متى وكيف بدأت مع القرصنة الأخلاقية؟
أول كمبيوتر ، كومودور 64 ، أعطاني والدي عندما كان عمري 8 أو 9 سنوات. تفككته على الفور. عندما كان عمري 10-12 سنة ، بدأت البرمجة. ثم أصبحت مهتمًا بموضوع الأمن السيبراني.
أثناء دراستي في الجامعة ، خططت للمغادرة هناك للقيام بالتطوير. ولكن في أحد الأيام كان لدينا يوم مهني وقال أحدهم إن القرصنة الأخلاقية يمكن أن تكسب لقمة العيش رسميًا. ثم أذهلتني الفكرة. لقد بدأت المشاركة في برنامج Yahoo مكتشف الضعف واشتركت في القرصنة الأخلاقية. لقد عمل مع شركات مثل Deloitte و Context Information Security و Yahoo. أجريت فيها اختبارات اختراق ، وعملت كجزء من فريق Red وقمت بأبحاث في مجال الأمن السيبراني.
هل هناك تقنيات معينة تهمك؟
أنا لست جيدًا في اختراق الويب. لا يهمني مثل تحليل الكود المصدري أو الهندسة العكسية أو تحليل الأنظمة. على مدى العامين الماضيين ، قضيت الكثير من الوقت في التعرف على منصات التطوير والتكامل المستمر (CI / CD). أستمتع بالقرصنة عندما تتفاعل الأنظمة المعقدة وفي مرحلة ما يمكن أن تسوء الأمور. يعد البحث عن الثغرات هنا بنفس فعالية استخدام الهندسة العكسية الكلاسيكية أو البحث عن الأخطاء في التطبيقات الأصلية.
كيف تقرر المنتجات التي تبحث عنها بحثًا عن نقاط الضعف؟
عادةً ما أستهدف المنتجات التي وجد فيها صائدو الحشرات الآخرون شيئًا ما. نظرًا لأن هذا الاحتلال يستغرق كل وقت عملي ويتعين عليه دفع الرهن العقاري ، فأنا أنظر أيضًا إلى المشاريع التي تقدم أعلى المكافآت على نقاط الضعف الموجودة. لكن إذا بدأت أشعر أن كل هذا يتحول إلى روتين ، فمن المحتمل أن أفعل شيئًا آخر. تعلم تقنيات مثيرة للاهتمام هو ما يدفعني.
هل سبق لك أن واجهت مشكلات في الكشف عن معلومات حول نقاط الضعف؟
المشكلة الأكبر هي بطء المدفوعات عندما تستغرق المدفوعات 6-9 أشهر. لذلك ، أحاول المشاركة في برامج القرصنة الأخلاقية التي من المعروف أنها تدفع في إطار زمني معقول.
مرة أو مرتين لم أتمكن من إثبات أن الخطأ الذي وجدته كان في الواقع خطأ. ربما لم أشرح ذلك جيدًا في التقرير ، أو أعطيت أمثلة غير واضحة بما فيه الكفاية. أعتقد أن هناك مشكلة متكررة هنا - لسنا جيدين في شرح الخطأ أو درجة المخاطرة التي يسببها.
ما هي أكثر نقاط الضعف التي تجدها تفتخر بها ، ولماذا؟
قبل بضع سنوات ، في H1-702 hackathon ، تمكنت من العثور على خطأ أدى إلى تنفيذ التعليمات البرمجية على GitHub. كان هذا مجالًا كنت سأركز عليه لمدة عام أو نحو ذلك ، على الرغم من أن الخطأ نفسه لم يكن جيدًا بما يكفي للفخر به. كنت أظن لفترة طويلة أنه سيكون هناك خطأ ، وكان من الجيد جدًا العثور عليه. لهذا العمل تلقيت أكبر قدر من المال.
ما هي الاتجاهات الشيقة في الاختراق الآن من حيث الكود والتكنولوجيا؟
أكثر ما يلفت الانتباه هو استخدام الحاويات. لقد بحثت في الكثير من منتجات الحاويات ومنتجات Kubernetes مؤخرًا. لقد وجدت بعض الأخطاء في منتج واحد ثم قمت بفحصها مقارنة بالآخرين باستخدام تقنيات مماثلة. تتداخل العديد من الحشرات مع بعضها البعض. قادني كل منهم إلى أخطاء جديدة موجودة بالفعل في منتجات أخرى.
ما هي النصيحة التي تعطيها لصائد الحشرات الناشئ؟
لا تتوقع الكثير - العثور على الأخطاء عملية بطيئة. أعمل في هذا المجال منذ أكثر من 10 سنوات ، وأنا منخرط باحتراف في اختبار الاختراق وما زلت أعتقد أن العثور على ثغرة أمنية أمر صعب. الجودة الأكثر قيمة هنا هي المثابرة. لا يجب أن تتوقع الكثير من المال في اليوم الأول.
هل هناك أي خطط مهنية أخرى للسنوات القليلة المقبلة إلى جانب أن تكون مكرسة بالكامل للبحث عن الحشرات؟
أنا أحقق أرباحًا جيدة الآن من خلال البحث عن نقاط الضعف. لذلك ، ببساطة لا توجد "خطوة تالية". لكن لدي فكرة حول إنشاء فريق. أعرف العديد من الأشخاص الذين يعملون كمحاسبين في الشركات. أرغب في تكوين فريق معهم ، لكن إقناعهم بترك وظيفتهم الدائمة أصعب مما يبدو.
يبدو البحث عن نقاط الضعف نشاطًا يقوم به الأشخاص بمفردهم عادةً. هل تعتقد أن العمل الجماعي يمكن أن يكون فعالاً هنا؟
بالطبع ، سيستخدم الجميع مهاراتهم وخبراتهم لصالح القضية المشتركة. عندما عملت مع قراصنة آخرين في أحداث غير متصلة بالإنترنت ، كان اتصالنا الحقيقي هو أساس كل شيء. حتى عندما تشرح أفكارك ببساطة أو تبدأ في الشك في اقتراحاتك ، فغالبًا ما يقودك ذلك إلى أفكار جديدة. ما كنت لتصل إليهم بنفسك. بصفتي انطوائيًا ، أستمتع حقًا بالعمل بمفردي. لكن من الصعب عدم رؤية الناس كل يوم. لذلك ، أود حقًا العمل في فريق.
هل تريد إخبارنا بشيء آخر عن أمن المعلومات؟
لقد أدركت مؤخرًا أن صناعة Bug Bounty بها مشكلة علاقات عامة صغيرة. كثير من الناس ينظرون إليه بطريقة مبسطة. إنهم يعتقدون أنه في مرحلة ما من حماية منتج شائع يجدون خطأ فادحًا ، ويبدأ العديد من الأشخاص في إرسال تقارير عنه في نفس الوقت. في الواقع ، كل شيء أكثر تعقيدًا.
لقد رأيت هذه الصناعة من جميع الجوانب - من النظام الأساسي والمنتجات والأخطاء. عدد قليل من الناس لديهم هذه التجربة. آمل أنه في المستقبل القريب ، ستولي برامج Bug Bounty مزيدًا من الاهتمام لمكافأة pentesting التقليدية.
شيء واحد لم يعجبني أثناء العمل هو أنني كان لدي دائمًا هدف. أتمنى أن تصل الصناعة في مرحلة ما إلى النقطة التي تشجع فيها الشركات موظفيها بدوام كامل على المشاركة في برامج Bug Bounty. سيستفيد الجميع من هذا. بعد كل شيء ، يمكن تطبيق المهارات التي يكتسبها المتخصصون بهذه الطريقة في مكان العمل.
مدونة ITGLOBAL.COM - تكنولوجيا المعلومات المُدارة ، والسحابات الخاصة ، و IaaS ، وخدمات أمن المعلومات للأعمال:
- الخوف من أتمتة العمل والاتجاهات الأخرى في الأمن السيبراني العالمي والروسي
- كيف اكتشفنا الثغرة الأمنية في خادم البريد الخاص بالبنك وكيف كان يهدد ذلك
- كيفية تكوين صداقات مع GOST R 57580 والمحاكاة الافتراضية للحاويات. رد البنك المركزي (واعتباراتنا)
- الاتجاهات الرئيسية لصناعة تكنولوجيا المعلومات في عام 2021 وفقًا لشركة Gartner