Как хакеры выбирают светлую или темную сторону, учатся взламывать компьютерные системы и что думает сообщество специалистов по кибербезопасности о хакерах из России
Хакеры условно делятся на «белых» и «черных»: первые легально проверяют ИТ-системы, а вторые вламываются в них для кражи информации. О жизни «белого» хакера Forbes рассказала Пола Янушкевич, создавшая свою компанию по информационной безопасности CQURE.
Как вы живете? Приходите в офис каждый день и работаете до вечера? Или вы можете выбирать время и место для работы?
Я бы хотела выбирать место для работы, но не могу. Технически это возможно, но моя роль в компании требует присутствия на территории заказчиков. Поэтому я всегда в поездках, посещаю разные страны. Чтобы провести внутренний пентест, приходится приезжать к заказчикам. Внешний можно проводить хоть на пляже.
Как вы проводите пентесты (тест защищенности ИТ-систем от несанкционированных проникновений)? Вы выбираете подходящее время для кибератаки? Или вы можете тестировать компании в любое время и в любом месте, и тестирование — исключительно технический вопрос?
В итоге все сводится к технике, но есть нюансы. Например, если клиент не работает ночью, лучше провести тест в это время. Когда мы делаем [дневные] пентесты для компаний из США, то можем работать всю их ночь, находясь в Европе, и это нормально. Но, как правило, предпочитаем обычный рабочий день — так проще и все счастливы. Нам не нравится работать всю ночь, но такое случается.
Часто мы тестируем копию сайта или сервиса. Например, недавно мы делали пентест пользовательских приложений для одного банка. Пришлось работать с копией системы, потому что на сайте был огромный трафик. А если при выполнении теста возникнут проблемы, это негативно повлияет на имидж банка.
У вас есть заказчики, которые просят делать настоящие пентесты в режиме реального времени?
Да, разумеется. Иногда мы делаем это в обычный рабочий день. Они предупреждены об этом, они находятся «в режиме ожидания». Если что-то случается, они сразу на связи, они ждут от нас звонка, чтобы разобраться с ситуацией. Однажды при тестировании в реальном времени мы «уронили» сайт, потому что сервис не мог справиться с таким количеством запросов. Между прочим, это была одна из компаний, сотрудничающих с российскими предприятиями нефтяной отрасли. Это шокировало заказчика, они целый день разбирались, как такое могло случиться. Все может произойти, но у нас нет цели «сломать» сайт, наша задача — показать слабые точки для атаки.
В любом случае, нужно проводить оба теста, внутренний и внешний?
Зависит от обстоятельств. Некоторые заказчики не хотят делать тест на проникновение изнутри компании: «Нет, нет, потому что, когда вы будете это делать, вы можете нас взломать». И мы думаем: «Бог мой, и зачем тогда делать пентест?» В таких случаях делаем только внешний тест. Лично мне не кажется это правильным: почему бы не сделать внутренний тест, если делаем внешний? Мы стараемся объяснить, но…
Как стать хакером
Вы начинали с хакерства или всегда были инженером информационной безопасности (ИБ)? Как правильно назвать вашу сферу?
Делала ли я что-то незаконное? Да, но было ли это правонарушением, если никто об этом не знает? А может, ничего такого вообще не было.
Когда у вас появился интерес к этой профессии?
Я всегда работала в сфере безопасности. В технологии я погружалась постепенно. Отвечала за безопасность школьной сети. Тогда мне было 17, я не очень в этом разбиралась, но очень хотела заниматься ИБ. Я искала свой путь. Понимаете, в 17 лет сложно понять, что стоит делать, а что — нет. Есть только то, что хочешь делать: это классно, я хочу этим заниматься. Но хорошо ли это для будущего — я не знала.
И мы не знаем, что с нами будет завтра.
Да, точно.
Какую первую операционную систему вы взломали? ОК, протестировали на уязвимость.
Их две было — Windows и Linux.
«Windows была первой системой, которую я взломала». Хороший был бы заголовок…
В то время Windows и Linux использовали разные системы безопасности. Это было время «NT4.0» (операционная система Windows, вышедшая в 1996 году — Forbes). Тогда все знали, что, если не изменить определенный параметр, компьютер взломают. Находить уязвимости было проще. Сейчас хакерские атаки научили нас защищаться, поэтому мы сейчас в несколько лучшем положении.
Какая из ОС лучше и безопаснее: Windows, MacOS, Linux?
В итоге важно, что системы значат для бизнеса. Наиболее используемая операционная система — это Windows, мы все это знаем. Для Mac и Linux тоже существуют программы-вымогатели. Просто они по-другому попадают в систему. Разница есть и в доступности решений. Вопрос в том, есть ли компании и сколько их, которые могут обезопасить вашу систему. Не обязательно создавать реальную угрозу информационной безопасности, но проверка защитной инфраструктуры улучшит эту безопасность и минимизирует риск проникновения в ваши системы.
Что скажете об уровне безопасности B2B-систем в мире? Они готовы к кибератакам?
Абсолютно каждый раз, делая пентест, мы проникаем в систему. Давайте я так это скажу. Взломать можно кого угодно, каждый раз у нас получается их взломать.
И это неудивительно. Потому что есть много вещей, о которых им никто не рассказал. Приемлемого обучения для специалистов по безопасности просто не существует. Разумеется, есть некоторые курсы, тренинги и так далее, но даже если вы платите за университет или обучаетесь бесплатно, как-то еще учитесь, то к кибербезопасности нет прямой дороги. К тому же не все могут позволить себе учиться, а как вы можете стать хорошим специалистом в сфере безопасности, если не можете эту учебу оплатить?
Но никто не будет давать вам образование бесплатно, потому что это очень специфические знания. Это такая естественная ниша. Financial Times предсказывает, что к 2019 году в мире будет потребность в 6 млн специалистов по информационной безопасности, но с современными темпами развития, на рынке будет доступно примерно 4 – 5 млн. Так что для ребят, которые будут на рынке, ситуация замечательная. Все в них нуждаются. И будут нуждаться еще больше, но это, конечно, нездоровый рынок. Есть проблема обучения специалистов по безопасности.
Инженер по кибербезопасности — профессия будущего?
Да.
Тогда какой наилучший способ получить ее, если университеты не готовят к ней в должной мере? Онлайн-курсы?
Существует множество бесплатных ресурсов, но предпочтительны, конечно, систематизированные знания. В интернете есть много разных курсов. Они стоят недорого. Можно приобрести такой курс и систематизировать свои знания. Но проблема этих курсов в том, что они больше рассказывают о приемах взлома. И это так называемые «дешевые приемы взлома». И к тому же они тренируются на не очень реалистичных средах. На мой взгляд, лучший способ — самостоятельно обучать специалистов. И это, например, то, что делает наша команда.
Мы делаем это, потому что у нас есть нехватка сотрудников. Появляется все больше проектов, и мы их откладываем, откладываем, потому что времени нет. Мы нанимаем людей с хорошим подходом к работе. Этого достаточно, чтобы получать потрясающие результаты. Все остальное приложится. Мы тестируем их в разных направлениях, отправляем их к нашим инженерам, часто берем на наши мастер-классы, а затем опять проводим тесты — они должны развиваться. У таких студентов есть возможность путешествовать. Или, например, когда мы проводим пятидневный мастер-класс, новый сотрудник может стать дополнительным участником.
Хороший вариант для молодых людей — устроиться в компанию вроде нашей. Но в сфере безопасности надо сделать серьезные вложения, чтобы потом предоставлять фантастический сервис. Поэтому оплата может выглядеть по-разному, но она должна быть. Мы обучаем на контрактной основе, с гарантийным взносом. Позднее деньги за обучение вам вернутся, но зато у вас будет возможность в течение 2-3 лет работать в хорошей команде, проходить тренинги, получать полезные инструменты, знания, видеть реальные среды, по возможности помогать команде. В то же время, мы берем залог за обучение. И это единственный возможный вариант, на мой взгляд.
Мы не можем инвестировать в сотрудника, чтобы потом он сказал: «Ладно, спасибо, до свидания». Чтобы удержать человека в компании, обучите его, помогите ему сформировать ценные навыки и сделайте, чтобы он остался. Но это лишь мое мнение.
Сколько человек сейчас работает в вашей компании?
Это смотря как считать. В штате у нас 20 человек. И 36 контракторов. Но контракторы работают у нас по несколько недель ежемесячно. Так что это практически штатная работа.
А сколько молодых сотрудников?
Около 30 — примерно половина. Этих людей мы обучаем, потому что у некоторых из них совсем нет опыта.
Вы принимаете их на работу сразу после университета?
Да. И это ужасно. Потому что до определенного момента непонятно, с кем вы имеете дело. С виду все хорошо, а потом… Молодое поколение у нас имеет ужасную репутацию, и мы не очень этим довольны. Поэтому выбираем только тех, кто вписывается в команду. Ошибались мы дважды.
У вас есть сотрудники из России?
Пока не было. Но мы сейчас открываем новые рынки, потому что мы видим в этом перспективу. Так что, кто знает, возможно, у нас появится кто-то из России.
Мы почти каждый день слышим о кибератаках с участием российских хакеров. Русские якобы атаковали Трампа, Yahoo, Sony, нет, простите, это Северная Корея нашла уязвимости в инфраструктуре Sony. Действительно ли российские хакеры такие умные и так востребованы в качестве аутсорсеров? Или это просто штампы и заблуждения СМИ?
Нет, это действительно так. У вас высокий уровень знаний в этой области. Многие хакеры действительно из России. Я думаю, но это только мое мнение, что этому способствуют трудности в трудоустройстве для людей, живущих в удаленных городах. Им проще найти удаленную работу, чем офисную: можно быть разработчиком, а можно — пентестером. Эта позиция позволяет вам работать удаленно откуда угодно, ведь безопасность важна для многих. Если у вас есть возможность обучиться в офисе компании, и вы хотите работать консультантом, придется ездить в Москву, Краснодар, Санкт-Петербург и другие города, где находятся компании-заказчики. Но если вы живете в другом месте, это [работа разработчиком или пентестером] станет отличной возможностью.
Такая ситуация во многих странах. Например, в Румынии есть достаточно удаленный город Клуж — это место разработчиков и специалистов по безопасности. В нашей стране есть что-то-подобное. Боже мой! Это фантастика. Работать можно из любой точки мира. В целом, по статистике, у людей из России очень высокий уровень интеллекта и аналитического мышления. Русские — большие молодцы.
«Черные» хакеры — молодцы?
И «черные», и «белые». Вопрос в том, что, если у вас высокая квалификация, вы можете заработать больше денег. А дальше уже большое значение имеют вопросы этики. Эти два фактора определяют выбор: если человек видит потенциальный доход и у него не возникает проблем с этическими принципами, тогда у него есть два пути.
Вы — владелец компании. Зачем вы стали участником программы Microsoft MVP? Не накладывает ли это на вас какие-то обязательства? Какие дает преимущества?
Я участвовала в различных общественных проектах — от рассылки презентаций и исследований по итогам конференций до различных мастер-классов и организации мероприятий. Например, я организовывала Woman in Technology Park, сейчас на это у меня уже нет времени. Затем это перешло в выступления на конференциях и подготовку статей для блогов — это можно делать удаленно.
Благодаря статусу MVP (присваивается выдающимся IT-специалистам, которые вносят интеллектуальный вклад в развитие технических сообществ — Forbes) и участию в программах по безопасности, я имею доступ к исходному коду Windows. Речь не о 100% кода, естественно. Я получила его с момента выхода Windows XP, то есть примерно 8 или 9 лет назад. Возможно, это дает моей компании чуть больше преимуществ, потому что мы всегда можем проверить наши гипотезы, тогда как другим специалистам это сделать сложнее. Это самое приятное.
Представьте себе, что все проблемы с безопасностью будут решены. Что вы будете делать?
Буду лежать на пляже. Но если серьезно — интересный вопрос. Какой будет моя вторая профессия? Скорее всего, я продолжу работать в ИТ. Но, если абсолютно все проблемы в ИТ будут решены, я, вероятно, перейду к математике, потому что это аналитическая и строгая наука. Скорее всего, я буду что-то где-то продавать, заниматься транзакциями, потому что мне нравится математика. Где-нибудь на Уолл-стрит.