Пособие для начинающего эксперта по ИБ

Антон Карпов, май 2009

http://toxa.livejournal.com/427037.html



Называть себя "хакером" нынче не модно. Это раньше хакеры были замкнутыми в себе интеллигентными интровертами с IQ за 120, занимающиеся своим делом ради интереса, жажды новых знаний и желания сделать мир лучше. Теперь "хакер" - это даже не всегда толковый отморозок, занимающийся спамом, малварью, трейдингом ботнетов, написанием очередного Конфикера или модификации к нему и делающий все это исключительно ради бабла, которого, сука, всегда не хватает.

Поэтому тем, кто хочет быть причислен к лику святых, в наши дни путь один - в эксперты по информационной безопасности. Их в последнее время развелось как говна, многие даже работают в профильных компаниях, да и вообще "эксперт по информационной безопасности отдела консалтинга и аудита" - разве не пиздато звучит? По-моему, гораздо солиднее и взрослее, чем многогранное и дискредитированное понятие "хакер".

Стать экспертом по ИБ очень просто. Вы, наверное, думаете, что высокое звание эксперта может иметь только тот, кто прочитал все RFC, знаком с деталями функционирования стека сетевых протоколов, начиная как минимум с канального уровня, имеет богатый опыт реверсинга драйверов и ядерного программирования под все известные операционные системы и все такое? Вовсе нет. Типичному российскому эксперту по ИБ все это нахуй не упало. Стать членом клуба гораздо проще.

Во-первых, надо завести себе блог, и обязательно на блогспоте. Блог настоящего эксперта не может носить имя, отличное от expert_surname.blogspot.com, это же очевидно. Обращаю ваше внимание - времена хацкерских ников давно прошли! Если вас зовут, например, Пися Камушкин - срочно бегите и герайте pkamushkin.blogspot.com. Иначе никак.
Даже не думайте писать в этот блог что-либо, не связанное с ИБ! А вот вещи, к ИБ отношение имеющие, как раз должны публиковаться в избытке - не менее трех в неделю. Все равно, что это будет за хуета и насколько свежая - это никому не важно. Важны следующие вещи:
- Надо пугать. Не менее раза в неделю следует публиковать взятое из чужих источников или с потолка исследование, согласно которому будет очевидно: унылое IT катится в унылое говно, админы не хотят патчить серваки, юзеры не хотят ставить стойкие пароли, программисты не хотят писать грамотные приложения. Как итог - без экспертов по ИБ мы все умрем максимум через три года.
- Надо приводить статистику. "По результатом наших исследований, каждый третий сайт имеет SQL-инъекцию, на каждом втором Windows-сервере не отключены LM-хэши, а тридцать процентов пользователей готовы отдать пароль за минет" - статистика всегда звучит солидно и весомо. Читатель не должен интересоваться, откуда данные, он должен проникнуться ими.
- Надо публиковать свои исследования. Чтобы составить представление о том, как пишутся исследования, надо купить пару номеров журнала "Хакер" и почитать, например, статьи Криса Касперски. Подобный стиль вполне подойдет. Несвежесть и вторичность не имеет ни малейшего значения. "Вчера ради интереса посетил сайт одной известной компании. В поле поиска случайно вставил js-alert, а в поле GET-запроса - кавычку. И что же вы думаете - это сработало!". Дальнейшие шаги никого не интересуют, главное как можно быстрее перевести речь о том, что "веб-приложения сейчас как никогда критичны и уязвимы". Вообще, они критичны и уязвимы уже лет восемь, но вы не должны об этом помнить.
- Надо публиковать наглядные примеры тестирования на проникновение. Что ни говори, а настоящий эксперт по ИБ время от времени должен работать руками. Пугаться не стоит - разве я не говорил, что свежесть идей не является актуальным фактором? Так что вполне пойдет пост вида "недавно попробовал очень интересную атаку, с помощью которой можно аутентифицироваться в Windows с хэшем пароля..." или "сегодня проводил аудит беспроводной сети, которая была защищена WEP-ом. Открыл ноутбук, запустил aircrack...". В конце, как я уже говорил - пугать, обязательно пугать. Виндовс запретить, беспроводные сети сжечь. Или позвать экспертов по безопасности.
- Надо посещать конференции по ИБ и публиковать свои независимые отчеты. В конце концов, все ведь должны окончательно уверовать, что вы в тусовке, в теме.

Во-вторых, надо писать статьи. Это немного перекликается с предыдущим пунктом - впрочем, публиковать одно и то же в блоге и на сайте/в журнале не зазорно. В написании статей следует придерживаться тех же правил, что и в блоге:
- В статьях надо обязательно сделать реверанс в сторону "отраслевых стандартов: ISO 27x, PCI DSS, SOX и т.п.". Знать эти стандарты необязательно, их никто не знает, а созданы они лишь для того, чтобы придавать вашей статье весомый оттенок серьезности и энтерпрайзности.
- Следует регулярно ссылаться на свой опыт: такие обороты как "по нашему опыту аудитов..." и "как показывает практика.." обязательно должны присутствовать в статье. Статистические методы придумали дураки, одного-двух проведенных вами аудитов вполне достаточно, чтобы ссылаться на свой богатый опыт.
- Запомните: если в статье нет слова "комплаенс" - это не статья эксперта по ИБ! "Комплаенс" - специальное слово, придуманное консорциумом вендоров и консультантов для облегчения способа определения метрик эффективности с стоимости работ по консалтингу и внедрению продуктов ИБ. В итоге никто не знает, что конкретно оно означает, а значит - оно означает буквально все. И звучит пиздато.

В-третьих, надо искать уязвимости и писать адвайзори. Нет, не бойтесь - никто не заставляет вас брать в руки дизассемблер и лезть в ядро Windows. Мы живем в двадцать первом веке и это давно уже никому не нужно. Вам надо найти пару SQL-инъекций или CSRF/XSS-атак в каком-нибудь известном продукте. Это не так сложно, поверьте. Зато, найдя нефильтруемое поле ввода в веб-интерфейсе системы управления бэкофисом OpenWay, работающего с СУБД Oracle, вы можете бросить при случае: "Оракл? Ах да, я, помнится, находил в нем уязвимости" или "OpenWay? Да, я делал аудит защищенности этого продукта".

В-четвертых, надо напрячься и получить хоть какой-нибудь сертификат. Не обязательно профильный - их все равно никто не различает, а четыре заглавных буквы после фамилии смотрятся пиздато и солидно. Поэтому, если CISA или CISP - дорого и сложно, можно начать хотя бы с MCSE.

Следование этим несложным принципам поможет вам получить уважение в кругах тех, кого вы между собой гордо будете называть "блекхетами" и любовь в корпоративном секторе среди заказчиков.



Security expert cheatsheet: scott/tiger, sa:NULL, ms08-067, -1+union+select, meterpreter, , whosthere, aircrack-ng, nmap, xp_cmdshell, cain, arcserve, veritas backup exec.