Батыржан Тютеев, 29 лет, родной город — Костанай, специалист в сфере информационной безопасности, программист
О выборе сферы
В седьмом классе я знал, на кого пойду учиться. В этот год нам в школу привезли компьютеры, и я решил, что это та ниша, где можно развиваться. Я записался в кружок «Юный программист». Меня не хотели принимать, потому что я плохо учился, но мой друг, который учился хорошо, попросил, чтобы меня взяли. Я начал заниматься, и все закрутилось.
Уже в седьмом классе я начинал программировать, изучал книжки по языкам программирования: BASIC, Pascal. В моем классе я писал исходный код на доске, а одноклассники переписывали.
После школы я поступил в колледж по специальности «программирование». У нас были лучшие компьютеры и отличные преподаватели. Они нас постоянно гоняли. Один из них — преподаватель по объектно-ориентрованному программированию и операционным системам взял меня на работу в 16 лет. Я работал у него лаборантом.
Все сложилось так, потому что однажды на занятиях я взломал его компьютер
Все сложилось так, потому что однажды на занятиях я взломал его компьютер. Я подсунул ему программу, которую написал на его же паре. Он пытался записывать диски с фильмами, а я постоянно втаскивал DVD ROM. Пока он боролся с компьютером, народ собрался вокруг меня и начал смеяться, потому что я видел все, что происходит, у себя на экране. После чего он подошел и позвал меня с собой. Я решил, что попал в неприятности, а на деле он предложил мне работу.
В мои обязанности входили функции системного администратора: переустановка операционных систем, наблюдать за сетью, настраивать Microsoft Office.
О начале карьеры
За все эти годы где я только ни работал: в рекламе, в страховой сфере, в компании Logycom в качестве ремонтного мастера. После того как я поработал в Logycom, я начал разбираться в «железках». Потом я работал в «Казахтелекоме» программистом. Там я получил хорошую базу. То, что я изучал в колледже, университете, магистратуре было бесполезным. В этот момент я почувствовал себя ущербным и начал учить новые языки программирования.
Я начал развиваться в сфере кибербезопасности с 16 лет. У меня была пара публикаций по теме, и я попал в эту среду, начал общаться с «безопасниками» из Казахстана. Один из них в дальнейшем пригласил меня в ЦАРКА. Я не сразу поверил в проект. Около года работал удаленно. В тот момент команда только формировалась.
В один день мне надоело работать в родном городе, и нынешний директор ЦАРКИ пригласил к себе. Я приехал и нисколько не жалею.
О том, что такое ЦАРКА
ЦАРКА — это несколько ТОО, объединенных в одну организацию. К нам обращаются другие компании, чтобы узнать о том, насколько защищен их ресурс. Мы даем определенный период, и в это время пытаемся его взломать, таким образом, находя уязвимости. В 99 % случаев мы проводим успешные атаки и взламываем сайт.
В 99 % случаев мы проводим успешные атаки и взламываем сайт
Обычно клиенты оперативно реагируют и исправляют проблемы. Однако бывали и случаи, когда это затягивалось на года. Например, у нас была статья, в которой мы рассказывали о критической уязвимости сайта, и мы опубликовали ее в Facebook. Спустя год ничего не изменилось. До того как уязвимость была исправлена, прошло три года.
ЦАРКА привлекает меня тем, что у работников свободный график работы. Директор когда-то сказал: «Мне неважно, где вы и чем занимаетесь, главное — чтобы работа была выполнена». Бывало такое, что я неделями не ходил на работу — лежал в постели и работал.
Мне нравится этот подход. До сих пор мне предлагают уйти в другие места, где платят в разы больше, но там нужно ходить с девяти до шести работать — это не мое. По большей части работать приходится ночью, а днем я отсыпаюсь.
В ЦАРКА есть различные направления. Я работаю в web-направлении: Web, Wi-Fi. У нас есть люди, которые занимаются «реверсом» — они узнают о вирусе, наблюдают за ним, ищут способы, как от него защититься. Также есть люди, которые разрабатывают полезные «железки».
Всего в команде около 30 человек, но часть из них — разработчики.
Не все, работающие в сфере, программисты. К примеру, наш ведущий программист — Ербол, он юрист. Я потратил на это почти десять лет, а он все равно лучше меня. Он учился на юриста, а программирование привлекло его больше. Сейчас я думаю, что если бы у меня была возможность, то вместо учебы эффективнее было бы провести год, обучаясь у такого человека.
Об информационной безопасности
Информационная безопасность — это актуальная сфера. Казахстан имеет низкий уровень информационной безопасности. Чуть ли не каждый второй сайт можно взломать.
Майнинг — добыча криптовалюты — популярная тема. Происходит много атак, во время которых в тело страницы вживляют дополнительные скрипты. Каждый, кто заходит на сайт, автоматически подключает свое устройство к системе, и оно начинает заниматься майнингом без ведома хозяина. При этом добыча уходит в пользу злоумышленника. Это прибыльно. Недавно был инцидент: была обнаружена уязвимость у одного заграничного сайта, и за несколько дней майнинга ресурс принес хакерам более 200 тысяч долларов. Техника при этом начинает сильно нагружаться. Компьютер работает медленнее, телефон нагревается и быстро разряжается.
Для изменения ситуации в сфере защиты нужны кадры и то, чтобы правительство уделяло этому больше внимания.
Каждый человек лично может сделать свою жизнь безопаснее. Для этого нужно быть внимательнее по отношению к мобильным приложениям, установленным на компьютер программам, внимательно вводить данные карты на сайт и иметь на ПК антивирус.
Не стоит выкладывать в социальных сетях подробную информацию о себе. Чем меньше — тем лучше. Мошенники берут данные из социальных сетей либо в различных базах. Человеку достаточно один раз засветить телефон, чтобы попасть в базу.
Не стоит выкладывать в социальных сетях подробную информацию о себе
К примеру, приложение GetContact дает выбор — устанавливать приложение и предоставить доступ к контактам, или нет. Для людей любопытство дороже. Устанавливая приложение, пользователи передают все имеющиеся на телефоне контакты на сервер, а те, в свою очередь, могут стать достоянием общественности. А то, насколько защищен сервер — неясно.
Также одно время у нас была проблема с GSM. Какое-то время трафик по 2G вообще не шифровался, то есть при желании можно было свободно перехватить сообщение. Для того чтобы сделать это, хватит и старого телефона. Также, зная, например, телефон родителей или близких и находясь в радиусе действия, отправить смс будто с их номера. При использовании 4G сделать это сложнее, но при отправке определенных пакетов можно переключить телефон в режим 2G.
Сфера имеет огромные перспективы. Наши ребята постоянно получают предложения от других компаний, банков. В число компаний, нуждающихся в информационной безопасности, входят больницы. Сейчас проводится много исследований атак на медицинское оборудование. Пару лет назад в США удалось отключить кардиостимулятор благодаря Wi-Fi. Это также актуально в машиностроении. Недавно компания Tesla разрешила делать «реверс» и взламывать прошивки своих машин. При этом это считается гарантийным случаем, то есть компания бесплатно заменит прошивку при выходе из строя старой.
Люди заботятся о безопасности. Все такие атаки направлены на улучшение работы. К сожалению, у нас это плохо понимают. В 17 лет я писал владельцам казахстанских сайтов о том, что у них есть неисправности, а они воспринимали это в штыки — угрожали найти.
О доходе
Те, кто хочет зарабатывать легально и приличные деньги, может использовать такую площадку, как Hacker One, где потенциальные заказчики проверяют свои ресурсы на уязвимости, на различные типы атак. Хакер регистрируется там, проверяет и пишет отчет. Если указанная в отчете уязвимость подтвердилась, то хакер получает указанную выплату.
Таких платформ много. К примеру, в позапрошлом году у меня был небольшой застойный период — отпуск, длительностью 40 дней. В будни я занимался своими делами, а по выходным сидел на таких сайтах, и заработал четыре тысячи долларов. Это несложно.
О молодых специалистах
Вопреки стереотипам, программисты и безопасники — это не худощавые парни в очках. Работа сидячая, но мы ведем активный образ жизни. Почти все занимаются в зале, я сам, к тому же, люблю ходить пешком. В нашей команде есть Максим, который является для нас всех мотиватором держать себя в форме. Никто из команды не ходит в очках, а в команде ребят, которые занимаются испытаниями на проникновение в системы, есть талантливый специалист — Татьяна. Мы обходим все стереотипы.
Все, что нужно, чтобы прийти в сферу — не быть лентяем