RST/GHC/UKT – аббревиатуры, о многом говорящие тем, кто следил за хак-сценой в далеких 2000-х годах. Команда хакеров Rush Security Team (она же - RST) трясла Интернет и оставила свой след на территории информационной безопасности. Кстати говоря, сама индустрия ИБ в то время была еще в зачаточном состоянии. Мне посчастливилось пообщаться с человеком, который, как оказалось, является не только талантливым пентестером в одной из крупных ИБ-компании, но и хакером-ветераном, который уверенными шагами вышел на свет и прикоснулся (а может не только прикоснулся, но и значительным образом «потоптался») к истории российской хак-сцены.
Denis Makrushin [D]: Расскажи, пожалуйста, о себе, о жизненных этапах, которые ты отметил в календаре личностного роста: от успехов за школьной партой по отдельным предметам до недавних побед.
Yuriy Goltsev [Y]: На самом деле, даже не знаю с чего и начать. В таком случае, обычно, начинаешь с начала. 🙂
Мое детство и отрочество не отличались ничем особенным, все так же, как и у многих детей, родившихся в СССР. Банально, но первый компьютер мне собрал отец, когда мне было лет 6 – это был ZX Spectrum. Хотя, скорее он для себя его собирал, но подготовил результат к моему подарку на новый год. Я тогда так и не понял - компьютер собрал папа, а подарил - Дед Мороз...
Увлечения этими умными машинами начались именно в этот момент. Многие, я думаю, застали те времена, когда сидишь перед машинкой и ждешь пока на нее "зальется" игра с аудиокассеты. Ждать приходилось долго, а забавы очень хотелось - так я открыл для себя Basic, встроенный язык. Понемногу изучил программирование, родителям на радость, да и позабыл как-то про все эти вещи. Отца перевели по службе, и мы переехали. На это все и закончилось до поры до времени.
Школьное время проходило как у большинства - не выделялось ни чем. В силу, как мне говорили, "аналитического" склада ума, математика давалась хорошо. О компьютерах я вспомнил в конце девяностых, когда ко мне в руки попал журнал "Верстак" («хэккерский» журнал того времени). Про "Хакер" я тогда не знал. И потихоньку завертелось: подобранный пароль к соседскому автоответчику, попытки позвонить по межгороду, голосовые чаты на миниАТСках бесплатных линий... Компьютера не было, поэтому ограничивался тем, что отдаленно напоминало хоть какую-то умную электронику.
В 2002 появился компьютер. Повезло, что тогда учился в 10 классе, а то бы все экзамены завалил. 🙂 Сразу появился диалап за 30 рублей час, или как-то так. Провинция - провайдер монополист, никуда не денешься. Попал в icw5 сети - диалап доступ для активации Windows, если не ошибаюсь, был бесплатен для всей страны, оттуда x25, bbs'ки, fido. Но Интернет уже был достаточно популярен в тот момент, поэтому все эти вещи для меня прошли вскользь.
В 2003 поступил в Тульский Государственный Университет, на кафедру САУ. К тому моменту уже набрался некоторых знаний и был, как мне казалось, "крутым хакером", умеющим использовать WinNuke! Первая сессия прошла успешно. Расслабился, стал много читать, изучать безопасность, втянулся в так называемую хак-тусовку. 🙂 Тогда познакомился с ребятами с hackzone.ru, активно участвовал в жизни портала, собирались на поинты, обменивались всякими наработками, идеями – конечно, они были детские и амбициозные, но было круто!
Чуть позже я уже совсем влился в эту тусовку. Все общение происходило на IRC. Было очень модно поднимать свои IRC-сервера и линковать их между собой. 🙂 Войны UKR и DHG, m00 vs. defaced,0x333, RST, GHC, unl0ck, Roziello, G0tFault и многие-многие другие проекты - людей было очень мало, порядка 150 - 200, и все знали, кто есть кто. Тогда же, в общении с зарубежными командами, подтянул свой английский. Совместно изучали сервисы на предмет багов. Это была распространенная практика: кто-то ставит тот же ProFTPd у себя на дедике, и все туда дружно ломятся и смотрят что к чему. Я многому тогда научился у своих старших друзей - серьезных ребят, работающих администраторами или программистами в серьезных компаниях. О вакансиях типа "пен-тестер" тогда еще никто ничего из нас не слышал. 🙂
К третьему курсу меня все больше и больше затягивал мир ИБ. И стали у меня не срастаться по времени учеба и, на тот момент, хобби. Сложновато было чертить ракету, строить расчеты и параллельно изучать уязвимости, пытаться их эксплуатировать, программировать. В тот момент я решил что-то менять. И очень удачно университет, в котором я учился, открыл специальность 090103 "Организация и технологии защиты информации". Закрыв хвосты, я с чистой совестью перевелся на эту специальность на 2ой курс. Пришлось «досдавать» порядка 12 предметов, которые необходимо было ликвидировать из-за разницы в учебных планах, но все прошло ок. На тот момент в кругу моего общения была только пара ребят, которые учились на подобных специальностях, так что я этим почему-то даже гордился. 🙂
Появились первые мои публикации в журнал "Хакер". Первая, если не ошибаюсь, была на тему «неядерных» руткитов для *nix-систем – в ней я продемонстрировал свой руткит на perl. 🙂 Параллельно выпускал хакерский е-зин - популярная тема того времени. Сугубо локальный, только для своих. Хотя после седьмого выпуска была идея заняться этим действительно серьезно - пустить в печать, но спонсоры наотрез отказались от ASCII-графики, а я отказался от такого количества рекламы, которую туда хотели впихнуть, так что не срослось. Но экспириенс был отменный. 🙂
В 21 год устроился работать программистом, писал всякие программы на скриптовом языке TCL для тестирования высокоскоростных маршрутизаторов.
К 2007 году людей на "сцене" поубавилось, контакты с зарубежными товарищами сошли на «нет». Те, кто остался - создали RST/GHC/UKT. Горжусь тем, что причастен к этому событию. К тому моменту трендом уже был web. И мы за ним гнались. Усиленно ковыряли «инклуды», sqli, которых на тот момент было хоть отбавляй. За небольшие движки даже браться не хотелось, ведь где-то там была новая версия IPB или PHP-Nuke, которая манила к себе и просила ее "покопать на баги".
В 2007 первый раз выехал на первую в РФ хакерскую конференцию, которая застала мой сознательный возраст - cch7. Не побоюсь этого слова, но я был первым, кто снялся риал-лайф «hack video» для одноименного конкурса на этом мероприятии, но оно заняло последнее место, как потом кто-то шутил: "ввиду мелодрамматичности сюжета". 🙂 Все причастные к этому делу остались по уши довольны, в том числе и я.
В 2008 начал интересоваться играми типа «Capture The Flag». В первой попытке нашей университетской команды в iCTF заняли вроде 11 место, хотя до этого момента вообще не представляли как это и что это вообще такое.
В 2009, я уволился с работы, хотелось полностью посвятить себя учебе, ведь ее оставалось совсем немного. Потратил свое последнее "беззаботное" лето на старую мечту - повидать всех своих друзей по сцене. 🙂 Много катался по РФ с ноутбуком за плечами. Рад, что всех не смог увидеть - значит, есть куда еще отправиться. :))
В 2010 закончил университет. Много времени уделял учебе, точнее не вылезал из нее. Хотя моя программа обучения немного и отличалась от той, которую преподавали в университете, диплом защитил. Если честно, то кроме как придерживаться сроков я особо ничему и не научился, но это касается только дисциплин, связанных с компьютерами. Очень помогло то, что бывшее увлечение переросло в нечто большее и напрочь обустроилось в моей жизни, чему я был несказанно рад. 🙂 Во время написания диплома уже были мысли о том, куда пойти работать, хотелось найти работу именно по специальности. И вакансии "пентестеров" были.
Защитив диплом, и заручившись поддержкой hh.ru - попал на собеседование в Positive Technologies, где меня приветливо встретили Сергей Гордейчик, Дима Евтеев и Саша Анисимов. О "Гордее" я уже был наслышан к 2005 году, так что встретить его - для меня было очень круто. 🙂 Диму Евтеева знал по его докладам на CC, чему был приятно удивлен. Так я попал в PT. Начался мой путь к становлению под чутким руководством Димы Евтеева. Первый пен-тест произвел неизгладимое впечатление: огромная сеть, которую можно взломать, а тебя еще и похвалят за это… Просто мечта. 🙂 Первые адвайзори не под псевдонимом, исследовательские работы, огромная куча новых знакомств, первые попытки выступления на конференциях... Очень круто осознавать то, что ты пишешь эксплоит - и это твоя работа! Ты ломаешь сеть - это твоя работа! Ты пишешь отчет - как оказывается, это тоже твоя работа. :)) Участие в организации PHD! Первый выезд на зарубежную конфернецию CCCamp. Участие в Security Rewarding программах. Закрутилось! Завертелось! Поехало! 🙂
[D]: Ты упомянул, что имеешь непосредственное отношение к легендарным RST. Каким образом?
[Y]: В 2005 я познакомился с ребятами из GHC, тогда они делали quest4hack, подружились. Попал на их канал на irc.dalnet.ru #ghc, именно там познакомился с 1dt.w0lf. В то время он был уже в лучах славы как фаундер Rush, я тогда был в unl0ck team. Так как любил программить на perl – нашли быстро очень общий язык. Обменивались cплоитами, пили пиво вместе, правда тогда для этого мне надо было приезжать в мск, ну и соответственно я вписывался как раз к 1dt.w0lf’у =) Собственно уже пошла некоторая дружба чтоли в риаллайфе. Таким образом я принимал участие в жизни RST. Среди этой тусовки уже не было к тому моменту разделения на кикие либо группы, народ поубавился и никто не следил за тем, под чьим лейблом выпускается тот или иной эксплоит/адвизори. В тот момент пришло предложение обьедениться всем дружно под лейблом RST, но тот же Gips Hack Crew и на тот момент уже родной мне unl0ck research team, очень не хотелось забывать. В итоге согласились сделать RST/GHC/UKT – чтоб никому обидно не было =)
[D]: Вокруг RST/GHC всегда крутилось много слухов, связанных с их деятельностью: кто-то утверждал, что RST ушли со сцены, кто-то говорил, что ребята ушли в подполье. Не расскажешь вкратце о судьбе представителей команды? Много из твоих экс-коллег остались "на волне"?
[Y]: Ну да, слухов было много. Но на самом деле никто никуда не уходил, ни в подполье, ни со сцены. То есть нельзя сказать, что прям взяли и ушли - потихоньку начали отделяться. Сначала просто отошли от релизов на паблик, занимались разработкой квестов для “КиберАгента”, а потом появилось много забот, времени стало совсем мало, как в общем часто и бывает. До сих пор существует закрытый IRC-сервер, правда уже отовсюду отлинкованный, с некогда знаменитым каналом #common, которому передавали приветы во многих дефейсах. 🙂
Скажу по секрету: я самый младший в этой тусовке. Ребятам за 30 и 40 уже: дети, работа, причем достаточно ответственная – у большинства не связанная с ИТ, что, на самом деле, поражает. Например, бухгалтеры, писатели-любители, сотрудники университетов. У кого-то конторы по веб разработке. Но некоторые из них до сих пор «на волне», но вот желания и времени на «хобби» почти не осталось. Ребята следят за индустрией в целом, в курсе многих неофициальных событий, но участия в них не принимают. Хотя отдельная пара человек очень активно принимает участие в различных CTF, и даже были на PHD – как в качестве участников одной из команд, так в качестве посетителей.
[D]: «Тесты на проникновение» - это твое направление. Расскажи, какие Интернет-ресурсы ты мониторишь, чтобы оставаться «на волне»? Имеются ли связи с представителями «той стороны баррикады»? Откуда ты черпаешь новые техники и интересные векторы проникновения?
[Y]: Ресурсов которые хочется действительно «мониторить» гораздо больше чем те, которые «мониторятся» на самом деле. Хороших ресурсов очень много. В первую очередь, это многочисленные рассылки, такие как Full_disclosure, sec_advisories, Bugtraq и многие-многие другие. Конечно же Twitter, через который всегда можно получить самую свежую информацию от интересных тебе людей. Не забываю изучать материалы многочисленных конференций, таких как Defcon, CCC, BlackHat. Из медийных источников – в большинстве своем секлаб, хабр и хакер.ру. Не забываю про rdot.org. =)
По поводу связи с «той стороной баррикад» - есть пара знакомых с античата и не только. Иногда задаю им интересующие меня вопросы, но в основном они касаются каких-либо событий, нежели технической информации.
Несколько слов по поводу новых техник и векторов атак. То, что представляют в статьях или в презентациях – по большей части сырой материал, который может натолкнуть или не натолкнуть на какую-либо крутую или не очень идею, практическую реализацию, которая потом используется в тех или иных тестированиях на проникновение. Соответственно интересные вектора проникновения также рождаются в ходе практических исследований. На теоритическое изучение серьезных вещей порой очень не хватает времени, поэтому все самое «сладкое» рождается в процессе.
[D]: А какие, на твой взгляд, намечаются тенденции в проведении тестов на проникновение?
Возможно, какие-либо закономерности замечаются при использовании интеллектуальных инструментов, облачных сервисов, принципиально новых сценариев атак? Или имеет место классика жанра: scanner+meatsploit=profit?
[Y]: На счет тенденций – тут необходимо следовать за развитием технологий. На мой взгляд, в данный момент - это всевозможная виртуализация инфраструктур и сервисов, терминальные рабочие места, терминальные сервисы и так далее. Так что уклон идет в сторону «jailbreak» - среды виртуализации через ПО, доступное пользователям, к примеру, тот же Citrix. Возможности виртуализации и использование «неограниченных» облачных ресурсов, конечно, сильно помогаю при фаззинге и не только. «Облака» дают возможность оказывать услуги по тестированию на отказоустойчивость в условно реальных условиях, в отличие от различных «железок», генерирующих трафик.
Что касается сценариев атак, то чего-то принципиально нового к сожалению нет. Все по старинке: от минимальных привилегий до максимальных. Шаги между двумя этими точками естественно варьируются, но смысл примерно одинаков в любом случае: есть уязвимость – она приводит к повышению привилегий, раскрытию информации, получению доступа и так далее. Это может быть одна итерация, или же их могут быть сотни. Все зависит от инфраструктуры, исследуемой сети и ее размеров, топологии и т.д. Вообще, сценарии развиваются больше вширь, чем вглубь, то есть каждая область, сервис или отрасль постоянно изменяются, но в тоже время принципиально новых технологий и сервисов в продуктивных системах практически никто не использует. Естественно сканер+метасплоит=профит никто не отменял, но я даже и не припомню какой-либо сети, где этим можно было бы ограничиться. Скорее, это отдельно взятые машины с уязвимостями 2007-2009 годов. Почему бы в данном случае не использовать Метасплоит, в котором имеются отличные решения.
По поводу интеллектуальных инструментов – отдельный разговор. 🙂 Их множество, и большинство из них направлены на поиск уязвимостей в вебе. Это связано с тем, что веб - наиболее доступное для многих активно развивающееся направление для ресерча, но этим пентесты не ограничиваются.
[D]: Тенденции останутся тенденциями, но ты в настоящее время, так или иначе, занимаешься исследованием каких-то перспективных на твой взгляд технологий. Расскажи немного о своих текущих jus4fun-исследваниях.
[Y]: Не всегда получается исследовать именно то, что необходимо в данный момент по работе. Например, меня всегда интересовали и забавляли различные крутые девайсы, например, как в хакерских фильмах: подключаешь устройство к электронному замку, и последний открывается через несколько секунд. Это реально круто. И это возможно реализовать! Вот такие вот девайсы я пытаюсь делать дома. =)
Сейчас я занимаюсь построением независимого девайса, работающего только от батареи, целью которого является получение доступа к вайфай-сетям – аналогия сборки WiFly. В моем случае это небольшая коробочка на базе Arduino Mega, с сенсорным экраном и всякими хакерскими «ништяками» внутри. 🙂 Все, что она пока умеет – выявление точек, подбор пароля методом брутфорса, ну и собирать всякую статистику. В итоге должно получиться круто: идешь по улице, а она тебе говорит, что вот тут вот есть «интернетик». Конечно, ничего нового, но это забавно. В перспективе хочется сделать девайс, который собирает метки с близлежащих бесконтактных карт, а потом может их воспроизвести рядом с замком. Что-то вроде брутфорса паролей по заранее заданному словарю удачных комбинаций до тех пор, пока дверь не откроется. В теории девайс будет способен снять метку с расстояния полуметра. Если честно, то это все, конечно, баловство. 🙂
На счет исследований – в последнее время они достаточно абсурдны. То есть имеется какая-либо простая вещь, реализация или алгоритм, в безопасности которой никто не сомневается, и ты пытаешься придумать, при каких условиях это было бы не безопасно, после чего реализуешь все необходимые условия и демонстрируешь, как все это на самом деле может быть на практике. Из последних подобных исследований – обход логики в веб-приложениях используя целочисленные переполнения, связанные с реализацией платформы. Например, это функция intval() в php, которая при обработке большого значения преобразует его в 0 со всеми вытекающими…
На мой взгляд, перспективные технологиями являются развитие клиент-серверных приложений и все, что с ними связано. Они поглощают все большее и большее количество девайсов, различных мобильных устройств, да и все толстые приложения стремятся уйти к виртуализации. Однако исследованиями в этой области похвастаться никак не могу. Еще учиться и учиться. 🙂
[D] Насколько мне известно, ты являешься одним из активных участников по развитию направления нагрузочного тестирования в своей компании. Эта услуга становится актуальной на российском рынке ИБ? И если так, то когда, на твой взгляд, она потеряет актуальность?
[Y] Она актуальна. Насколько не знаю. Многие ресурсы страдают от DDoS-атак, и в таком случае, им можно помочь проведением аналогичных атак на их ИС с представлением полного описания тех моментов, которые повлекли за собой отказ в обслуживании и рекомендациями по увеличению порога вызова отказа в обслуживании ИС. Это действительно интересный процесс, очень схожий с процессом тестирования на проникновение: необходимо провести глубокий анализ всех компонентов инфраструктуры, понять, что из них может привести к отказу в обслуживании, ну и конечно же, продемонстрировать результат на практике. Когда нам говорят «We need your help to overload the Gibson», мы всегда отвечаем «Let’s go!». И это будет актуально до тех пор, пока будут существовать какие-либо системы, даже не только информационные, хотя мы специализируемся именно на них.
[D] С ростом информационных систем растут и информационные системы, используемые злоумышленниками для атак подобного типа… А значит, ничто не мешает им быть на шаг впереди своих жертв. Как думаешь, существует ли панацея от «DDoS»?
[Y] Думаю, панацея от атак на отказ в обслуживании существует лишь тогда, когда все компоненты ИС находятся в состоянии “secure”, и нет ни одной ситуации в среде пребывания данной ИС, где один из ее компонентов может перейти в состояние “insecure”. Я придерживаюсь данной теории, и, на мой взгляд, в реальной жизни панацеи не существует. Существуют лишь методы противодействия подобным атакам, каждый из которых стремится приблизить свой КПД к 100 % , но, как известно, 100% - это утопия. Подобные методы сильно усложняют вызов отказа в обслуживании, но опять же - все это вопрос времени и желания. Лично я жду появления полноценного AI, на основе которого будет реализована куча вещей, в том числе и панацея от DDoS. 🙂
[D]: И вот узнав подробнее о твоих исследованиях и рабочем процессе, грань между которыми совсем размыта, хочется поинтересоваться чем ты увлекаешься, когда не проводишь время за компьютером? Бывает же такое, когда работа (и одновременно хобби) немного надоедают и «накатывает», например, заняться поэзией?
[Y]: Конечно, но сейчас это случается редко и в большинстве случаев спонтанно. Я люблю путешествовать. Люблю поезда. =) Так что выходные дают шанс покататься по РФ - это меня спасает, когда совсем все надоело и хочется чего-то, но не знаешь чего. В данном случае, путешествие – это для меня отличный выход. Это приносит много историй в копилку, которые приятно вспомнить на досуге.
Заняться поэзией… Да. К сожалению, или к счастью, «поэзия», на которую я способен, схожа с текстами «2h company». Один словом – не очень мелодична и девушкам не преподнесешь в качестве подарка. Никто не отменял книги (нравится творчество Брэдбери). Очень люблю музыку и хочу научиться играть на скрипке и губной гармошке - можно «козырять» в блюзовом кабаке. 🙂 На самом деле, меня может заинтересовать что угодно, все зависит от настроения, поэтому круг увлечений достаточно широк.
[D] Уверен, что материал также будет читать и аудитория, которая до сих пор находится на другой стороне закона (или индивиды, которые балансируют между понятиями «white» и «black»). Чтобы ты пожелал сообщить им, ведь у тебя есть такая возможность. Кто знает, какое действие на сознание этих людей окажет твое обращение…
[Y] «Блек» или «вайт», на мой взгляд - это способ заработка. Естественно, со своими нюансами. Вопрос в том, что интересно. Убеждать кого-то чему-то - это уже агитация. «Вайт» – это широкие возможности для самореализации за счет работы в компании, которая позволяет тебе заниматься любимым делом, играть с оборудованием, которое сложно, например, хранить дома, изучать продуктивные системы, доступ к которым ты не сможешь получить просто так, да и вообще можешь не узнать, что такие системы существуют. Работа с «разношерстной» инфраструктурой позволяет держаться на волне и быть в курсе последних тенденций, постоянно подкидывает новый материал для изучения. И это действительно круто! Это возможность беспрепятственно перемещаться, посещать ивенты, выступать на них, знакомиться с интересными людьми, проводить исследования и многое другое. И, если кто не знает, официальное тестирование на проникновение – это не только написание отчета, но и увлекательное событие и ресерч, которые ты переживаешь один или в команде. Событие с маленькими и большими открытиями, с ночными дозвонами, криками «Бл*, у меня есть доступ!!!» и «Меня спалили!», последними и первыми электричками в метро, чтением кода и документации, автоматизацией всего и чего угодно, если хочется программировать, сонным видом, благоухающим кофе, мешками под глазами и довольными Заказчиками. Отменный сон. Наверное, слишком романтизировано, но так я вижу все это для себя.