Как стать пентестером: часть 2. Реальная история становления специалистом

Джон Джексон — бывший инженер морской пехоты, который сейчас работает в сфере кибербезопасности. После пяти лет в военной отрасли он решил изменить профиль своей деятельности и основал хакерскую группу Sakura Samurai. В прошлом году данная группировка обнаружила git-каталоги и учётные файлы в инфраструктуре ООН, что привело к раскрытию около 100 тысяч личных записей сотрудников ведомства.

Вскоре после инцидента с ООН группа публично раскрыла уязвимости в индийском правительстве, которые позволили «белым хакерам» получить доступ к личным записям, полицейским отчетам и другим чрезвычайно конфиденциальным данным. Также участники Sakura Samurai смогли перехватывать сеансы и выполнять произвольный код в правительственных системах, связанных с финансами.

Среди других заметных успехов Джексона — обнаружение уязвимостей в приложении Talkspace Mental Health и программном обеспечении телевизоров TCL.

В настоящее время Джон Джексон работает старшим консультантом по безопасности в компании Trustwave. Американское издание Daily Swig задало специалисту ряд вопросов о его достижениях, любви к пентесту и навыках, которые нужны потенциальным тестировщикам на проникновение, чтобы добиться успеха в этой сфере.

Далее всё повествование пойдёт в формате интервью, на вопросы которого будет отвечать вышеупомянутый специалист кибербезопасности Джон Джексон.

Как вы попали в пентест?

Моя история немного нетрадиционна. Я не вырос компьютерным ботаником. На самом деле я собирался учиться в колледже философии в Денвере. Однажды мне позвонил рекрутёр и спросил меня: «Эй, ты хочешь стать хакером?».

Я прошел необходимые курсы кибербезопасности. А к тому времени, когда я достиг уровня сертифицированного этического хакера, я уже, фактически, помогал другим ученикам, потому что так много занимался самообучением, что знал уже гораздо больше, чем было положено на тот момент времени.

Компания TEKsystems наняла меня в качестве подрядчика, чтобы я устроился работать в компанию Staples. Я стал инженером по кибербезопасности, но после полугода работы меня переключили на Endpoint Detection & Response (EDR). Я также прошел путь до старшего инженера по безопасности в Shutterstock, и только после этого перешел в компанию Trustwave.

В то время я основал группировку Sakura Samurai и в свободное время занимался хакингом.

Какой наилучший способ попасть в пентест?

Нет какого-то конкретного и последовательного пути. Когда я начинал заниматься этим, в отрасли пентеста не было столько сертификатов, сколько есть сейчас. Учебных материалов тоже было куда меньше. Сейчас, например, есть такие вещи, как Hack the Box, которые могут быть хорошим способом натренировать свои навыки в области пентеста.

Однако не столько навыки делают вас хорошим хакером, сколько мышление. Для этого требуется бесконечное любопытство. Если вы не из тех людей, которым нравится тратить много свободного времени на обучение, тогда это не лучшее занятие для вас. Потому что совершенствоваться придётся постоянно, а это очень не просто. И тратить на это нужно практически всё свободное время.

Что вам больше всего нравится в вашей работе?

Одна из моих любимых вещей — это легальная возможность взламывать всё, что угодно. Я занимался взломом банкоматов, фишингом и социальной инженерией, а затем перешел в Red Teaming, где намного шире возможности и гораздо больше контроля над самим процессом взлома, больше творчества.

Пентест – это потрясающе, потому что я всегда учусь. И это действительно помогает мне двигаться вперед и освежает мои знания и навыки. В пентесте каждый день учишься чему-то новому, поэтому скучно просто не бывает.

А что самое худшее в пентесте?

Многие слабо технически подкованные люди иногда участвуют в организации пентестов и Red Teams. Зачастую они недооценивают некоторые методы взлома или используют очень стандартные подходы в тестировании безопасности.

Я думаю, что плохо организованный пентест просто не может принести какой-то практической пользы. Это плохо для тестировщиков из-за ограничений их свободы действий и методов. Плохо также для безопасности продукта в целом, потому что киберпреступники обычно не ограничивают себя в подходах и не загоняют себя в вымышленные рамки. Они всегда идут до конца.

Пентестеры всегда очень техничны. И когда в процессе работы придётся столкнуться с людьми, которые ничего в этом не понимают, но способны оказать какое-то влияние на ход пентеста, приходится долго и нудно объяснять им, почему определённые вещи очень важны, и их никак нельзя исключать из процесса тестирования. Всё это очень непросто и зачастую выматывает.

Какой проект был самым приятным из вашего опыта?

Я думаю, что моим любимым проектом был банк, который собрал свою «красную команду», способную практически на всё. Это было очень весело, потому что там я смог использовать весь свой опыт, чтобы мыслить нестандартно и использовать некоторые из их собственных платформ, чтобы злоупотреблять процессами компании.

Наниматели были поражены, потому что не ожидали увидеть, как мы с другими специалистами использовали тот или иной сервис банка абсолютно не по назначению. Я испытывал определённую гордость, когда делал это. Как мне показалось, там моё нестандартное мышление оценили очень высоко.

А какой проект был самым серьёзным?

Когда мы работали с ООН. С моей группой Sakura Samurai мы нашли учётные данные GitHub и использовали их для загрузки внутреннего кода организации. Затем, просматривая код, мы нашли более 100 тысяч строк информации о сотрудниках. Это было безумие. И это определенно было довольно страшно.

Взлом индийского правительства тоже был сумасшедшим – вообще на другом уровне. Мы обнаружили множество уязвимостей – учётные данные, удалённое выполнение кода. И мы предоставили очень подробный отчет, согласованный с Центром киберпреступности Министерства обороны США.

Что вы думаете о программе «Bug Bounty» (вознаграждение за поиск ошибок и уязвимостей)?

У меня много претензий к подобным программам. Самая главная заключается в необходимости подписывать различные соглашения о неразглашении информации при отправке отчётов по найденным ошибкам. Иногда это приводит к моральному конфликту с самим собой. Потому что обнаружить в процессе можно действительно плохие вещи, уязвимости вопиющие и очень серьёзные.

Я был членом Blue Team половину своей карьеры, поэтому, когда я нахожу определенные типы ошибок в рамках Bug Bounty, это нервирует. Ведь я знаю, что специалисты этой компании не исправят найденные «косяки» как положено, они просто попытаются скрыть их.

Я начал работать в программах раскрытия уязвимостей, потому что после обнаружения ошибки, компании даётся время на её исправление, а затем обнаруженную уязвимость можно раскрыть публично. Зная об этом, компании тщательнее «заделают все дыры» в своём ПО.

Я думаю, что каждый хакер должен хотя бы раз публично раскрыть некоторые уязвимости. Это может дать множество новых навыков и запомнится на всю жизнь.

Над чем сейчас вы работаете?

Прямо сейчас я работаю над одним из заданий в рамках Red Teaming. Находясь внутри организации, я занимаюсь поиском уязвимостей в системе безопасности, чтобы понять, что внутри системы возможно сделать, а что нельзя. И как далеко можно зайти, если преуспеть в обходе защитных систем.

Это всегда интересно. Мне нравится это делать, так как это действительно сочетает в себе множество элементов взлома – взлом сети, веб-хакинг, социальные аспекты и т.п.

Хороший пример продукта для пентеста, который я могу привести — Office 365, использующий продукты Microsoft для получения большого количества паролей и доступов. Тестирование такого продукта всегда захватывающе, так как понимаешь заранее, насколько мощное влияние сможешь оказать в случае успешного взлома.

Как можно развить свою карьеру в отрасли пентеста?

Я определенно больше склоняюсь к Red Teaming, так как это просто другая форма пентеста, но гораздо более увлекательная и интересная.

Безусловно, всю свою жизнь можно провести в качестве обычного пентестера. Однако всё больше клиентских запросов в этой отрасли требуют, чтобы пентестеры выполняли больше задач, связанных с эмуляцией угроз, например, «украсть данные нашей кредитной карты, украсть учетные записи наших сотрудников» и т.д. Этому не научишься в рамках обычной работы пентестером.

Реальность такова, что эта отрасль просто бесконечна. Всегда есть что-то, к чему можно стремиться. Так что, если вы уже занимаетесь пентестом, возможно, ваш следующий шаг — должность старшего пентестера. А если вы уже старший пентестер, вероятно, это повод стать консультантом по безопасности, постепенно переходящему к Red Teaming.

Я думаю, что переход в Red Teaming — конечная цель для многих людей. Это отрасль наиболее интересна и в полной мере помогает человеку реализоваться как специалисту.