РУССКИЙ
РУССКИЙ
ENGLISH
26 февраля 2021

Пентесты в Group-IB

Как работают "белые шляпы" и как стать одним из них
Вы навер­няка задумы­вал­ись о том, что­бы зараба­тывать день­ги пентестом, а так­же о том, где прак­тиковать­ся, чему и как учить­ся и как при этом не нарушать закон. Специалисты Group-IB рассказали об этом и многом другом в интервью «Хакеру».
Андрей Брызгин
Руково­дитель депар­тамен­та ауди­та и кон­салтин­га
Group-IB
Павел Супрунюк
Тех­ничес­кий руково­дитель депар­тамен­та ауди­та и кон­салтин­га Group-IB
Слава
Руководитель отдела технического аудита
Group-IB
ДАВАЙ­ТЕ ДЛЯ НАЧАЛА КАЖ­ДЫЙ ИЗ УЧАС­ТНИ­КОВ ПРЕД­СТА­ВИТ­СЯ И РАС­СКА­ЖЕТ НЕМ­НОГО О СЕБЕ.
Андрей:
Меня зовут Андрей, я руково­дитель депар­тамен­та ауди­та и кон­салтин­га в Group-IB. В пер­вую оче­редь я менед­жер, и моя основная задача в том, что­бы всем работа­лось ком­фор­тно, а коман­да рос­ла. Во вре­мя уче­бы на инфо­без­ной спе­циаль­нос­ти в род­ном Челябин­ске я вре­мя от вре­мени посещал что‑то вро­де «хакер­ско­го круж­ка», где поз­накомил­ся с кучей инте­рес­ных и сей­час дос­таточ­но извес­тных в ИБ‑шке людей, вклю­чая Пашу, который ходил туда зна­читель­но более регуляр­но.
Павел
При­вет, я Павел, тех­ничес­кий руково­дитель депар­тамен­та. Про­вожу кон­троль качес­тва, фор­мирую стра­тегию тех­ничес­кого раз­вития, при­думы­ваю тех­ники и инс­тру­мен­ты для исполь­зования на про­ектах. Моя задача — опре­делять, куда и как кон­крет­но мы дви­жем­ся в пла­не исполь­зуемо­го инс­тру­мен­тария и его совер­шенс­тво­вания.
Слава
При­вет всем, я Сла­ва, руково­дитель отде­ла тех­ничес­кого ауди­та, непос­редс­твен­но воз­глав­ляю коман­ду пен­тесте­ров и ана­лити­ков защищен­ности. Я при­нимаю про­екты в работу, раз­биваю на задачи, передаю задачи иссле­дова­телям, кон­тро­лирую их исполне­ние, задаю вся­кие неудоб­ные допол­нитель­ные воп­росы по док­рутке век­торов атак, собираю пер­вичные дан­ные до переда­чи тех­писате­лям и вычиты­ваю финаль­ные вер­сии отче­тов, которые потом пре­дос­тавля­ются кли­енту. Кро­ме того, управляю про­цес­сами про­фес­сиональ­ного рос­та иссле­дова­телей: получе­ния сер­тифика­тов, раз­вития навыков, вклю­чая так называ­емые софт‑скил­лы. Моя задача — обес­печить поток про­ектов ана­лиза защищен­ности с пред­ска­зуемы­ми сро­ками и высоким качес­твом.
НАЧ­НУ С КОЗЫРЕЙ: GROUP-IB ИЗВЕС­ТНА В ОСНОВНОМ НЕ БЛА­ГОДА­РЯ АУДИ­ТАМ. КОГ­ДА ПРИ­МЕР­НО ВЫ СТА­ЛИ ДЕЛАТЬ УПОР НА ЭТО?
Андрей:
На рын­ке Group-IB вос­при­нима­ют по‑раз­ному. Навер­ное, мно­гие читате­ли xakep.ru нас счи­тают эта­ким кибер­спец­назом, который ско­рее ловит прес­тупни­ков из засады, чем про­водит тес­ты на про­ник­новение. Это очень непол­ная кар­тина. Помимо исто­ричес­кой экспер­тизы по форен­зике (кибер­кри­мина­лис­тика. — Прим. ред.) и рас­сле­дова­нию высоко­тех­нологич­ных прес­тупле­ний, у Group-IB есть нас­тоящий круг­лосуточ­ный CERT (Центр реаги­рова­ния на инци­ден­ты кибер­безопас­ности), кста­ти, пер­вый ком­мерчес­кий в РФ и Вос­точной Евро­пе, решения для антифро­да и защиты интеллек­туаль­ной собс­твен­ности, мощ­ный блок про­дук­тов для пре­дот­вра­щения атак, осно­ван­ных на иссле­дова­нии ата­кующих, ну и, конеч­но, аудит, который так­же пита­ется все­ми дан­ными, получа­емы­ми дру­гими нашими отде­лами, и в свою оче­редь под­питыва­ет их акту­аль­ной экспер­тизой.

Нап­ример, пен­тестер может общать­ся с кибер­кри­мина­лис­том и при­менять те же тех­ники ана­лиза раз­личных девай­сов. Узна­вать, как не оставлять сле­дов при ред­тимин­ге, как понять, что в изу­чаемой сис­теме ты не единс­твен­ный пен­тестер, пос­мотреть на при­меры наг­рузок из реаль­ных атак и узнать, как они скры­вают­ся от детек­тов. Group-IB в этом пла­не прек­расное мес­то для молодых спе­циалис­тов, жаж­дущих раз­носто­рон­него опы­та и воз­можнос­тей видеть «в дикой при­роде», как работа­ют ребята из Threat Intelligence, что уме­ют трет­ханте­ры, кри­мина­лис­ты, вирус­ные ана­лити­ки, рес­понсе­ры, антифрод‑спе­циалис­ты.

Аудит в Group-IB был всег­да, но до опре­делен­ного момен­та он был внут­ренней фун­кци­ей, не про­дающей­ся на рын­ке.
КОГ­ДА ВЫ НАЧАЛИ ПРО­ДАВАТЬ ПЕН­ТЕСТЫ? НА ЧЕМ ВЫ СПЕ­ЦИАЛИ­ЗИРУ­ЕТЕСЬ?
Андрей:
При­мер­но десять лет назад аудит стал ком­мерчес­ким. Конеч­но, мы дела­ем клас­сичес­кие тес­ты на про­ник­новение, воз­можнос­тей для которых у нас нес­коль­ко боль­ше, чем у мно­гих на рын­ке, за счет синер­гии наших нап­равле­ний, о которых я рас­ска­зал выше. Ну и конеч­но, услу­ги по оцен­ке защищен­ности как инфраструк­тур в целом, так и отдель­ных объ­ектов — хорошо про­дава­емое и вос­тре­бован­ное нын­че нап­равле­ние ауди­та. Цель здесь — обна­ружить уяз­вимос­ти и недос­татки с раз­ным уров­нем рис­ка. Сей­час в свя­зи с пан­деми­ей ана­лиз защищен­ности стал еще популяр­нее: про­дажи активно ушли в онлайн и теперь все нуж­дают­ся в самых раз­ных про­вер­ках.

На путь про­даж услу­ги Red Teaming — ими­тации хакер­ских атак с исполь­зовани­ем реаль­ных инс­тру­мен­тов ата­кующих — мы всту­пили пер­выми в РФ. До нас рус­ский ред­тиминг пред­став­лял собой нес­коль­ко полу­инха­усных про­ектов, а сей­час мно­гие кон­курен­ты так­же с тем или иным успе­хом пыта­ются запус­тить услу­ги по ред­тимин­гу.

Ито­гом аудит — это боль­шой биз­нес в сос­таве Group-IB, ока­зыва­ющий услу­ги по все­му миру. Мы активно рас­тем и ищем раз­ных людей, которые уме­ют в пен­тест, могут оце­нивать и налажи­вать про­цес­сы ИБ, а не толь­ко искать уяз­вимос­ти ска­нером.
Слава:
Я бы добавил, что пен­тесты и ред­тиминг час­то пута­ют, осо­бен­но в Рос­сии, но мы всег­да под­черки­вали, что ред­тиминг — это сов­сем дру­гой вид работ, пред­назна­чен­ный для зре­лых заказ­чиков и кру­тых сис­тем. Это ком­плексная ими­тация слож­ных атак с исполь­зовани­ем самых раз­ных методов и инс­тру­мен­тов — таких же, что исполь­зуют реаль­ные зло­умыш­ленни­ки. Здесь мы можем раз­вернуть­ся мак­сималь­но (но, конеч­но, в рам­ках кон­трак­та).

Ред­тиминг может начать­ся с раз­ведки, OSINT, а про­дол­жить­ся, к при­меру, под­бро­сом флеш­ки. В пен­тесте же как раз наобо­рот — там есть пос­тавлен­ные задачи, кон­крет­ный перечень работ и соот­ветс­тву­ющие век­торы атак. Все это рег­ламен­тирова­но по вре­мени и по кон­крет­ным пра­вилам.
Ковырять периметры становится все сложнее.
ДАВАЙ­ТЕ ПОГОВО­РИМ О ГОРЯЧИХ ТРЕН­ДАХ В ПЕН­ТЕСТИН­ГЕ. ЧТО ЗА ПОС­ЛЕДНИЙ ГОД ИЗМЕ­НИЛОСЬ В СВЯ­ЗИ С ПАН­ДЕМИ­ЕЙ? КАКИЕ ПРОГ­НОЗЫ НА БЛИ­ЖАЙ­ШЕЕ БУДУЩЕЕ?
Слава:
Если мы говорим о мас­совых рыноч­ных про­цес­сах, то я бы обра­тил вни­мание на то, что ковырять перимет­ры ста­новит­ся все слож­нее. Весь мир активно перехо­дит в веб, сни­жая количес­тво самос­тоятель­но обслу­жива­емых сер­висов, веро­ятность про­боя некор­рек­тно нас­тро­енных он‑прем‑решений сни­жает­ся вмес­те с их количес­твом, и поэто­му на перед­ний план выш­ли зна­ния веб‑тех­нологий и облачных решений.

Кста­ти, ког­да у нас спра­шива­ют, как раз­вивать­ся в прак­тичес­кой ИБ «с нуля», мы уже дав­но рекомен­дуем начинать с веба. В этой области дос­тупно мно­го бес­плат­ных матери­алов, по которым мож­но учить­ся, и этот навык опре­делен­но при­годит­ся каж­дому иссле­дова­телю.

Я бы не стал кивать в сто­рону пан­демии: и до нее мы наб­людали активный переход на облачную инфраструк­туру, в том чис­ле на рос­сий­ском рын­ке, но с вес­ны 2020-го про­цесс зна­читель­но уско­рил­ся, так как аргу­мен­тов к пере­езду в обла­ка добави­лось. Фор­мат работы ком­паний изме­нил­ся. Уда­лен­ка теперь есть у мно­гих, а зна­чит, появ­ляют­ся и необ­ходимые для это­го сер­висы. Инте­рес­но, что Рос­сия ока­залась более готова к уда­лен­ке, а вот в Евро­пе мно­гим кли­ентам понадо­бил­ся серь­езный тайм‑аут, что­бы поменять фор­мат и про­дол­жить нор­маль­ную работу
Павел:
Прак­тичес­кая безопас­ность неот­рывно свя­зана с раз­работ­кой и адми­нис­три­рова­нием. Со вре­менем тех­нологии силь­но усложни­лись. И я сог­ласен — это не за пос­ледний год, тут тренд дли­ной в семь‑десять лет.

В вебе появи­лось мно­го фрей­мвор­ков, которые, казалось бы, при дол­жном исполь­зовании дол­жны зак­рывать типовые уяз­вимос­ти. Так оно и про­исхо­дит, тем не менее уяз­вимос­ти сох­раня­ются, прос­то акцент смес­тился на слож­ные баги, которые свя­заны ско­рее с логикой при­ложе­ний и глу­боки­ми осо­бен­ностя­ми самого язы­ка. Такие ошиб­ки не най­ти обыч­ными средс­тва­ми фаз­зинга, не помогут их избе­жать и клас­сичес­кие самоп­ровер­ки вида «филь­труй кавыч­ки», которые любят раз­работ­чики.

В адми­нис­три­рова­нии похожие про­цес­сы. Если рань­ше мож­но было адми­нить отдель­ные опе­раци­онные сис­темы или служ­бы и чувс­тво­вать себя впол­не неп­лохо, то сей­час нуж­но хорошо знать инс­тру­мен­ты мас­сового управле­ния инфраструк­турами, клас­терами, кон­тей­нер­ные тех­нологии, эко­сис­темы и еще вдо­бавок понимать, как силь­но раз­ные ком­понен­ты интегри­рова­ны меж­ду собой.

По­это­му мы всег­да говорим, что хороший ауди­тор при­ложе­ний — это как минимум full-stack-прог­раммист, который уме­ет смот­реть на раз­работ­ку с обратной сто­роны. А хороший пен­тестер — это в любом слу­чае силь­ный админ‑инфраструк­турщик или сетевик. Для тех, кто еще не очень понима­ет, куда дви­жет­ся рынок и какое мес­то он хочет в нем занять, всег­да мож­но рекомен­довать адми­нис­три­рова­ние и веб‑раз­работ­ку как пер­вый этап. Точ­но не про­гада­ешь.
Говорят, что скоро пентестить будут нейронные сети, а всех пентестеров разжалуют в дворники, но скорее рынок пентеста просто сузится и вырастет профессионально.
МОЖЕТЕ ПОП­РОБОВАТЬ ПРЕД­СТА­ВИТЬ, ЧТО ЖДЕТ РЫНОК ЧЕРЕЗ ПЯТЬ ЛЕТ?
Слава:
Усложне­ние тех­нологий уже замет­но по обе сто­роны бар­рикад. Еще лет пять‑десять назад веб писали, оставляя кучу оши­бок. Мож­но было нат­равить ска­нер и получить в ответ целую прос­тыню кри­тичес­ких уяз­вимос­тей. Сей­час бла­года­ря стан­дартам и прак­тикам безопас­ной раз­работ­ки такое встре­чает­ся все реже. Ну то есть, если раз­работ­чик, далекий от ИБ, захочет сде­лать все безопас­но, он по край­ней мере най­дет те самые методич­ки, которые поз­волят обой­ти боль­шинс­тво кам­ней и граб­лей.

Са­ми уяз­вимос­ти тоже ста­новят­ся всё изощ­реннее. Раз­работ­чик ско­рее допус­тит ошиб­ку в биз­нес‑логике, чем SQL-инъ­екцию. Появ­ляют­ся уяз­вимос­ти и там, где их не жда­ли, — нап­ример, в пос­ледние годы все загово­рили о десери­али­зации. Еще не все фрей­мвор­ки спра­вились с этим, но, ког­да это про­изой­дет, поиск новых уяз­вимос­тей ста­нет еще более нет­риви­аль­ной задачей.

Взять то же адми­нис­три­рова­ние: рань­ше сер­веры адми­нис­три­рова­ли инди­виду­аль­но, а сей­час уже труд­но най­ти ком­панию, где нет сис­темы управле­ния кон­фигура­циями. Ник­то ничего не дела­ет вруч­ную, вмес­то это­го зада­ются пат­терны нас­тро­ек. В облачных сер­висах это тоже пов­семес­тно исполь­зует­ся. А даль­ше все законо­мер­но: количес­тво оши­бок сни­жает­ся, а слож­ность их нахож­дения рас­тет.

Так­же раз­вива­ются тех­нологии и средс­тва защиты, которые силь­но усложня­ют обна­руже­ние уяз­вимос­тей. Новые WAF, NGFW и NGAV говорят сами за себя. Даль­ше будет толь­ко слож­нее.

Нас регуляр­но пуга­ют тем, что ско­ро пен­тестить будут ней­рон­ные сети, а всех пен­тесте­ров раз­жалу­ют в двор­ники, но я думаю, что это бред. Прос­то рынок пен­теста сузит­ся и вырас­тет про­фес­сиональ­но — до тех спе­циалис­тов, которые могут рас­копать на про­екте дей­стви­тель­но нес­тандар­тные вещи. Конеч­но, ребята, для которых пен­тест — это запуск ска­нера с парой клю­чей, дол­жны будут подыс­кать себе новое занятие, но не думаю, что нор­маль­ным спе­циалис­там что‑то угро­жает. По край­ней мере, не так ско­ро.

В общем, нуж­но ждать силь­ной спе­циали­зации все­го и вся и еще боль­шего усложне­ния тех­нологий. И готовить­ся обго­нять прог­ресс.
Ребята, для которых пентест — это запуск сканера с парой ключей, должны будут подыскать себе новое занятие.
ЗАНЯТ­НО. А ОТКУ­ДА СТАР­ТОВАТЬ НАЧИНА­ЮЩЕ­МУ, ЧТО­БЫ ПРОД­ВИНУТЬ­СЯ В ЭТОМ ВСЕМ И БЫТЬ В ТРЕН­ДЕ? ЕСЛИ МОЖ­НО, ЧУТЬ ПОД­РОБНЕЕ, ЧЕМ «АДМИ­НОВ В ПЕН­ТЕСТЕ­РЫ, ПРОГ­РАММИС­ТОВ В ВЕБ­ЩИКИ».
Павел:
Я бы совето­вал в пер­вую оче­редь понять, что кон­крет­ному челове­ку инте­рес­но, с чем он уже зна­ком и в какую сто­рону хотел бы раз­вивать­ся. Не сто­ит гнать­ся за тех­нологи­ей, потому что она «мод­ная», — так желание раз­вивать­ся быс­тро выгорит. Мож­но най­ти немало инте­рес­ных вещей, прос­то слу­шая записи кон­ферен­ций, они дос­тупны бес­плат­но — дос­таточ­но поис­кать на YouTube.

Для прак­тики мож­но пореко­мен­довать пло­щад­ку Hack The Box, если мы говорим о прак­тичес­ком пен­тесте, или учас­тие в раз­личных Bug Bounty, где в пер­вую оче­редь мно­го сов­ремен­ного веба. Ког­да что‑то не получа­ется — фор­мулиро­вать воп­росы и гуг­лить, читать рай­тапы. Так­же необ­ходимо понимать, как имен­но работа­ют те инс­тру­мен­ты, которые ты при­меня­ешь на прак­тике.
В ЧЕМ, ПО‑ВАШЕМУ, ТИПИЧ­НАЯ ОШИБ­КА ТЕХ, КТО РЕШИЛ НАЧАТЬ СВОЙ ПУТЬ В ПЕН­ТЕСТ?
Слава:
Если человек понима­ет, что такое пен­тест, — уже хорошо. А если серь­езно: час­то видим, что кан­дидаты находят­ся в поис­ке еди­ной вол­шебной кни­ги, кур­са или дру­гого источни­ка, который научит все­му. Так не быва­ет. Дру­гая край­ность: люди впи­хива­ют в себя мегабай­ты тек­ста, зачас­тую не раз­бирая его качес­тва и вооб­ще необ­ходимос­ти имен­но им.

Важ­но иметь некото­рую сис­темную кар­тину вещей, пос­тоян­но ее рас­ширять и уметь быс­тро встра­ивать новые зна­ния в эту сис­тему. Не нуж­но так­же упи­рать­ся в один источник, иног­да выгод­нее бег­ло про­бежать­ся по нес­коль­ким, срав­нить, а затем выб­рать и деталь­но про­читать какой‑то один.

Как ни кру­ти, нужен англий­ский на уров­не чте­ния, так как подав­ляющее боль­шинс­тво источни­ков на нем. На рус­ском в этой сфе­ре читать даже вред­но, так как стол­кнешь­ся с перево­дом от энту­зиас­тов, которые не обя­заны перево­дить акту­аль­но и точ­но.
Наличие сертификатов у человека для нас — это дополнительные темы для разговора, а не абсолютный показатель знаний.
ДАВАЙ­ТЕ СФОР­МУЛИРУ­ЕМ, ЧТО НУЖ­НО ЗНАТЬ ПЕН­ТЕСТЕ­РУ, ЧТО­БЫ ОН МОГ ПРИЙ­ТИ К ВАМ В КОМАН­ДУ УЖЕ ПОД­ГОТОВ­ЛЕННЫМ, СО ЗНА­НИЕМ ВАШЕГО ПОД­ХОДА К ОТБО­РУ?
Павел:
Для прак­тичес­кой безопас­ности, если говорим о пен­тесте, нуж­ны некото­рые фун­дамен­таль­ные шту­ки.

Во‑пер­вых, хотя бы обзорное зна­ние сетей и опе­раци­онных сис­тем, те самые тал­муды Оли­фера и Танен­баума. Пен­тестер, который бод­ро ска­ниру­ет инет и видит какие‑то пор­ты, но который при этом не может уве­рен­но объ­яснить, где меня­ется MAC-адрес, а где IP при дви­жении пакетов из его домаш­ней сети в инет, вызыва­ет некото­рое недо­уме­ние — как он собира­ется стро­ить тун­нели при зах­вате дос­тупа? Каж­дый вто­рой уве­рен­ный поль­зователь Nmap пута­ется с номером пор­та, который нуж­но открыть на фай­рво­ле, что­бы зарабо­тала коман­да ping.

Ес­ли нуж­ны спе­цифич­ные шту­ки — почитай авто­ров и активных поль­зовате­лей тех­нологии. Хочешь понять Cisco и что делать с каким‑нибудь SNMP на запись на роуте­ре — бро, иди на форум цис­ководов. Хочешь написать что‑нибудь низ­коуров­невое под вин­ду — читай сна­чала Windows Internals.

Во‑вто­рых, прог­рамми­рова­ние. Оно важ­но с точ­ки зре­ния изго­тов­ления сво­их поделок для хакин­га и раз­бора прин­ципов работы чужих тулз. Поможет при поис­ке уяз­вимос­тей, ког­да чте­ние кода ста­нет для тебя отно­ситель­но лег­кой задачей. Для сов­ремен­ных язы­ков и фрей­мвор­ков есть целые раз­делы докумен­тации с типич­ными ошиб­ками, которые может сде­лать прог­раммер. А научить­ся базово­му прог­рамми­рова­нию мож­но, соз­давая свои «велоси­педы», читай — тул­зы по авто­мати­зации, иног­да пос­матри­вая на чужие готовые подел­ки для ори­енти­ра. Если нуж­но сов­сем при­митив­но — гуг­ли кур­сы типа Python online для начина­ющих.

Ну и в‑треть­их: читай­те про сами под­ходы к хакин­гу. Обзорно могут помочь кни­ги типа Hacker Playbook и Hacking Exposed, куда добав­ляешь зна­ния выше и уже получа­ешь навык не тыкать­ся ска­нером в хос­ты всле­пую, а делать вещи осоз­нанно.

И отдель­но ска­жу про веб. Так получи­лось, что сюда самый лег­кий вход. Сети деталь­но знать необя­затель­но, опе­раци­онки нем­ного подож­дут, реверс нужен край­не ред­ко, нуж­но толь­ко уметь в веб‑прог­рамми­рова­ние, и то мно­гие живут даже без это­го. К веб‑прог­рамми­рова­нию нуж­но добавить OWASP, целиком, а не толь­ко ТОП-10, и прак­тичес­кие лабы по работе с типовы­ми уяз­вимос­тями, нап­ример https://portswigger.net/web-security. А далее лабы, баг‑баун­ти и про­чее.

Ес­ли нра­вит­ся все орга­низо­ван­ное и есть день­ги — мож­но впи­сать­ся в кур­сы. Мы не хотим делать рек­ламы кон­крет­ным кур­сам, поэто­му тут смот­ри сам по отзы­вам. Рекомен­дуем опять‑таки зарубеж­ные, как более приз­нава­емые, но они дороже. Наличие сер­тифика­тов у челове­ка для нас — это допол­нитель­ные темы для раз­говора, а не абсо­лют­ный показа­тель зна­ний. Зна­ем пару людей, которые свер­кали сер­тифика­тами как новогод­няя елка, но сыпались на прос­тых воп­росах. Хотя наличие того же чес­тно сдан­ного OSCP говорит, что человек как минимум нас­той­чивый и уме­ет самос­тоятель­но добивать­ся целей.
Ме­роп­риятия про­филь­ные посещай еще. Даже если кон­тент не зай­дет, хотя бы пооб­щаешь­ся с кем‑то.
РАЗ УЖ ЗАГОВО­РИЛИ О НАЙ­МЕ. КОГО ВЫ ИЩЕ­ТЕ В АУДИТ GROUP-IB?
Слава:
Мы ищем спе­циалис­тов раз­ного уров­ня. То есть готовы брать и сов­сем нович­ков, и пер­спек­тивных, и готовых спе­циалис­тов, конеч­но. Кто же от них сей­час отка­жет­ся! Глав­ное — что­бы человек все вре­мя раз­вивал­ся и был спо­собен сам искать что‑то новое. Ина­че в нашей сфе­ре он уже через пол­года ста­новит­ся невос­тре­бован­ным.
Главное — не искать опыт там, где это чревато нарушением законов.
А ВОТ ГОВОРЯТ, ЧТО ГЛАВ­НОЕ — ПОБОЛЬ­ШЕ ПРАК­ТИКИ? А ГДЕ ЕЕ ВЗЯТЬ, ЕСЛИ ЧЕЛОВЕК ЕЩЕ ТОЛЬ­КО УЧИТ­СЯ В ВУЗЕ ИЛИ ПО КАКОЙ‑ТО ПРИ­ЧИНЕ РЕШИЛ СМЕ­НИТЬ РОД ДЕЯТЕЛЬ­НОС­ТИ, — ЭТО­ГО НЕ ГОВОРЯТ. ВЫ ЧТО ДУМА­ЕТЕ НА ЭТОТ СЧЕТ?
Андрей:
Без прак­тики в прак­тичес­кой безопас­ности делать нечего (кто бы мог подумать?), но прак­тика — это совер­шенно не обя­затель­но работа. Если кан­дидат про­ходил лабора­тор­ные работы в вузе, то впол­не мож­но об этом рас­ска­зывать на собесе­дова­ниях — что было за задание и как его решал. Можешь тол­ково объ­яснить, как при­шел к решению, — уже инте­ресен. Хак­зебок­сы, собс­твен­ные про­екты, помощь дру­гим на форумах, сер­тифика­ты. Прак­тичес­кая под­готов­ка доказы­вает­ся огромным количес­твом спо­собов. Глав­ное — не искать опыт там, где это чре­вато наруше­нием законов.
КСТА­ТИ, ПРО ЗАКОН. НАС­КОЛЬ­КО СЛОЖ­НО ОВЛА­ДЕТЬ ПРАК­ТИЧЕС­КИМИ НАВЫКА­МИ «БЕЛОГО ХАКИН­ГА» И ПРИ ЭТОМ НЕ ИМЕТЬ ПРОБ­ЛЕМ С ЗАКОНОМ?
Андрей:
Нес­ложно на самом деле. Нуж­но прос­то делать лабора­тор­ные работы и не соб­лазнять­ся на объ­екты в реаль­ном мире. Лабы, как пра­вило, не берут­ся из ниот­куда, их собира­ют по мотивам реаль­ных кей­сов, так что они нараба­тыва­ют впол­не себе релеван­тный опыт.

А ког­да лабы ста­нут слиш­ком прос­тыми — мож­но поп­робовать Bug Bounty, но в Рос­сии с ними серь­езные проб­лемы. У боль­шинс­тва ком­паний таких прог­рамм нет вооб­ще, у дру­гих вро­де бы и есть, но на репор­ты они не всег­да кор­рек­тно реаги­руют, укло­няют­ся от опла­ты, а могут угро­жать или даже писать заяв­ления. Поэто­му нуж­но сле­дить, что­бы у ком­пании была чет­ко про­писа­на полити­ка такой прог­раммы и были отзы­вы о ней.

Еще луч­ше учас­тво­вать через пло­щад­ку‑пос­редни­ка вро­де HackerOne или SynAck. Тог­да гаран­тий боль­ше и опла­та про­изво­дит­ся быс­трее. А вот если начать искать уяз­вимос­ти, ког­да ком­пания ничего искать не про­сила, то это может прев­ратить­ся в край­не неп­рият­ную исто­рию.

Сто­ит быть акку­рат­нее с людь­ми, которые пред­лага­ют попен­тестить их ком­панию за день­ги. Далеко не всег­да такие люди дей­стви­тель­но работа­ют в ком­пании-«цели». И конеч­но, ни в коем слу­чае не сто­ит работать без догово­ра. А договор, который пред­лага­ет заказ­чик, нуж­но обя­затель­но показать юрис­ту. Это не так дорого, зато может выручить, если по завер­шении про­екта воз­никнут спор­ные ситу­ации. Тем более что рычаг дав­ления на иссле­дова­теля у ком­пании появ­ляет­ся серь­езный. 28 гла­ва УК РФ.
ТАК, НУ ВОТ ЗАКОН­ЧИЛ С ЛАБАМИ, ПОТЫКАЛ БАГ‑БАУН­ТИ, И ЗАХОТЕ­ЛОСЬ БОЛЕЕ ПРАК­ТИЧЕС­КОГО ОПЫ­ТА РАБОТЫ. ВСЕ — МОЖ­НО И К ВАМ?
Андрей:
Почему бы и нет? Мы час­то приг­лаша­ем жела­ющих ста­жиро­вать­ся, и, нас­коль­ко мне извес­тно, это дела­ем не толь­ко мы. Хочешь ста­жиров­ку — выбирай ком­пании, в которых хочешь в даль­нейшем работать, и засылай резюме на ящи­ки HR.

При этом не сто­ит осо­бен­но рвать­ся к реаль­ным про­ектам. У нас ста­жеры в них не учас­тву­ют, а получа­ют для начала задания на раз­витие. Неоп­лачива­емая часть ста­жиров­ки у нас — это учеб­ные задания, опла­чива­емая — учас­тие в раз­работ­ке инс­тру­мен­тов, которые мы исполь­зуем на про­ектах. А вот на сами про­екты мы пус­каем толь­ко людей, которые пос­тупа­ют в штат. Наде­емся, что и у наших кон­курен­тов похожая полити­ка.

И еще один важ­ный момент. Беречь репута­цию нуж­но смо­лоду. У нас были очень болез­ненные для меня лич­но ситу­ации, ког­да человек при­шел устра­ивать­ся на работу, хорошо себя показал на тех­ничес­ких собесе­дова­ниях, блес­тяще про­шел тес­товые задания. А потом выяс­няет­ся, что пять лет назад он, условно говоря, тор­говал какими‑нибудь ворован­ными кошель­ками. Такое мел­кое сетевое гоп­ничес­тво помеша­ет нам взять его на работу, и оно оста­нет­ся с ним на всю жизнь в качес­тве лич­ной исто­рии.
А КАКИЕ ПРО­ВЕР­КИ, ПОМИМО ТЕС­ТОВ, ПРО­ХОДИТ КАН­ДИДАТ? У ВАС, ГОВОРЯТ, ОБЯ­ЗАТЕ­ЛЕН ПОЛИГ­РАФ?
Андрей:
Да, есть такое. Обя­зате­лен он не толь­ко у нас, кста­ти. В пер­вую оче­редь и в основном мы хотим убе­дить­ся, что у челове­ка нет прес­тупно­го сле­да в кибер­сфе­ре. Что он не зас­ветил­ся во взло­мах, в финан­совом мошен­ничес­тве. В любом слу­чае там не будет воп­росов, которые каса­ются лич­ной жиз­ни, полити­чес­ких убеж­дений, веро­испо­веда­ния и про­чего лич­ного. Нам важ­но убе­дить­ся кон­крет­но в отсутс­твии кри­миналь­ного прош­лого.

Но дело не толь­ко в полиг­рафе, есть еще и ана­лити­ка с помощью нашей сис­темы Threat Intelligence. О ней мно­го чего уже рас­ска­зано в сети, но, если крат­ко, она хорошо под­твержда­ет тезис о том, что из интерне­та ничего никог­да не уда­ляет­ся и все твои сле­ды оста­ются в памяти TI. Воп­рос толь­ко в том, кто и как их най­дет. Так что луч­ше не надо. Вос­при­нимай­те поговор­ку про честь смо­лоду как инвести­ции в собс­твен­ное будущее. Не брать чужую десят­ку, что­бы не зарезать собс­твен­ную тысячу.
НЕ МОГУ НЕ ЗАДАТЬ ЭТОТ ВОП­РОС: ПРЕД­ЛОЖЕНИЙ ДЛЯ ПЕН­ТЕСТЕ­РОВ НА РЫН­КЕ МНО­ГО. ПОЧЕМУ КАН­ДИДАТ ДОЛ­ЖЕН ВЫБ­РАТЬ ВАС, ПОМИМО ТОГО, ЧТО У ВАС МНО­ГО ИСТОЧНИ­КОВ ДАН­НЫХ БЛА­ГОДА­РЯ СМЕЖ­НЫМ ОТДЕ­ЛАМ, ИЗУ­ЧАЮЩИМ ПРЕС­ТУПНОСТЬ?
Андрей:
Дей­стви­тель­но, кажет­ся, что кон­курен­тов на рын­ке мно­го, но ни у кого из них не пред­став­лено одновре­мен­но столь­ко же нап­равле­ний, сколь­ко есть у Group-IB, а боль­шое количес­тво спе­циали­заций дают уни­каль­ную синер­гию зна­ний и суперат­мосфе­ру бур­лящего кот­ла, где каж­дое нап­равле­ние зна­ет о безопас­ности что‑то свое, а сум­марно — это мощ­ней­шая экспер­тиза не толь­ко в РФ, но и на меж­дународ­ном рын­ке.

Дру­гой плюс — воз­можность учас­тия в ком­плексных про­ектах. Мы не прос­то дела­ем пен­тест для одно­го заказ­чика, а пре­дос­тавля­ем ком­плекс услуг и работа­ем коман­дами, в которые вхо­дят люди из раз­ных отде­лов. Кро­ме того, если тебе со вре­менем покажет­ся более инте­рес­ной дру­гая сфе­ра — в Group-IB мно­жес­тво путей для «горизон­таль­ного переме­щения» меж­ду нап­равле­ниями. Гло­баль­но у нас тон­на плю­сов: помимо уни­каль­ной куль­туры Group-IB, это, нап­ример, воз­можность релока­ции в один из наших меж­дународ­ных офи­сов — в Син­гапур или Амстер­дам, а с это­го года и в дру­гие стра­ны.
Слава:
Ну и нес­мотря на то, что мы по количес­тву людей перерос­ли в боль­шую ком­панию, нам уда­ется избе­гать бюрок­ратии и сох­ранять лам­повую атмосфе­ру. Осо­бен­но при­ятно, что у нас мож­но спо­кой­но решать все рабочие момен­ты. Мож­но кому угод­но написать, поз­вонить или прий­ти в кабинет и пооб­щать­ся.
Важ­но и то, что у нас очень раз­ный уро­вень про­ектов. Быва­ют прос­тые вещи и даже баналь­ные, а быва­ют дико слож­ные, сос­тавные и раз­несен­ные во вре­мени. Есть и раз­нооб­разие по тех­нологи­ям, так что работа най­дет­ся для каж­дого.

А еще я час­то слы­шу, что в дру­гих мес­тах, осо­бен­но у интегра­торов, из сот­рудни­ков выжима­ют все соки и челове­ку под­кидыва­ют про­екты один за дру­гим, не давая прий­ти в себя. Мы в этом пла­не лояль­нее и ста­раем­ся сде­лать так, что­бы каж­дый работал с ком­фортом. Это тем не менее не озна­чает, что есть воз­можность прох­лаждать­ся: быва­ют дни, ухо­дящие в ночи, но обыч­но это в кайф.
А ВОЗ­МОЖНОС­ТИ ДЛЯ ОБУ­ЧЕНИЯ У ВАС ЕСТЬ? ДЖУ­НИОРОВ И ЖЕЛА­ЮЩИХ ЗАЙ­ТИ В ЭТУ ОТРАСЛЬ СЕЙ­ЧАС МНО­ГО. ЕСТЬ ЛИ У ВАС ВОЗ­МОЖНОСТЬ УЧИТЬ­СЯ И РАС­ТИ ВНУТ­РИ КОМ­ПАНИИ?
Андрей:
У нас очень отзывчи­вая сис­тема. Мы про­водим с каж­дым челове­ком дол­гий онбординг и готовы базово обу­чать поряд­ка трех месяцев. Это стан­дар­тный испы­татель­ный срок, и за это вре­мя боль­шинс­тво людей учит­ся работать самос­тоятель­но и может брать на себя нес­ложные про­екты. Пос­тепен­но они повыша­ют свой уро­вень и за нес­коль­ко лет дорас­тают до стар­ших спе­циалис­тов.

Ко­неч­но, обу­чение на этом не закан­чива­ется. Если мы видим, что спе­циалист хочет и уме­ет узна­вать новое, ком­пания опла­чива­ет вор­кшо­пы и сер­тифика­ты. Есть регуляр­ные тех­ничес­кие митапы внут­ри депар­тамен­та и ком­пании в целом.
ЕСЛИ НАШИ ЧИТАТЕ­ЛИ СОБЕРУТ­СЯ К ВАМ НА СТА­ЖИРОВ­КУ ИЛИ В ШТАТ — ЕСТЬ ЛИ У ВАС КАКОЕ‑ТО «ВХОД­НОЕ» ЗАДАНИЕ?
Павел:
Да, мы спе­циаль­но для читате­лей «Хакера» под­готови­ли кое‑что. Это нес­коль­ко ори­енти­рован­ных на ста­жеров и джу­нов воп­росов, на которые пред­лага­ем кан­дидатам отве­тить с пояс­нени­ем, пред­варитель­но их осмыслив. Это не тест‑экза­мен‑зачет, нам при­дет­ся про­читать и оце­нить все, что вы напише­те. И здесь нам важ­но понять, как вы мыс­лите, а не прос­то получить набор нагуг­ленных отве­тов.
Проверь себя
5 вопросов от команды аудита Group-IB
1
Есть мобиль­ное бан­ков­ское при­ложе­ние, которое выда­ет такой единс­твен­ный сес­сион­ный токен:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoxMDIyfQ.srkQQcNR4K3xpoK_SW_sspOoaaDAeNUOjhWWmteuKog

Пред­ложи, какие могут воз­никнуть сце­нарии атак на это при­ложе­ние. Как их пре­дот­вра­тить?
    2
    Пред­ставь, что весь текущий мир одно­момен­тно перешел на IPv6. IPv4 боль­ше не исполь­зует­ся. Как это изме­нит сетевую безопас­ность, с уче­том сов­ремен­ных под­ходов по нас­трой­ке сетей и тех­ник атак на сети?
    3
    Ты находишь­ся внут­ри кор­поратив­ной сети и про­водишь тес­тирова­ние на про­ник­новение. У тебя име­ется хеш NT домен­ного поль­зовате­ля. В Active Directory нас­тро­ено при­мене­ние смарт‑карт (USB-токенов) для основной аутен­тифика­ции на рабочее мес­то (через непос­редс­твен­ное вза­имо­дей­ствие с компь­юте­ром) и в RDP. Есть так­же механиз­мы вхо­да по паролю, но они защище­ны одно­разо­выми кодами. Мож­но ли обой­ти эту уси­лен­ную аутен­тифика­цию?
    4
    Exploit-db.com ког­да‑то был запол­нен экс­пло­ита­ми, экс­плу­ати­рующи­ми пов­режде­ние памяти в бинар­ных при­ложе­ниях 2000-х годов, но все поменя­лось, и там сей­час пре­обла­дают экс­пло­иты на web, логичес­кие баги, мис­конфи­ги. Сто­имость экс­пло­итов на бинарь в час­тной про­даже сей­час воз­росла до сотен тысяч дол­ларов. Как ты дума­ешь, почему?
    5
    Пред­ставь, что у тебя появи­лась супер­спо­соб­ность — ты теперь можешь момен­таль­но взло­мать что‑то одно на твой выбор:

    • ли­бо все сим­метрич­ные (блоч­ные, потоко­вые) алго­рит­мы шиф­рования (то есть рас­шифро­вать любой текст, зашиф­рован­ный сим­метрич­ными алго­рит­мами);
    • ли­бо все асим­метрич­ные алго­рит­мы (то есть вос­ста­новить любой при­ват­ный ключ по пуб­лично­му);
    • ли­бо все хеш‑фун­кции (то есть подоб­рать кол­лизию для любого хеша).
    Что бы ты выб­рал и почему?
    От­веты на воп­росы шли на ящик fromxaker@group-ib.com. А если ты дав­но не джун — не стес­няй­ся на тот же ящик зас­лать резюмеш­ку.
    ЕСТЬ ЧТО‑НИБУДЬ ПО КУЛ­СТО­РИ С ПРО­ЕКТОВ?
    Павел:
    Сот­ни их. С некото­рыми мож­но озна­комить­ся в наших гру­пай­биш­ных онлай­новых медиа. Ну а если текущий фор­мат матери­ала вызовет отклик — мы обя­затель­но вер­немся на стра­ницы «Хакера» и накида­ем све­жака.