Этичные хакеры делают то же самое, что и злоумышленники, но в рамках закона — сдают отчеты об уязвимостях и помогают компаниям построить лучшую защиту. Об этой увлекательной профессии поговорили с Екатериной Шевченко, сотрудницей центра анализа и расследования кибератак.
Екатерина Шевченко, 23 года, город — Алматы, этичный хакер, twitter
Как все началось
Интерес к технологиям у меня с детства, но долгое время я не воспринимала это как возможную деятельность. Пришла к IT довольно поздно — в 11 классе, когда встал вопрос выбора профессии. Я замечала больше новостей, связанных со сферой кибербезопасности. Это меня увлекло, и я изучала различные направления.
Больше всего заинтересовал этичный хакинг. Это когда человек имитирует действия злоумышленников, чтобы найти уязвимости и помочь компаниям устранить их. В этом деле нужны не только технические знания, но и креативность.
Позже поступила в Международный университет информационных технологий, где изучала направление «Кибербезопасность». Совмещала учебу с самообразованием, участием на хакерских платформах. А на четвертом курсе меня пригласили на стажировку. И сейчас уже полтора года я работаю пентестером или тестировщицей на проникновения в ЦАРКА — Центре анализа и расследования кибер атак.
Мне нравится, что моя работа может сделать мир безопаснее. Я первая девушка в Центральной Азии с сертификатом OSCP. Хочу сократить гендерный разрыв и привлечь женщин в эту интересную область.
О деятельности
В сферу моих обязанностей входит пентест веб-приложений и корпоративной инфраструктуры. Я ищу уязвимости в системах заказчика, затем предоставляю отчет для устранения командой защитников.
Главная цель — найти слабые места, пока их не обнаружил злоумышленник. Также участвую в аудите с применением социальной инженерии — это когда мы работаем напрямую с людьми. Например, я часто пишу фишинговые письма. Они направлены на то, чтобы люди переходили по ссылкам, вводили личную информацию, к которой мы можем получить доступ.
Также я модератор национальной площадки Bug Bounty, где подтверждаю отчеты о найденных уязвимостях от независимых исследователей и предлагаю рекомендации компаниям по их устранению.
Сфера кибербезопасности не стоит на месте. Появляются новые знания, методологии. Нужно постоянно учиться. В профессии важно быть креативным: можно найти решение, автоматизировать его или найти другой вектор эксплуатации уязвимости.
Для меня «этичный хакинг» — не просто интересная деятельность. Она помогает компаниям, которые хранят данные многих людей, в том числе и моих близких. Находя уязвимости, я могу предостеречь защитников, и в дальнейшем злоумышленники не смогут воспользоваться ими и получить доступ к данным клиентов. Это меня и мотивирует — понимание того, что работаешь не просто так.
О сертификате OSCP
Сертификат Offensive Security Certified Professional — один из самых известных и востребованных в области нападательной безопасности — пентеста. Его сдача —испытание практических навыков. Это не тест, а реальные задания. Всего лишь за 24 часа требуется получить полный доступ над несколькими системами, взломать их. На время моей сдачи машин было пять, с января их количество увеличилось до шести.
Никакой информации заранее не дается. Так, экзамен проверяет эффективность методологии пентестера — как быстро человек находит данные, воспринимает ианализирует их, строит возможные векторы.
Для меня основной сложностью стало наличие «кроличьих нор», когда существует вектор, который кажется наиболее вероятным. Но на самом деле он никуда не ведет. Их внедряют для повышения сложности. В моменты работы с ними учишься отстраняться и смотреть на задачу с другой стороны, свежим взглядом. Это помогает и в реальных проектах.
О сфере кибербезопасности в Казахстане
Помимо работы в компаниях, казахстанские специалисты активно участвуют в работе площадки Bug Bounty как национальной, так и международной, сдают уязвимости.
Профессионалы растут, объединяясь в команды и участвуя в соревнованиях по захвату флага — когда на специальной площадке они могут продемонстрировать свои навыки и побороться за победу среди участников из других стран.
Раз в полгода команда из ЦАРКА участвует в одном из таких соревнований в рамках конференции Positive HackDays. Знаю, что в лидерах есть ребята из других казахстанских компаний. Думаю, что мы активно развиваемся в этом плане и выходим на международные позиции.
Где учиться этичному хакингу
Начинающим советую изучить основы сетей, администрирование операционных систем Linux и Windows. Они станут основой для дополнительных знаний, которые требуются в области пентеста. Одна из распространенных точек входа в профессию — веб-приложения. Здесь можно изучить языки программирования, чаще всего, это Python или Go, а также работу протоколов и серверов.
На специалистов в этой сфере все больше спроса, а поэтому появляется много ресурсов, где можно изучить как теорию, так и применить знания на практике. Я начинала с площадки TryHackMe. Она отлично подходит для новичков. Там понятные объяснения, а еще есть песочница, где можно применить знания.
Дальше я перешла на Hack The Box, он больше подходит для испытания навыков. Здесь нет обучающих материалов, просто дается машина, которую нужно взломать. Подход тут эмпирический — я собираю данные в Google, изучаю возможности. В этой профессии нельзя все знать заранее. Всегда наступает момент, когда нужно обратиться к информации из интернета или книг.
Хочу предостеречь новичков: не поддавайтесь соблазнам и не используйте знания в неэтичном направлении
После бесплатных ресурсов можно перейти к платным, таким как Offensive Security — это отличное место для развития в профессии.
Для начала понадобятся только ноутбук и интернет. Затем стоит подаваться на стажировки, пробовать себя и не бояться. Комьюнити у нас приветливое, никто не будет останавливать человека, если ему это интересно. Пентестер— востребованная профессия, компаниям нужны молодые ребята, которые горят свои делом и стремятся повышать квалификацию.
Хочу предостеречь новичков: не поддавайтесь соблазнам и не используйте знания в неэтичном направлении. На определенном этапе обучения начинаешь чувствовать силы, понимать свои возможности. В этот момент кажется, что можешь многое. Но этот потенциал нужно направить во благо и не переходить на сторону неэтичных хакеров, которые преследуются законом.
О планах
Сфера кибербезопасности развивается. Планирую двигаться дальше вместе с ней, изучать все новое. Готовлюсь к сертификациям, чтобы поднять профессиональный уровень.
Веду блог, в котором помогаю начинающим, рассказываю о методологии и разных способах пентеста. Надеюсь, что внесу свой вклад в комьюнити и буду поднимать уровень безопасности в Казахстане.