Ес­ли ты чита­ешь «Хакер», то навер­няка задумы­вал­ся о том, что­бы зараба­тывать день­ги пен­тестом, а так­же о том, где прак­тиковать­ся, чему и как учить­ся и как при этом не нарушать закон. Мы погово­рили об этом с пар­нями из Group-IB — ком­пании, которая у всех на слу­ху, но мало кто зна­ет о ней всё.

Нап­ример, слы­шал ли ты, что в Group-IB есть отдел, который занима­ется тес­тами на про­ник­новение? Видимо, кли­енты по‑преж­нему не горят желани­ем све­тить, кто их лома­ет, при этом — впол­не легаль­но. А вот нам это как раз инте­рес­но. Как выяс­нилось в раз­говоре, Group-IB наращи­вает коман­ду и находит­ся в активном поис­ке све­жих пен­тестер­ских сил.

Впро­чем, не будем забегать впе­ред и пре­дос­тавим сло­во самим ребятам.

— Давай­те для начала каж­дый из учас­тни­ков пред­ста­вит­ся и рас­ска­жет нем­ного о себе.

Андрей
Ан­дрей

— Меня зовут Андрей, я руково­дитель депар­тамен­та ауди­та и кон­салтин­га в Group-IB. В пер­вую оче­редь я менед­жер, и моя основная задача в том, что­бы всем работа­лось ком­фор­тно, а коман­да рос­ла. Во вре­мя уче­бы на инфо­без­ной спе­циаль­нос­ти в род­ном Челябин­ске я вре­мя от вре­мени посещал что‑то вро­де «хакер­ско­го круж­ка», где поз­накомил­ся с кучей инте­рес­ных и сей­час дос­таточ­но извес­тных в ИБ‑шке людей, вклю­чая Пашу, который ходил туда зна­читель­но более регуляр­но.

Павел
Па­вел

— При­вет, я Павел, тех­ничес­кий руково­дитель депар­тамен­та. Про­вожу кон­троль качес­тва, фор­мирую стра­тегию тех­ничес­кого раз­вития, при­думы­ваю тех­ники и инс­тру­мен­ты для исполь­зования на про­ектах. Моя задача — опре­делять, куда и как кон­крет­но мы дви­жем­ся в пла­не исполь­зуемо­го инс­тру­мен­тария и его совер­шенс­тво­вания.

Слава
Сла­ва

— При­вет всем, я Сла­ва, руково­дитель отде­ла тех­ничес­кого ауди­та, непос­редс­твен­но воз­глав­ляю коман­ду пен­тесте­ров и ана­лити­ков защищен­ности. Я при­нимаю про­екты в работу, раз­биваю на задачи, передаю задачи иссле­дова­телям, кон­тро­лирую их исполне­ние, задаю вся­кие неудоб­ные допол­нитель­ные воп­росы по док­рутке век­торов атак, собираю пер­вичные дан­ные до переда­чи тех­писате­лям и вычиты­ваю финаль­ные вер­сии отче­тов, которые потом пре­дос­тавля­ются кли­енту. Кро­ме того, управляю про­цес­сами про­фес­сиональ­ного рос­та иссле­дова­телей: получе­ния сер­тифика­тов, раз­вития навыков, вклю­чая так называ­емые софт‑скил­лы. Моя задача — обес­печить поток про­ектов ана­лиза защищен­ности с пред­ска­зуемы­ми сро­ками и высоким качес­твом.

— Нач­ну с козырей: Group-IB извес­тна в основном не бла­года­ря ауди­там. Ког­да при­мер­но вы ста­ли делать упор на это?

Андрей
Ан­дрей

— На рын­ке Group-IB вос­при­нима­ют по‑раз­ному. Навер­ное, мно­гие читате­ли xakep.ru нас счи­тают эта­ким кибер­спец­назом, который ско­рее ловит прес­тупни­ков из засады, чем про­водит тес­ты на про­ник­новение. Это очень непол­ная кар­тина. Помимо исто­ричес­кой экспер­тизы по форен­зике (кибер­кри­мина­лис­тика. — Прим. ред.) и рас­сле­дова­нию высоко­тех­нологич­ных прес­тупле­ний, у Group-IB есть нас­тоящий круг­лосуточ­ный CERT (Центр реаги­рова­ния на инци­ден­ты кибер­безопас­ности), кста­ти, пер­вый ком­мерчес­кий в РФ и Вос­точной Евро­пе, решения для антифро­да и защиты интеллек­туаль­ной собс­твен­ности, мощ­ный блок про­дук­тов для пре­дот­вра­щения атак, осно­ван­ных на иссле­дова­нии ата­кующих, ну и, конеч­но, аудит, который так­же пита­ется все­ми дан­ными, получа­емы­ми дру­гими нашими отде­лами, и в свою оче­редь под­питыва­ет их акту­аль­ной экспер­тизой.

Нап­ример, пен­тестер может общать­ся с кибер­кри­мина­лис­том и при­менять те же тех­ники ана­лиза раз­личных девай­сов. Узна­вать, как не оставлять сле­дов при ред­тимин­ге, как понять, что в изу­чаемой сис­теме ты не единс­твен­ный пен­тестер, пос­мотреть на при­меры наг­рузок из реаль­ных атак и узнать, как они скры­вают­ся от детек­тов. Group-IB в этом пла­не прек­расное мес­то для молодых спе­циалис­тов, жаж­дущих раз­носто­рон­него опы­та и воз­можнос­тей видеть «в дикой при­роде», как работа­ют ребята из Threat Intelligence, что уме­ют трет­ханте­ры, кри­мина­лис­ты, вирус­ные ана­лити­ки, рес­понсе­ры, антифрод‑спе­циалис­ты.

Аудит в Group-IB был всег­да, но до опре­делен­ного момен­та он был внут­ренней фун­кци­ей, не про­дающей­ся на рын­ке.

— Ког­да вы начали про­давать пен­тесты? На чем вы спе­циали­зиру­етесь?

Андрей
Ан­дрей

— При­мер­но десять лет назад аудит стал ком­мерчес­ким. Конеч­но, мы дела­ем клас­сичес­кие тес­ты на про­ник­новение, воз­можнос­тей для которых у нас нес­коль­ко боль­ше, чем у мно­гих на рын­ке, за счет синер­гии наших нап­равле­ний, о которых я рас­ска­зал выше. Ну и конеч­но, услу­ги по оцен­ке защищен­ности как инфраструк­тур в целом, так и отдель­ных объ­ектов — хорошо про­дава­емое и вос­тре­бован­ное нын­че нап­равле­ние ауди­та. Цель здесь — обна­ружить уяз­вимос­ти и недос­татки с раз­ным уров­нем рис­ка. Сей­час в свя­зи с пан­деми­ей ана­лиз защищен­ности стал еще популяр­нее: про­дажи активно ушли в онлайн и теперь все нуж­дают­ся в самых раз­ных про­вер­ках.

На путь про­даж услу­ги Red Teaming — ими­тации хакер­ских атак с исполь­зовани­ем реаль­ных инс­тру­мен­тов ата­кующих — мы всту­пили пер­выми в РФ. До нас рус­ский ред­тиминг пред­став­лял собой нес­коль­ко полу­инха­усных про­ектов, а сей­час мно­гие кон­курен­ты так­же с тем или иным успе­хом пыта­ются запус­тить услу­ги по ред­тимин­гу.

Ито­гом аудит — это боль­шой биз­нес в сос­таве Group-IB, ока­зыва­ющий услу­ги по все­му миру. Мы активно рас­тем и ищем раз­ных людей, которые уме­ют в пен­тест, могут оце­нивать и налажи­вать про­цес­сы ИБ, а не толь­ко искать уяз­вимос­ти ска­нером.

Слава
Сла­ва

— Я бы добавил, что пен­тесты и ред­тиминг час­то пута­ют, осо­бен­но в Рос­сии, но мы всег­да под­черки­вали, что ред­тиминг — это сов­сем дру­гой вид работ, пред­назна­чен­ный для зре­лых заказ­чиков и кру­тых сис­тем. Это ком­плексная ими­тация слож­ных атак с исполь­зовани­ем самых раз­ных методов и инс­тру­мен­тов — таких же, что исполь­зуют реаль­ные зло­умыш­ленни­ки. Здесь мы можем раз­вернуть­ся мак­сималь­но (но, конеч­но, в рам­ках кон­трак­та).

Ред­тиминг может начать­ся с раз­ведки, OSINT, а про­дол­жить­ся, к при­меру, под­бро­сом флеш­ки. В пен­тесте же как раз наобо­рот — там есть пос­тавлен­ные задачи, кон­крет­ный перечень работ и соот­ветс­тву­ющие век­торы атак. Все это рег­ламен­тирова­но по вре­мени и по кон­крет­ным пра­вилам.

«Ковырять перимет­ры ста­новит­ся все слож­нее»

— Давай­те погово­рим о горячих трен­дах в пен­тестин­ге. Что за пос­ледний год изме­нилось в свя­зи с пан­деми­ей? Какие прог­нозы на бли­жай­шее будущее?

Слава
Сла­ва

— Если мы говорим о мас­совых рыноч­ных про­цес­сах, то я бы обра­тил вни­мание на то, что ковырять перимет­ры ста­новит­ся все слож­нее. Весь мир активно перехо­дит в веб, сни­жая количес­тво самос­тоятель­но обслу­жива­емых сер­висов, веро­ятность про­боя некор­рек­тно нас­тро­енных он‑прем‑решений сни­жает­ся вмес­те с их количес­твом, и поэто­му на перед­ний план выш­ли зна­ния веб‑тех­нологий и облачных решений.

Кста­ти, ког­да у нас спра­шива­ют, как раз­вивать­ся в прак­тичес­кой ИБ «с нуля», мы уже дав­но рекомен­дуем начинать с веба. В этой области дос­тупно мно­го бес­плат­ных матери­алов, по которым мож­но учить­ся, и этот навык опре­делен­но при­годит­ся каж­дому иссле­дова­телю.

Я бы не стал кивать в сто­рону пан­демии: и до нее мы наб­людали активный переход на облачную инфраструк­туру, в том чис­ле на рос­сий­ском рын­ке, но с вес­ны 2020-го про­цесс зна­читель­но уско­рил­ся, так как аргу­мен­тов к пере­езду в обла­ка добави­лось. Фор­мат работы ком­паний изме­нил­ся. Уда­лен­ка теперь есть у мно­гих, а зна­чит, появ­ляют­ся и необ­ходимые для это­го сер­висы. Инте­рес­но, что Рос­сия ока­залась более готова к уда­лен­ке, а вот в Евро­пе мно­гим кли­ентам понадо­бил­ся серь­езный тайм‑аут, что­бы поменять фор­мат и про­дол­жить нор­маль­ную работу.

Павел
Па­вел

— Прак­тичес­кая безопас­ность неот­рывно свя­зана с раз­работ­кой и адми­нис­три­рова­нием. Со вре­менем тех­нологии силь­но усложни­лись. И я сог­ласен — это не за пос­ледний год, тут тренд дли­ной в семь‑десять лет.

В вебе появи­лось мно­го фрей­мвор­ков, которые, казалось бы, при дол­жном исполь­зовании дол­жны зак­рывать типовые уяз­вимос­ти. Так оно и про­исхо­дит, тем не менее уяз­вимос­ти сох­раня­ются, прос­то акцент смес­тился на слож­ные баги, которые свя­заны ско­рее с логикой при­ложе­ний и глу­боки­ми осо­бен­ностя­ми самого язы­ка. Такие ошиб­ки не най­ти обыч­ными средс­тва­ми фаз­зинга, не помогут их избе­жать и клас­сичес­кие самоп­ровер­ки вида «филь­труй кавыч­ки», которые любят раз­работ­чики.

В адми­нис­три­рова­нии похожие про­цес­сы. Если рань­ше мож­но было адми­нить отдель­ные опе­раци­онные сис­темы или служ­бы и чувс­тво­вать себя впол­не неп­лохо, то сей­час нуж­но хорошо знать инс­тру­мен­ты мас­сового управле­ния инфраструк­турами, клас­терами, кон­тей­нер­ные тех­нологии, эко­сис­темы и еще вдо­бавок понимать, как силь­но раз­ные ком­понен­ты интегри­рова­ны меж­ду собой.

По­это­му мы всег­да говорим, что хороший ауди­тор при­ложе­ний — это как минимум full-stack-прог­раммист, который уме­ет смот­реть на раз­работ­ку с обратной сто­роны. А хороший пен­тестер — это в любом слу­чае силь­ный админ‑инфраструк­турщик или сетевик. Для тех, кто еще не очень понима­ет, куда дви­жет­ся рынок и какое мес­то он хочет в нем занять, всег­да мож­но рекомен­довать адми­нис­три­рова­ние и веб‑раз­работ­ку как пер­вый этап. Точ­но не про­гада­ешь.

«Говорят, что ско­ро пен­тестить будут ней­рон­ные сети, а всех пен­тесте­ров раз­жалу­ют в двор­ники, но ско­рее рынок пен­теста прос­то сузит­ся и вырас­тет про­фес­сиональ­но»

— Можете поп­робовать пред­ста­вить, что ждет рынок через пять лет?

Слава
Сла­ва

— Усложне­ние тех­нологий уже замет­но по обе сто­роны бар­рикад. Еще лет пять‑десять назад веб писали, оставляя кучу оши­бок. Мож­но было нат­равить ска­нер и получить в ответ целую прос­тыню кри­тичес­ких уяз­вимос­тей. Сей­час бла­года­ря стан­дартам и прак­тикам безопас­ной раз­работ­ки такое встре­чает­ся все реже. Ну то есть, если раз­работ­чик, далекий от ИБ, захочет сде­лать все безопас­но, он по край­ней мере най­дет те самые методич­ки, которые поз­волят обой­ти боль­шинс­тво кам­ней и граб­лей.

Са­ми уяз­вимос­ти тоже ста­новят­ся всё изощ­реннее. Раз­работ­чик ско­рее допус­тит ошиб­ку в биз­нес‑логике, чем SQL-инъ­екцию. Появ­ляют­ся уяз­вимос­ти и там, где их не жда­ли, — нап­ример, в пос­ледние годы все загово­рили о десери­али­зации. Еще не все фрей­мвор­ки спра­вились с этим, но, ког­да это про­изой­дет, поиск новых уяз­вимос­тей ста­нет еще более нет­риви­аль­ной задачей.

Взять то же адми­нис­три­рова­ние: рань­ше сер­веры адми­нис­три­рова­ли инди­виду­аль­но, а сей­час уже труд­но най­ти ком­панию, где нет сис­темы управле­ния кон­фигура­циями. Ник­то ничего не дела­ет вруч­ную, вмес­то это­го зада­ются пат­терны нас­тро­ек. В облачных сер­висах это тоже пов­семес­тно исполь­зует­ся. А даль­ше все законо­мер­но: количес­тво оши­бок сни­жает­ся, а слож­ность их нахож­дения рас­тет.

Так­же раз­вива­ются тех­нологии и средс­тва защиты, которые силь­но усложня­ют обна­руже­ние уяз­вимос­тей. Новые WAF, NGFW и NGAV говорят сами за себя. Даль­ше будет толь­ко слож­нее.

Нас регуляр­но пуга­ют тем, что ско­ро пен­тестить будут ней­рон­ные сети, а всех пен­тесте­ров раз­жалу­ют в двор­ники, но я думаю, что это бред. Прос­то рынок пен­теста сузит­ся и вырас­тет про­фес­сиональ­но — до тех спе­циалис­тов, которые могут рас­копать на про­екте дей­стви­тель­но нес­тандар­тные вещи. Конеч­но, ребята, для которых пен­тест — это запуск ска­нера с парой клю­чей, дол­жны будут подыс­кать себе новое занятие, но не думаю, что нор­маль­ным спе­циалис­там что‑то угро­жает. По край­ней мере, не так ско­ро.

В общем, нуж­но ждать силь­ной спе­циали­зации все­го и вся и еще боль­шего усложне­ния тех­нологий. И готовить­ся обго­нять прог­ресс.

«Ребята, для которых пен­тест — это запуск ска­нера с парой клю­чей, дол­жны будут подыс­кать себе новое занятие»

— Занят­но. А отку­да стар­товать начина­юще­му, что­бы прод­винуть­ся в этом всем и быть в трен­де? Если мож­но, чуть под­робнее, чем «адми­нов в пен­тесте­ры, прог­раммис­тов в веб­щики».

Павел
Па­вел

— Я бы совето­вал в пер­вую оче­редь понять, что кон­крет­ному челове­ку инте­рес­но, с чем он уже зна­ком и в какую сто­рону хотел бы раз­вивать­ся. Не сто­ит гнать­ся за тех­нологи­ей, потому что она «мод­ная», — так желание раз­вивать­ся быс­тро выгорит. Мож­но най­ти немало инте­рес­ных вещей, прос­то слу­шая записи кон­ферен­ций, они дос­тупны бес­плат­но — дос­таточ­но поис­кать на YouTube.

Для прак­тики мож­но пореко­мен­довать пло­щад­ку Hack The Box, если мы говорим о прак­тичес­ком пен­тесте, или учас­тие в раз­личных Bug Bounty, где в пер­вую оче­редь мно­го сов­ремен­ного веба. Ког­да что‑то не получа­ется — фор­мулиро­вать воп­росы и гуг­лить, читать рай­тапы. Так­же необ­ходимо понимать, как имен­но работа­ют те инс­тру­мен­ты, которые ты при­меня­ешь на прак­тике.

— В чем, по‑вашему, типич­ная ошиб­ка тех, кто решил начать свой путь в пен­тест?

Слава
Сла­ва

— Если человек понима­ет, что такое пен­тест, — уже хорошо. А если серь­езно: час­то видим, что кан­дидаты находят­ся в поис­ке еди­ной вол­шебной кни­ги, кур­са или дру­гого источни­ка, который научит все­му. Так не быва­ет. Дру­гая край­ность: люди впи­хива­ют в себя мегабай­ты тек­ста, зачас­тую не раз­бирая его качес­тва и вооб­ще необ­ходимос­ти имен­но им.

Важ­но иметь некото­рую сис­темную кар­тину вещей, пос­тоян­но ее рас­ширять и уметь быс­тро встра­ивать новые зна­ния в эту сис­тему. Не нуж­но так­же упи­рать­ся в один источник, иног­да выгод­нее бег­ло про­бежать­ся по нес­коль­ким, срав­нить, а затем выб­рать и деталь­но про­читать какой‑то один.

Как ни кру­ти, нужен англий­ский на уров­не чте­ния, так как подав­ляющее боль­шинс­тво источни­ков на нем. На рус­ском в этой сфе­ре читать даже вред­но, так как стол­кнешь­ся с перево­дом от энту­зиас­тов, которые не обя­заны перево­дить акту­аль­но и точ­но.

«Наличие сер­тифика­тов у челове­ка для нас — это допол­нитель­ные темы для раз­говора, а не абсо­лют­ный показа­тель зна­ний»

— Давай­те сфор­мулиру­ем, что нуж­но знать пен­тесте­ру, что­бы он мог прий­ти к вам в коман­ду уже под­готов­ленным, со зна­нием вашего под­хода к отбо­ру?

Павел
Па­вел

— Для прак­тичес­кой безопас­ности, если говорим о пен­тесте, нуж­ны некото­рые фун­дамен­таль­ные шту­ки.

Во‑пер­вых, хотя бы обзорное зна­ние сетей и опе­раци­онных сис­тем, те самые тал­муды Оли­фера и Танен­баума. Пен­тестер, который бод­ро ска­ниру­ет инет и видит какие‑то пор­ты, но который при этом не может уве­рен­но объ­яснить, где меня­ется MAC-адрес, а где IP при дви­жении пакетов из его домаш­ней сети в инет, вызыва­ет некото­рое недо­уме­ние — как он собира­ется стро­ить тун­нели при зах­вате дос­тупа? Каж­дый вто­рой уве­рен­ный поль­зователь Nmap пута­ется с номером пор­та, который нуж­но открыть на фай­рво­ле, что­бы зарабо­тала коман­да ping.

Ес­ли нуж­ны спе­цифич­ные шту­ки — почитай авто­ров и активных поль­зовате­лей тех­нологии. Хочешь понять Cisco и что делать с каким‑нибудь SNMP на запись на роуте­ре — бро, иди на форум цис­ководов. Хочешь написать что‑нибудь низ­коуров­невое под вин­ду — читай сна­чала Windows Internals.

Во‑вто­рых, прог­рамми­рова­ние. Оно важ­но с точ­ки зре­ния изго­тов­ления сво­их поделок для хакин­га и раз­бора прин­ципов работы чужих тулз. Поможет при поис­ке уяз­вимос­тей, ког­да чте­ние кода ста­нет для тебя отно­ситель­но лег­кой задачей. Для сов­ремен­ных язы­ков и фрей­мвор­ков есть целые раз­делы докумен­тации с типич­ными ошиб­ками, которые может сде­лать прог­раммер. А научить­ся базово­му прог­рамми­рова­нию мож­но, соз­давая свои «велоси­педы», читай — тул­зы по авто­мати­зации, иног­да пос­матри­вая на чужие готовые подел­ки для ори­енти­ра. Если нуж­но сов­сем при­митив­но — гуг­ли кур­сы типа Python online для начина­ющих.

Ну и в‑треть­их: читай­те про сами под­ходы к хакин­гу. Обзорно могут помочь кни­ги типа Hacker Playbook и Hacking Exposed, куда добав­ляешь зна­ния выше и уже получа­ешь навык не тыкать­ся ска­нером в хос­ты всле­пую, а делать вещи осоз­нанно.

И отдель­но ска­жу про веб. Так получи­лось, что сюда самый лег­кий вход. Сети деталь­но знать необя­затель­но, опе­раци­онки нем­ного подож­дут, реверс нужен край­не ред­ко, нуж­но толь­ко уметь в веб‑прог­рамми­рова­ние, и то мно­гие живут даже без это­го. К веб‑прог­рамми­рова­нию нуж­но добавить OWASP, целиком, а не толь­ко ТОП-10, и прак­тичес­кие лабы по работе с типовы­ми уяз­вимос­тями, нап­ример https://portswigger.net/web-security. А далее лабы, баг‑баун­ти и про­чее.

Ес­ли нра­вит­ся все орга­низо­ван­ное и есть день­ги — мож­но впи­сать­ся в кур­сы. Мы не хотим делать рек­ламы кон­крет­ным кур­сам, поэто­му тут смот­ри сам по отзы­вам. Рекомен­дуем опять‑таки зарубеж­ные, как более приз­нава­емые, но они дороже. Наличие сер­тифика­тов у челове­ка для нас — это допол­нитель­ные темы для раз­говора, а не абсо­лют­ный показа­тель зна­ний. Зна­ем пару людей, которые свер­кали сер­тифика­тами как новогод­няя елка, но сыпались на прос­тых воп­росах. Хотя наличие того же чес­тно сдан­ного OSCP говорит, что человек как минимум нас­той­чивый и уме­ет самос­тоятель­но добивать­ся целей.
Ме­роп­риятия про­филь­ные посещай еще. Даже если кон­тент не зай­дет, хотя бы пооб­щаешь­ся с кем‑то.

— Раз уж загово­рили о най­ме. Кого вы ище­те в аудит Group-IB?

Слава
Сла­ва

— Мы ищем спе­циалис­тов раз­ного уров­ня. То есть готовы брать и сов­сем нович­ков, и пер­спек­тивных, и готовых спе­циалис­тов, конеч­но. Кто же от них сей­час отка­жет­ся! Глав­ное — что­бы человек все вре­мя раз­вивал­ся и был спо­собен сам искать что‑то новое. Ина­че в нашей сфе­ре он уже через пол­года ста­новит­ся невос­тре­бован­ным.

«Глав­ное — не искать опыт там, где это чре­вато наруше­нием законов»

— А вот говорят, что глав­ное — поболь­ше прак­тики? А где ее взять, если человек еще толь­ко учит­ся в вузе или по какой‑то при­чине решил сме­нить род деятель­нос­ти, — это­го не говорят. Вы что дума­ете на этот счет?

Андрей
Ан­дрей

— Без прак­тики в прак­тичес­кой безопас­ности делать нечего (кто бы мог подумать?), но прак­тика — это совер­шенно не обя­затель­но работа. Если кан­дидат про­ходил лабора­тор­ные работы в вузе, то впол­не мож­но об этом рас­ска­зывать на собесе­дова­ниях — что было за задание и как его решал. Можешь тол­ково объ­яснить, как при­шел к решению, — уже инте­ресен. Хак­зебок­сы, собс­твен­ные про­екты, помощь дру­гим на форумах, сер­тифика­ты. Прак­тичес­кая под­готов­ка доказы­вает­ся огромным количес­твом спо­собов. Глав­ное — не искать опыт там, где это чре­вато наруше­нием законов.

— Кста­ти, про закон. Нас­коль­ко слож­но овла­деть прак­тичес­кими навыка­ми «белого хакин­га» и при этом не иметь проб­лем с законом?

Андрей
Ан­дрей

— Нес­ложно на самом деле. Нуж­но прос­то делать лабора­тор­ные работы и не соб­лазнять­ся на объ­екты в реаль­ном мире. Лабы, как пра­вило, не берут­ся из ниот­куда, их собира­ют по мотивам реаль­ных кей­сов, так что они нараба­тыва­ют впол­не себе релеван­тный опыт.

А ког­да лабы ста­нут слиш­ком прос­тыми — мож­но поп­робовать Bug Bounty, но в Рос­сии с ними серь­езные проб­лемы. У боль­шинс­тва ком­паний таких прог­рамм нет вооб­ще, у дру­гих вро­де бы и есть, но на репор­ты они не всег­да кор­рек­тно реаги­руют, укло­няют­ся от опла­ты, а могут угро­жать или даже писать заяв­ления. Поэто­му нуж­но сле­дить, что­бы у ком­пании была чет­ко про­писа­на полити­ка такой прог­раммы и были отзы­вы о ней.

Еще луч­ше учас­тво­вать через пло­щад­ку‑пос­редни­ка вро­де HackerOne или SynAck. Тог­да гаран­тий боль­ше и опла­та про­изво­дит­ся быс­трее. А вот если начать искать уяз­вимос­ти, ког­да ком­пания ничего искать не про­сила, то это может прев­ратить­ся в край­не неп­рият­ную исто­рию.

Сто­ит быть акку­рат­нее с людь­ми, которые пред­лага­ют попен­тестить их ком­панию за день­ги. Далеко не всег­да такие люди дей­стви­тель­но работа­ют в ком­пании-«цели». И конеч­но, ни в коем слу­чае не сто­ит работать без догово­ра. А договор, который пред­лага­ет заказ­чик, нуж­но обя­затель­но показать юрис­ту. Это не так дорого, зато может выручить, если по завер­шении про­екта воз­никнут спор­ные ситу­ации. Тем более что рычаг дав­ления на иссле­дова­теля у ком­пании появ­ляет­ся серь­езный. 28 гла­ва УК РФ.

— Так, ну вот закон­чил с лабами, потыкал баг‑баун­ти, и захоте­лось более прак­тичес­кого опы­та работы. Все — мож­но и к вам?

Андрей
Ан­дрей

— Почему бы и нет? Мы час­то приг­лаша­ем жела­ющих ста­жиро­вать­ся, и, нас­коль­ко мне извес­тно, это дела­ем не толь­ко мы. Хочешь ста­жиров­ку — выбирай ком­пании, в которых хочешь в даль­нейшем работать, и засылай резюме на ящи­ки HR.

При этом не сто­ит осо­бен­но рвать­ся к реаль­ным про­ектам. У нас ста­жеры в них не учас­тву­ют, а получа­ют для начала задания на раз­витие. Неоп­лачива­емая часть ста­жиров­ки у нас — это учеб­ные задания, опла­чива­емая — учас­тие в раз­работ­ке инс­тру­мен­тов, которые мы исполь­зуем на про­ектах. А вот на сами про­екты мы пус­каем толь­ко людей, которые пос­тупа­ют в штат. Наде­емся, что и у наших кон­курен­тов похожая полити­ка.

И еще один важ­ный момент. Беречь репута­цию нуж­но смо­лоду. У нас были очень болез­ненные для меня лич­но ситу­ации, ког­да человек при­шел устра­ивать­ся на работу, хорошо себя показал на тех­ничес­ких собесе­дова­ниях, блес­тяще про­шел тес­товые задания. А потом выяс­няет­ся, что пять лет назад он, условно говоря, тор­говал какими‑нибудь ворован­ными кошель­ками. Такое мел­кое сетевое гоп­ничес­тво помеша­ет нам взять его на работу, и оно оста­нет­ся с ним на всю жизнь в качес­тве лич­ной исто­рии.

— А какие про­вер­ки, помимо тес­тов, про­ходит кан­дидат? У вас, говорят, обя­зате­лен полиг­раф?

Андрей
Ан­дрей

— Да, есть такое. Обя­зате­лен он не толь­ко у нас, кста­ти. В пер­вую оче­редь и в основном мы хотим убе­дить­ся, что у челове­ка нет прес­тупно­го сле­да в кибер­сфе­ре. Что он не зас­ветил­ся во взло­мах, в финан­совом мошен­ничес­тве. В любом слу­чае там не будет воп­росов, которые каса­ются лич­ной жиз­ни, полити­чес­ких убеж­дений, веро­испо­веда­ния и про­чего лич­ного. Нам важ­но убе­дить­ся кон­крет­но в отсутс­твии кри­миналь­ного прош­лого.

Но дело не толь­ко в полиг­рафе, есть еще и ана­лити­ка с помощью нашей сис­темы Threat Intelligence. О ней мно­го чего уже рас­ска­зано в сети, но, если крат­ко, она хорошо под­твержда­ет тезис о том, что из интерне­та ничего никог­да не уда­ляет­ся и все твои сле­ды оста­ются в памяти TI. Воп­рос толь­ко в том, кто и как их най­дет. Так что луч­ше не надо. Вос­при­нимай­те поговор­ку про честь смо­лоду как инвести­ции в собс­твен­ное будущее. Не брать чужую десят­ку, что­бы не зарезать собс­твен­ную тысячу.

— Не могу не задать этот воп­рос: пред­ложений для пен­тесте­ров на рын­ке мно­го. Почему кан­дидат дол­жен выб­рать вас, помимо того, что у вас мно­го источни­ков дан­ных бла­года­ря смеж­ным отде­лам, изу­чающим прес­тупность?

Андрей
Ан­дрей

— Дей­стви­тель­но, кажет­ся, что кон­курен­тов на рын­ке мно­го, но ни у кого из них не пред­став­лено одновре­мен­но столь­ко же нап­равле­ний, сколь­ко есть у Group-IB, а боль­шое количес­тво спе­циали­заций дают уни­каль­ную синер­гию зна­ний и суперат­мосфе­ру бур­лящего кот­ла, где каж­дое нап­равле­ние зна­ет о безопас­ности что‑то свое, а сум­марно — это мощ­ней­шая экспер­тиза не толь­ко в РФ, но и на меж­дународ­ном рын­ке.

Дру­гой плюс — воз­можность учас­тия в ком­плексных про­ектах. Мы не прос­то дела­ем пен­тест для одно­го заказ­чика, а пре­дос­тавля­ем ком­плекс услуг и работа­ем коман­дами, в которые вхо­дят люди из раз­ных отде­лов. Кро­ме того, если тебе со вре­менем покажет­ся более инте­рес­ной дру­гая сфе­ра — в Group-IB мно­жес­тво путей для «горизон­таль­ного переме­щения» меж­ду нап­равле­ниями. Гло­баль­но у нас тон­на плю­сов: помимо уни­каль­ной куль­туры Group-IB, это, нап­ример, воз­можность релока­ции в один из наших меж­дународ­ных офи­сов — в Син­гапур или Амстер­дам, а с это­го года и в дру­гие стра­ны.

Слава
Сла­ва

— Ну и нес­мотря на то, что мы по количес­тву людей перерос­ли в боль­шую ком­панию, нам уда­ется избе­гать бюрок­ратии и сох­ранять лам­повую атмосфе­ру. Осо­бен­но при­ятно, что у нас мож­но спо­кой­но решать все рабочие момен­ты. Мож­но кому угод­но написать, поз­вонить или прий­ти в кабинет и пооб­щать­ся.
Важ­но и то, что у нас очень раз­ный уро­вень про­ектов. Быва­ют прос­тые вещи и даже баналь­ные, а быва­ют дико слож­ные, сос­тавные и раз­несен­ные во вре­мени. Есть и раз­нооб­разие по тех­нологи­ям, так что работа най­дет­ся для каж­дого.

А еще я час­то слы­шу, что в дру­гих мес­тах, осо­бен­но у интегра­торов, из сот­рудни­ков выжима­ют все соки и челове­ку под­кидыва­ют про­екты один за дру­гим, не давая прий­ти в себя. Мы в этом пла­не лояль­нее и ста­раем­ся сде­лать так, что­бы каж­дый работал с ком­фортом. Это тем не менее не озна­чает, что есть воз­можность прох­лаждать­ся: быва­ют дни, ухо­дящие в ночи, но обыч­но это в кайф.

— А воз­можнос­ти для обу­чения у вас есть? Джу­ниоров и жела­ющих зай­ти в эту отрасль сей­час мно­го. Есть ли у вас воз­можность учить­ся и рас­ти внут­ри ком­пании?

Андрей
Ан­дрей

— У нас очень отзывчи­вая сис­тема. Мы про­водим с каж­дым челове­ком дол­гий онбординг и готовы базово обу­чать поряд­ка трех месяцев. Это стан­дар­тный испы­татель­ный срок, и за это вре­мя боль­шинс­тво людей учит­ся работать самос­тоятель­но и может брать на себя нес­ложные про­екты. Пос­тепен­но они повыша­ют свой уро­вень и за нес­коль­ко лет дорас­тают до стар­ших спе­циалис­тов.

Ко­неч­но, обу­чение на этом не закан­чива­ется. Если мы видим, что спе­циалист хочет и уме­ет узна­вать новое, ком­пания опла­чива­ет вор­кшо­пы и сер­тифика­ты. Есть регуляр­ные тех­ничес­кие митапы внут­ри депар­тамен­та и ком­пании в целом.

— Если наши читате­ли соберут­ся к вам на ста­жиров­ку или в штат — есть ли у вас какое‑то «вход­ное» задание?

Павел
Па­вел

— Да, мы спе­циаль­но для читате­лей «Хакера» под­готови­ли кое‑что. Это нес­коль­ко ори­енти­рован­ных на ста­жеров и джу­нов воп­росов, на которые пред­лага­ем кан­дидатам отве­тить с пояс­нени­ем, пред­варитель­но их осмыслив. Это не тест‑экза­мен‑зачет, нам при­дет­ся про­читать и оце­нить все, что вы напише­те. И здесь нам важ­но понять, как вы мыс­лите, а не прос­то получить набор нагуг­ленных отве­тов.

Проверь себя: пять вопросов от команды аудита Group-IB

  1. Есть мобиль­ное бан­ков­ское при­ложе­ние, которое выда­ет такой единс­твен­ный сес­сион­ный токен:

    eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoxMDIyfQ.srkQQcNR4K3xpoK_SW_sspOoaaDAeNUOjhWWmteuKog

    Пред­ложи, какие могут воз­никнуть сце­нарии атак на это при­ложе­ние. Как их пре­дот­вра­тить?

  2. Пред­ставь, что весь текущий мир одно­момен­тно перешел на IPv6. IPv4 боль­ше не исполь­зует­ся. Как это изме­нит сетевую безопас­ность, с уче­том сов­ремен­ных под­ходов по нас­трой­ке сетей и тех­ник атак на сети?

  3. Ты находишь­ся внут­ри кор­поратив­ной сети и про­водишь тес­тирова­ние на про­ник­новение. У тебя име­ется хеш NT домен­ного поль­зовате­ля. В Active Directory нас­тро­ено при­мене­ние смарт‑карт (USB-токенов) для основной аутен­тифика­ции на рабочее мес­то (через непос­редс­твен­ное вза­имо­дей­ствие с компь­юте­ром) и в RDP. Есть так­же механиз­мы вхо­да по паролю, но они защище­ны одно­разо­выми кодами. Мож­но ли обой­ти эту уси­лен­ную аутен­тифика­цию?

  4. Exploit-db.com ког­да‑то был запол­нен экс­пло­ита­ми, экс­плу­ати­рующи­ми пов­режде­ние памяти в бинар­ных при­ложе­ниях 2000-х годов, но все поменя­лось, и там сей­час пре­обла­дают экс­пло­иты на web, логичес­кие баги, мис­конфи­ги. Сто­имость экс­пло­итов на бинарь в час­тной про­даже сей­час воз­росла до сотен тысяч дол­ларов. Как ты дума­ешь, почему?

  5. Пред­ставь, что у тебя появи­лась супер­спо­соб­ность — ты теперь можешь момен­таль­но взло­мать что‑то одно на твой выбор:

    • ли­бо все сим­метрич­ные (блоч­ные, потоко­вые) алго­рит­мы шиф­рования (то есть рас­шифро­вать любой текст, зашиф­рован­ный сим­метрич­ными алго­рит­мами);
    • ли­бо все асим­метрич­ные алго­рит­мы (то есть вос­ста­новить любой при­ват­ный ключ по пуб­лично­му);
    • ли­бо все хеш‑фун­кции (то есть подоб­рать кол­лизию для любого хеша).

    Что бы ты выб­рал и почему?

От­веты на воп­росы шли на ящик fromxaker@group-ib.com. А если ты дав­но не джун — не стес­няй­ся на тот же ящик зас­лать резюмеш­ку.

— Есть что‑нибудь по кул­сто­ри с про­ектов?

Павел
Па­вел

— Сот­ни их. С некото­рыми мож­но озна­комить­ся в наших гру­пай­биш­ных онлай­новых медиа. Ну а если текущий фор­мат матери­ала вызовет отклик — мы обя­затель­но вер­немся на стра­ницы «Хакера» и накида­ем све­жака.

2 комментария

  1. Аватар

    xakepru0uts1d3r4

    24.02.2021 в 14:12

    Я бы хотел вставить свои пять копеек, так как ответ уже отправлен.
    Согласно международным соглашениям, тип ассесмента (аудита, анализа и тд) определяется регуляцией внутри страны, это мне известно так как я занимаюсь квалификацией производственного софта на фарм предприятиях.

    В остальном все супер, жду отказа и пойду учить IBM PC и готовится к PWK-200.

    • Аватар

      xakepru0uts1d3r4

      24.02.2021 в 14:30

      Извиняюсь, по поводу nmap, лабораторных работ и так далее к тексту статьи есть еще одно дополнение: в Санкт-Петербурге дом.ру является провайдером интернета, и посолько я там провел последние полтора месяца, мне стало интересно как они глушат сеть. Может, открыть порт в публичном вайфае получилось бы (Kali Linux по совету друга осталась лежать дома, период дуал-бута прошел и черт бы с ним), две сим-карты разных операторов, разные операционные системы телефонов, и единственная нить, связывающая их — один паспорт гражданина РФ без всяких песочниц дали мне понять, как правительство глушит сотовые сигналы. Спасибо пакету Яровой и космонавтам за первый опыт в On-Site…

Оставить мнение