Одна из самых загадочных, но в тоже время одна из самых интересных профессий в ИБ, покрытая множеством слухов и мифов - Пентестер.
Бытует мнение, что пентестеры - это гики-одиночки, скрывающие свое лицо и имя, а их рабочее место - это маленькая комната, где единственный источник света – дисплей ноутбука.
Поэтому мы попросили одного из членов команды пентерестеров ГК Axxtel leito немного приоткрыть завесу тайн о мире хакинга и рассказать нам, как он начал заниматься своим делом, какие скиллы для этого нужны, и не тянет ли с таким талантом на "темную" сторону.
– На выбор моей деятельности, наверное, повлияли несколько факторов. Я всегда любил копаться в электронике, компьютерах и всяком таком, но не просто как пользователь. Я всегда пытаться обойти какие-то ограничения. Ну и не без романтичных историй про хакеров в голове, конечно. Так и решил осваиваться в деле взлома.
– Простыми словами - что такое пентест?
– Это проверка компании, в ходе которой команда хакеров исполняет роль преступников и пытается взломать организацию. По её результатам можно понять, насколько быстро можно взломать организацию и сколько способов у хакеров есть для этого. Пентест - легальная возможность предоставить свои навыки на пользу заказчикам и людям.
– Обычно слово «хакер» несет в себе негативный посыл. Можешь назвать себя хакером с благими намерениями?
– Вообще, это всё СМИ. Само по себе слово «хакер» не имеет в общем смысле плохого посыла. Это просто энтузиаст, который любит обходить ограничения в различных системах, это необязательно взлом. К ответу на вопрос: да, конечно, для этого даже существует термин "white hat". "Белые шляпы" помогают находить бреши и закрывать их.
– Не тянет ли с таким талантом на "темную" сторону?
– Сейчас всё же нет, хотя в самом начале было интересно попробовать. Ради фана я и пару моих друзей искали уязвимости в разных приложениях "без спроса", бывало и такое :-) . Сейчас любимое занятие – ломать злоумышленников.
– Кстати, о друзьях: насколько пентестеры коммуницируют друг с другом? Ведь образ хакера - одиночка.
– Раньше с этим проще было, можно было ломать и в одного. Наверное, поэтому именно такой образ и сложился в массовой культуре. Сейчас всё стало настолько сложно, что в одиночку ты не сможешь найти и половины уязвимостей, так что во время пентеста команда – необходимость. К тому же, злоумышленники тоже не сидят в одиночку. Хакеры, представляющие наибольшую угрозу, также работают в командах. Хакеры, кстати, далеко не закрытые гики, есть и общительные ребята, есть и скромные. Но с коммуникацией я ни у кого проблем не замечал.
– Бывают провалы? Тяжело даются?
– Самый первый пентест был очень провальным. Ребята со стороны Заказчика были какие-то натренированные, мы ничего не нашли, фишинг не сработал, вирусню никто не открыл. Ощущалось тяжко, но я справился.
– Тогда расскажи, пожалуйста, о своем первом успешном пентесте.
– Первый успешный пентест... Да, он был очень сумбурный, но веселый. Сначала как-то не шло, где-то с месяц, это обычная ситуация. Чтобы подобрать пароли от учетных записей в одном сервисе, пришлось писать специальную утилитку прям в новогодние каникулы :-). Подобрали пароль у пользователя – Aa123456. Это вышло абсолютно случайно, такого пароля вообще не должно было быть в списках :-). Потом проверяли у Заказчика его сетевое оборудование, и как-то вышло так, что смогли залогиниться с учетным данными cisco:cisco на маршрутизаторе Заказчика. Не рассуждая, почему это получилось, сразу же сделал себе доступ внутрь. Буквально за 6 часов вся его внутренняя сеть стала нашей – дело техники. Ну а потом началось самое скучное: отчеты, аналитика, статистики… Это самая неинтересная часть пентеста, но самая нужная.
– Сколько времени в среднем уходит на взлом одной организации?
– Всё, конечно, зависит от организации, но в среднем от двух недель до месяца неспешной работы командой из 2-3 человек.
– А банк взломать сложно?
– У меня такого опыта пока не было, но я слышал истории от коллег – и да, это достаточно тяжелый процесс. Но реальный!
– А можно ли взломать систему управления дорогами, например?
– В современных реалиях - можно. Современные технологии упрощают жизнь не только операторам и администраторам таких систем, но и хакерам в том числе (тут можно прорекламировать мероприятие от одного вендора, но я этого делать не стану).
– Насколько всё это близко к тому, что показывают в фильмах? Может, есть любимый фильм, освещающий тему?
– Современные сериалы и фильмы отлично освещают тему! Для примера, взять нашумевший фильм "Мистер Робот". Сценаристы и режиссеры фильма проводили регулярные консультации с хакерами – это круто. Вот раньше было что-то на грани фантастики, но зато атмосферно. Любимый фильм – "Хакеры" 1995 года. "Hack The Planet" - девиз по жизни.
– Правда, что из пентесторов получаются лучшие безопасники?
– Необязательно быть пентестером (это немного перебор), но иметь понимание того, как злоумышленники атакуют, является обязательным для хорошего безопасника. А если имеются какие-то хакерские навыки и опыт - это прям отлично!
– Чувствуешь ли ты превосходство над обычными разработчиками?
– "Ломать - не строить!". Одно дело – искать уязвимости, другое - писать огромный и сложный продукт.
– Дашь совет своим потенциальным конкурентам: где и как можно научиться пентесту, какие скиллы нужны, чтобы преуспеть?
– Прежде всего, необходимо иметь желание. Для повышения своих навыков и знаний есть специальные платформы для взлома различных машин, например, HackTheBox, root-me.org или TryHackMe. Для совсем начинающих ребят и студентов рекомендую начать с соревнований CTF (Capture The Flag). С помощью CTF можно получить базовые навыки во взломе web-приложений, криптографии, поисков бинарных уязвимостей и обратной разработке. Если говорить о курсах, то я бы порекомендовал , и . По поводу скиллов: критическое мышление, понимание компьютерных сетей и принципов построения приложений, программирование. Это прям базовые вещи.
– Ну и последний вопрос: представь себе, что все проблемы с безопасностью будут решены. Что будешь делать, чем займешься?
– Они решены не будут – это факт. Но если прям представить такой мир, то, наверное, занялся бы разработкой или робототехникой, применял бы хакерские навыки там. А еще можно было бы создать новые проблемы :-).
Интервьюер: Анастасия Рец
