Интервью пентестера: "Hack The Planet" - девиз по жизни!

Интервью пентестера: "Hack The Planet" - девиз по жизни!
93210c79de91e9e3ca8a43594dc0e850.jpg

Одна из самых загадочных, но в тоже время одна из самых интересных профессий в ИБ, покрытая множеством слухов и мифов - Пентестер.

Бытует мнение, что пентестеры - это гики-одиночки, скрывающие свое лицо и имя, а их рабочее место - это маленькая комната, где единственный источник света – дисплей ноутбука.

Поэтому мы попросили одного из членов команды пентерестеров ГК Axxtel leito немного приоткрыть завесу тайн о мире хакинга и рассказать нам, как он начал заниматься своим делом, какие скиллы для этого нужны, и не тянет ли с таким талантом на "темную" сторону.

На выбор моей деятельности, наверное, повлияли несколько факторов. Я всегда любил копаться в электронике, компьютерах и всяком таком, но не просто как пользователь. Я всегда пытаться обойти какие-то ограничения. Ну и не без романтичных историй про хакеров в голове, конечно. Так и решил осваиваться в деле взлома.

Простыми словами - что такое пентест?

– Это проверка компании, в ходе которой команда хакеров исполняет роль преступников и пытается взломать организацию. По её результатам можно понять, насколько быстро можно взломать организацию и сколько способов у хакеров есть для этого. Пентест - легальная возможность предоставить свои навыки на пользу заказчикам и людям.

– Обычно слово «хакер» несет в себе негативный посыл. Можешь назвать себя хакером с благими намерениями?

– Вообще, это всё СМИ. Само по себе слово «хакер» не имеет в общем смысле плохого посыла. Это просто энтузиаст, который любит обходить ограничения в различных системах, это необязательно взлом. К ответу на вопрос: да, конечно, для этого даже существует термин "white hat". "Белые шляпы" помогают находить бреши и закрывать их.

– Не тянет ли с таким талантом на "темную" сторону?

– Сейчас всё же нет, хотя в самом начале было интересно попробовать. Ради фана я и пару моих друзей искали уязвимости в разных приложениях "без спроса", бывало и такое :-) . Сейчас любимое занятие – ломать злоумышленников.

– Кстати, о друзьях: насколько пентестеры коммуницируют друг с другом? Ведь образ хакера - одиночка.

– Раньше с этим проще было, можно было ломать и в одного. Наверное, поэтому именно такой образ и сложился в массовой культуре. Сейчас всё стало настолько сложно, что в одиночку ты не сможешь найти и половины уязвимостей, так что во время пентеста команда – необходимость. К тому же, злоумышленники тоже не сидят в одиночку. Хакеры, представляющие наибольшую угрозу, также работают в командах. Хакеры, кстати, далеко не закрытые гики, есть и общительные ребята, есть и скромные. Но с коммуникацией я ни у кого проблем не замечал.

– Бывают провалы? Тяжело даются?

– Самый первый пентест был очень провальным. Ребята со стороны Заказчика были какие-то натренированные, мы ничего не нашли, фишинг не сработал, вирусню никто не открыл. Ощущалось тяжко, но я справился.

– Тогда расскажи, пожалуйста, о своем первом успешном пентесте.

– Первый успешный пентест... Да, он был очень сумбурный, но веселый. Сначала как-то не шло, где-то с месяц, это обычная ситуация. Чтобы подобрать пароли от учетных записей в одном сервисе, пришлось писать специальную утилитку прям в новогодние каникулы :-). Подобрали пароль у пользователя – Aa123456. Это вышло абсолютно случайно, такого пароля вообще не должно было быть в списках :-). Потом проверяли у Заказчика его сетевое оборудование, и как-то вышло так, что смогли залогиниться с учетным данными cisco:cisco на маршрутизаторе Заказчика. Не рассуждая, почему это получилось, сразу же сделал себе доступ внутрь. Буквально за 6 часов вся его внутренняя сеть стала нашей – дело техники. Ну а потом началось самое скучное: отчеты, аналитика, статистики… Это самая неинтересная часть пентеста, но самая нужная.

– Сколько времени в среднем уходит на взлом одной организации?

– Всё, конечно, зависит от организации, но в среднем от двух недель до месяца неспешной работы командой из 2-3 человек.

– А банк взломать сложно?

– У меня такого опыта пока не было, но я слышал истории от коллег – и да, это достаточно тяжелый процесс. Но реальный!

– А можно ли взломать систему управления дорогами, например?

– В современных реалиях - можно. Современные технологии упрощают жизнь не только операторам и администраторам таких систем, но и хакерам в том числе (тут можно прорекламировать мероприятие от одного вендора, но я этого делать не стану).

– Насколько всё это близко к тому, что показывают в фильмах? Может, есть любимый фильм, освещающий тему?

– Современные сериалы и фильмы отлично освещают тему! Для примера, взять нашумевший фильм "Мистер Робот". Сценаристы и режиссеры фильма проводили регулярные консультации с хакерами – это круто. Вот раньше было что-то на грани фантастики, но зато атмосферно. Любимый фильм – "Хакеры" 1995 года. "Hack The Planet" - девиз по жизни.

– Правда, что из пентесторов получаются лучшие безопасники?

– Необязательно быть пентестером (это немного перебор), но иметь понимание того, как злоумышленники атакуют, является обязательным для хорошего безопасника. А если имеются какие-то хакерские навыки и опыт - это прям отлично!

– Чувствуешь ли ты превосходство над обычными разработчиками?

– "Ломать - не строить!". Одно дело – искать уязвимости, другое - писать огромный и сложный продукт.

– Дашь совет своим потенциальным конкурентам: где и как можно научиться пентесту, какие скиллы нужны, чтобы преуспеть?

– Прежде всего, необходимо иметь желание. Для повышения своих навыков и знаний есть специальные платформы для взлома различных машин, например, HackTheBox, root-me.org или TryHackMe. Для совсем начинающих ребят и студентов рекомендую начать с соревнований CTF (Capture The Flag). С помощью CTF можно получить базовые навыки во взломе web-приложений, криптографии, поисков бинарных уязвимостей и обратной разработке. Если говорить о курсах, то я бы порекомендовал курс "Базовые методы тестирования на проникновение" от САИБ , курс от Codeby по WAPT и PWK OSCP . По поводу скиллов: критическое мышление, понимание компьютерных сетей и принципов построения приложений, программирование. Это прям базовые вещи.

– Ну и последний вопрос: представь себе, что все проблемы с безопасностью будут решены. Что будешь делать, чем займешься?

– Они решены не будут – это факт. Но если прям представить такой мир, то, наверное, занялся бы разработкой или робототехникой, применял бы хакерские навыки там. А еще можно было бы создать новые проблемы :-).

Интервьюер: Анастасия Рец


Наш блог на Яндекс.Дзен
pentest пентест
Alt text

ООО «Акстел-Безопасность»

ГК Axxtel - команда экспертов в области информационной безопасности занимающая ведущие позиции в СФО. Мы следим за последними новинками и тенденциями в области информационной безопасности и создаем их. Всегда рады узнать новое и поделиться своим опытом.