Wann und wie bist du zum ethischen Hacken gekommen?
Der erste Computer, der Commodore 64, wurde mir von meinem Vater im Alter von 8 oder 9 Jahren geschenkt. Ich nahm es sofort auseinander. Als ich 10-12 Jahre alt war, fing ich an zu programmieren. Und dann interessierte ich mich für das Thema Cybersicherheit.
Während meines Studiums an der Universität wollte ich dort abreisen, um mich weiterzuentwickeln. Aber eines Tages hatten wir einen Karrieretag und jemand sagte, dass ethisches Hacken offiziell seinen Lebensunterhalt verdienen kann. Der Gedanke betäubte mich dann. Ich nahm am Yahoo Vulnerability Finder-Programm teil und beschäftigte mich mit ethischem Hacking. Er hat mit Unternehmen wie Deloitte, Context Information Security und Yahoo zusammengearbeitet. In ihnen führte ich Penetrationstests durch , arbeitete als Teil des Red-Teams und forschte auf dem Gebiet der Cybersicherheit.
Gibt es bestimmte Technologien, die Sie interessieren?
Ich bin nicht sehr gut im Web-Hacking. Er interessiert mich weniger als Quellcode-Analyse, Reverse Engineering oder Systemanalyse. In den letzten zwei Jahren habe ich viel Zeit damit verbracht, mich mit CI / CD-Plattformen (Continuous Development and Integration) vertraut zu machen. Ich mag es zu hacken, wenn komplexe Systeme interagieren und irgendwann etwas schief gehen kann. Das Suchen nach Schwachstellen ist hier genauso effektiv wie das klassische Reverse Engineering oder das Auffinden von Fehlern in nativen Anwendungen.
Wie entscheiden Sie, nach welchen Produkten nach Schwachstellen gesucht werden soll?
Normalerweise ziele ich auf Produkte ab, bei denen andere Insektenjäger etwas gefunden haben. Da dieser Beruf meine gesamte Arbeitszeit in Anspruch nimmt und die Hypothek bezahlen muss, schaue ich mir auch Projekte an, die die höchsten Belohnungen für festgestellte Schwachstellen bieten. Aber wenn ich das Gefühl hätte, dass dies alles zu einer Routine wird, würde ich wahrscheinlich etwas anderes tun. Das Erlernen interessanter Technologien treibt mich an.
Haben Sie jemals Probleme bei der Offenlegung von Informationen zu Sicherheitslücken gehabt?
Das größte Problem sind langsame Zahlungen, wenn die Zahlungen 6-9 Monate dauern. Daher versuche ich, an solchen ethischen Hacking-Programmen teilzunehmen, von denen bekannt ist, dass sie innerhalb eines angemessenen Zeitrahmens bezahlt werden.
Ein- oder zweimal konnte ich nicht beweisen, dass der gefundene Fehler tatsächlich ein Fehler ist. Vielleicht habe ich es im Bericht nicht gut genug erklärt oder keine klaren Beispiele gegeben. Ich denke, hier gibt es ein wiederkehrendes Problem - wir sind nicht so gut darin, den Fehler oder das Ausmaß des Risikos zu erklären, das er verursacht.
Auf welche Sicherheitslücke sind Sie am meisten stolz und warum?
Vor einigen Jahren konnte ich beim H1-702-Hackathon einen Fehler finden, der die Codeausführung auf GitHub auslöste. Dies war ein Bereich, auf den ich mich ungefähr ein Jahr lang konzentrieren wollte, obwohl der Fehler selbst nicht gut genug war, um stolz zu sein. Ich hatte lange vermutet, dass es einen Fehler geben würde, und es war sehr angenehm, ihn zu finden. Für diese Arbeit erhielt ich das größte Geld.
Was sind die interessanten Trends beim Hacken in Bezug auf Code und Technologie?
Am auffälligsten ist die Verwendung von Behältern. Ich habe in letzter Zeit viele Containerisierungs- und Kubernetes-Produkte untersucht. Ich habe bestimmte Fehler in einem Produkt gefunden und sie dann mit ähnlichen Technologien mit anderen verglichen. Mehrere Bugs überlappten sich. Jeder von ihnen führte mich zu neuen Fehlern, bereits in anderen Produkten.
Welchen Rat würden Sie einem angehenden Insektenjäger geben?
Erwarten Sie nicht zu viel - das Auffinden von Fehlern ist ein langsamer Prozess. Ich arbeite seit über 10 Jahren in diesem Bereich, mache professionell Penetrationstests und denke immer noch, dass es schwierig ist, eine Schwachstelle zu finden. Die wertvollste Qualität ist hier die Ausdauer. Sie sollten am ersten Tag nicht viel Geld erwarten.
Gibt es für die nächsten Jahre noch andere Karrierepläne, die sich ausschließlich der Insektenjagd widmen?
Ich verdiene gerade gutes Geld, indem ich nach Schwachstellen suche. Daher gibt es einfach keinen „nächsten Schritt“. Aber ich habe eine Idee, ein Team zu bilden. Ich kenne mehrere Leute, die als Pentester in Unternehmen arbeiten. Ich würde gerne ein Team mit ihnen bilden, aber es ist schwieriger, sie davon zu überzeugen, ihren festen Job zu kündigen, als es schien.
Das Suchen nach Schwachstellen sieht nach einer Aktivität aus, die normalerweise alleine ausgeführt wird. Denken Sie, dass Teamwork hier effektiv sein kann?
Natürlich würde jeder seine Fähigkeiten und Erfahrungen zum Wohle der gemeinsamen Sache einbringen. Als ich bei Offline-Events mit anderen Hackern zusammengearbeitet habe, war unsere echte Kommunikation die Grundlage für alles. Selbst wenn Sie einfach Ihre Ideen erklären oder anfangen, an Ihren Vorschlägen zu zweifeln, führt dies Sie oft zu neuen Gedanken. Sie hätten sie nicht alleine erreicht. Als Introvertierter arbeite ich sehr gerne alleine. Aber nicht jeden Tag Leute zu sehen ist schwer. Deshalb würde ich wirklich gerne in einem Team arbeiten.
Möchten Sie uns noch etwas über Informationssicherheit erzählen?
Ich habe kürzlich festgestellt, dass die Bug Bounty-Branche ein kleines PR-Problem hat. Viele Menschen nehmen es vereinfacht wahr. Sie glauben, dass sie irgendwann beim Schutz eines beliebten Produkts einen kritischen Fehler finden, und viele Leute beginnen gleichzeitig, Berichte darüber zu senden. In der Tat ist alles komplizierter.
Ich habe diese Branche von allen Seiten gesehen - von der Plattform über Produkte und Fehler. Eine kleine Anzahl von Menschen hat diese Erfahrung. Hoffentlich konzentrieren sich Bug Bounty-Programme in naher Zukunft mehr auf traditionelles Pentesting.
Eine Sache, die ich während der Arbeit nicht mochte, war, dass ich immer ein Ziel hatte. Ich wünschte, die Branche würde irgendwann an einen Punkt gelangen, an dem Unternehmen ihre Vollzeitbeschäftigten ermutigen würden, an Bug Bounty-Programmen teilzunehmen. Jeder würde davon profitieren. Schließlich können die Fähigkeiten, die Ihre Spezialisten auf diese Weise erwerben, am Arbeitsplatz angewendet werden.
Blog ITGLOBAL.COM - Managed IT, Private Clouds, IaaS, Informationssicherheitsdienste für Unternehmen:
- Angst vor Arbeitsautomatisierung und anderen Trends in der globalen und russischen Cybersicherheit
- Wie wir die Sicherheitslücke im Mailserver der Bank gefunden haben und wie sie bedroht ist
- Wie man sich mit GOST R 57580 und Containervirtualisierung anfreundet. Antwort der Zentralbank (und unsere Überlegungen)
- Die wichtigsten Trends der IT-Branche im Jahr 2021 laut Gartner