Интервью с хакером: «Я за пару дней зарабатываю 3-4к$, а ты кто такой?»

Спонсор поста - https://gold-affiliate.com/affiliates/main.php - партнерка по
продаже ювелирных изделий на ру-трафике.

Сегодня у меня вью с простым 21-летним пацаном, который выбрал вот немного другой путь. Это его http://homakov.blogspot.com на английском, а это http://sakurity.com/.

MaulNet: Итак, значит ты ну типа хакер?

Хакер: Вообще нет, я исследователь. Моя работа находить уязвимости, делать рисеч, но не эксплуатировать или делать кому то "плохо".

Я - whitehat.

MaulNet: А какие языки ты знаешь, и как вообще это началось?

Хакер: Я был "обычным" программистом. Началось давно, году в 2008, когда я читал бомжедвижение и SEO блоги. Все это казалось мутью для школьников (и сейчас кажется), поэтому я быстро перешел в обычный фриланс - делал скрипты/движки на PHP.

Постепенно это выросло в нечто большее, поработал фултайм на нескольких работах, переключился на Ruby.

Казалось бы конец и дальше остается только развиваться в этом направлении, но в марте 2012 я http://habrahabr.ru/post/139399/ популярный среди гиков сайт github.com. Тут в мозгах произошел сдвиг, и из создания систем я начал думать как их взламывать. Получалось весьма неплохо.

MaulNet: А это в Github тебя приглашали работать после взлома?

Хакер: Нет, именно с ними у меня отношения навсегда испорчены, и работать с ними не получится никогда. После взлома пришло несколько десятков писем от больших компаний типа twitter, facebook, google и не очень. К счастью, я не пошел на фултайм и остался свободным консультантом - так я работаю гораздо продуктивней.

MaulNet: Прямо от всех пришло по приглашению? На рынке кадровый голод? И как они тебя нашли?

Хакер: Это обычная практика, когда кто-то "засветился" на хакер ньюс например (а топ 6 новостей там было про меня), то HRы начинают закидывать удочки. Поэтому программисты, много занимающиеся open source, получают от них предложения регулярно.

MaulNet: Короче говоря, с 2012-го ты начал консультировать?

Хакер: Не сразу, какое-то время я еще поработал в Skrill, но с начала 2013 года занимался только консультациями. Тогда и зарегистрировал компанию Sakurity.com - и теперь работаю не один.

MaulNet: https://www.skrill.com/en/ - это платежка? Ты ее тоже взломал?

Хакер: Да, на нее обычно выводят деньги с odesk или при работе с покер сайтами. Это европейская версия пейпала.

Позвали работать после нахождения уязвимости, ага.

MaulNet: А чего все такое дырявое-то?

Хакер: Абсолютное большинство не вкладывает деньги в безопасность. Даже крутой программист оставляет за собой уязвимости, потому что мозги его работают в другом направлении. И хакеров, способных это найти, не так то много. Но они есть.

MaulNet: Ты проработал какое-то время в их европейском офисе?

Хакер: Два месяца в Софии всего.

MaulNet: Какая примерно зарплата?

Хакер: Обычная немецкая, порядка 50 тыс евро в год.

MaulNet: Тебя там не вдохновили перспективы или просто неинтересно, скучно?

Хакер: Да какие могут быть перспективы. В Европе все монотонно, все получают плюс-минус одинаковую ЗП, платят дикие налоги - не мое. На тот момент мне надо было бы в Штаты ехать.

MaulNet: А в Штатах что?

Хакер: Там крутятся деньги, есть крутые стартапы, в которых интересно работать. В долине все это.

MaulNet: Ладненько.

Значит потом ты поехал в эти Азии и начал консультировать?

Хакер: Ну да, с тех пор езжу по миру, но чаще в Азии. Год прожил в Бангкоке, но скоро надо двигаться дальше.

MaulNet: Сколько у тебя с тех пор было клиентов на консультации?

Хакер: Я не считаю, но уже больше 30. Дело не в количестве конечно, каждый клиент это разный объем заказа.

MaulNet: А в деньгах сколько в среднем получается один клиент?

Хакер: Если на пару дней, то в среднем 3-4k $. Если крупный заказ, то 10-20k.

MaulNet: Может стоит опустить расценки? Все же 30 клиентов за два года не так уж много. Или от этого клиентов не прибавится?

Хакер: Задачи много раньше и не стояло, я не нагонял на сайт трафик, старался найти свою нишу, работая один или с парой контракторов. Сейчас планы изменились, и я буду увеличивать объемы. Но цена не изменится, она полностью оправдана для того сегмента клиентов, который мне интересен. Пентестить блоги на вордпрессе за 50 баксов - это не к нам.

MaulNet: Расскажи, что из себя представляет средний клиент? Среди клиентов есть какие-нибудь известные IT-фирмы?

Хакер: Полно, можно посмотреть список на http://sakurity.com/ для примера.

В клиентах есть и крупные платежные системы, но не все разрешают оглашать эту информацию. Для типичного рунет-юзера, правда, там мало кто покажется знакомым. В основном, это успешные стартапы из долины, в рунете о них никто не знает.

MaulNet: Как они тебя находят? Чаще через блог или по рекомендациям прошлых клиентов? В SEO, есть мнение, чаще работают рекомендации, ну может за исключением новых фирм и очень хорошо раскрученных "визиток".

Хакер: Через рекомендации редко.

В основном, это люди, которые наткнулись на сайт и увидели там мое имя (которое краем уха слышали многие в долине), посмотрели отзывы и посты. Думаю в будущем рекомендации будут случаться чаще.

MaulNet: Что из себя представляет твой отчет по безопасности?

Как часто нет никаких серьезных угроз? Это, кстати, правда, что iCloud взломали простым перебором паролей?

Хакер: Отчет - это список с описанием уязвимостей, рекомендации и вывод о безопасности приложения. Смотря что считать серьезной угрозой - критический баг, позволяющий выполнить код на сервере, встречается только в одной трети приложений, но просто опасные вещи типа XSS находятся практически всегда. За iCloud я не следил, но вроде бы да, это был обычный перебор.

MaulNet: А чем опасен XSS? Помню, им раньше генерили ссылки на пустых страницах крупных порталов.

Хакер: XSS это выполнение твоих скриптов в контексте чужого домена. На каком-нибудь блоге добавление ссылок это лучшее что можно с ним сделать, а если у вас XSS на gmail, например, то это чтение/написание любых писем у жертвы и стоит серьезных денег.

MaulNet: На что при анализе ты тратишь больше всего времени? Что самое сложное? И вообще какие бывают типы веб уязвимостей?

Хакер: Если аудит с чтением исходников, то больше всего уходит на их чтение. Нужно просмотреть каждый файл, далее построить в голове как работает приложение. И только в процессе всплывают идеи как эту архитектуру можно атаковать.

Типы уязвимостей я бы выделил в клиентские (XSS итд) и серверные. Клиентские проще всего найти и продемонстрировать, но в реальности их почти не используют т.к. это долго и неприбыльно. Серверные же это реальная угроза, которую надо искать в первую очередь. Обычный SQL injection зачастую ведет к выполнению кода и можно просто скачать всю базу данных.

MaulNet: Расскажи что-нибудь еще важное.

Хакер: Лучшая рекомендация разработчикам - это использовать хорошие фреймворки. Самописные движки, которые так любят сеошники и начинающие программисты - это путь в никуда. Говорят Yii и Zend неплохие. Для питона это джанго, для руби это рельсы.

Фреймворк решает многие проблемы сам.

MaulNet: Меня, помню, взломали после того, как админ установил для входа на один из сайтов дополнительную phpMyAdmin, а потом забыл про нее, она не обновлялась, видимо много было пабликовых дырок к той версии. Это частое явление? Как часто проблема скорее в сервере, нежели в самом самописном движке?

Хакер: По факту да, это пожалуй большинство взломов - когда баг находится на каком-то поддомене, забытой админке или старой версии вордпресса. Важно следить за своей инфраструктурой и не запускать всякую устаревшую муть на том же сервере, где и главное приложение с критическими данными.

MaulNet: Твои клиенты никогда не просят личные встречи? Платят без всяких договоров?

Хакер: Личных встреч не было ни разу. Обычно заключаем договор по желанию клиента, но у меня всегда пост оплата.

MaulNet: Без предоплаты?

Хакер: Да, не беру предоплату

MaulNet: Почему?

Хакер: Проблем никогда не возникало, да и мне так спокойней.

MaulNet: Где и как нужно копать, чтобы из нищего PHP-программиста переквалифицироваться в хакеры?

Хакер: Инструкции у меня нет, я перешел своим путем и мой опыт тут не поможет. Вообще надо заниматься чем тебе нравится. Нищим PHP программиста делает не PHP, а его неумение себя продать / развить свои скиллы до нужного уровня. Деньги есть в любой нише.

MaulNet: И все-таки, что нужно читать?

Хакер: Все подряд. И мой блог)

MaulNet: Блин, может на английском есть четкие форумы?

Хакер: В основном Твиттер, надо подписаться на пару сотен чуваков и смотреть что они делают. И делать самому.

MaulNet: Дай пару примеров.

Хакер: Например, lcamtuf и его книга The Tangled Web - это библия веб хакера. Впрочем, я ее не читал :)

Таких блогов несколько десятков, ищите сами.

MaulNet: Ты недружелюбный по отношению к начинающим хакерам ^)

Хакер: Есть люди с тягой к преподаванию - я не из таких. Мне на почту регулярно пишут всякие индусы с просьбой научить... сами давайте)

MaulNet: Скажи, где пацанам почитать про тот же XSS?

Хакер: Можно зайти на https://www.owasp.org/index.php/Category:Attack - это Вики по веб уязвимостям.

MaulNet: Какие конторы в твоей нише самые крутые?

Хакер: К примеру - Matasano известны своими исследованиями, особенно в криптографии.

MaulNet: Расскажи про планы на будущее.

Хакер: Планы на будущее это увеличить число клиентов и создать пару инструментов на продажу. В данный момент работаю над детектором социальных профилей. Возможно он выйдет как open source, а может и как продукт.

MaulNet: Детектор соц. профилей - это тот самый невидимый лайк? )

Хакер: Да - http://sakurity.com/profiledetector

MaulNet: А в чем смысл выпускать как open source?

Хакер: Не знаю, хочется сделать людям приятное. У меня нет ни одного open source проекта, а без него сейчас никуда.

Многие рисечеры выпускают продукты open source, например тот же брутофорс iCloud - https://github.com/hackappcom/ibrute

MaulNet: Расскажи тогда кратко в чем смысл детектора.

Хакер: Надо заставить посетителя твоей страницы сделать клик в специально отведенную зону, там находится прозрачный виджет. В это время скрипт на сервере отслеживает клики, можно почти моментально определить профиль в социальной сети человека, который кликнул. Это позволяет создать таргетированные предложения. Только ты кликнул, а тебе уже "Дорогой Вася, судя по вашим альбомам ВК вы только что вернулись из Италии, поэтому мы хотим предложить вам путешествие в Японию!".

MaulNet: Что из себя представляет средний хакер сегодня?

Мне кажется, что это такой чел, который сидит на Античате или может каком-нибудь закрытом форуме, собирает пабликовые уязвимости из стандартных движков типа Drupal, а потом льет на сайты всякие mobile редиректы.

Хакер: Хакеры бывают разные. Тип как ты написал это блекхеты, и я не вижу в этом ничего плохого. Если бы не было хакеров, то и не было бы спроса на безопасность, у меня бы не было работы.

Есть хакеры, которые пишут эксплоиты и продают, есть те кто сами ничего не создают, а используют то, что найдут в паблике.

MaulNet: Ты все еще собираешь биткоины?

Это правда, что крипту нельзя вломать?

Хакер: Да, я люблю биткоины и даже принимаю ими оплату за работу. Конечно раздражает последнее падение курса. Взломать нельзя, в этом и суть их надежности. Цифровое золото.

MaulNet: Про количество ты, наверно, не скажешь, но какой % от твоих заработков за все время лежит в крипте?

Хакер: Может процентов 30. Зависит от курса. Может через год эти 30 превратятся в 99.

MaulNet: 99 процентов, остальное на пиво. Так и запишем.

Вакансии

ASO-specialist | ASO-специалист (возможность релокации в Европу)

Advisability

После собеседования

Удаленно

Графический дизайнер

ONLEIX

от 50 000 ₽

Удаленно

Аккаунт-менеджер

МедРокет

от 60 000 до 85 000 ₽

Краснодар

Все объявления

Разместить