Как становятся и чем занимаются Security тестировщики в Украине. Мы пообщались с Артемом Метлой Security QA Engineer с Ciklum TCoE.
- Артем, расскажи, почему решил стать именно Security QA? Что послужило стимулом?
А: Еще с детства меня интересовал вопрос, как работают компьютерные “вирусы”, зачем они и что могут. В общем, с этого все и началось. Что бы узнать больше я поступил в физико-технический институт НТУУ “КПИ”, учился по специальности “защита информации в компьютерных системах и сетях”.
- С чего началась твоя карьера?
А: Сначала я устроился работать разработчиком. Это помогло мне углублять и расширять свои знания в таких языках программирования как Java, Python, Ruby. В основном занимался web-приложениями. Потом узнал, что компания EY ищет молодых, перспективных специалистов и решил, что это мой шанс заниматься, тем чем хотел с детства. Именно там я начал заниматься тестированием на проникновение (penetration testing). Основной задачей было моделирование атак злоумышленников на ключевые системы банков и предприятий для оценки их защищенности.
- Артем, можешь детальнее объяснить, что такое penetration testing?
А: Тестирование на проникновение (penetration testing) часто путают с другими видами тестирования, такими как: vulnerability assessment и source code analysis. Главная идея в моделировании хакерской атаки за лимитированный отрезок времени (к примеру, от нескольких дней до недель), тестировщик должен получить максимальные привилегии в системе. Он должен найти и воспользоваться доступными уязвимостями или их комбинациями для того, чтобы получить максимальный доступ.
- Почему ты перешел из консалтинговой компании в Ciklum?
А: Так как Ciklum TCoE предлагал, интересную практику плюс работу с зарубежными заказчиками, в то время как EY предлагал задачи в основном на локальном рынке. Для меня это значило повышение уровня сложности задач.
- Мы знаем, что ты сдал несколько сертификаций по security testing. Расскажи подробнее об этом.
А: Я успешно сдал
Offensive Security Certified Professional (OSCP) и Offensive Security Certified Expert (OSCE). Существует много организаций, которые занимаются обучением и сертификацией специалистов в области ИБ. Я бы выделил два типа сертификаций: теоретические, которые подразумевают запоминание и проверку некоторого объема теоретических вопросов; практические, которые состоят из прохождения лабораторных работ для тренировки практических навыков взлома, и экзамена, включающего в себя выполнение заданий, а не ответов на перечень специально подготовленных вопросов.
- Как проходила твоя сдача OSCP и OSСE?
А: В Интернете достаточно много детальных обзоров этих сертификаций. Если кратко, то в OSCP экзамен – это практическое задание, состоящее из нескольких уязвимых систем. С ним необходимо справиться за 24 часа и получить как можно более привилегированный доступ.
В случае OSCE на экзамен выделяется 48 часов и 24 часа на отчет.
- Как тебе показалось, что было самым сложным в этих экзаменах?
А: Самым сложным, наверное, было правильно распределить свое время: четко понять, когда тебе нужно пойти поспать, чтобы потом в итоге не засыпать перед экраном, так как это неэффективно.
- Скажи, а за время своей основной работы, не возникало ли желания резко сменить поле деятельности? Возможно, заинтересовала какая-то новая область?
А: У меня еще не появилось чувства завершенности, законченности, связанного с моим увлечением ИБ. В ИТ постоянно появляются какие-то новые технологии и подходы, так, к примеру, Internet of Things (IoT). И если вы стараетесь быть в курсе последних ИТ новинок, изучать их хотя бы лично для себя, то взглянув на них со стороны защиты информации вы всегда найдете что-то увлекательно-новое.
- Мы много говорили о том, что существуют разные направления в ИБ и разные виды тестирования. Что ты посоветовал бы начинающим?
А: Я бы посоветовал начать с разработки. Необязательно менять карьеру и становиться разработчиком, можно заниматься этим как хобби. К примеру, на Coursera есть масса курсов, где можно изучить языки программирования, получить понимание как работают веб и мобильные приложения. После этого обычно появляется представление, как все взаимодействует и как это все может работать неправильно.
Далее есть очень много путей получить необходимые знания в области ИБ. Кто-то читает статьи, кто-то смотрит видео уроки (например, на YouTube или
SecurityTube), другие начинают со стандартов. Многие, начинают с анализа веб приложений, и тут просто неоценимую помощь оказывают OWASP Testing Guide и OWASP Top 10 Project.
Также можно участвовать в CTF соревнованиях, искать уязвимости через
bug bounty, посещать “воркшопы” на конференциях или проходить тренинги и сдавать сертификации. В конечном счете, важен результат, ваше умение находить уязвимости в реальных системах, а путь которым вы пришли к этим умениям, может быть любым.
- Принимаешь ли ты участие в собеседованиях? Какие вопросы ты обычно задаешь?
А: Обычно стараюсь задавать вопросы по технологиям или продуктам, с которыми человек точно столкнется в работе. Задаю вопросы, которые дадут возможность продемонстрировать понимание ключевых принципов работы технологий, а не покажут какие-то заученные моменты.
Еще мне нравится задавать открытые вопросы, где человек сможет продемонстрировать свой подход к решению задачи, показать логику рассуждений. Мне важно понимать, как инженер будет действовать в «боевых» условиях, на что он будет обращать внимание, где он будет искать уязвимости.
- Это все в теории или же ты предлагаешь и практическое задание?
А: Раньше собеседование проходило только в формате небольшой беседы. Однако в итоге, мы (в Ciklum TCoE) пришли к выводу, что очень важно получить понимание практических навыков уже на этом, первом этапе. Поэтому, мы разработали ряд практических заданий, которые планируем использовать на этапе интервью. Надеюсь, это будет не только полезно, но и интересно ☺.
- Скажи, Артем, насколько охотно специалисты твоей области делятся опытом друг с другом?
А: Вполне охотно, думаю как и во многих других отраслях. В Украине проводится уже достаточно много конференций по информационной безопасности. Пожалуй, самая известная – это
UISGCON – в этом году она будет проходить в ноябре. Также активно набирает обороты BSides. В мире есть ряд конференций, которые заслуженно считаются ведущими, на которых обычно презентуют самые последние находки в области информационной безопасности. Это
Black Hat,
DEF CON,
Hack in Paris.
- Принимал ли ты в них участие лично?
А: Да, как посетитель. Плюс сейчас есть замечательная возможность почти все доклады с ведущих мировых конференций посмотреть в записи на Youtube, не выходя из дома.
Мне на самом деле более импонирует формат “воркшопа”. Такой вариант интереснее потому, потому что человек, который посетил “воркшоп”, может вынести для себя больше полезных знаний, получить некие практические навыки, а в формате презентации на конференции обычно не много можно рассказать, цель презентации скорее просто заинтересовать.
- Я знаю, что можно получить от $500 и выше, если найдешь уязвимость на Facebook. Никогда не хотелось фрилансить таким образом?
“Bug bounty” в моем случае это скорее оттачивание навыков, тренировка. Я этим занимаюсь как хобби, чаще предпочитаю почитать что-то о новых векторах атак, разобраться с находками экспертов в этой области. Я думаю, фрилансить таким образом вполне реально, если поставить поиск уязвимостей на поток и заниматься этим большую часть дня. От раскрытия уязвимости до выплаты награды может пройти от месяца до полугода и соответственно нужно постоянно находить новые уязвимости, чтобы получать какой-то постоянный доход.
- Нам о тебе рассказали как об этичном хакере. Неужели никогда не возникало соблазна взломать аккаунт социальной сети друга/подруги? Или же проверить переписку девушки?
А: Философский вопрос, конечно! Я считаю, что близким людям нужно доверять. У каждого человека должно быть личное пространство. Думаю то, что тебе нужно знать, тебе скажут и добровольно. А это согласитесь намного приятнее.
- Спасибо за общение!
Авторы статьи:
Юлия Ященко
Марина Шевченко
