Сегодня мы продолжаем знакомить тебя с ключевыми фигурами security жизни
рунета. И в гостях у Xakep On-Line администратор проекта SecurityLab — 
Александр Антипов.

Расскажите краткую летопись Securitylab. С чего всё начиналось, какие планы
на будущие?

Начиналось, как наверное у всех, от безделья. Работал во вторую смену
системным администратором, по ночам было нечего делать, вот решил создать
тематический сайт по безопасности. В то время практически 100% всех сайтов были
с хакерским уклоном (что, в принципе, за 5 лет мало изменилось), а хотелось
что-то более открытое и дружественное к профессионалам информационной
безопасности.

Почему вы решили использовать Битрикс в качестве CMS, а не самописную
систему, ведь в плане безопасности это было бы эффективней?

Я до этого использовал самописную систему и в определенный момент понял, что
это тупиковый путь. В определенный момент начинаешь понимать, что ты не можешь
сделать то, что хочешь, а чтобы это исправить нужно все переписать с нуля. С
коммерческими системами намного проще, большинство технологических
усовершенствований делает разработчик движка, я лишь использую их инструмент для
создания сайта. С безопасностью тоже не все так очевидно. Сейчас практически
любое Web приложение на этапе разработки содержит дыры в безопасности,
статистика говорит, что более 90% всех сайтов имеют пробелы в защите. С
коммерческим продуктом можно быть уверенным в том, что обнаруженные дыры будут
закрыты оперативно. Да и безопасность Web это не только движок… Правильно
настроенная среда позволяет предотвратить большинство известных атак на Web
приложения, даже если не известно заранее об их существовании.

Пару слов об участниках проекта. Есть ли желание пополнить свои ряды?

SecurityLab относительно закрытый проект, разработка ведется постоянной
командой на протяжении нескольких лет. Единственно кто всегда нужен — это авторы
статей (в меньшей степени) и переводчики технических статей (в большей), для них
всегда найдется оплачиваемая работа.

Последнее время security проекты в рунете растут как грибы, но быстро
умирают. Какие советы вы можете дать создателям этих сайтов?

Полностью согласен. Большинство проектов начинается на энтузиазме нескольких
участников и очень быстро этот и энтузиазм пропадает. Выживают лишь очень
сплоченные коллективы или коммерческие проекты. Таких можно пересчитать по
пальцам. Советы — во-первых начинайте проект либо сами либо сильной командой, с
которой вы общаетесь длительное время. Любая команда должна быть сплочена вокруг
одного лидера. Как только лидеру надоест этим заниматься, команда в большинстве
случаев распадается. Поэтому постарайтесь выбрать такого человека в качестве
лидера, которого вы давно знаете и доверяете и которому не надоест через полгода
ваша затея. Во-вторых любой проект требует вложения денег – хостинг и т.п.
Рассчитайте свои финансы, чтобы в определенный момент вы не поняли, что проект
придется закрыть из-за отсутствия полсотни долларов. В третьих пытайтесь сделать
что-то оригинальное. Согласен, это сложно, но привлекать сторонников в проект в
котором только одно название “BLACK METAL HACKER” и никакой идеи долго не
получится.

Давайте дадим стимул для движения новичкам. Выгодно ли содержать подобный
проект?

В общем-то прибыльно. Сейчас основной доход я получаю от сайта. Однако, чтобы
добиться такого результата нужно года 4 работать себе в убыток :). Трудности
были в начале, в основном в разработке оригинального дизайна, создании гибкого
движка (после перехода на Битрикс эта проблема решена. Финансирование – когда
SecurityLab стал сотрудничать с компанией Positive Technologies, проблем с
финансированием больше не стало ;). Доход сайту приносит реклама. Наполняемость рекламы
где-то процентов 30%. Вот и считайте ;). Правда, расходов тоже не мало, так что
общая прибыль небольшая.

Одной из модных фишек многих проектов стал выпуск e-zine. Ваш журнал думаю,
наделал бы много шума. Не посещали вас подобные мысли?

Нет.. SecurityLab изначально направлен на предоставления лучшего, что пишут
другие. Такая тактика в целом оправдана, в Рунете очень мало авторов, которые
могут написать достойные профессиональные статьи. И обычно эти авторы независимы
и не входят в какие-либо команды. Любые попытки написать что-либо в тесном кругу
изначально будут значительно более низкого качества, чем опубликованные статьи
для всеобщего обсуждения.

Каждый по-разному относится к своему проекту, а что для вас Seclab?

В чем-то стимул для самосовершенствования и самоутверждения. Когда знаешь,
что проект созданный тобой читают 300.000 человек в месяц, всегда приятно
осознавать то, что твои труды кого-то интересуют. Сложно представить, чтобы вся
аудитория сайта была довольна его политикой. Очень часто особо недовольные любят
устраивать разные провокации, например организовывать массовые ddos атаки на
сайт. В основном этим страдают кардеры после публикации очередного материала об
аресте их сторонников. Большинство кардеров почему-то считают, что то, чем они
занимаются, приносит пользу России, так как они грабят только “жирных
американцев” и при этом “вкладывают деньги в Российскую экономику”. Очевидно,
что кардерство это обычное уголовное преступление, и не важно у кого ты украл,
главное, что ты украл, значит ты ВОР. Аргументов спорить у них не хватает,
поэтому пытаются действовать с позиции силы, а не слова. Это конечно неприятно,
но не смертельно. При правильной процедуре реагирования на такую атаку ее можно
свести на нет за несколько часов.

Какое место на ваш взгляд занимает русская security сцена в мире?

В первую десятку не входит. 🙂 Причина банальна — на западе информационные
технологии значительно раньше и в большем объеме интегрировались в современное
общество. Да и утечка кадров, к сожалению, в нашей стране очень высокая. Те же
Wi-Foo родились и учились в России, а сейчас работают в Англии и мало кто их
считает русскими. Специалистов, которые могли бы поехать на тот же Defcon и
предоставить что-то достойное у нас наберется от силы 2-3 человека. Из наших
соотечественников можно выделить Сергея Гордейчика и его многочисленные клоны
(жена, теща, сосед и т.п.). Иногда мне кажется, что он сам не помнит под каким
клоном какую статью писал, но, безусловно, у него есть талант и знания, чтобы
выступить на высоком уровне. Также можно отметить
ЗАРАЗу, правда он не
очень любит публиковать свои исследования, поэтому у него значительно меньше
публикаций. Можно выделить Марселя Низамутдинова (он, как и Гордейчик, входит в
команду SecurityLab) и его книгу по атаке на Web приложения. Есть еще Крис
Касперски, у него много хороших работ, но в большинстве случаев они являются
научно-популярными, а не исследовательскими.

На ваш взгляд, когда мы увидим DefCon Russian Style?

Для организации подобной конференции нужна мощная финансовая поддержка. Если
найдется нужная сумма, то SecurityLab.ru с удовольствием возьмет на себя
организационные вопросы и проведет конференцию на высшем уровне. Однако, мне
кажется, что в ближайшей перспективе никто не будет вкладывать деньги на такую
конференцию. А малобюджетное собрание изначально обречено на провал.

Ну и напоследок ваши пожелания читателям “Хакер”?

Используйте информацию для собственного самосовершенствования и никогда не
опускайтесь до криминала. Помните, что быстро заработанные деньги портят
человека и только труд и знания помогут вам прожить жизнь достойно.

Оставить мнение

Check Also

Найдена связь между ограблением тайваньского банка и северокорейской хак-группой Lazarus

Появились доказательства, согласно которым хакерская группа Lazarus стояла за недавним огр…