Лев Шмелев, 22 года, Специалист по информационной безопасности, @lev.avolume
О выборе профессии
В 16 лет друг пригласил меня на обучение в компьютерную академию «Шаг». Там я учился по направлению «разработка», погружался в сферу IT. Во время учебы, кибербезопасность казалась загадочной, неизведанной областью, где крутые специалисты взламывают сайты, проникают туда, куда не могут попасть остальные.
Профессионально заинтересовался сферой после окончания академии. Тогда я открыл ИП и создавал сайты на заказ. Разработка меня не привлекала, и поэтому я читал в интернете статьи по кибербезопасности. В какой-то момент у меня накопились достаточные для junior-специалиста знания, и я подал заявление на работу в Центр анализа и расследования кибер атак.
О деятельности
В ЦАРКА я занимаюсь пентестом или penetration test — тестированием на проникновения. Моя обязанность — поиск уязвимостей на сайтах заказчиков и написание отчетов, по которым в дальнейшем идет исправление. Занимаюсь взломом и аудитом беспроводных сетей.
Считаю, что работа киберспециалистов важна для каждого
Также провожу нагрузочное тестирование — проверяю, какую нагрузку может выдержать сайт клиента. Крупные бизнес и информационные порталы имеют риск оказаться под DDoS-атакой — когда в один промежуток времени проводится большое количество запросов. Они могут «положить» сайт — довести до отказа в обслуживании пользователя.
Считаю, что работа киберспециалистов важна для каждого. Все наши данные находятся в интернете, даже государство перешло на информационные системы вроде eGov. Существует возможность оказаться под атакой. Если это произойдет, мы не сможем воспользоваться услугами, а наши данные окажутся под угрозой. К примеру, мошенники смогут оформить на ваше имя кредит.
О развитии сферы в Казахстане
С 2015 года сфера кибербезопасности в Казахстане активно развивается. ЦАРКА запустила программу Bug Bounty, которая позволяет любой компании разместить свои информационные системы в открытый доступ на проверку. За найденные уязвимости выплачивается денежное вознаграждение.
На государственном уровне принимаются законы, которые обязуют сферы и компании, относящиеся к критической инфраструктуре — это больницы, банки, заводы, проходить через пентест, искать уязвимости и исправлять их.
Советы начинающим
Всегда стоит попробовать то, что вас интересует. Я рекомендую начать с тренировок на платформе HackTheBox. В заданиях там имитируются реальные сайты, которые нужно взломать и получить «флаг» — набор символов в текстовом формате. Он хранится на файловом сервере предоставленного сайта. Это оптимальный вариант для новичков. Также к популярным площадкам относятся TryHackMe и Root-me.
Когда у вас будет минимальный набор знаний для проведения пентеста, можно переместиться на платформу Bug Bounty, где можно наработать опыт на реальных системах за вознаграждение.
При этом главное — попасть в комьюнити, познакомиться с людьми, которые уже работают в сфере. Так обучение пойдет быстрее.
О планах
В планах — получение новых сертификаций, развитие как специалиста в техническом плане.
Компания ЦАРКА нацелена на международное развитие. К примеру, недавно несколько банков в Кыргызстане подключились к системе Bug Bounty.
Елдос Нурекен, 25 лет, пентестер, @eldosnureken
О выборе профессии
Я с детства любил видеоигры, но в какой-то момент компьютер перестал «тянуть» новинки. Решил, что нужно накопить на новый, но оказалось, что покупать готовый дороже, чем просто собрать его. Так я изучил, как работают компьютеры и втянулся в сферу IT, позже даже переустанавливал Windows за плату.
Хакерская культура всегда была мне интересна. Поэтому, когда на момент сдачи ЕНТ появилась новая специальность: «Системы информационной безопасности», поступил туда. Позже, попал на конференцию KazHackStan, где выступают специалисты со всего мира. Ее проводит Центр анализа и расследования кибер атак, компания, в которой я сейчас работаю.
О деятельности
Я работаю на позиции пентестера. Penetration Testing — это тестирование на проникновение, анализ системы на наличие уязвимостей. Заказывая наши услуги, клиенты выделяют набор доменов и серверов, где мы можем проводить тестирование. Устанавливается срок, за который мы должны протестировать систему с позиции атакующего хакера.
В конце выдается отчет с детальным описанием уязвимостей: как нашли, повтор процесса по шагам, рекомендации по устранению. Также даем оценку уровню защищенности системы.
Среди специалистов есть деление на red team — атакующих и blue team — защитников. Я отношу себя к первым.
Рутины почти нет, и в этом главный плюс. Каждый проект по-своему интересен, у всех различный стек технологий.
Сегодня большое количество личной информации проходит через интернет, и ее необходимо защищать. Взлом сайта или банка приведет к репутационным и финансовым убыткам.
По правилам кибергигиены нельзя использовать одинаковые пароли на разных аккаунтах — так вас проще взломать. Также желательно оставлять минимум информации о себе, так как сейчас атаки проводятся с помощью социальной инженерии. Хакеры собирают данные о пользователе и на основе интересов отправляют письмо на почту с ссылкой на условную скидку от AliExpress. Переход по ней приведет к потере аккаунта.
О развитии сферы в Казахстане
Многие компании в Казахстане понимают, что нужно проводить пентесты, некоторые даже набирают хакеров для тестирования своих систем на постоянной основе. Популярное сегодня направление — безопасная разработка кода.
Советы начинающим
Для специалиста web-pentester необходимо знание принципов протокола HTTP, умение пользоваться основными функциями Burp Suite и других популярных сканеров: ZAP, Acunetix, Netsparker, Arachni. Понадобятся навыки OSINT и багхантерской разведки, владение каким-либо популярным стеком веб-технологий, умение читать и понимать код. Также требуется знание сути багов из OWASP Top 10 — как их обнаружить, эксплуатировать и фиксить.
В нашей сфере недостаточно просто изучить уязвимость, нужно сделать что-то своими руками
Для INFRA-Pentester потребуются следующие Hard skills: знание Linux на уровне продвинутого пользователя, навыки OSINT и корпоративной разведки, основ сетевых технологий — понимание сути TCP, IP, настройки маршрутизации, умение пользоваться Kali Linux, Metasploit, Nmap, Wireshark, Nessus, OpenVAS, masscan, понимание практичных атак на Wi-Fi, умение писать простые скрипты для работы с сетью, знание регулярных выражений.
Начинающие могут использовать платформу Root.me — это площадка, где по каждому направлению есть набор задач, решая которые, вы можете набирать баллы. Также можно посмотреть на решения других пользователей и взять для себя что-то.
После можно пойти на HackTheBox и TryHackMe — это крутые платформы, которые позволяют практиковаться. Результаты можно привязывать на страницу в LinkedIn и указывать в резюме. Как наберете знания, можно попробовать участие в программах Bug Bounty или Hacker One. Закрепление в топе гарантирует трудоустройство даже за границей.
В нашей сфере недостаточно просто изучить уязвимость, нужно сделать что-то своими руками, только тогда знания усвоятся.
О планах
Недавно ЦАРКА проводила кибер-учения, куда привлекались школьники. Им объясняли, что такое информационная безопасность на практике. В ближайшие месяцы стартует новый курс — для тех, кто уже имеет знания в сфере. Будут выдаваться сертификаты по всем направлениям информационной безопасности.