, and ~>
4-Unrelated fact: exploiting IIS Ftpd 6.0 will lead to unprivileged code-exec since Windows 2003 is NOT running IIS as SYSTEM, like IIS 5.0 does .



August 15, 2009

چگونه سعی کنیم یک مشاور (امنیتی) خوب باشیم


بسياري از افرداي که به تازگي در زمينه ارائه مشاوره در زمينه امنيت سيستمهاي کامپيوتري به هر نحوي مشغول شده اند، يک دغدغه اصلي دارند، و آن هم نحوه برقراري ارتباط با مشتري و ارائه کار خود است. در اين پست سعي مي کنم به مواردي که در طي اين چند سال تجربه کرده و مورد استفاده قرار داده ام را عنوان کنم، تا شايد براي برخي داراي نکات مفيد يا جديدي باشد .همچنين مطالب عنوان شده اغلب کلي بوده و لزومآ مربوط و مختص به اين زمينه کاري نمي باشند. در همين ابتدا متذکر مي شوم که اين موارد نظرات شخصي من بوده و ممکن است داراي نقص و تناقض يا اشکال باشد! ثانیآ بنده هيچ گونه تعهدي به شما خواننده اين مطلب نخواهم داد که با عمل کردن به اين موارد، در کمتر از يک ماه از کار بيکار نشويد!!! قوائدي که عنوان خواهم کرد، چيز هايي هستند که خودم حداقل سعي در پيروي از آنها مي کنم، هرچند ممکن است هميشه نتوانسته باشم به همه آنها بصورت همزمان عمل کنم.
جلب رضايت شخص، گروه، شرکت و يا سازماني که از شما سرويس مي گيرد خصوصآ در زمينه سرويس هاي ارائه شده در حيطه امنيت شبکه بسيار مشکل است. دليل اين امر هم بسيار واضح است : حد و مرز کيفيت و حتي رضايت در اين زمينه کاملآ نسبي بوده و هر سازماني (جداي از استانداردهاي موجود و شناخته شده) ملاک ها و معيارهاي خاص خود را دارد. با اين وجود نکاتي است که با در نظرگرفتن آنها مي توان سعي کرد تا هميشه به بهترين نحو با شرايط و خواسته هاي هر مشتري کنار آمد. منظور از مشتري صرفآ کسي که از در شرکت وارد شده و يا به شما ايميل زده و پيشنهاد کاري داده نيست. حتي محلي که شما بمدت يک سال براي آنها کار مي کنيد نيز به نوعي مشتري شما محسوب مي شوند.
کاري که دانش آنرا نداريد، انجام ندهيد : آگاهي داشتن از يک زمينه و موضوع، با توانايي بکار گرفتن آن موضوع بصورت حرفه ايي و در قالب يک سرويس به مشتري، تفاوت بسيار زيادي دارد! اينکه بتوان در زمينه ايي خاص (در امنيت) به مشتري سرويس داد نيازمند آن است که شما تجربيات زياد و کاملي در آن زمينه داشته باشيد و صرف داشتن آگاهي سطحي از يک موضوع نمي توان آنرا جزو مهارت هاي شخصي در کار عنوان کرد. دليل اين امر روشن است. امنيت شبکه، ارزيابي و يا پياده سازي آن چيزي نيست که بتوان بطور سطحي آنرا پياده سازي کرده و يا انجام داد. زيرا هرچه ميزان تجربه و آگاهي در خلال انجام کار کمتر باشد، موارد از قلم افتاده و کنترل نشده بيشتر خواهد بود. بديهي است که شخصي با تجربه تر براحتي مي تواند کار شما را زير سوال ببرد. گفتن اينکه شما در زمينه خاصي که مربوط به رشته کاري شما هم ميشود تخصص نداريد، نه تنها پرستيژ و کلاس کاري و شخصيت شما را پائين نمي آورد بلکه براي مشتري اين اطمينان خاطر را نيز ايجاد مي کند که مي تواند به شما و آنچه که در مورد توانايي انجام آن پاسخ مثبت مي دهيد اعتماد بيشتري پيدا کند. قرار نيست يک نفر در همه زمينه ها داراي تبهر و تخصص باشد! اين مورد البته هميشه صادق نيست. بطور مثال در مواردي که هدف از کار انجام تحقيق در يک زمينه باشد، آگاهي يا عدم آگاهي بالاي شما در آن مورد ملاک اصلي نيست. در چنين مواردي تمايل و توانايي شما در فراگيري و پيگيري سريع جزئيات و نکات در آن زمينه است. بطور مثال، شخصي که در قالب مشاوره، تنها در زمينه پياده سازي راهکارها و محکم سازي (Hardening) کار کرده، در صورتي که به وي پيشنهاد انجام يک تست نفوذ شود، شرايط خوبي براي انجام آن ندارد. زيرا ايندو از نظر فني و جزئيات کار به هم نزديک نمي باشند. اما شخصي که قبلآ بصورت تئوريک و يا عملي اين کار را پيش از اين انجام داده، ولي به وي پيشنهاد انجام تست نفوذ در يک شاخه جديد (مثلآ سيستم عامل يا نرم افزار جديد) مي شود، در صورتي که در خود توانايي هاي يادگيري سريع آن پلتفورم و بستر کاري را مي بيند، مي تواند به سراغ اين کار رود .زيرا در مورد کليات کار داراي تجربه بوده و در اين مورد جديد تنها نياز به فراگيري نکات و جزئيات خاص پلتفورم و سيستم جديد را دارد. از طرفي در صورتي که به هر دليل کاري را قبول کرده و خروجي ضعيف (ناشي از عدم تسلط شما بر موضوع کاري) به مشتري ارائه کنيد، بدون شک اين مي تواند آخرين پيشنهاد کاري به شما از سوي آن مشتري باشد. اين موضوع حتي به اعتبار کلي کار شما نيز لطمه خواهد زد.
مشاور شما هستيد، نه مشتري : يک نکته بسيار مهم را هميشه در نظر داشته باشيد ؛ اگر مشتري شما دقيقآ مي دانست که بدنبال چه چيزي است و خودش توانايي انجام آنرا به نحو قابل قبولي داشت، بطور قطع به سراغ شما نمي آمد! آگاهي از مشکلات کار، مناسب يا غير مناسب بودن يک راهکار، عملي بودن يک پيشنهاد و حتي محاسبه زمان و هزينه و نيروي انساني مورد نياز بخشي از مسئوليت هاي شما مي باشند زيرا شما هستيد که با شرايط کار آشنا بوده و مي بايست بر اساس تجربيات قبلي خود و در نظر گرفتن شرايط هر موقعيت کاري يا پروژه اين موارد را برآورد کنيد.
در بسياري از موارد کسي که از شما سرويس مي گيرد ذهنيت کامل و دقيقي از آنچه که (بصورت فني) مي بايست به وي ارائه شود ندارد. بنا بر اين نيازهاي واقعي خود را نيز نمي شناسد. در نتيجه حتي در صورتي که خود اقدام به ليست کردن مواردي کرده و برآوردي از آن نيز آماده کرده باشد، نمي توان زياد به آن اطمينان داشت. البته در برخي موارد ممکن است مشتري شما، خود از يک مشاور ديگر براي تهيه ليست نيازهاي خود و تخمين زمان و هزينه استفاده کرده باشد که در چنين شرايطي کار شما ممکن است کمي مشکل تر گردد. زيرا در صورت وجود اشکال در اين شرايط، شما مي بايست هم مشتري خود را قانع کنيد و هم مشاوري که اين اطلاعات را در اختيار وي قرار داده است! پس بهتر آن است که پيش از قبول و شروع کار اين موارد را با دقت بررسي نماييد. زيرا پس از شروع کار و در زمان تحويل خروجي، ملاک ارزيابي کيفيت و کميت کاري که شما انجام داده اييد همين پارامتر ها خواهد بود. بنابراين اگر در اين مورد محاسبات شما دقيق بوده باشد، در پايان هم شما راضي خواهيد بود و هم سرويس گيرنده شما. اما اگر بفرض مثال شما با زمانبندي ارائه شده از سوي مشتري ( که اشتباه بوده) کار را قبول کرده و شروع کنيد و در پايان پروژه با تآخير زماني تحويل گردد، انگشت اتهام بدون شک به سوي شما خواهد بود.
بنا بر اين هميشه قبل از شروع و انجام کار، نياز مشتري، نوع و نحوه عملکرد خود و نيازهاي پروژه را شناخته و بر اساس آن برنامه ايي به مشتري ارائه کنيد، و مثل بچه هاي خوب به هر درخواست و نيازي جواب مثبت ندهيد زيرا بعدآ ممکن است دوچار دردسر شويد!
پيش از شروع کار، در مورد آن مطالعه کنيد: حتي در صورتي که در زمينه مربوطه داراي تجربه قبلي مي باشيد، بهتر است پيش از شروع هر کار و آگاهي از ماهيت کلي، در مورد آن مطالعه کنيد. اين موضوع به شما کمک مي کند بسياري از مطالبي را که فکر مي کنيد مي دانيد اما در واقع جزئيات آنرا فراموش کرده ايد، دوباره به ياد آورده و يا حتي فرا بگيريد. اهميت اين موضوع بخصوص زماني روشن خواهد شد که شما مي بايست براي کار خود و جزئيات آن برنامه ريزي داشته باشيد. بطور مثال اگر به من پيشنهادي در مورد ارزيابي امنيتي سيستم هاي VoIP شود، قبل از هر کار اصول پياده سازي و مباني سيستم ها و پروتکل هاي VoIP را مرور کرده و نکات امنيتي مهم و کليدي را براي خود يادآوري کرده، پس از آن در اولين جلسه فني در مورد آن کار حاضر خواهم شد. اين روش به شما کمک مي کند که نکات ريز اما مهم در مورد کار آتي خود را از قلم نياندازيد.
ذهنيت مشتري را براي خودش باز کنيد: گفتم که در اولين قدم مي بايست سعي کنيد نياز مشتري را بشناسيد و بر اساس آن برنامه ريزي کنيد. اين کار ممکن نيست مگر با آگاهي يافتن از ريز جزئيات، نياز ها و خواسته هاي او. بهترين روش براي کسب اين آگاهي نيز پرسش و پاسخ و تهيه فرم ها و سوالاتي است که شما بدنبال جواب آنها هستيد، البته بصورت مستند و مکتوب. مشتري شما فقط مي داند که در نهايت و پس از انجام کارهايي توسط شما، قرار است به فلان خروجي برسد. اين خروجي مي تواند يک سطح ارتقاع يافته از امنيت، راه اندازي يک سيستم يا سرويس امنيتي و يا حتي ارزيابي يک محصول يا سيستم خاص باشد. مشتري شما نمي داند که براي انجام اين کار دقيقآ به چه شرايط و آيتم هايي نياز است. آگاه کردن وي از اين شرايط و آيتم هاي مورد نياز وظيفه شماست. پس در همان ابتداي کار پس از آگاهي از کليات کار، ليستي از مواردي که به آنها نياز خواهيد داشت را تهيه کرده و آنها را به تآييد مشتري برسانيد. ممکن است شما نياز به دانستن اطلاعاتي خاص در مورد شبکه يا سيستم تحت بررسي داشته باشيد، پس اين موارد را بصورت کاملآ تفکيک شده و جز به جز ليست کرده و از مشتري سوال کنيد. در اين خصوص دو نکته مهم وجود دارد که در ادامه به آنها اشاره خواهم کرد. جلساتي را با مشتري و گروه هاي کاري که قرار است از شما سرويس گيرند ترتيب دهيد و سعي کنيد مطلب را کاملآ براي آنها تشريح کنيد. يکبار ديگر، به زبان خود، نياز و خواسته هاي آنها را براي خودشان بازگو کنيد تا نقطه ابهامي براي کسي باقي نماند .
به مستنداتي که در اختيار شما قرار داده شده زياد اطمينان نکنيد : براي پاسخ دادن به سوالاتي که شما ممکن است در بخش قبلي در نظر گرفته و آماده کرده ايد، مشتري ممکن است مستندات شبکه و سيستم خود را در اختيار شما بگذارد و بعنوان پاسخ رسمي و محکم به شما ارائه کند. اين البته در صورتي است که شما خوش شانس بوده و با جايي سر و کار پيدا کرده باشيد که اقدام به مستند سازي وضعيت و سيستم هاي خود کرده باشند. نکته تلخ اما واقعي که هميشه وجود دارد اين است که به هيچ يک از اين مستندات نمي توان بطور کامل اطمينان کرد و هميشه مغايرت هايي بين مستندات و شرايط واقعي وجود دارند. هر چه مشتري شما و مجموعه وي منظم تر بوده و مستندات جزئي تر و بروز تر باشند اين مغايرت ها کمتر خواهند بود اما با اطمينان به شما خواهم گفت که به ندرت شانس دريافت مستنداتي را خواهيد داشت که کاملآ منطبق با شرايط کنوني و واقعي باشند. مگر در مورد سيستم ها يا شبکه هاي بسيار کوچک و محدود. نتيجه اينکه شما مي بايست کليه اطلاعات مورد نياز خود را (حتي در صورت موجود بودن در مستندات) با شرايط کنوني کسب کرده و تطبيق دهيد. بهترين روش مراجعه به اشخاص مربوطه و سوال و جواب از آنها و کنترل و بروز رساني موارد موجود در مستندات براي خودتان است. بهتر است سوالات خود را از قبل آماده کرده و حتي قالب کلي پاسخ هايي که انتظار داريد به شما داده شود را آماده کرده و در اختيار مشتري قرار دهيد. بدين ترتيب هم اطلاعات دقيق تري دريافت خواهيد کرد و هم شخصي که به شما پاسخ مي دهد سردرگم و آشفته نخواهد بود. حتي خود شما هم براي نوشتن کليه اطلاعات شخصي خود به جزء، نياز به آمادگي قبلي و در اختيار داشتن برخي اسناد و مدارک از قبل آماده شده داريد. پس به مشتري حق بدهيد که براي دادن اين همه اطلاعات فني به شما، مي بايست آگاهي و آمادگي قبلي داشته باشد!
هر چيزي را مکتوب کرده و به تآييد برسانيد : اين يک مورد بخصوص، با توجه به فرهنگ خاص ما ايراني ها بسيار مهم و حساس مي باشد. "دبه کردن" راهکاري بسيار مرسوم براي فرار از مشکلات و تقصیرات و کوتاهي ها است، بخصوص اينکه قرار باشد در انتهاي کار کسي طرف ديگر اش را مورد بازخواست قرار دهد. براي پرهيز از اين مشکل چه در مورد خود و چه ديگران، سعي کنيد هر اطلاعاتي که از مشتري دريافت مي کنيد و هر قول، تعهد و يا آيتم کاري که (به درخواست مشتري) به ليست وظايف خود اضافه مي کنيد، و یا حتی هر تغییر جزئی که در سیستم مورد استفاده مشتری می دهید بصورت رسمي مکتوب کرده و در همان جلسه به تآييد مشتري برسانيد. اين مورد جدآ شوخي بردار نيست! هميشه موضوع واقعآ انکار کردن موضوعی از سوی طرف شما نيست، بلکه بسيار پيش مي آيد که بدليل طولاني شدن زمان کار و مشغله، افراد قول و قرار هاي خود را فراموش کنند و يا اطلاعات و شرايط دستخوش تغييراتي گردند. مکتوب کردن وضعيت کنوني و ثبت کردن کليه نيازها، خواسته ها و وظايف در زمان جاري تنها راه پيشگيري از اين مورد است. بطور مثال ممکن است شما در يک جلسه بصورت شفاهي اطلاعاتي را رد و بدل کرده و بر اساس آن روند کار خود را تغيير دهيد. اما پس از پايان پروژه و احتمالآ بروز اختلاف بين بند هاي قرارداد و تعهد کاري شما با آنچه مشتري انتظار داشته، شما خواهيد گفت که اين مغايرت بدليل فلان مورد است که در مورد آن صحبت شده. اما هميشه و همه افراد آنقدر حافظه قوي ندارند که اين موارد شفاهي را بياد آورند (فرض ميکنيم کسي اصلآ منظور و نيت بدي ندارد!) و در اين لحظه تنها چيزي که مي تواند مشتري را قانع کند، حرف ها و اطلاعاتي است که خود وي به شما ارائه داده.
براي خود يک برنامه کاري آماده کنيد: پس از طي مراحل گفته شده، سعي کنيد يک برنامه کاري مشخص به تفکيک موارد و آيتم هايي که مي بايست انجام شوند تهيه کرده و مستند کنيد. استفاده از يک ليست ساده کارها بصورت متني هم کفايت مي کند اما استفاده از برنامه هايي مانند MS-Project و شسته رفته کردن کليه آيتم هاي کاري از نظر تاريخ و زمان اجرا و مدت زمان مورد نياز، بخصوص در پروژه هاي طولاني مدت و بزرگ مي تواند به شما بسيار کمک کند.
برنامه کاري را براي مشتري نيز مي توانيد ارائه دهيد اما فراموش نکنيد که برنامه ايي که به مشتري ارائه مي دهيد نبايد از نظر جزئيات به کاملي و دقت برنامه شخصي شما باشد، زيرا ممکن است موردي را براي بررسي شخصي و خارج از برنامه و قرارداد کاري ليست کنيد. حال اگر همين برنامه را نيز به مشتري ارائه کرده باشيد، براي وي توقع ايجاد شده و اينطور برداشت مي شود که آن مورد نيز جزو تعهدات شما بوده و ميبايست حتمآ اجرا گردد. به مشتري خود همانقدر اطلاعات و جزئيات در مورد کار خود بدهيد که نياز دارد. نه بيشتر، نه کمتر .
همچنين نکته مهم ديگر در برنامه ريزي اين است که، هميشه يک بازه زماني براي اتفاقات و مشکلات پيشبيني نشده در نظر داشته باشيد. هرگز اينطور فرض نکنيد که همه چيز آنطور که در مستندات، کتاب ها و توصيه نامه هاي امنيتي استاندارد گفته شده و مطابق ميل پيش ميرود! پروژ هاي کاري مربوط به محکم سازي (Hardening) نمونه بارز اين موضوع هستند. در بسياري از موارد شما ممکن است با پياده سازي يک راهکار يا قانون و تنظيمات جديد در سيستم، موجب بروز اختلال در بخش ديگري از مجموعه يا سيستم شويد که هرگز انتظار آن نمي رفته. پس هميشه زماني را براي پيگيري و رفع چنين مواردي در نظر بگيريد.
بر طبق برنامه پيش برويد : هر ميزان هم که در برنامه ريزي دقيق بوده باشيد و برنامه ايي حساب شده براي کار خود به مشتري ارائه داده باشيد، در صورتي که (حتي در ظاهر !) مطابق آن پيش نرفته و به مشتري خروجي ارائه ندهيد، از ديد وي کار داراي مشکل و سرانجامي ناخوشايند و نا مطلوب خواهد بود. در صورتي که بتوانيد هميشه درست سر زمان مقرر خروجي که مشتري از شما انتظار دارد را به وي ارائه کنيد، ديد او به شما بسيار مثبت شده و سبب جلب رضايت و اطمينان وي به شما مي شود. حتي در صورتي که خروجي کار تا آن لحظه 100% مطابق با برنامه ريزي قبلي و انتظارات مشتري نيست، باز هم ارائه ناقص آن بهتر از دير ارائه دادن آن است! البته منظور من از خروجي ناقص يک گزارش 10 صفحه ايي که مي بايست 15 صفحه ديگر هم به آن اضافه شود نيست. بلکه منظور من ارائه قالب کلي و خروجي گزارش در زمان مقرر، و تکميل موارد جزئي و ريز (مانند اصلاح موارد نگارشي، بهبود و تکميل ضميمه هاي گزارش، بهبود قالب و ساختار اصلي گزارش و ...) در مدت زماني کوتاه پس از موئد مقرر است.
هميشه افرادي مطمئن را براي موارد خاص در کنار خود داشته باشيد: پيش از اين گفتم که قرار نيست هر شخص در همه موارد داراي تبهر و تخصص کامل باشد. از طرفي براي پيشرفت لازم است تا هميشه خود را با چالش روبرو کرده و به سراغ موارد و زمينه هايي برويم که پيش از اين در مورد آنها تجربه اي نداشته ايم. اين به چالش کشيدن خود البته مي بايست معقول باشد، و مشتري ما نبايد بهاي تجربه هاي (اشتباه) ما را پرداخت کند! بنا بر اين بهتر است هميشه سعي کنيم در زمينه هايي که در مورد آنها تخصص و تجربه کاري کافي و لازم را نداريم، ارتباطاتي کاري يا دوستانه با ساير افرادي داشته باشيم که در آن موارد از ما اطلاعات بيشتري دارند. اين به شما کمک مي کند تا در مواقع ضروري، مثل زماني که کم تجربگي شما موجب بروز اختلال در سيستم هاي کاري مشتري شده و رفع آن در کوتاه ترين زمان ممکن براي مشتري حياطي مي باشد، بتوانيد با کمک يکي از اين افراد خود و مشتري را از بحران پيش آمده نجات دهيد. در هر زمينه و هر مورد کاري، پيش از دست زدن به هر عمل داراي ريسک بالا که از عواقب آن آگاهي کامل نداريد، بهتر است با يک فرد با تجربه در زمينه مشورت کرده و اطمينان حاصل کنيد که در صورت بروز مشکل، وي در زمان و مکان مشخص قادر به پشتيباني شما خواهد بود.
ابزار و شرايط کاري خود را از قبل آماده کنيد: يک مشاور امنيت، از نظر فني تفاوت چنداني با يک مکانيک خودرو يا جراح ندارد. هر دو مي بايست قبل از پذيرش يک مشتري و شروع به کار، ابزارهاي خاص کار خود را آماده کرده و از صحت عملکرد آنها اطمينان حاصل کرده باشند. محدوده مشخص و کوتاه زمان انجام پروژه، تعمير خودرو و يا جراحي، موقعيت مناسبي براي جستجو براي ابزارهاي مورد نياز و تست آنها نيست. سعي کنيد همواره هر آنچه که فکر مي کنيد در طول يک پروژه به آن نياز خواهيد داشت را از قبل بررسي و آماده کرده و با گذشت زمان فقط آنها را (مثلآ براي کنترل نیاز به بروز رساني ها، نسخ و يا تکنيک هاي جديد) بازبيني کنيد. همچنين، هميشه سعي کنيد يک لابراتوار آماده بکار شامل انواع سيستم عامل ها و نرم افزارهاي پرکاربرد مثل بانک هاي اطلاعاتي يا وب سرور ها و ... داشته باشيد. راه اندازي چنين سيستم هايي، و تهيه ابزارها و نرم افزارهاي لازم مي تواند براحتي بسياري از زمان محدود شما براي انجام کارهاي مهم پروژه را تلف کند.
ملاک ارزيابي کيفي شما، گزارشي است که ارائه مي دهيد : مهم نيست که شما چقدر در کار خود خبره بوده ايد. مهم نيست شما با چه کيفيت و سرعتي به نياز مشتري پاسخ داده ايد. مهم نيست که شما در طول انجام کار چندين بار جلسات فني با مشتري برگزار کرده ايد و با صحبت ها و خروجي هاي مقطعي خود چقدر آنها را تحت تآثير قرار داده ايد. مهم اين است که در پايان، شما يافته ها و نتايج کار خود را چطور مستند سازي کرده و (بصورت کتبي و شفاهي و حتي عملي) ارائه مي دهيد! هيچ چيز در پايان يک پروژه کاري نمي تواند به اندازه يک مجموعه مستندات مرتب و منظم، داراي قالب استاندارد، و محتويات کامل و بي عيب و نقص مشتري را خشنود و راضي کند. هرچقدر هم که شما کار خود را با کيفيت انجام داده باشيد، اما توانايي ارائه خوب آنرا نداشته باشيد، کل کيفيت کاري شما در نهايت زير سوال خواهد رفت. اين مورد را مي توان به به نقاش ماهري تشبيه کرد که براي نقاشي کشيدن از ابزارها و رنگ هاي بي کيفيت استفاده کرده باشد. بخش زيادي از هنر نقاش و نمايان شدن آن براي بيننده، وابسته به استفاده از ابزار و رنگ هاي با کيفيت است. گزارش هاي ارائه شده کتبي يا شفاهي شما نيز، اثر نقاشي هستند که شما خلق کرده ايد. حتي اگر ايده بسيار خوبي براي پياده سازي کار استفاده کرده باشيد و همه تلاش خود را نيز براي انجام آن کرده باشيد، در صورتي که نتوانيد جزئيات کار خود را کامل و بصورتي که براي مشتري قابل درک و فهم باشد ارائه کنيد، از ديد وي کار شما رضايت بخش نخواهد بود!
مهارت در تنظيم قالب نوشتن گزارش چه از نظر بيان موارد فني بصورت واضح و چه از نظر رعايت اصول نگارش، و همچنين داشتن قابليت در ارائه خوب و رساي مطالب (فني) به زباني که براي مشتري قابل درک و لمس باشد، از مهارت هاي کليدي شما بعنوان يک مشاور خوب هستند. ارزش اين موضوع آنقدر زياد است که ارزش دارد شما حتي از وقت خود براي فراگيري مسائل فني کم کرده و به افزايش مهارت هاي خود در اين زمينه بپردازيد. هميشه سعي کنيد طوري خروجي ها، گزارشات و مستندات کاري خود را تنظيم کنيد که نيازي به منگنه کردن خود شما به گزارش براي ارائه توضيحات تکميلي در مورد مطالب وجود نداشته باشد! هرچند بسته به موقعيت و نوع کار، خروجي هاي مکتوب و شفاهي شما ممکن است داراي اهميت کمتر يا بيشتري شود، اما اين اصل در همه شرايط پابرجا بوده و اثر زيادي بر روي کار شما از ديد مشتري خواهد داشت .
يک قالب مشخص براي خروجي هاي خود تدوين کنيد : کيفيت گزارشي که شما تهيه و ارائه مي دهيد اهميت بسيار زيادي دارد که به آن اشاره کردم. اما متن و جزئيات خوب نوشته شده توسط شما، تنها در يک قالب و قاب خوب هستند که نمود پيدا مي کنند. درست مانند همان نقاش مثال زده شد. در صورتي که نقاش اثر خود را در يک قاب زيبا و متناسب با نوع اثر ارائه دهد، تآثير اثر وي بر روي مخاطب دوچندان مي شود. اين مورد در تهيه گزارش نيز صدق مي کند. در صورتي که شما بتوانيد گزارش خود را در يک قالب شسته رفته و فارغ از بي نظمي و آشفتگي ارائه کنيد، علاوه بر اينکه دنبال کردن و فهم گزارش را براي مخاطب آن آسانتر کرده ايد، نا خودآگاه همين نظم و ترتيب و رعايت نکات ظاهري براي زيبا سازي گزارش نظر مخاطب را جلب خواهد کرد. سعي کنيد براي هر نوع کار و گزارشي که تنظيم مي کنيد، يک قالب استاندارد و مشخص آماده کنيد. مثلآ براي ارائه گزارشات مربوط به تست نفوذ از يک قالب و براي گزارش يک پروژه ارزيابي امنيتي و يا محکم سازي، از قالب هاي خاص خودشان استفاده کنيد. تهيه و بهينه سازي اين قالب ها مي بايست به مرور زمان صورت گيرد تا بتواند هر نوع گزارش و ومطلبي را بدون نياز به تغير زياد در خود بگنجاند. در اختيار داشتن قالب (Template) براي تهيه گزارش ها و ارائه ها چندين مزيت دارد. اولين مزیت وجه ظاهري است که به آن اشاره شد. مزيت بعدي، صرفه جويي قابل توجه در زمان مورد نياز براي تهيه گزارش است. همچنين با در اختيار داشتن يک قالب که خود شما آنرا تهيه و تکميل کرده ايد، به مرور زمان، در زمان شروع نگارش گزارش از سردرگمي شما براي رعايت ترتيب و تقدم و تآخر مطالب کاسته شده و همچنين مي دانيد که در گزارش مربوط به يک زمينه کاري خاص، چه مواردي مي بايست حتمآ قيد شوند. بدين ترتيب در گزارش تهيه شده چيزي از قلم نخواهد افتاد. بهتر است سعي کنيد خودتان اين قالب را طراحي و استفاده کنيد، اما براي شروع مي توانيد از قالب هاي موجود در اينترنت که توسط افراد يا شرکت هاي ديگر استفاده شده و بنظر مناسب مي رسند نيز ايده بگيريد .

خود را اصلاح کنيد : پس از انجام هر پروژه کاري سعي کنيد تا اشکالات کار خود و مشتري را پيدا کنيد و در مورد آنها فکر کنيد. اگر به مورد خاصي در آن پروژه برخورد کرديد و متوجه شديد که در آن زمينه اطلاعات شما کافي نبوده، در اولين فرصت اقدام به تکميل اطلاعات خود کنيد. اگر در طول پروژه مشتري از کار شما رضايت نداشته، سعي کنيد حتي در قالب يک جلسه پيشنهادات و انتقادات با مشتري، اشکالات کار خود را جستجو کرده و بفهميد که از ديد مشتري در چه شرايطي کار شما ميتوانسته قابل قبول باشد. اگر در خلال کار با مشتري به مشکلاتي از سمت وی برخورد کرده ايد، سعي کنيد متوجه شويد که شما در کدام قسمت کار خود اشتباه کرده ايد که به مشتري فرصت اشتباه کردن را داده است. فراموش نکنيد که در هر صورت و در هر شرايطي، اين شما هستيد که بايد خود را با شرايط مشتري تطبيق دهيد .پس اگر در جايي از کار با مشتري به مشکل برخورده ايد، به احتمال زياد و در اغلب موارد اين مشکل ناشي از عدم پيشبيني شما براي آن مورد خاص بوده است .
هميشه بروز باشيد : سخت است، اما غير ممکن نيست ! بعنوان کسي که در زمينه امنيت سيستم هاي کامپيوتري و نرم افزارها فعاليت مي کند، آگاهي از آخرين يافته ها، تکنيک هاي حمله و دفعاع، تحقيقات در جريان و يا حتي آگاهي از مواردي که بصورت عمومي منتشر نمي شوند وظيفه شماست. هر شخصي با صرف چند روز زمان و جستجو در يک زمينه خاص مي تواند در مورد يک موضوع يا راهکار امنيتي شروع به صحبت و اظهار نظر کند، اما با يک هفته زمان هرگز نمي توان بطور کامل در مورد آن موضوع خاص ديد دقيق و فني پيدا کرده و به همه راهکارها در آن زمينه اشراف پيدا کرد. تغييرات و پيشرفت ها نيز در زمينه امنيت، به روز و حتي ساعت مي باشند ! بنابراين لازم و ضروري است که شما هميشه و بطور مستمر خود را در جزيان آخرين هاي اين زمينه کاري قرار دهيد. چه از طريق مطالعه کتاب هاي جديد، وب سايت هاي معتبر خبري و اطلاعاتي، گروه هاي پستي و يا کنفرانس هاي فني و آکادميک. مشتري به شما پول مي دهد تا از اطلاعات بروز و کامل در کنار تجربيات قبلي و ديدگاه هاي فني شخصي شما بهره گيرد، و الا وب سايتي مانند MITRE يا SecurityFocus مي تواند اطلاعات بسيار کامل تر و جامع تري را نسبت به شما به مشتري ارائه دهد. استفاده از روش ها و تکنيک هاي قديمي و نا کارآمد براي سيستم هاي امروزي و بحث و گفتگو در مورد آنها، مسلمآ انگيزه خاصي براي يک مشتري آگاه ايجاد نکرده و وي را به فکر فرو نخواهد برد که چرا با اينکه چند ماه پيش تيم يا شخص مشاور ديگري از او هزينه ايي دريافت کرده، باز هم مي بايست براي انجام مجدد همان کار به شما هزينه پرداخت کند. شما تنها در صورتي موفق به جلب رضايت چنين مشتري خواهيد شد که بتوانيد اتفاقات رخ داده در طول اين مدت، و يافته هاي جديد علمي يا فني را به وي گوشزد کنيد. بارها براي خود من پيش آمده که امنيت سيستمي را که مدتي قبل بطور نسبي روي آن حساب مي کردم، زير سوال برده ام و دليل اين بوده که در اين فاصله زماني تحقيقاتي انجام شده بوده که انتشار نتايج آن باعث زير سوال رفتن سيستمي شده که پيش از اين امنيت آن قابل قبول بنظر ميرسيده. هميشه و هميشه يک زمان مشخص را در برنامه کاري روزانه خود، براي مطالعه مفاد و مطالب جديد اختصاص داده و سعي کنيد در سخت ترين شرايط نيز از آن غافل نشويد. آنقدر اين کار را ادامه دهيد تا مرور روزانه مطالب (وبلاگ ها، اخبار، ايميل ها، کتاب ها و ... ) براي شما تبديل به يک عادت روزانه شود، به طوري که ترک آن موجبات مرض را فراهم آورد !
هر مطلب جديدي را از پايه ياد بگيريد : براي اينکه شما بتوانيد يک مشاور خوب باشيد، بايد بتوانيد در هر يک از زمينه هايي که در مورد آن به مشتري سرويسي مي دهيد، در سطح بالايي از دانش قرار داشته باشيد. اگر قرار است بر روي بانک هاي اطلاعاتي کاري انجام دهيد، بايد در حد يک مدير بانک اطلاعاتي بدانيد. اگر قرار است بر روي بستر يک شبکه کاري انجام دهيد بايد در حد يک متخصص شبکه از جزئيات کارها، پروتکل ها و تکنولوژي ها آگاهي داشته باشيد. اگر قرار است در مورد نحوه مديريت يک شبکه کاري انجام دهيد بايستي در سطح يک مدير شبکه خبره از اين زمينه دانش داشته باشيد و الي آخر. همانطور که مي بينيد کسب دانش و تجربه در اين همه زمينه متنوع و بطور همزمان کار آساني نيست و اين تازه شروع کار شماست. علاوه بر همه اين اصول و مباني، در هر زمينه شما مي بايست در خصوص نکات و مسائل امنيتي نيز بطور جزء و دقيق معلوماتي کسب کنيد. تفاوت شما با يک مدير بانک اطلاعاتي معمولي يا مدير شبکه نيز در همين است. شما بايد يک پله بالاتر از آنها قرار داشته باشيد تا بتوانيد اشکالات کار آنها را شناسايي کرده و رفع کنيد. لزوم رسيدن به اين سطح نيز فرا گرفتن هر زمينه و عنوان بصورت پايه ايي و اصولي است. تا زماني که شما اصول مديريت يا طراحي شبکه را فرا نگرفته باشيد، خواندن مقاله هاي جديد يا کتب متفرقه کمکي به شما نخواهد کرد. تنها زماني مي توانيد موفق عمل کنيد که اصول پايه و اوليه هر زمينه را بصورت استاندارد و کامل فرا گرفته، و پس از آن ياد گرفتن جزئيات و نکات ريز را به زماني موکول کنيد که به آنها نياز داريد. دقيقآ به همين دليل است که در اين زمينه کاري تجربه قبلي و آگاهي از دانش پايه مورد نياز بيش از هر فاکتور ديگري مي تواند به پيشرفت شما در اين زمينه کاري سرعت بخشد. بطور مثال براي شخصي که هيچ ديد يا زمينه قبلي در مورد برنامه نويسي ندارد، فهم و شناسايي مشکلات يک سيستم در سطح نرم افزار، و استفاده از آنها و يا رفع آنها اگر غير ممکن نباشد، بسيار مشکل خواهد بود. اما فرا گفتن نکات امنيتي در توليد و پياده سازي نرم افزار و يا حتي شناسايي مشکلات و سو استفاده از آنها، براي کسي که داراي زمينه و تجربه قوي در برنامه نويسي است، بسيار آسان خواهد بود. همين مثال در مورد سايز زمينه ها مانند مديريت شبکه، سيستم عاي عامل و يا بانک هاي اطلاعاتي نيز کاملآ صدق مي کند .
در پایان، شما نیز اگر نکته و مطلبی را برای تکمیل دارید می توانید بصورت نظرات برای همین پست عنوان کنید .