Содержание статьи

Постоянные читатели журнала хорошо знают нашу ежемесячную подрубрику «Задачи на собеседованиях», где мы публикуем каверзные вопросы, которые работодатели задают программистам на собеседованиях. Лучше всех ответившие читатели получают призы, а некоторые — приглашение на работу. Сегодня мы решили провести очную инспекцию в офисе завидного отечественного и международного работодателя и многократного участника наших «Задач на собеседовании» — «Лаборатории Касперского». Посмотрим, побеседуем и все как есть тебе доложим!

Непосредственно борьбой с вирусами в ЛК занимаются несколько подразделений, и сегодня мы расскажем о двух из них — Anti-Malware Team и GReAT. Поскольку тебе вряд ли будет интересно читать про подразделения клининга, ГО, ЧС и АХЧ :), мы побеседуем только с руководителями этих практических направлений.

Всю правду о команде Anti-Malware Team (подразделение крупного департамента ЛК Anti-Malware Research — AMR) выкладывает крутейший парень, «менеджер менеджеров» Вячеслав Закоржевский. Кстати, старый автор журнала Xakep по совместительству :).

Всю правду о GReAT(Global Research and Analysis Team) рассказывает руководитель российского подразделения GReAT Юрий Наместников.

 

Давайте начнем с критериев отбора. Есть какие-нибудь формальные требования к образованию, которым нужно соответствовать?


Вячеслав Закоржевский, AMR

AMR

Жестких формальных требований нет. Однако образование в основном высшее техническое, люди без высшего образования есть, но их единицы.
Очень много сотрудников окончили МИФИ, на втором месте (по количеству сотрудников, это не оценка качества. — Прим. ред.) — Бауманка, МГУ на третьем-четвертом месте. Очень много из ВШЭ — не нужно удивляться, в ее состав теперь вошел бывший МИЭМ, там есть прикладная математика и криптография. То есть ВШЭ — это теперь не только об экономике. Кстати, наш технический директор оттуда. Есть народ из МТИ, МТУСИ, МЭИ — в общем, разноплановые технари.


Юрий Наместников, GReAT

GReAT

Жестких требований к образованию нет, важны конкретные знания. Например, у нашего главного антивирусного эксперта экономическое образование :). Мы смотрим, насколько исследователь готов к работе в GReAT, каков его скиллсет. Реверсинг, знание операционных систем — это, как говорится, бай дефолт. Кроме того, это должен быть человек, который готов к специфике нашей работы — искать иголку в стоге сена. Специалисту GReAT нужно не только устранить угрозу — сначала нужно ее найти. Иногда буквально собрав по кусочку.

Если говорить о статистике, то большинство наших сотрудников все-таки с айтишным образованием: МИФИ, МИРЭА — классика жанра. Ну и из зарубежных вузов — у нас все-таки международная компания: Австралия, Япония, Сингапур, ОАЭ, США, Африка, вся Европа.

 

Вот чем хорошо наше айтишное сообщество: никакого формализма, есть знания и опыт — работаешь, нет знаний — никакой диплом не поможет.

А возрастной ценз есть? Восемнадцатилетнего гения возьмете? Или, наоборот, пятидесятилетнего хардкорщика старой закалки?

AMR

Брали стажера восемнадцати лет пару раз. Кадровые сотрудники у нас есть и двадцатилетние.
А вот если к нам придет резюме человека старше тридцати лет, то мы очень внимательно к нему отнесемся. Где он десять лет работал, что делал...

GReAT

Восемнадцатилетних не было, а вот двадцать — двадцать один год — были. Пятидесятилетнего хардкорщика возьмем.

 

А... женщину? Неужели и женщину возьмете?

AMR

Возьмем, девушки у нас работают. Например, из 74 сотрудников Anti-Malware Team около 10% девушек.

GReAT

Конечно, возьмем! В нашей команде есть девушки. Точнее, э-э-э, одна девушка, она работает в Австралии. Так что у нас есть девушки!

 

Как насчет джуниоров из институтов?

AMR

Принимаем, и немало. Больше половины сотрудников мы выращиваем сами — берем прямо с последних курсов. Разумеется, обычно это уже достаточно прошаренные парни с соответствующим хобби, которым интересна тема исследования малвари.

GReAT

У нас в следующем году, возможно, будет такой опыт.

Будка самоубийств. Ладно, шучу, просто изолированное помещение. Не все же вам оупэнспейсы
Будка самоубийств. Ладно, шучу, просто изолированное помещение. Не все же вам оупэнспейсы
 

Продолжим тему дискриминации :). Если, допустим, у человека прошлое с легким киберкриминальным ароматом? Например, слегка-слегка кардил в золотые нулевые, это считается? Или все, клеймо?

AMR

Таких людей мы не берем. Сначала сами всех проверяем — по соцсетям и прочему, потом передаем службе безопасности.

GReAT

Не берем таких — морально-этическая сторона крайне важна в нашей работе.

 

А из других компаний как, переманиваете сотрудников? И кстати, чтобы два раза не вставать: как удерживаете своих? Добрым словом или револьвером?

AMR

Есть определенные соглашения между компаниями, стараемся их придерживаться. А запрещать кому-то что-то неконституционно. Такое допустимо в США, и то не во всех штатах. Кстати, наших людей активно хантит как раз заграница.

GReAT

Секьюрити-комьюнити очень маленькое. Бывает, что и наши переходят, и к нам переходят, это нормальная ситуация. В целом уходят от нас крайне редко.

 

Персональный вопрос Славе. Помню, как ты изучал банковское дело, получил MBA. Не возникало желания свалить из ЛК в, так сказать, крупное кредитное учреждение? Почему остался?

AMR

Еще не поздно, хе-хе. Да просто здесь интересно и есть перспектива. Делаю хорошее, интересное дело.

Спортзал. Гантели все в ряд стоят. А у нас все вечно перепутано (Илья, давай напишем так, как будто у нас в редакции тоже есть качалка)
Спортзал. Гантели все в ряд стоят. А у нас все вечно перепутано (Илья, давай напишем так, как будто у нас в редакции тоже есть качалка)
 

Давайте тогда про проверку знаний побеседуем. Что будете спрашивать у человека с улицы?

AMR

Будем проверять технические знания, в первую очередь реверс. То есть соискателю нужно знать ассемблер и как работает процессор. Устройство Windows, реестр и его основные ключи, процессы. Разумеется, человек должен программировать: С/С++ — это классика, языки достаточно низкого уровня, связанные с ассемблером.

Важна и широта кругозора, то, как человек разбирается в смежных областях. Например, бывает так, что человек шарит в криптографии, но не умеет реверсить. Поэтому кругозор может быть даже важнее, чем конкретные знания. Кстати, личное собеседование у нас проходит после того, как человек решил задание, которое мы ему дали удаленно, — обычно это кракми. Даем программу, соискатель пишет кейген. А вот затем, на собеседовании, мы не менее получаса уделяем техническим вопросам, чтобы человек объяснил, как именно он решил кракми, как мыслил и что у него получилось на каждом этапе, — дело в том, что решение многих кракми уже есть в интернете. Можем и попросить что-нибудь сделать прямо сейчас — так мы проверим, как он может мыслить в условиях дефицита времени.

GReAT

Наше собеседование — процесс итеративный, несколько заданий, каждое из которых вытекает из предыдущего. Первый этап — удаленный, мы даем набор хешей, как набор кубиков. Для начала из них нужно собрать себе тестовое задание :). Разумеется, ключевые слова на нашем собеседовании — это тоже ассемблер, реверс, программирование.

 

Блиц-опрос от Вячеслава Закоржевского. Отвечаем быстро, от статьи не отвлекаемся 🙂

  • Как понять, что число является степенью двойки? Какие есть пути для этого?
  • Что такое указатель и как он работает?
  • Что такое XOR? (Ладно, вопрос простой, но если человек отвечает, то начинаем трясти его дальше — про организацию стека и функции.)
  • Как получить значение регистра EIP? Текущее (есть несколько способов).
 

Социальные ништяки

Фитнес

Есть в «Лаборатории Касперского» качалка, и я ее протестировал. По моему скромному мнению, плохих качалок вообще не бывает, если только она построена не на старом цыганском кладбище и не в радиоактивной зоне, но этот фитнес-зал точно нормальный. Оборудование новое, а блины на стойке для приседа висят в таком строгом порядке, что либо у них тут сплошные перфекционисты, либо просто мало кто занимается :). Надо было взять с собой нашего Павла Круглова, он бы показал им, как надо приседать и разбрасывать блины по залу. Помимо собственного фитнес-зала, компания предоставляет скидку на посещение бассейна спорткомплекса «Динамо» (он там недалеко) и компенсирует часть стоимости занятий в других фитнес-комплексах.

Групповые программы

Есть йога, несколько видов танцев, бокс, силовые и кардиотренировки и даже классическая хореография. Кстати, в рабочее время :). Говорят, что есть и корпоративные команды по футболу, волейболу, боулингу, баскетболу, пауэрлифтингу и хоккею.

Прочий спорт

На этажах в офисе были замечены турники, настольный хоккей и мини-гольф. Турники висят, подтягивающихся — не видел :).

Социальный пакет

Оплата мобильной связи и компенсация затрат на питание, обширная медицинская страховка, помощь при переезде, массажист, врач и сауна в офисе, спортивные лагеря для детей сотрудников, программа поддержки молодых семей... Илья, у нас в «Хакере» когда такое будет? 🙂

 

Окей, человек трудоустроился. Как войти в курс дела, разобраться с вашим софтом? Есть какое-то внутреннее обучение?

GReAT

Обычно человеку назначается ментор. Он и обучает тулзам, софту нашему; а классику человек и так знает. Нам неважно, как человек решит задачу. Главное — чтобы он ее решил, у нас очень творческая работа. Тем более что часто мы встречаемся с тем, для чего еще нет готовых тулз, и надо как-то этот процесс автоматизировать. Это, кстати, к вопросу о необходимости знаний в области программирования.

Можно посидеть спокойно, кофейку попить. А мы и попили!
Можно посидеть спокойно, кофейку попить. А мы и попили!
 

Отлично, вот трудоустроился к вам наш читатель. И что его будет ждать в офисе? Как начинается рабочий день? Селекторное совещание, гимн Касперскому?

GReAT

Гимн Касперскому, кстати, мы не придумали, маркетинговый отдел это не проработал :). И вообще мы, как айтишники и безопасники, давно отказались от селекторов. Все в электронном виде происходит. Пробовали проводить очные встречи, но больше чем на пятнадцать минут стеба нас не хватало...

 

Кстати, а рабочий день нормированный?

AMR

Формально нормированный, но в десять утра мало кто приходит, в основном все подтягиваются к двенадцати. Есть и такие, кто появляется в десять вечера и уходит в десять утра, по договоренности. Жесткий график у сменных аналитиков, они работают фиксированные часы, там это строго разделено. Кстати, ночных у нас больше нет, за ночными делами следят китайцы и американцы из наших зарубежных офисов.

GReAT

Антинормированный :). Бывает так, что поступает звонок: через час/день надо быть там-то и там-то и спасти того-то и того-то. Сел в машину/поезд/самолет и поехал. У нас вообще нет понятия «сверхурочные», у нас есть интересная работа, которую мы делаем. Это просто такая работа, она нравится. Ты сам не готов встать и уйти. Когда появился первый ботнет под Mac OS, мои коллеги пришли на работу в пятницу и ушли в воскресенье... Работали три дня подряд.

Есть и еще одна положительная сторона — это счастливые люди. Вот, например, у нас есть проект No More Ransom. Делать людей счастливыми — это круто.

 

Ага! То есть правду говорят, что GReAT — это дежурная рота спецназа?

GReAT

Чистая правда!

 

И много командировок получается? Куда вылетаете?

GReAT

Да куда угодно по глобусу. Бывает по-разному. Если считать все подряд, включая выступления, разговоры и расследования, то мы одни из самых ездящих. Две командировки в месяц — это точно. Кроме того, мы же активно сотрудничаем с Интерполом и Европолом.

Переговорка
Переговорка
 

Все, что вы, парни, сказали про рабочий день, выглядит очень классически. Этакий наш айтишный быт, вечерами, ночами, под пивко... У нас главный редактор так за два года на десять килограмм потолстел :). Кстати, наливают у вас пиво в «Лаборатории»?

GReAT

Нет, пиво не наливают. Кофе, чай, вода, соки — это без ограничений.

 

С каким софтом вы общаетесь под чашечку чая? Hiew, Olly, IDA Pro? Много ли самописного?

AMR

Классика — это в обязательном порядке, а самописного не так много, как раньше. Есть декомпилятор для VisualBasic, он не документирован. И нечего так улыбаться при упоминании VB, на нем написано очень много критичного софта в мире, навскидку — в Бразилии софт для заполнения налогов и кое-какое ПО в одном крупном немецком банке. Куча малвари написана и сейчас пишется на VB.
Кроме того, наш личный инструментарий связан с нашими компонентами — песочницей, анализаторами и прочим.

99% сигнатур для антивируса выпускается в авторежиме. Файл анализируется в песочнице, система выясняет, как он себя ведет и какой трафик генерирует, и по результатам автоматика зачастую принимает решение (и тут Вячеслав, взломав мой Google Doc, уточняет, что в этой врезке я все слишком упростил; есть целый конвейер, который включает в себя машинное обучение, песочницы, похожести и так далее. Это все позволяет детектить автоматом).

GReAT

Есть тулзы для расшифровки, распаковки. Кроме того, под каждую конкретную задачу наши любители С и питона кое-что себе программируют.

 

Рабочие машины на винде?

AMR

Да, на винде. А те, кто хочет работать под Линуксом, — те страдают. У нас все под винду, все наши программы. Поэтому даже любители Линукса сидят под виндой. Лично я вот на восьмерке сижу (к моменту публикации статьи Слава переехал на десятку. Наверное, за бабло :). — Прим. ред.). Конечно, на ХР никто не сидит, а так — по желанию.

GReAT

Да по вкусу. Хоть винда, хоть BSD (есть и такие). Но винда все равно есть в качестве тестового полигона :).

Тихо, работают люди! Настолько тихо, что людей нет
Тихо, работают люди! Настолько тихо, что людей нет
 

А вот интересно послушать про рабочие процессы. Этакий «типичный день» из жизни ГРЕЙтовца и «дятла» AMR.

AMR

Вначале смотрим почту, результаты работы автоматики, статистику из облака, что произошло за ночь. Что прошло через KSN. На основе этого планируем свой день — выбрать новую группу файлов для исследования или проработать какие-то актуальные запросы от пользователя. Сейчас вот очень интересные исследования касаются Linux subsystem под винду и WMI и PowerShell-малвари.

GReAT

Типичный день — это когда ты приходишь, смотришь пул исследований, который ты ведешь, выбираешь исследование или хватаешься за что-то срочное, открываешь внутреннюю систему, глядишь, что тебе нового нужно разобрать, и это разбираешь.
Проверяешь, что тебе нового нападало, например из группы APT, смотришь файлики, командные серверы.
Затем описываешь то, что сделал. И так рождается, например, отчет по APT-группе.

Это вот наш стандартный воркфлоу. В промежутках ты понимаешь, что вот тут зубодробительная крипта и ее надо как-то снимать, а вот тут данные только в реестре жертвы в единственном экземпляре, и какая там криптография — тоже не сразу понятно...
Ну и плюс если ты хочешь что-то автоматизировать — садишься и пишешь прототип автоматизации, который потом может войти в промышленную систему и уйти в AMR.

 

Это стандартный рабочий день. А что-нибудь интересненькое? Байки из жизни?

GReAT

Истрия двухлетней давности. Приезжаю я из командировки, захожу в офис, бросаю портфель с ноутом и вижу — посреди офиса флипчарт стоит. Раньше его не было, и обычно их никто не ставит, кроме того, там что-то написано... Ну, я не вчитываюсь, сажусь за рабочее место, начинаю разбирать пару интересных ключей и попутно замечаю вторую странность: интенсивность внутрикорпоративной переписки практически нулевая...

Довольно скоро выяснилось, что мы находимся в осадном положении, а именно — под атакой. Как ты уже догадался, это было начало эпопеи с таргетированной атакой Duqu 2, но тогда мы еще этого не знали, и нам надо было быстро понять, что происходит у нас в сети, — так, чтобы атакующий не успел все стереть. Естественно, нужны были харды. То есть надо было прийти к сотруднику и забрать его жесткий диск, а потом сходить к администратору и получить доступ к серверной стойке. Как ты понимаешь, восторга у пользователей такие меры не вызывали, и нам пришлось использовать «Артефакт власти», это моржовый... э-э-э... в общем, это кость моржа. В крайнем случае Касперский выдает его для получения прав суперпользователя в компании :).

История была интересной не только организационно — мы не нашли на полученных хардах ничего необычного, перезагружаешь компьютер — все нормально, и вдруг он опять зараженный, а на диске по-прежнему ничего... Так мы и выяснили, что зловред базируется исключительно в ОЗУ, а компьютеры сети оперативно заражают друг друга. Наверняка ты читал об этой атаке, но самое главное в том, что удалось обойтись без жертв и разрушений :).

Еще из интересного можно отметить ProjectSauron.

Все началось с одного модуля, который попал к нам в руки и в котором мы обнаружили интересную реализацию редкого криптоалгоритма. Вроде бы ничего особенного, но обычный киберкрайм так не заморачивается... А потом мы нашли драйвер, который выдает себя за драйвер на контроллере домена, и какой бы ни была политика безопасности компании — драйвер всегда получает пароль, как только пользователь его меняет. То есть по сути это компрометация всей компании разом!

Начали искать все оставшиеся модули, и в какой-то момент мы осознали, что все это уже где-то видели. Сложилось впечатление, что авторы внимательно прочли наши отчеты (Flame, Duqu и прочие) и поняли, где, как и что мы обычно ищем. Поэтому в ключевых местах все было уникально :). При этом код был оригинальный, вряд ли основанный на сорцах тогдашних классиков APT.

Этот ряд тумбочек завершается порталом в другое измерение
Этот ряд тумбочек завершается порталом в другое измерение
 

Кстати, вы расследуете APT. За ними стоят государства, спецслужбы, крупный криминал... Не было ли угроз, какого-то физического воздействия на аналитиков?

GReAT

Такого не было. Был только один случай соприкосновения виртуального и реального миров, когда один сотрудник GReAT в Румынии во время исследования Stuxnet нашел у себя дома на столе такой, знаешь, десижн-шарик... с надписью «Отдохни». Просто шарик, без всяких последствий.

 

А как насчет приватности в оупенспейсе? Не напрягает такое устройство офиса с учетом вашей специфики?

GReAT

У нас свой, изолированный оупенспейс. Можно кричать друг другу и друг на друга — все, кому надо, услышат.

AMR

Совершенно не напрягает. С одной стороны — оупенспейс и все, кто надо, доступны, с другой стороны — очень много переговорок. Так что всего хватает.

 

Карьерный вопрос. Как вообще устроена карьерная лестница в ваших подразделениях?

AMR

Иерархия простая. Junior, затем обычный аналитик, дальше идет разветвление на менеджеров и экспертов. Но большинство наших менеджеров технари, как и я.

GReAT

У нас есть некая лестница исследователей от обычного до ведущего, но если ты менеджер, то это не значит, что с тебя сняты исследовательские функции. Все мы в первую очередь технари.

 

Можно ли сказать, что переход в GReAT — это в любом случае карьерный рост для сотрудника других подразделений?

GReAT

Есть у нас специалисты из AMR и из контентной фильтрации, я и сам начал свой путь в антивирусной лаборатории. Можно сказать, что, с одной стороны, мы точка роста для специалистов из других отделов, но на самом деле это не означает, что мы крутые, а они нет (в ЛК не крутых не берут). Просто открывается альтернативная ветка развития, в качестве технического специалиста с крайне широким кругозором :). Когда приходишь в GReAT, тебе кажется, что ты до этого много чего не знал и не делал, особенно в смежных областях — от работы со специфическим кодом, например прошивками хардов, или обработки терабайтов статистических данных до публичных выступлений и общения с прессой.

Антивирусные компании довольно активно обмениваются информацией. Семплами, YARA-правилами и индикаторами компрометации
 

Кстати, а зарплата большая?

GReAT

Не обижают.

 

На Porshe хватает?

GReAT

Не видел никого на Porshe :). Мне так вообще интереснее Oculus Rift.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • 1 комментарий
    Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии