На связи Positive Education, и мы продолжаем цикл публикаций о профессиях в сфере кибербезопасности. Потребность в таких экспертах растет с головокружительной скоростью, и сейчас это уже не одна профессия «специалист по информационной безопасности». Внутри отрасли сформировались более узкие специальности (ранее публиковали схему профессий), и мы решили рассказать о 10 самых трендовых профессиях в сфере кибербезопасности (о первых двух можно почитать здесь и здесь). Сегодня хотим познакомить вас с белым хакером — человеком, который последние 15 лет развивает это направление в России.
Привет, Хабр!
Меня зовут Дмитрий Серебрянников, и я хакер. Поправка: белый хакер. Я прежде всего исследователь — проверяю технологии на безопасность. Хорошие специалисты в нашей профессии — на вес золота. Хотите прокачать себя и стать лучшим? Тогда читайте дальше: я расскажу, что нужно сделать, чтобы попасть в мир белых хакеров — этично и без взлома.
Дмитрий Серебрянников — директор по анализу защищенности в Positive Technologies. Специализируется на поиске уязвимостей в программном коде веб-приложений, анализе защищенности сетевой инфраструктуры и систем на разных платформах. За обнаружение уязвимостей Дмитрия неоднократно благодарили Adobe, Apple, Google, Red Hat. Имеет сертификаты Microsoft Certified IT Professional (Enterprise Administrator on Windows Server 2008) и OSCP (Offensive Security Certified Professional).
Кто такой белый хакер
Простыми словами, белый хакер — это специалист по компьютерной безопасности, который исследует ИТ-системы и ищет в них уязвимости, но, в отличие от черных хакеров, действует этично — помогает компаниям обнаружить и устранить бреши в защите, чтобы в дальнейшем не допустить реальных атак.
Поле деятельности белых хакеров внушительно: приложения, сети, «железки», Wi-Fi… Разберем на примере веб-приложений. Допустим, мы получаем задачу провести анализ защищенности приложения. Нам могут дать только сайт и, если есть форма авторизации, учетные записи с правами (пользователя, администратора) — тогда мы тестируем разные сценарии, но ищем в основном наугад: что-то находится, а что-то может остаться незамеченным. Другое дело, если предоставляют исходные коды: мы видим, как написано приложение, можем изучить конкретные механизмы обхода — анализ получается глубже, а результаты достовернее. После проверки готовим детальный отчет, где по шагам описываем, что делали, какие методики использовали, что обнаружили и как это можно устранить.
Что означает «хакерский подход»
Для себя я сформулировал три составляющие хакерского подхода:
Первая — это критическое мышление, способность посмотреть на любую ИТ-систему с позиции ее слабых мест. Мало знать, как система работает, — нужно уметь формулировать гипотезы (например, как вызвать нетипичное поведение программы, чего разработчики могли не предусмотреть).
Вторая составляющая — готовность развиваться. В работе хакера всегда будут возникать новые условия — не получится каждый раз действовать по шаблону. Допустим, ты научился забивать гвозди и делаешь это хорошо. Но появляется задача забить гвоздь в невесомости — и вот тебе уже нужно применить свои навыки в новой среде, а главное — разобраться, как это сделать.
Наконец, третья — увлеченность. Белый хакер — профессия редкая. Как правило, это люди, превратившие хобби в работу. Строго говоря, классического линейного пути в профессию нет. Схема «я хочу быть юристом — пойду на юридический, там меня научат» в нашей сфере не работает. Все идет от интереса. Ты начинаешь изучать, увлекаешься все больше, посвящаешь хакерству много свободного времени… а затем осознаешь, что можно заниматься этим постоянно, сделать это своей работой.
Я пришел в хакеры именно так — через интерес. Мне было 15, я мечтал стать археологом, но у меня появился компьютер... и понеслось! Сначала наткнулся на тематическую статью, начал изучать глубже — а это был 2004 год, материалы приходилось собирать по крупицам. Так я посидел год на разных форумах, поразбирался — и понял, куда хочу двигаться.
Сейчас ситуация с источниками информации изменилась кардинально: ее поток обширен, обзоры и сообщения в соцсетях можно найти по любому направлению — как только кто-то выпускает интересную статью об атаке, ее быстро распространяют. Нам важно быть в курсе всего, что происходит, а особенно — того, что оказывается «под радарами», но не получает широкой огласки. Например, в китайском сегменте последнее время много хороших материалов, но они малоизвестны.
Как развиваться белому хакеру
У нас очень честная профессия. Люди вместе работают на проектах, и сразу видно, кто что делает, какие уязвимости находит, насколько глубоко копает. Здесь не получится изображать из себя суперкрутого, твой реальный уровень будет виден уже на первых проектах. Вообще наша сфера очень творческая. Часто на старте понятен только образ результата — чего необходимо достичь. Допустим, на внешнем тестировании на проникновение клиент ставит задачу «пробить» периметр компании, но как это сделать — неизвестно. Если в периметре есть «коробочный» продукт, можно его поисследовать. Если предусмотрены формы авторизации, можно попробовать подобрать пароль. Если код самописный, не идентифицируется как вендорское решение, включается творчество. В любом случае цель одна — получить доступ во внутреннюю сеть, и каждый действует как умеет. Мы, как художники, ищем, пробуем, комбинируем подходы, методологии и стили, чтобы в итоге получилось произведение искусства. При этом действуем командой.
Как же достичь успеха в профессии? Во-первых, важно не останавливаться. Новые техники, технологии, языки… Буквально за пару месяцев в отрасли происходит много изменений, и если не изучить их, то потом придется долго наверстывать. Во-вторых, конечно, должна быть практика на реальных задачах. Нельзя просто пройти обучение и отточить навыки на стенде — нужно много раз столкнуться с живыми системами, научиться ломать их в реальных проектах. В-третьих, и это ключевое, важна насмотренность. Чем больше разных кейсов ты встретишь и сможешь самостоятельно победить, тем проще будет решать новые задачи.
Гонка между теми, кто нападает, и теми, кто защищается, была и будет всегда. Возрастает ее сложность, технологическая оснащенность, скорость реагирования, в конце концов. Уровень защищенности, который был, к примеру, 10 лет назад, не сравнить с нынешним. Соответственно, и порог входа в профессию становится выше. Однако основополагающий принцип — тот самый хакерский взгляд на систему с позиции возможности ее обхода — остается неизменным.
Бонус! Как стать белым хакером: пошаговая инструкция
Прежде всего определитесь с направлением. Белый хакер — это общее название профессии, а специализаций множество: тестирование на проникновение, анализ защищенности веб-приложений, анализ защищенности мобильных приложений, анализ защищенности ДБО. Выберите, что вам интересно и в чем вы хотите развиваться.
Читайте статьи по выбранному направлению. Находите людей, которые регулярно пишут об атаках и уязвимостях, подписывайтесь, вступайте в комьюнити. Хакеры, как правило, общаются в Твиттере: там очень быстро распространяется информация. Как только появляется новая уязвимость, об этом обязательно кто-то постит, а многие ретвитят. Например, загляните в наш блог PT SWARM и посмотрите, кого мы читаем.
Нужна практика. Если хотите изучить безопасность веб-приложений, начните с академии PortSwigger: она бесплатная, предлагает много обучающих материалов, в том числе лабораторных работ. Главное — пробуйте что-то сделать самостоятельно: даже самые глубокие теоретические знания не смогут дать полноценной прокачки в профессии. Хакеров-теоретиков не бывает.
Чувствуете, что готовы к реальным задачам? Проверьте свои силы, приняв участие в программе bug bounty, где белые хакеры ищут уязвимости и зарабатывают на этом. Заодно сможете оценить свой реальный уровень.
Кроме того, рекомендую изучить конкретные системы и технологии. Это поможет понять, как они устроены. Например, в свое время я пошел на курсы Cisco, но не с целью научиться строить сети, а чтобы уметь их взламывать. Где могут быть ошибки конфигурации? При каких условиях защита будет работать, а когда даст сбой? Чем глубже знание технологии, тем проще найти в ней уязвимое место.
Полезно разбираться в коде — понимать, где он плох с точки зрения безопасности. Изучайте языки программирования. Чем больше вы будете знать, тем лучше. Это расширяет границы мышления, а белому хакеру, как никому другому, важно постоянно развиваться.
Какие вызовы стоят перед белыми хакерами
Главный вызов для нас сегодня — кадровый голод. Взять, к примеру, мою команду: загрузка по проектам настолько высока, что в декабре у нас полностью расписано первое полугодие следующего года. Мы физически не успеваем отработать весь поток запросов.
Как я уже писал ранее, белый хакер — профессия редкая, специалистов нужно растить, развивать. И мы готовы это делать. В этом году мы планируем запустить обучение для развития белых хакеров — лекции, учебные материалы, отработку навыков на стендах. При этом порог входа в программу будет минимальным: наша задача — провести человека от начального «я знаю, что такое IP-адрес, и умею устанавливать Windows» до уровня продвинутого специалиста. А лучших — пригласить к себе в команду.
P. S. Кстати, совсем скоро, 25 мая, в рамках киберфестиваля Positive Hack Days 2 состоится Молодежный день, на котором команда Positive Education будет рассказывать о востребованных специальностях в сфере ИБ и проведет тематический квест, где желающие смогут «примерить» профессию специалиста по ИБ, в том числе попробовать себя в роли белого хакера. Мероприятие будет проходить одновременно в Москве, Санкт-Петербурге, Казани и Нижнем Новгороде. Посмотреть подробную программу и зарегистрироваться на Молодежный день можно по ссылке. Вход бесплатный.
JaneGame
Добрый день! Спасибо за статью. Во время обучения на курсах действительно заинтересовала тема тестирования на проникновение, очень жаль, что ему было отдано так мало времени=( Недавно вернулась к этой теме, для начала решила прошерстить вакансии на эту тему, чтобы понять какие требования к людям без опыта и... видела всего несколько таких вакансий=(( Честно говоря, такая ситуация сильно демотивировала, т.к. если я во что-то вкладываю силы мне хочется иметь хоть какие-то шансы на успех, а при таком раскладе они околонулевые. Скажите, пожалуйста, где лучше искать подобные вакансии? Или работу "с нуля" реально найти только по "внутренним" каналам?