продаже ювелирных изделий на ру-трафике.
Сегодня у меня вью с простым 21-летним пацаном, который выбрал вот немного другой путь. Это его http://homakov.blogspot.com на английском, а это http://sakurity.com/.
MaulNet: Итак, значит ты ну типа хакер?
Хакер: Вообще нет, я исследователь. Моя работа находить уязвимости, делать рисеч, но не эксплуатировать или делать кому то "плохо".
Я - whitehat.
MaulNet: А какие языки ты знаешь, и как вообще это началось?
Хакер: Я был "обычным" программистом. Началось давно, году в 2008, когда я читал бомжедвижение и SEO блоги. Все это казалось мутью для школьников (и сейчас кажется), поэтому я быстро перешел в обычный фриланс - делал скрипты/движки на PHP.
Постепенно это выросло в нечто большее, поработал фултайм на нескольких работах, переключился на Ruby.
Казалось бы конец и дальше остается только развиваться в этом направлении, но в марте 2012 я http://habrahabr.ru/post/139399/ популярный среди гиков сайт github.com. Тут в мозгах произошел сдвиг, и из создания систем я начал думать как их взламывать. Получалось весьма неплохо.
MaulNet: А это в Github тебя приглашали работать после взлома?
Хакер: Нет, именно с ними у меня отношения навсегда испорчены, и работать с ними не получится никогда. После взлома пришло несколько десятков писем от больших компаний типа twitter, facebook, google и не очень. К счастью, я не пошел на фултайм и остался свободным консультантом - так я работаю гораздо продуктивней.
MaulNet: Прямо от всех пришло по приглашению? На рынке кадровый голод? И как они тебя нашли?
Хакер: Это обычная практика, когда кто-то "засветился" на хакер ньюс например (а топ 6 новостей там было про меня), то HRы начинают закидывать удочки. Поэтому программисты, много занимающиеся open source, получают от них предложения регулярно.
MaulNet: Короче говоря, с 2012-го ты начал консультировать?
Хакер: Не сразу, какое-то время я еще поработал в Skrill, но с начала 2013 года занимался только консультациями. Тогда и зарегистрировал компанию Sakurity.com - и теперь работаю не один.
MaulNet: https://www.skrill.com/en/ - это платежка? Ты ее тоже взломал?
Хакер: Да, на нее обычно выводят деньги с odesk или при работе с покер сайтами. Это европейская версия пейпала.
Позвали работать после нахождения уязвимости, ага.
MaulNet: А чего все такое дырявое-то?
Хакер: Абсолютное большинство не вкладывает деньги в безопасность. Даже крутой программист оставляет за собой уязвимости, потому что мозги его работают в другом направлении. И хакеров, способных это найти, не так то много. Но они есть.
MaulNet: Ты проработал какое-то время в их европейском офисе?
Хакер: Два месяца в Софии всего.
MaulNet: Какая примерно зарплата?
Хакер: Обычная немецкая, порядка 50 тыс евро в год.
MaulNet: Тебя там не вдохновили перспективы или просто неинтересно, скучно?
Хакер: Да какие могут быть перспективы. В Европе все монотонно, все получают плюс-минус одинаковую ЗП, платят дикие налоги - не мое. На тот момент мне надо было бы в Штаты ехать.
MaulNet: А в Штатах что?
Хакер: Там крутятся деньги, есть крутые стартапы, в которых интересно работать. В долине все это.
MaulNet: Ладненько.
Значит потом ты поехал в эти Азии и начал консультировать?
Хакер: Ну да, с тех пор езжу по миру, но чаще в Азии. Год прожил в Бангкоке, но скоро надо двигаться дальше.
MaulNet: Сколько у тебя с тех пор было клиентов на консультации?
Хакер: Я не считаю, но уже больше 30. Дело не в количестве конечно, каждый клиент это разный объем заказа.
MaulNet: А в деньгах сколько в среднем получается один клиент?
Хакер: Если на пару дней, то в среднем 3-4k $. Если крупный заказ, то 10-20k.
MaulNet: Может стоит опустить расценки? Все же 30 клиентов за два года не так уж много. Или от этого клиентов не прибавится?
Хакер: Задачи много раньше и не стояло, я не нагонял на сайт трафик, старался найти свою нишу, работая один или с парой контракторов. Сейчас планы изменились, и я буду увеличивать объемы. Но цена не изменится, она полностью оправдана для того сегмента клиентов, который мне интересен. Пентестить блоги на вордпрессе за 50 баксов - это не к нам.
MaulNet: Расскажи, что из себя представляет средний клиент? Среди клиентов есть какие-нибудь известные IT-фирмы?
Хакер: Полно, можно посмотреть список на http://sakurity.com/ для примера.
В клиентах есть и крупные платежные системы, но не все разрешают оглашать эту информацию. Для типичного рунет-юзера, правда, там мало кто покажется знакомым. В основном, это успешные стартапы из долины, в рунете о них никто не знает.
MaulNet: Как они тебя находят? Чаще через блог или по рекомендациям прошлых клиентов? В SEO, есть мнение, чаще работают рекомендации, ну может за исключением новых фирм и очень хорошо раскрученных "визиток".
Хакер: Через рекомендации редко.
В основном, это люди, которые наткнулись на сайт и увидели там мое имя (которое краем уха слышали многие в долине), посмотрели отзывы и посты. Думаю в будущем рекомендации будут случаться чаще.
MaulNet: Что из себя представляет твой отчет по безопасности?
Как часто нет никаких серьезных угроз? Это, кстати, правда, что iCloud взломали простым перебором паролей?
Хакер: Отчет - это список с описанием уязвимостей, рекомендации и вывод о безопасности приложения. Смотря что считать серьезной угрозой - критический баг, позволяющий выполнить код на сервере, встречается только в одной трети приложений, но просто опасные вещи типа XSS находятся практически всегда. За iCloud я не следил, но вроде бы да, это был обычный перебор.
MaulNet: А чем опасен XSS? Помню, им раньше генерили ссылки на пустых страницах крупных порталов.
Хакер: XSS это выполнение твоих скриптов в контексте чужого домена. На каком-нибудь блоге добавление ссылок это лучшее что можно с ним сделать, а если у вас XSS на gmail, например, то это чтение/написание любых писем у жертвы и стоит серьезных денег.
MaulNet: На что при анализе ты тратишь больше всего времени? Что самое сложное? И вообще какие бывают типы веб уязвимостей?
Хакер: Если аудит с чтением исходников, то больше всего уходит на их чтение. Нужно просмотреть каждый файл, далее построить в голове как работает приложение. И только в процессе всплывают идеи как эту архитектуру можно атаковать.
Типы уязвимостей я бы выделил в клиентские (XSS итд) и серверные. Клиентские проще всего найти и продемонстрировать, но в реальности их почти не используют т.к. это долго и неприбыльно. Серверные же это реальная угроза, которую надо искать в первую очередь. Обычный SQL injection зачастую ведет к выполнению кода и можно просто скачать всю базу данных.
MaulNet: Расскажи что-нибудь еще важное.
Хакер: Лучшая рекомендация разработчикам - это использовать хорошие фреймворки. Самописные движки, которые так любят сеошники и начинающие программисты - это путь в никуда. Говорят Yii и Zend неплохие. Для питона это джанго, для руби это рельсы.
Фреймворк решает многие проблемы сам.
MaulNet: Меня, помню, взломали после того, как админ установил для входа на один из сайтов дополнительную phpMyAdmin, а потом забыл про нее, она не обновлялась, видимо много было пабликовых дырок к той версии. Это частое явление? Как часто проблема скорее в сервере, нежели в самом самописном движке?
Хакер: По факту да, это пожалуй большинство взломов - когда баг находится на каком-то поддомене, забытой админке или старой версии вордпресса. Важно следить за своей инфраструктурой и не запускать всякую устаревшую муть на том же сервере, где и главное приложение с критическими данными.
MaulNet: Твои клиенты никогда не просят личные встречи? Платят без всяких договоров?
Хакер: Личных встреч не было ни разу. Обычно заключаем договор по желанию клиента, но у меня всегда пост оплата.
MaulNet: Без предоплаты?
Хакер: Да, не беру предоплату
MaulNet: Почему?
Хакер: Проблем никогда не возникало, да и мне так спокойней.
MaulNet: Где и как нужно копать, чтобы из нищего PHP-программиста переквалифицироваться в хакеры?
Хакер: Инструкции у меня нет, я перешел своим путем и мой опыт тут не поможет. Вообще надо заниматься чем тебе нравится. Нищим PHP программиста делает не PHP, а его неумение себя продать / развить свои скиллы до нужного уровня. Деньги есть в любой нише.
MaulNet: И все-таки, что нужно читать?
Хакер: Все подряд. И мой блог)
MaulNet: Блин, может на английском есть четкие форумы?
Хакер: В основном Твиттер, надо подписаться на пару сотен чуваков и смотреть что они делают. И делать самому.
MaulNet: Дай пару примеров.
Хакер: Например, lcamtuf и его книга The Tangled Web - это библия веб хакера. Впрочем, я ее не читал :)
Таких блогов несколько десятков, ищите сами.
MaulNet: Ты недружелюбный по отношению к начинающим хакерам ^)
Хакер: Есть люди с тягой к преподаванию - я не из таких. Мне на почту регулярно пишут всякие индусы с просьбой научить... сами давайте)
MaulNet: Скажи, где пацанам почитать про тот же XSS?
Хакер: Можно зайти на https://www.owasp.org/index.php/Category:Attack - это Вики по веб уязвимостям.
MaulNet: Какие конторы в твоей нише самые крутые?
Хакер: К примеру - Matasano известны своими исследованиями, особенно в криптографии.
MaulNet: Расскажи про планы на будущее.
Хакер: Планы на будущее это увеличить число клиентов и создать пару инструментов на продажу. В данный момент работаю над детектором социальных профилей. Возможно он выйдет как open source, а может и как продукт.
MaulNet: Детектор соц. профилей - это тот самый невидимый лайк? )
Хакер: Да - http://sakurity.com/profiledetector
MaulNet: А в чем смысл выпускать как open source?
Хакер: Не знаю, хочется сделать людям приятное. У меня нет ни одного open source проекта, а без него сейчас никуда.
Многие рисечеры выпускают продукты open source, например тот же брутофорс iCloud - https://github.com/hackappcom/ibrute
MaulNet: Расскажи тогда кратко в чем смысл детектора.
Хакер: Надо заставить посетителя твоей страницы сделать клик в специально отведенную зону, там находится прозрачный виджет. В это время скрипт на сервере отслеживает клики, можно почти моментально определить профиль в социальной сети человека, который кликнул. Это позволяет создать таргетированные предложения. Только ты кликнул, а тебе уже "Дорогой Вася, судя по вашим альбомам ВК вы только что вернулись из Италии, поэтому мы хотим предложить вам путешествие в Японию!".
MaulNet: Что из себя представляет средний хакер сегодня?
Мне кажется, что это такой чел, который сидит на Античате или может каком-нибудь закрытом форуме, собирает пабликовые уязвимости из стандартных движков типа Drupal, а потом льет на сайты всякие mobile редиректы.
Хакер: Хакеры бывают разные. Тип как ты написал это блекхеты, и я не вижу в этом ничего плохого. Если бы не было хакеров, то и не было бы спроса на безопасность, у меня бы не было работы.
Есть хакеры, которые пишут эксплоиты и продают, есть те кто сами ничего не создают, а используют то, что найдут в паблике.
MaulNet: Ты все еще собираешь биткоины?
Это правда, что крипту нельзя вломать?
Хакер: Да, я люблю биткоины и даже принимаю ими оплату за работу. Конечно раздражает последнее падение курса. Взломать нельзя, в этом и суть их надежности. Цифровое золото.
MaulNet: Про количество ты, наверно, не скажешь, но какой % от твоих заработков за все время лежит в крипте?
Хакер: Может процентов 30. Зависит от курса. Может через год эти 30 превратятся в 99.
MaulNet: 99 процентов, остальное на пиво. Так и запишем.
Впрочем, у меня вопросы другие, интервью не пересекаются.
Но некоторые моменты понравились:
...
*успешные* стартапы из долины, в рунете о них *никто* не знает
...
Нужно просмотреть *каждый* файл
...
это библия веб хакера. Впрочем, я ее *не* читал
...
хочется сделать людям приятное
...
Да, я *люблю* биткоины
есть среднего размера стартапы созданные для местного рынка, всякая аналитика и виджеты. Например stripe.
>это библия веб хакера. Впрочем, я ее *не* читал
потому что все что в ней есть я прочитал в других местах
Еще замечу что броское название поста выбрал не я
Уважаю.
Из Егора сложновато вытянуть подробное интервью. Просто сам он был не настроен отвечать задорно. К сожалению...
Я Вас расстрою, но Егор как раз знаменит тем, что ломал рельсы. А Маулу большое спасибо, что стал публиковать инфу про вайтхатов.
на вк.ком на всех страницах стоит заголовок X-Frame-Options: deny говорю. Кроме виджетов во фреймах соответственно.
С нескольких разных аккаунтов пробовал. Без внутренних переходов и кликов по их сайту, просто после просмотра главной страницы, появляются лайки от их аккаунта вк на последние записи на моей странице.
А интервью и ответы хорошие! Спасибо!
Мне тоже 21, примерно тогда же начинал, но минус мой огромный в том - что программированием мало занимался.
Да и служил...
и еще по спонсору:"Спонсор поста – Gold-affiliate – партнерка по
продаже ювелирных изделий на ру-трафике." Там в ТОП-е люди относительно немного зарабатывают. Многие в СРА ушли, более увлекательная схема. Кто работает с голд-афилиат сейчас?
очень понравилось интервью