Интервью пентестера: "Hack The Planet" - девиз по жизни!

Интервью пентестера: "Hack The Planet" - девиз по жизни!
93210c79de91e9e3ca8a43594dc0e850.jpg

Одна из самых загадочных, но в тоже время одна из самых интересных профессий в ИБ, покрытая множеством слухов и мифов - Пентестер.

Бытует мнение, что пентестеры - это гики-одиночки, скрывающие свое лицо и имя, а их рабочее место - это маленькая комната, где единственный источник света – дисплей ноутбука.

Поэтому мы попросили одного из членов команды пентерестеров ГК Axxtel leito немного приоткрыть завесу тайн о мире хакинга и рассказать нам, как он начал заниматься своим делом, какие скиллы для этого нужны, и не тянет ли с таким талантом на "темную" сторону.

На выбор моей деятельности, наверное, повлияли несколько факторов. Я всегда любил копаться в электронике, компьютерах и всяком таком, но не просто как пользователь. Я всегда пытаться обойти какие-то ограничения. Ну и не без романтичных историй про хакеров в голове, конечно. Так и решил осваиваться в деле взлома.

Простыми словами - что такое пентест?

– Это проверка компании, в ходе которой команда хакеров исполняет роль преступников и пытается взломать организацию. По её результатам можно понять, насколько быстро можно взломать организацию и сколько способов у хакеров есть для этого. Пентест - легальная возможность предоставить свои навыки на пользу заказчикам и людям.

– Обычно слово «хакер» несет в себе негативный посыл. Можешь назвать себя хакером с благими намерениями?

– Вообще, это всё СМИ. Само по себе слово «хакер» не имеет в общем смысле плохого посыла. Это просто энтузиаст, который любит обходить ограничения в различных системах, это необязательно взлом. К ответу на вопрос: да, конечно, для этого даже существует термин "white hat". "Белые шляпы" помогают находить бреши и закрывать их.

– Не тянет ли с таким талантом на "темную" сторону?

– Сейчас всё же нет, хотя в самом начале было интересно попробовать. Ради фана я и пару моих друзей искали уязвимости в разных приложениях "без спроса", бывало и такое :-) . Сейчас любимое занятие – ломать злоумышленников.

– Кстати, о друзьях: насколько пентестеры коммуницируют друг с другом? Ведь образ хакера - одиночка.

– Раньше с этим проще было, можно было ломать и в одного. Наверное, поэтому именно такой образ и сложился в массовой культуре. Сейчас всё стало настолько сложно, что в одиночку ты не сможешь найти и половины уязвимостей, так что во время пентеста команда – необходимость. К тому же, злоумышленники тоже не сидят в одиночку. Хакеры, представляющие наибольшую угрозу, также работают в командах. Хакеры, кстати, далеко не закрытые гики, есть и общительные ребята, есть и скромные. Но с коммуникацией я ни у кого проблем не замечал.

– Бывают провалы? Тяжело даются?

– Самый первый пентест был очень провальным. Ребята со стороны Заказчика были какие-то натренированные, мы ничего не нашли, фишинг не сработал, вирусню никто не открыл. Ощущалось тяжко, но я справился.

– Тогда расскажи, пожалуйста, о своем первом успешном пентесте.

– Первый успешный пентест... Да, он был очень сумбурный, но веселый. Сначала как-то не шло, где-то с месяц, это обычная ситуация. Чтобы подобрать пароли от учетных записей в одном сервисе, пришлось писать специальную утилитку прям в новогодние каникулы :-). Подобрали пароль у пользователя – Aa123456. Это вышло абсолютно случайно, такого пароля вообще не должно было быть в списках :-). Потом проверяли у Заказчика его сетевое оборудование, и как-то вышло так, что смогли залогиниться с учетным данными cisco:cisco на маршрутизаторе Заказчика. Не рассуждая, почему это получилось, сразу же сделал себе доступ внутрь. Буквально за 6 часов вся его внутренняя сеть стала нашей – дело техники. Ну а потом началось самое скучное: отчеты, аналитика, статистики… Это самая неинтересная часть пентеста, но самая нужная.

– Сколько времени в среднем уходит на взлом одной организации?

– Всё, конечно, зависит от организации, но в среднем от двух недель до месяца неспешной работы командой из 2-3 человек.

– А банк взломать сложно?

– У меня такого опыта пока не было, но я слышал истории от коллег – и да, это достаточно тяжелый процесс. Но реальный!

– А можно ли взломать систему управления дорогами, например?

– В современных реалиях - можно. Современные технологии упрощают жизнь не только операторам и администраторам таких систем, но и хакерам в том числе (тут можно прорекламировать мероприятие от одного вендора, но я этого делать не стану).

– Насколько всё это близко к тому, что показывают в фильмах? Может, есть любимый фильм, освещающий тему?

– Современные сериалы и фильмы отлично освещают тему! Для примера, взять нашумевший фильм "Мистер Робот". Сценаристы и режиссеры фильма проводили регулярные консультации с хакерами – это круто. Вот раньше было что-то на грани фантастики, но зато атмосферно. Любимый фильм – "Хакеры" 1995 года. "Hack The Planet" - девиз по жизни.

– Правда, что из пентесторов получаются лучшие безопасники?

– Необязательно быть пентестером (это немного перебор), но иметь понимание того, как злоумышленники атакуют, является обязательным для хорошего безопасника. А если имеются какие-то хакерские навыки и опыт - это прям отлично!

– Чувствуешь ли ты превосходство над обычными разработчиками?

– "Ломать - не строить!". Одно дело – искать уязвимости, другое - писать огромный и сложный продукт.

– Дашь совет своим потенциальным конкурентам: где и как можно научиться пентесту, какие скиллы нужны, чтобы преуспеть?

– Прежде всего, необходимо иметь желание. Для повышения своих навыков и знаний есть специальные платформы для взлома различных машин, например, HackTheBox, root-me.org или TryHackMe. Для совсем начинающих ребят и студентов рекомендую начать с соревнований CTF (Capture The Flag). С помощью CTF можно получить базовые навыки во взломе web-приложений, криптографии, поисков бинарных уязвимостей и обратной разработке. Если говорить о курсах, то я бы порекомендовал курс "Базовые методы тестирования на проникновение" от САИБ , курс от Codeby по WAPT и PWK OSCP . По поводу скиллов: критическое мышление, понимание компьютерных сетей и принципов построения приложений, программирование. Это прям базовые вещи.

– Ну и последний вопрос: представь себе, что все проблемы с безопасностью будут решены. Что будешь делать, чем займешься?

– Они решены не будут – это факт. Но если прям представить такой мир, то, наверное, занялся бы разработкой или робототехникой, применял бы хакерские навыки там. А еще можно было бы создать новые проблемы :-).

Интервьюер: Анастасия Рец


Наш блог на Яндекс.Дзен
pentest пентест
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

ООО «Акстел-Безопасность»

Axxtel - команда экспертов в области информационной безопасности занимающая ведущие позиции в СФО. Мы следим за последними новинками и тенденциями в области информационной безопасности и создаем их. Всегда рады узнать новое и поделиться своим опытом.