Бытовые проблемы «добрых хакеров» или жизнь в окружении стереотипов

Из этого текста вы не получите никаких новых практических знаний о профессии пентестера. Его цель в другом — развенчать несправедливые стереотипы, исходящие от обычных людей, молодых специалистов и бизнеса. Погрузить вас в реалии социальных отношений, связанных с профессией, заставить сопереживать и немного улыбнуться.

Александр Герасимов
Директор по информационной безопасности и сооснователь Awillix. Эксперт в области тестирования на проникновение и анализа защищенности.

Глава 1. ОБЫВАТЕЛЬ

Обыватель делится на два типа. Первый — это люди, которые даже не пытаются сформулировать для себя понятие хакер, а потому не оперируют им. Они говорят: «я в этом не понимаю, я в это не лезу». Им в голову не приходит, что есть специалисты мотивированные поддержанием защищенности систем, а не взлома. Как правило, именно эти люди точно знают, что надо закрывать кнопки ладошкой, когда вводишь пин-код, и заклеивать камеру ноутбука на всякий случай. При этом на всех учетных записях у них один и тот же пароль. Нет представлений о базовой информационной гигиене, но есть вера в анонимность и конфиденциальность в сети. В итоге мы имеем франкенштейнов, состоящих из суеверий и неосмысленности.

Второй тип — те, кто почерпнул знания из новостей и поп-культуры. Для них хакер — это персонаж, который, сидя дома, взламывает пентагон забавы ради, и в то же время работает на государство. По телевизору говорят, как хакеры очередной раз обокрали криптобиржу на миллионы долларов, а потому специальность эта обязательно криминальная. Всех хакеров надо пересажать, потому что они крадут чужие данные.

С одной стороны, в их понимании, хакеры аутисты-гении с антисоциальным расстройством личности, но безграничным талантом в точных науках. Они одичавшие, неприглядные и одинокие. С другой — они похожи на спецагентов или шпионов. Кинематограф дарит ассоциацию с крутым парнем, мастером на все руки, который может хакнуть супер-систему за секунду, спасти мир и уйти в закат.

Стереотип о гениальных социопатах просто нравится зрителю. Он распространен на всех представителей точных наук: физиков, математиков, программистов и прочих. На деле все люди — социальные животные. В жизни никогда не встретишь настолько утрированного аутсайдера, тем более успешного, ведь для развития нужно быть в контакте с комьюнити и коллегами. Белые хакеры — обычные люди, которые работают, учатся, интересуются своей работой, развиваются и получают удовольствие от своих результатов — сложных профессиональных взломов.

Хакер стигматизированное понятие. В СМИ говорят только о громких скандалах, но для общества навсегда останется загадкой, сколько хитроумных взломов каждый день производят специалисты во благо компаний, чтобы их защитить и оставить это под NDA. Отсюда и перекос общественного внимания в сторону злоумышленников. И это окей.

Так как сегодня информационные войны выходят на новый уровень, бизнес нуждается в специалистах все острее и острее, появляются модные курсы-обучалки. Через их рекламу более широкая аудитория узнает, что оказывается, не все хакеры плохие и многие работают с компаниями.

Глава 2. НАЧИНАЮЩИЕ СПЕЦИАЛИСТЫ И ДИДЖИТАЛ-ПОКОЛЕНИЕ

Взлом банков — неотъемлемая часть жизни

«Ломал ли ты банк?» — спрашивают обязательно все и всегда. Видимо, как каждый журналист мечтает написать роман, так каждых хакер мечтает поднять бабла таким способом. Нет.

На самом деле, как всегда говорил декан МИФИ, нет смысла ломать компьютер, если его можно вынести через окно. Эта мысль смущает людей, ведь ты не настоящий хакер, если ищешь легкие пути. Например, даже в работе я не стану проламывать вебку, если проще проникнуть в периметр, уткнуться в порт и пробовать что-то сделать на месте. Но это воспринимается так, будто ты должен был бежать стометровку, но пробежал только последние 20 метров.

Шок-контент, но хакер — это не обязательно про компьютер и кодинг, удаленное взламывание. Новая школа сконцентрирована больше на целях, а не на способах взлома. Например, назначается актив, дискредитацию которого бизнес считает наиболее опасным, и пентестеры пытаются найти доступ к нему. Способы здесь могут быть самые разные. Они и так будут изощренные в компаниях с развитыми процессами защиты: большой многосоставной SOC в три смены, правила защиты собственной разработки, свои политики безопасности, физическая охрана. Если в компании пять периметров защиты и тебе удалось проникнуть внутрь, например, с помощью дрона — значит ты успешно провел проект.

Профессия за семью печатями.

Самое частое убеждение, наткнуться на которое можно в простой коммуникации со знакомыми — они не знают, что есть такая профессия, думают, что специалисты десятилетиями оттачивают мастерство, чтобы работать в сфере наступательной безопасности. А еще туда невозможно попасть с улицы, ведь это какие-то особенные люди, привязанные к государству, если они захотят уехать, их обязательно посадят.

Этичный хакинг легален (если все делать правильно), развит и распространен, как с участием государства, так и без него.

В ИБ вообще легко. Научи!

— Научи или взломай для меня сервер майнкрафта, чтобы брат не играл сутки напролет в эту галиматью, у нас уже скандалы в семье.

— А можешь взломать ВК моего бывшего, я тебе пиво куплю?

— Почини чайник, тыж программист!

Кроме шуток, каждый пентестер вспомнит много подобных просьб. Также довольно часто, друзья или сокурсники проявляют интерес к теме и просят научить каким-то фишкам. Они думают, что это просьба из разряда научить делать яблочный пирог, на деле они просят научить делать двигатель внутреннего сгорания.

Но если по-честному начинать изучать пентесты, если ты сильно мотивирован, действительно легко — первое время всегда победы, эндорфины. Они толкают тебя на развитие. Так это работает первые 2-3 года, потом начинается мир настоящего ИБ. Тебе дают настоящие проекты с EDR, SOC, бинарными эксплуатациями. Быстрых побед больше нет, не хватает инженерной спины. А еще хуже, даже когда ты приносишь уязвимость, необходимо ее доказать. Всегда есть период, когда происходит внутренний излом и люди очень страдают.

Ротация скилов в ИБ невероятно быстрая, например, 10% инструментов, на которых мы работаем сейчас, появились полгода назад и за последующие полгода исчезнет, сменятся другими. Эволюция инструментов, которые используют злоумышленники очень быстрая поэтому, чтобы оставаться эффективным нужно быть настолько же адаптивным к новым возможностям и трендам, как и злоумышленник. От тебя хотят «непробития» своих продуктов, и если ты будешь проверять хотя бы актуальные способы взлома (все ты проверить не успеешь), то можешь уменьшить вероятность поражения твоего продукта.

Еще есть стереотип, что обязательно надо отучиться в универе. Это хорошо, но не так важно, как для профессионального математика или программиста. Но и курсы не столь эффективны, как о них говорят в рекламе. Курс обещает заработок от 200к после прохождения и уровень мидла, а это не так. Даже годовые курсы — это все еще минимальная база. Нужно будет учиться дальше, набираться опыта, проходить стажировки и снизить зарплатные ожидания на старте раза в 4.

Еще часто говорят, что нужно гонять CTF-ы, чтобы практиковаться. Это великолепный опыт, но CTF играет роль университета, дает много знакомств и связей, практикует опыт работы в команде. Если хочется научиться пентесту, нужно пентестить, иди и пробивай веб-лица. Bug Bounty тоже другой процесс.

Глава 3. БИЗНЕС

Тебя в любом случае пробили, какая разница кто?!

Хакеры — злодеи еще потому, что грань между добром и злом размытая и условная. Парадокс состояния знания — ты не можешь удалить из головы информацию о бизнесе, которую получил в ходе работы на него же.

Дело в том, что добрый хакер уже выбрал профессию и расставил приоритеты. Самое дорогое, что есть у него или даже у ИБ-компаний, оказывающих услуги по тестированию на проникновение — это репутация. Потенциальные риски для репутации выше, чем выгода от двойной деятельности. Кроме того, все действия юридически защищены разнообразными соглашениями о неразглашении.

Но это не значит, что не нужно вообще контролировать специалистов. Их надо подталкивать не останавливаться на достигнутом. Очень тяжело свои компетенции направить сразу во всё, можно отойти на миллиметр от своих задач и утонуть в трясине. Чем менее тупым становится процесс на уровне: загуглил уязвимость, пробил, сдал. Чем глубже ты погружаешься в него, тем сетка компетенций становится более гранулярной. Отдельная гранула — это отдельный навык. Чтобы его наработать, нужно очень глубокое понимание процессов. Нужно наращивать и глубину, и ширину одновременно. Ты становишься тонким как иголка.

Надо мотивировать людей развиваться, лезь глубже, там целый мир в бутылке, иначе они просто не смогут давать компетентный аудит.

Да кому мы нужны?

Компании часто ориентируются на термин «риск», что предполагает вероятность. И от этого решают, что нас не пробьют, мы маленькие и никто на нас не посмотрит. Действительно, возможно тульскую свиноферму никогда не подламывали, потому что о ней никто не знает, но это скорее исключение, а не правило. А чаще всего те, кто так думают становятся жертвами хакеров и просто не знают об этом.

Например, маленький литейный завод использовал древнюю версию ColdFusion и когда им провели тестирование на проникновение, оказалось на сервере минимум 3-4 года китайцы майнят крипту. Они закрепились и раскинулись по всей сети предприятия, принесли с собой огромный инструментарий: отдельный клиент для хостовых машин, отдельный — для серверных, даже для ARM-устройств была соответствующая сборка. То есть закрепились везде, сделав из завода свои доильные цеха. Это привело к ускорению естественного износа всего оборудования в 1000 раз.

Это не вложения, а затраты

Владельцы бизнеса мыслят категориями денег и прибыли, в этой связи ИБ — это траты. Отношение к ИБ изначально скорее негативное, просто потому что заставляет их тратить деньги, которые никогда не приведут к возврату инвестиций.

Все, что нужно понимать, что дилемма, постоянно возникающая перед бизнесом: инвестировать в снижение риска потери денег, или в увеличение прибыли, но с возможной опасностью.

Оценить абсолютно все возможные риски невозможно даже теоретически. Злоумышленники находятся в постоянном поиске новых способов атаки, и то, что вчера считалось безопасным, — завтра может оказаться угрозой.

Не нужно грузить руководителей технической информацией. Следует сосредоточиться только на тех рисках, из-за которых компания понесет максимальные потери. И оценить, сколько ресурсов требуется, чтобы нейтрализовать каждую из этих угроз. Это позволит рассчитать плечо инвестирования — соотношение рисков к затратам. Формулировать задачи для ИБ-специалистов могут и должны руководители бизнеса. Для эффективной работы CISO должен быть погружен в бизнес-задачи и иметь достаточно полномочий для принятия быстрых решений. Интересы бизнеса и задачи ИБ-отдела должны быть синхронизированы.

Это были основные стереотипы, которые вспомнила команда Awillix. Надеюсь, что это было любопытно, полезно и познавательно.