Антон Карпов, май 2009
http://toxa.livejournal.com/427037.html
Называть себя "хакером" нынче
не модно. Это раньше хакеры были замкнутыми в себе интеллигентными
интровертами с IQ за 120, занимающиеся своим делом ради интереса,
жажды новых знаний и желания сделать мир лучше. Теперь "хакер"
- это даже не всегда толковый отморозок, занимающийся спамом,
малварью, трейдингом ботнетов, написанием очередного Конфикера или
модификации к нему и делающий все это исключительно ради бабла,
которого, сука, всегда не хватает.
Поэтому тем, кто хочет быть
причислен к лику святых, в наши дни путь один - в эксперты по
информационной безопасности. Их в последнее время развелось как
говна, многие даже работают в профильных компаниях, да и вообще
"эксперт по информационной безопасности отдела консалтинга и
аудита" - разве не пиздато звучит? По-моему, гораздо солиднее и
взрослее, чем многогранное и дискредитированное понятие
"хакер".
Стать экспертом по ИБ очень просто. Вы,
наверное, думаете, что высокое звание эксперта может иметь только
тот, кто прочитал все RFC, знаком с деталями функционирования стека
сетевых протоколов, начиная как минимум с канального уровня, имеет
богатый опыт реверсинга драйверов и ядерного программирования под все
известные операционные системы и все такое? Вовсе нет. Типичному
российскому эксперту по ИБ все это нахуй не упало. Стать членом клуба
гораздо проще.
Во-первых, надо завести себе блог, и
обязательно на блогспоте. Блог настоящего эксперта не может носить
имя, отличное от expert_surname.blogspot.com, это же очевидно.
Обращаю ваше внимание - времена хацкерских ников давно прошли! Если
вас зовут, например, Пися Камушкин - срочно бегите и герайте
pkamushkin.blogspot.com. Иначе никак.
Даже не думайте писать в
этот блог что-либо, не связанное с ИБ! А вот вещи, к ИБ отношение
имеющие, как раз должны публиковаться в избытке - не менее трех в
неделю. Все равно, что это будет за хуета и насколько свежая - это
никому не важно. Важны следующие вещи:
- Надо пугать. Не менее
раза в неделю следует публиковать взятое из чужих источников или с
потолка исследование, согласно которому будет очевидно: унылое IT
катится в унылое говно, админы не хотят патчить серваки, юзеры не
хотят ставить стойкие пароли, программисты не хотят писать грамотные
приложения. Как итог - без экспертов по ИБ мы все умрем максимум
через три года.
- Надо приводить статистику. "По
результатом наших исследований, каждый третий сайт имеет
SQL-инъекцию, на каждом втором Windows-сервере не отключены LM-хэши,
а тридцать процентов пользователей готовы отдать пароль за минет"
- статистика всегда звучит солидно и весомо. Читатель не должен
интересоваться, откуда данные, он должен проникнуться ими.
- Надо
публиковать свои исследования. Чтобы составить представление о том,
как пишутся исследования, надо купить пару номеров журнала "Хакер"
и почитать, например, статьи Криса Касперски. Подобный стиль вполне
подойдет. Несвежесть и вторичность не имеет ни малейшего значения.
"Вчера ради интереса посетил сайт одной известной компании. В
поле поиска случайно вставил js-alert, а в поле GET-запроса -
кавычку. И что же вы думаете - это сработало!". Дальнейшие
шаги никого не интересуют, главное как можно быстрее перевести речь о
том, что "веб-приложения сейчас как никогда критичны и уязвимы".
Вообще, они критичны и уязвимы уже лет восемь, но вы не должны об
этом помнить.
- Надо публиковать наглядные примеры тестирования на
проникновение. Что ни говори, а настоящий эксперт по ИБ время от
времени должен работать руками. Пугаться не стоит - разве я не
говорил, что свежесть идей не является актуальным фактором? Так что
вполне пойдет пост вида "недавно попробовал очень интересную
атаку, с помощью которой можно аутентифицироваться в Windows с хэшем
пароля..." или "сегодня проводил аудит беспроводной
сети, которая была защищена WEP-ом. Открыл ноутбук, запустил
aircrack...". В конце, как я уже говорил - пугать,
обязательно пугать. Виндовс запретить, беспроводные сети сжечь. Или
позвать экспертов по безопасности.
- Надо посещать конференции по
ИБ и публиковать свои независимые отчеты. В конце концов, все ведь
должны окончательно уверовать, что вы в тусовке, в теме.
Во-вторых,
надо писать статьи. Это немного перекликается с предыдущим пунктом -
впрочем, публиковать одно и то же в блоге и на сайте/в журнале не
зазорно. В написании статей следует придерживаться тех же правил, что
и в блоге:
- В статьях надо обязательно сделать реверанс в сторону
"отраслевых стандартов: ISO 27x, PCI DSS, SOX и т.п.".
Знать эти стандарты необязательно, их никто не знает, а созданы они
лишь для того, чтобы придавать вашей статье весомый оттенок
серьезности и энтерпрайзности.
- Следует регулярно ссылаться на
свой опыт: такие обороты как "по нашему опыту аудитов..."
и "как показывает практика.." обязательно должны
присутствовать в статье. Статистические методы придумали дураки,
одного-двух проведенных вами аудитов вполне достаточно, чтобы
ссылаться на свой богатый опыт.
- Запомните: если в статье нет
слова "комплаенс" - это не статья эксперта по ИБ!
"Комплаенс" - специальное слово, придуманное консорциумом
вендоров и консультантов для облегчения способа определения метрик
эффективности с стоимости работ по консалтингу и внедрению продуктов
ИБ. В итоге никто не знает, что конкретно оно означает, а значит -
оно означает буквально все. И звучит пиздато.
В-третьих, надо
искать уязвимости и писать адвайзори. Нет, не бойтесь - никто не
заставляет вас брать в руки дизассемблер и лезть в ядро Windows. Мы
живем в двадцать первом веке и это давно уже никому не нужно. Вам
надо найти пару SQL-инъекций или CSRF/XSS-атак в каком-нибудь
известном продукте. Это не так сложно, поверьте. Зато, найдя
нефильтруемое поле ввода в веб-интерфейсе системы управления
бэкофисом OpenWay, работающего с СУБД Oracle, вы можете бросить при
случае: "Оракл? Ах да, я, помнится, находил в нем уязвимости"
или "OpenWay? Да, я делал аудит защищенности этого
продукта".
В-четвертых, надо напрячься и получить
хоть какой-нибудь сертификат. Не обязательно профильный - их все
равно никто не различает, а четыре заглавных буквы после фамилии
смотрятся пиздато и солидно. Поэтому, если CISA или CISP - дорого и
сложно, можно начать хотя бы с MCSE.
Следование этим несложным
принципам поможет вам получить уважение в кругах тех, кого вы между
собой гордо будете называть "блекхетами" и любовь в
корпоративном секторе среди заказчиков.
Security
expert cheatsheet: scott/tiger, sa:NULL, ms08-067, -1+union+select,
meterpreter, , whosthere, aircrack-ng, nmap, xp_cmdshell, cain,
arcserve, veritas backup exec.