Интервью с хакером
Итак, значит ты ну типа хакер?
Вообще нет, я исследователь. Моя работа находить уязвимости, делать рисеч, но не эксплуатировать или делать кому то «плохо».
Я — whitehat.
А какие языки ты знаешь, и как вообще это началось?
Я был «обычным» программистом. Началось давно, году в 2008, когда я читал бомжедвижение и SEO блоги. Все это казалось мутью для школьников (и сейчас кажется), поэтому я быстро перешел в обычный фриланс — делал скрипты/движки на PHP.
Постепенно это выросло в нечто большее, поработал фултайм на нескольких работах, переключился на Ruby.
Казалось бы конец и дальше остается только развиваться в этом направлении, но в марте 2012 я взломал популярный среди гиков сайт github.com. Тут в мозгах произошел сдвиг, и из создания систем я начал думать как их взламывать. Получалось весьма неплохо.
А это в Github тебя приглашали работать после взлома?
Нет, именно с ними у меня отношения навсегда испорчены, и работать с ними не получится никогда. После взлома пришло несколько десятков писем от больших компаний типа twitter, facebook, google и не очень. К счастью, я не пошел на фултайм и остался свободным консультантом — так я работаю гораздо продуктивней.
Прямо от всех пришло по приглашению? На рынке кадровый голод? И как они тебя нашли?
Это обычная практика, когда кто-то «засветился» на хакер ньюс например (а топ 6 новостей там было про меня), то HRы начинают закидывать удочки. Поэтому программисты, много занимающиеся open source, получают от них предложения регулярно.
Короче говоря, с 2012-го ты начал консультировать?
Хакер: Не сразу, какое-то время я еще поработал в Skrill, но с начала 2013 года занимался только консультациями. Тогда и зарегистрировал компанию Sakurity.com — и теперь работаю не один.
Skrill — это платежка? Ты ее тоже взломал?
Да, на нее обычно выводят деньги с odesk или при работе с покер сайтами. Это европейская версия пейпала.
Позвали работать после нахождения уязвимости, ага.
А чего все такое дырявое-то?
Абсолютное большинство не вкладывает деньги в безопасность. Даже крутой программист оставляет за собой уязвимости, потому что мозги его работают в другом направлении. И хакеров, способных это найти, не так то много. Но они есть.
Ты проработал какое-то время в их европейском офисе?
Два месяца в Софии всего.
Какая примерно зарплата?
Обычная немецкая, порядка 50 тыс евро в год.
Тебя там не вдохновили перспективы или просто неинтересно, скучно?
Да какие могут быть перспективы. В Европе все монотонно, все получают плюс-минус одинаковую ЗП, платят дикие налоги — не мое. На тот момент мне надо было бы в Штаты ехать.
А в Штатах что?
Там крутятся деньги, есть крутые стартапы, в которых интересно работать. В долине все это.
Ладненько. Значит потом ты поехал в эти Азии и начал консультировать?
Ну да, с тех пор езжу по миру, но чаще в Азии. Год прожил в Бангкоке, но скоро надо двигаться дальше.
Сколько у тебя с тех пор было клиентов на консультации?
Я не считаю, но уже больше 30. Дело не в количестве конечно, каждый клиент это разный объем заказа.
А в деньгах сколько в среднем получается один клиент?
Если на пару дней, то в среднем 3-4k $. Если крупный заказ, то 10-20k.
Может стоит опустить расценки? Все же 30 клиентов за два года не так уж много. Или от этого клиентов не прибавится?
Задачи много раньше и не стояло, я не нагонял на сайт трафик, старался найти свою нишу, работая один или с парой контракторов. Сейчас планы изменились, и я буду увеличивать объемы. Но цена не изменится, она полностью оправдана для того сегмента клиентов, который мне интересен. Пентестить блоги на вордпрессе за 50 баксов — это не к нам.
Расскажи, что из себя представляет средний клиент? Среди клиентов есть какие-нибудь известные IT-фирмы?
Полно, можно посмотреть список на сайте для примера.
В клиентах есть и крупные платежные системы, но не все разрешают оглашать эту информацию. Для типичного рунет-юзера, правда, там мало кто покажется знакомым. В основном, это успешные стартапы из долины, в рунете о них никто не знает.
Как они тебя находят? Чаще через блог или по рекомендациям прошлых клиентов? В SEO, есть мнение, чаще работают рекомендации, ну может за исключением новых фирм и очень хорошо раскрученных «визиток». Хакер: Через рекомендации редко.
В основном, это люди, которые наткнулись на сайт и увидели там мое имя (которое краем уха слышали многие в долине), посмотрели отзывы и посты. Думаю в будущем рекомендации будут случаться чаще.
Что из себя представляет твой отчет по безопасности?
Как часто нет никаких серьезных угроз? Это, кстати, правда, что iCloud взломали простым перебором паролей?
Отчет — это список с описанием уязвимостей, рекомендации и вывод о безопасности приложения. Смотря что считать серьезной угрозой — критический баг, позволяющий выполнить код на сервере, встречается только в одной трети приложений, но просто опасные вещи типа XSS находятся практически всегда. За iCloud я не следил, но вроде бы да, это был обычный перебор.
А чем опасен XSS? Помню, им раньше генерили ссылки на пустых страницах крупных порталов.
XSS это выполнение твоих скриптов в контексте чужого домена. На каком-нибудь блоге добавление ссылок это лучшее что можно с ним сделать, а если у вас XSS на gmail, например, то это чтение/написание любых писем у жертвы и стоит серьезных денег.
На что при анализе ты тратишь больше всего времени? Что самое сложное? И вообще какие бывают типы веб уязвимостей?
Если аудит с чтением исходников, то больше всего уходит на их чтение. Нужно просмотреть каждый файл, далее построить в голове как работает приложение. И только в процессе всплывают идеи как эту архитектуру можно атаковать.
Типы уязвимостей я бы выделил в клиентские (XSS итд) и серверные. Клиентские проще всего найти и продемонстрировать, но в реальности их почти не используют т.к. это долго и неприбыльно. Серверные же это реальная угроза, которую надо искать в первую очередь. Обычный SQL injection зачастую ведет к выполнению кода и можно просто скачать всю базу данных.
Расскажи что-нибудь еще важное.
Лучшая рекомендация разработчикам — это использовать хорошие фреймворки. Самописные движки, которые так любят сеошники и начинающие программисты — это путь в никуда. Говорят Yii и Zend неплохие. Для питона это джанго, для руби это рельсы.
Фреймворк решает многие проблемы сам.
Меня, помню, взломали после того, как админ установил для входа на один из сайтов дополнительную phpMyAdmin, а потом забыл про нее, она не обновлялась, видимо много было пабликовых дырок к той версии. Это частое явление? Как часто проблема скорее в сервере, нежели в самом самописном движке?
По факту да, это пожалуй большинство взломов — когда баг находится на каком-то поддомене, забытой админке или старой версии вордпресса. Важно следить за своей инфраструктурой и не запускать всякую устаревшую муть на том же сервере, где и главное приложение с критическими данными.
Твои клиенты никогда не просят личные встречи? Платят без всяких договоров?
Личных встреч не было ни разу. Обычно заключаем договор по желанию клиента, но у меня всегда пост оплата.
Без предоплаты?
Да, не беру предоплату
Почему?
Проблем никогда не возникало, да и мне так спокойней.
Где и как нужно копать, чтобы из нищего PHP-программиста переквалифицироваться в хакеры?
Инструкции у меня нет, я перешел своим путем и мой опыт тут не поможет. Вообще надо заниматься чем тебе нравится. Нищим PHP программиста делает не PHP, а его неумение себя продать / развить свои скиллы до нужного уровня. Деньги есть в любой нише.
И все-таки, что нужно читать?
Все подряд. И мой блог)
Блин, может на английском есть четкие форумы?
В основном Твиттер, надо подписаться на пару сотен чуваков и смотреть что они делают. И делать самому.
Дай пару примеров.
Например, lcamtuf и его книга The Tangled Web — это библия веб хакера. Впрочем, я ее не читал :)
Таких блогов несколько десятков, ищите сами.
Ты недружелюбный по отношению к начинающим хакерам?)
Есть люди с тягой к преподаванию — я не из таких. Мне на почту регулярно пишут всякие индусы с просьбой научить… сами давайте)
Скажи, где пацанам почитать про тот же XSS?
Можно зайти на OWASP — это Вики по веб уязвимостям.
Какие конторы в твоей нише самые крутые?
К примеру — Matasano известны своими исследованиями, особенно в криптографии.
Расскажи про планы на будущее.
Планы на будущее это увеличить число клиентов и создать пару инструментов на продажу. В данный момент работаю над детектором социальных профилей. Возможно он выйдет как open source, а может и как продукт.
Детектор соц. профилей — это тот самый невидимый лайк? )
Да.
А в чем смысл выпускать как open source?
Не знаю, хочется сделать людям приятное. У меня нет ни одного open source проекта, а без него сейчас никуда.
Многие рисечеры выпускают продукты open source, например тот же брутофорс iCloud — https://github.com/hackappcom/ibrute
Расскажи тогда кратко в чем смысл детектора.
Надо заставить посетителя твоей страницы сделать клик в специально отведенную зону, там находится прозрачный виджет. В это время скрипт на сервере отслеживает клики, можно почти моментально определить профиль в социальной сети человека, который кликнул. Это позволяет создать таргетированные предложения. Только ты кликнул, а тебе уже «Дорогой Вася, судя по вашим альбомам ВК вы только что вернулись из Италии, поэтому мы хотим предложить вам путешествие в Японию!».
Что из себя представляет средний хакер сегодня?
Мне кажется, что это такой чел, который сидит на Античате или может каком-нибудь закрытом форуме, собирает пабликовые уязвимости из стандартных движков типа Drupal, а потом льет на сайты всякие mobile редиректы.
Хакеры бывают разные. Тип как ты написал это блекхеты, и я не вижу в этом ничего плохого. Если бы не было хакеров, то и не было бы спроса на безопасность, у меня бы не было работы.
Есть хакеры, которые пишут эксплоиты и продают, есть те кто сами ничего не создают, а используют то, что найдут в паблике.
Ты все еще собираешь биткоины?
Это правда, что крипту нельзя вломать?
Да, я люблю биткоины и даже принимаю ими оплату за работу. Конечно раздражает последнее падение курса. Взломать нельзя, в этом и суть их надежности. Цифровое золото.
Про количество ты, наверно, не скажешь, но какой % от твоих заработков за все время лежит в крипте?
Может процентов 30. Зависит от курса. Может через год эти 30 превратятся в 99.
99 процентов, остальное на пиво. Так и запишем.