Quand et comment avez-vous commencé le piratage éthique?
Le premier ordinateur, le Commodore 64, m'a été donné par mon père quand j'avais 8 ou 9 ans. Je l'ai démonté immédiatement. Quand j'avais 10-12 ans, j'ai commencé à programmer. Et puis je me suis intéressé au sujet de la cybersécurité.
Pendant mes études à l'université, j'avais prévu de partir pour faire du développement. Mais un jour, nous avons eu une journée de carrière et quelqu'un a dit que le piratage éthique pouvait officiellement gagner sa vie. Cette pensée m'a alors étonné. J'ai commencé à participer au programme Yahoo Vulnerability Search et me suis impliqué dans le piratage éthique. Il a travaillé avec des entreprises telles que Deloitte, Context Information Security et Yahoo. J'y ai mené des tests de pénétration , travaillé au sein de l'équipe Red et fait des recherches dans le domaine de la cybersécurité.
Y a-t-il des technologies spécifiques qui vous intéressent?
Je ne suis pas très doué pour le piratage Web. Il ne m'intéresse pas autant que l'analyse de code source, la rétro-ingénierie ou l'analyse de systèmes. Au cours des deux dernières années, j'ai passé beaucoup de temps à me renseigner sur les plateformes de développement continu et d'intégration (CI / CD). J'aime le piratage lorsque des systèmes complexes interagissent et qu'à un moment donné, les choses peuvent mal tourner. La recherche de vulnérabilités ici est tout aussi efficace que l'utilisation de la rétro-ingénierie classique ou la recherche de bogues dans des applications natives.
Comment décidez-vous des produits à rechercher pour les vulnérabilités?
Je cible généralement les produits sur lesquels d'autres chasseurs de bogues ont trouvé quelque chose. Étant donné que cette profession occupe tout mon temps de travail et doit payer l'hypothèque, je regarde également les projets qui offrent les récompenses les plus élevées pour les vulnérabilités trouvées. Mais si je commençais à sentir que tout cela devient une routine, je ferais probablement autre chose. L'apprentissage de technologies intéressantes est ce qui me motive.
Avez-vous déjà rencontré des problèmes pour divulguer des informations sur des vulnérabilités?
Le plus gros problème est la lenteur des paiements lorsque les paiements prennent entre 6 et 9 mois. Par conséquent, j'essaie de participer à ces programmes de piratage éthique qui sont connus pour payer dans un délai raisonnable.
Une ou deux fois, j'ai été incapable de prouver que le bogue que j'ai trouvé était en fait un bogue. Peut-être ne l'ai-je pas suffisamment expliqué dans le rapport ou fourni des exemples qui n'étaient pas assez clairs. Je pense qu'il y a un problème récurrent ici - nous ne sommes pas très bons pour expliquer l'erreur ou le degré de risque qu'elle entraîne.
De quelle vulnérabilité vous êtes-vous le plus fier et pourquoi?
Il y a plusieurs années, lors du hackathon H1-702, j'ai réussi à trouver un bug qui déclenchait l'exécution de code sur GitHub. C'était un domaine sur lequel j'allais me concentrer pendant environ un an, même si le bogue lui-même n'était pas assez bon pour être fier. J'ai longtemps suspecté qu'il y aurait un bug, et c'était très agréable de le trouver. Pour ce travail, j'ai reçu le plus gros argent.
Quelles sont les tendances intéressantes du piratage aujourd'hui, en termes de code et de technologie?
La chose la plus notable est l'utilisation de conteneurs. J'ai récemment étudié de nombreux produits de conteneurisation et Kubernetes. J'ai trouvé certains bugs dans un produit, puis les ai comparés à d'autres en utilisant des technologies similaires. Plusieurs bugs se chevauchaient. Chacun d'eux m'a conduit à de nouveaux bugs, déjà dans d'autres produits.
Quels conseils donneriez-vous à un chasseur d'insectes en herbe?
Ne vous attendez pas à trop - trouver des bogues est un processus lent. Je travaille dans ce domaine depuis plus de 10 ans, je fais des tests de pénétration de manière professionnelle et je pense toujours que trouver une vulnérabilité est difficile. La qualité la plus précieuse ici est la persévérance. Vous ne devriez pas vous attendre à beaucoup d'argent le premier jour.
Existe-t-il d'autres plans de carrière pour les prochaines années en plus d'être entièrement dédié à la chasse aux insectes?
Je gagne beaucoup d'argent en ce moment en recherchant des vulnérabilités. Par conséquent, il n'y a tout simplement pas de «prochaine étape». Mais j'ai une idée sur la création d'une équipe. Je connais plusieurs personnes qui travaillent comme pentesters dans des entreprises. J'adorerais créer une équipe avec eux, mais les convaincre de quitter leur emploi régulier est plus difficile qu'il n'y paraît.
La recherche de vulnérabilités ressemble à une activité que les gens font généralement seuls. Pensez-vous que le travail d'équipe peut être efficace ici?
Bien entendu, chacun mettrait ses compétences et son expérience au profit de la cause commune. Lorsque j'ai travaillé avec d'autres hackers lors d'événements hors ligne, notre vraie communication était à la base de tout. Même lorsque vous expliquez simplement vos idées ou commencez à douter de vos propositions, cela vous conduit souvent à de nouvelles pensées. Vous ne les auriez pas atteints par vous-même. En tant qu'introverti, j'aime vraiment travailler seul. Mais ne pas voir les gens tous les jours est difficile. Par conséquent, j'aimerais vraiment travailler en équipe.
Voulez-vous nous dire autre chose sur la sécurité de l'information?
J'ai récemment réalisé que l'industrie du Bug Bounty avait un petit problème de relations publiques. Beaucoup de gens le perçoivent de manière simplifiée. Ils pensent qu'à un moment donné de la protection d'un produit populaire, ils découvrent une erreur critique et de nombreuses personnes commencent à envoyer des rapports à ce sujet en même temps. En fait, tout est plus compliqué.
J'ai vu cette industrie de tous les côtés - de la plate-forme, des produits et des bogues. Un petit nombre de personnes ont cette expérience. J'espère que dans un proche avenir, les programmes Bug Bounty accorderont plus d'attention au pentesting traditionnel.
Une chose que je n’ai pas aimé en travaillant, c’est que j’avais toujours un objectif. Je souhaite qu'à un moment donné, l'industrie parvienne au point où les entreprises encourageraient leurs employés à temps plein à participer aux programmes Bug Bounty. Tout le monde en profiterait. Après tout, les compétences que vos spécialistes acquièrent de cette manière peuvent être appliquées sur le lieu de travail.
Blog ITGLOBAL.COM - Managed IT, clouds privés, IaaS, services de sécurité de l'information pour les entreprises:
- Peur de l'automatisation du travail et autres tendances de la cybersécurité mondiale et russe
- Comment nous avons découvert la vulnérabilité du serveur de messagerie de la banque et comment elle menaçait
- Comment se faire des amis avec GOST R 57580 et la virtualisation de conteneurs. Réponse de la banque centrale (et nos considérations)
- Les principales tendances de l'industrie informatique en 2021 selon Gartner