Алекс Чапман, работающий в сфере этичного хакинга 13 лет, рассказал изданию The Daily Swig о будущем кибербезопасности, принципах, благодаря которым он остается успешным и востребованным хакером, и о том, почему он верит в сотрудничество между баг-хантерами.
Первый компьютер, Commodore 64, мне подарил отец, когда мне было 8 или 9 лет. Я сразу же разобрал его. В 10-12 лет я начал программировать. И тогда же меня заинтересовала тема кибербезопасности.
Во время учебы в университете я планировал уйти оттуда, чтобы заниматься разработкой. Но однажды у нас проводили День карьеры и кто-то сказал, что этичным хакингом можно официально зарабатывать на жизнь. Эта мысль тогда ошеломила меня. Я начал участвовать в программе поиска уязвимостей Yahoo и втянулся в этичный хакинг. Сотрудничал с такими компаниями, как Deloitte, Context Information Security и Yahoo. В них я проводил пентесты, работал в составе Red team и делал исследования в области кибербезопасности.
Я не очень хорош в веб-хакинге. Он не интересует меня так сильно, как анализ исходного кода, реверс-инжиниринг или системный анализ. За последние два года я много времени потратил на изучение платформ непрерывной разработки и интеграции (CI/CD). Я получаю удовольствие от хакинга, когда взаимодействуют сложные системы и в какой-то момент все может пойти не так. Искать уязвимости здесь настолько же эффективно, как и с помощью классического реверс-инжиниринга или поиска ошибок в нативных приложениях.
Обычно я выбираю в качестве цели те продукты, где другие баг-хантеры смогли что-то найти. Так как это занятие занимает все мое рабочее время и нужно платить ипотеку, я также смотрю на проекты, в которых предлагают самые высокие вознаграждения за найденные уязвимости. Но если бы я начал чувствовать, что все это превращается в рутину, я бы наверное занялся чем-то еще. Изучение интересных технологий — вот что движет мной.
Самая большая проблема — это медленные платежи, когда оплата идет по 6-9 месяцев. Поэтому я стараюсь участвовать в тех программах этичного хакинга, про которые известно, что они платят в разумные сроки.
Один или два раза я не смог доказать, что найденная мной ошибка — это действительно ошибка. Возможно, я недостаточно хорошо объяснил это в отчете или привел недостаточно ясные примеры. Думаю, здесь заключена периодически возникающая проблема — мы не так хороши в объяснении ошибки или степени риска, который она вызывает.
Несколько лет назад, на хакатоне H1-702, мне удалось найти ошибку, которая запускала выполнение кода на GitHub. Это была область, на которую я собирался обратить внимание в течение года или около того, хотя сама ошибка не была настолько хороша, чтобы гордиться ею. Я давно подозревал, что там будет баг, и было очень приятно его найти. За эту работу я получил самые большие деньги.
Самая заметная вещь — это использование контейнеров. В последнее время я исследовал много продуктов с контейнеризацией и Kubernetes. Я нашел определенные ошибки в одном продукте, а затем сверил их с другими, использующими схожие технологии. Несколько багов накладывались друг на друга. Каждая из них приводила меня к новым багам, уже в других продуктах.
Не ждите сразу многого — поиск багов это медленный процесс. Я работаю в этой сфере больше 10 лет, профессионально занимаюсь пентестами и до сих пор считаю, что найти уязвимость сложно. Самое ценное качество здесь — это настойчивость. Не стоит ждать огромных денег в первый же день.
Я неплохо зарабатываю прямо сейчас, с помощью поиска уязвимостей. Поэтому какого-то «следующего шага» просто нет. Но у меня есть идея о создании команды. Я знаю нескольких человек, которые работают пентестерами в компаниях. Мне бы хотелось создать команду вместе с ними.Но убедить их уйти с постоянной работы труднее, чем казалось.
Разумеется, ведь каждый принес бы свои навыки и опыт на пользу общему делу. Когда я работал с другими хакерами на офлайн-мероприятиях, наша реальная коммуникация была основой всего. Даже когда вы просто объясняете свои идеи или в ваших предложениях начинают сомневаться, это часто приводит вас к новым мыслям. Самостоятельно до них вы бы не дошли. Мне, как интроверту, очень нравится работать самостоятельно. Но не видеть людей каждый день тяжело. Поэтому, я бы очень хотел работать в команде.
Недавно я понял, что индустрия Bug Bounty имеет небольшую проблему с PR. Многие люди воспринимают ее в упрощенном виде. Они думают, что в какой-то момент в защите популярного продукта находят критическую ошибку, отчеты о которой начинают одновременно отправлять множество людей. На самом деле, все сложнее.
Я видел эту индустрию со всех сторон — со стороны платформы, продуктов и багов. Такой опыт есть у небольшого количества людей. Надеюсь, что в ближайшее время в программах Bug Bounty будет уделяться больше внимания традиционному пентесту.
Одна вещь, которая не нравилась мне во время работы — то, что мне всегда определяли цель. Мне бы хотелось, чтобы в какой-то момент индустрия пришла к такому состоянию, чтобы компании поощряли своих штатных сотрудников участвовать в программах Bug Bounty. От этого выиграли бы все. Ведь навыки, которые ваши специалисты получат таким образом, они смогут применить на рабочем месте.
Блог ITGLOBAL.COM — Managed IT, частные облака, IaaS, услуги ИБ для бизнеса:
Когда и как вы начали заниматься этичным хакингом?
Первый компьютер, Commodore 64, мне подарил отец, когда мне было 8 или 9 лет. Я сразу же разобрал его. В 10-12 лет я начал программировать. И тогда же меня заинтересовала тема кибербезопасности.
Во время учебы в университете я планировал уйти оттуда, чтобы заниматься разработкой. Но однажды у нас проводили День карьеры и кто-то сказал, что этичным хакингом можно официально зарабатывать на жизнь. Эта мысль тогда ошеломила меня. Я начал участвовать в программе поиска уязвимостей Yahoo и втянулся в этичный хакинг. Сотрудничал с такими компаниями, как Deloitte, Context Information Security и Yahoo. В них я проводил пентесты, работал в составе Red team и делал исследования в области кибербезопасности.
Есть ли какие-нибудь особые технологии, которые вас интересуют?
Я не очень хорош в веб-хакинге. Он не интересует меня так сильно, как анализ исходного кода, реверс-инжиниринг или системный анализ. За последние два года я много времени потратил на изучение платформ непрерывной разработки и интеграции (CI/CD). Я получаю удовольствие от хакинга, когда взаимодействуют сложные системы и в какой-то момент все может пойти не так. Искать уязвимости здесь настолько же эффективно, как и с помощью классического реверс-инжиниринга или поиска ошибок в нативных приложениях.
Как вы решаете, в каких именно продуктах будете искать уязвимости?
Обычно я выбираю в качестве цели те продукты, где другие баг-хантеры смогли что-то найти. Так как это занятие занимает все мое рабочее время и нужно платить ипотеку, я также смотрю на проекты, в которых предлагают самые высокие вознаграждения за найденные уязвимости. Но если бы я начал чувствовать, что все это превращается в рутину, я бы наверное занялся чем-то еще. Изучение интересных технологий — вот что движет мной.
Вы когда-нибудь сталкивались с проблемами, раскрывая информацию об уязвимостях?
Самая большая проблема — это медленные платежи, когда оплата идет по 6-9 месяцев. Поэтому я стараюсь участвовать в тех программах этичного хакинга, про которые известно, что они платят в разумные сроки.
Один или два раза я не смог доказать, что найденная мной ошибка — это действительно ошибка. Возможно, я недостаточно хорошо объяснил это в отчете или привел недостаточно ясные примеры. Думаю, здесь заключена периодически возникающая проблема — мы не так хороши в объяснении ошибки или степени риска, который она вызывает.
Какой найденной уязвимостью вы гордитесь сильнее всего и почему?
Несколько лет назад, на хакатоне H1-702, мне удалось найти ошибку, которая запускала выполнение кода на GitHub. Это была область, на которую я собирался обратить внимание в течение года или около того, хотя сама ошибка не была настолько хороша, чтобы гордиться ею. Я давно подозревал, что там будет баг, и было очень приятно его найти. За эту работу я получил самые большие деньги.
Какие сейчас есть интересные тенденции во взломе, с точки зрения кода и технологий?
Самая заметная вещь — это использование контейнеров. В последнее время я исследовал много продуктов с контейнеризацией и Kubernetes. Я нашел определенные ошибки в одном продукте, а затем сверил их с другими, использующими схожие технологии. Несколько багов накладывались друг на друга. Каждая из них приводила меня к новым багам, уже в других продуктах.
Какой совет вы бы дали начинающему баг-хантеру?
Не ждите сразу многого — поиск багов это медленный процесс. Я работаю в этой сфере больше 10 лет, профессионально занимаюсь пентестами и до сих пор считаю, что найти уязвимость сложно. Самое ценное качество здесь — это настойчивость. Не стоит ждать огромных денег в первый же день.
Есть ли другие карьерные планы на ближайшие несколько лет, кроме как полностью посвящать себя баг-хантингу?
Я неплохо зарабатываю прямо сейчас, с помощью поиска уязвимостей. Поэтому какого-то «следующего шага» просто нет. Но у меня есть идея о создании команды. Я знаю нескольких человек, которые работают пентестерами в компаниях. Мне бы хотелось создать команду вместе с ними.Но убедить их уйти с постоянной работы труднее, чем казалось.
Поиск уязвимостей выглядит, как занятие, которым люди обычно занимаются в одиночку. Вы думаете, что коллективная работа здесь может быть эффективна?
Разумеется, ведь каждый принес бы свои навыки и опыт на пользу общему делу. Когда я работал с другими хакерами на офлайн-мероприятиях, наша реальная коммуникация была основой всего. Даже когда вы просто объясняете свои идеи или в ваших предложениях начинают сомневаться, это часто приводит вас к новым мыслям. Самостоятельно до них вы бы не дошли. Мне, как интроверту, очень нравится работать самостоятельно. Но не видеть людей каждый день тяжело. Поэтому, я бы очень хотел работать в команде.
Хотите рассказать что-то еще об информационной безопасности?
Недавно я понял, что индустрия Bug Bounty имеет небольшую проблему с PR. Многие люди воспринимают ее в упрощенном виде. Они думают, что в какой-то момент в защите популярного продукта находят критическую ошибку, отчеты о которой начинают одновременно отправлять множество людей. На самом деле, все сложнее.
Я видел эту индустрию со всех сторон — со стороны платформы, продуктов и багов. Такой опыт есть у небольшого количества людей. Надеюсь, что в ближайшее время в программах Bug Bounty будет уделяться больше внимания традиционному пентесту.
Одна вещь, которая не нравилась мне во время работы — то, что мне всегда определяли цель. Мне бы хотелось, чтобы в какой-то момент индустрия пришла к такому состоянию, чтобы компании поощряли своих штатных сотрудников участвовать в программах Bug Bounty. От этого выиграли бы все. Ведь навыки, которые ваши специалисты получат таким образом, они смогут применить на рабочем месте.
Блог ITGLOBAL.COM — Managed IT, частные облака, IaaS, услуги ИБ для бизнеса:
- Страх перед автоматизацией работы и другие тренды в мировой и российской кибербезопасности
- Как мы нашли уязвимость в почтовом сервере банка и чем она грозила
- Как подружить ГОСТ Р 57580 и контейнерную виртуализацию. Ответ Центробанка (и наши соображения на этот счет)
- Главные тенденции ИТ-индустрии в 2021 году по версии Gartner
