LA: Привет. По традиции, расскажи немного о себе.
– Рита, 23 года. Основные направления IT – сетевая безопасность, но есть серьезные мысли перебраться в exploit-dev, хотя пока что возможности заниматься этим нет.
Но поиск 0-day уязвимостей – интереснейшая для меня задача. Форма работы – скорее аутсорс, иногда неформальный (то есть “просьба” с вознаграждением). То есть выработался некоторый “пул” контактов, которые время от времени обращаются за помощью.
LA: Ух ты, интересно. А как происходило твоё обучение?
– Книги, эксперименты, ну и конечно друзья. Ещё получила бакалавра по Computer Science. Ну так, любопытно было, пользы в моей работе от неё мало. Вообще как по мне, единственная проблема у людей научиться, это отсутствие искреннего желания. Все хотят стать “адскими хакерами” потому что это эмоционально привлекательно. Но если в данном контексте есть что-то, что вызывает +эмоцию, значит в этом же контексте существует и что-то что вызывает -эмоцию. “Внезапно” обнаруживается, что усилия, нужные для того, чтобы стать”адским хакером” – эмоционально НЕпривлекательны. У многих на этом и заканчивается. Говоря проще – мне было интересно, ну и как-то не боялась “играться”.
LA: А в этой “профессии” есть какое-нибудь движение по карьерной лестнице?
– При моей форме работы, карьерная лестница определена тем, насколько привлекательную для тебя задачу тебе могут дать. Это не только скилл, но и в очень большой степени доверие людей.
LA: Заказы по большей части “тёмной стороны”? То есть нужно производить некоторый “взлом”? Или наоборот, поиск уязвимостей с целью улучшения продукта?
– А в чем разница? Давай начнем с этого. Ну такая, которая настоящая разница.
LA: Под тёмной стороной я подразумеваю эксплуатацию уязвимости с целью кражи или иного противоправного действия. Под светлой – когда о ней сообщается разработчику.
– Я сама себя расцениваю, как некто среднее между GrayHat и BlackHat.
LA: Скорее всего это требует знания различных языков программирования. Какие языки предпочтительны?
– ASM/C/Python. Другие знаю на уровне чтения чужого кода и все.
LA: И сколько лет в этой сфере работаешь? Занималась ли чем-нибудь до этого?
– 7 лет, т.е. с 16). До этого ничем).
LA: Работаешь в команде?
– Когда как. Последнее время чаще одна.
LA: Ну и какого рода заказы встречаются?
– Какого рода заказы – это далеко (далеко!) не всегда что-то незаконное. Например, меня могут попросить сделать “настоящий пентест” – т.е. о котором цель реально знать не будет. Может быть эксплоит (редко), может быть информация (чаще).
LA: Просят ли тебя “обучить взлому/ремеслу”?
– Просят, особенно в ВК). Я целую статью написала им). В целом можно выделить следующие желательные навыки: Книга “Hacking. Art of Exploitation” (есть на русском языке – Прим.LA), язык Python (на нём можно писать практически что угодно), и ОС Linux (поскольку она не сковывает пользователя выдуманными рамками).
LA: Спасибо за откровенность. Честно говоря, никогда раньше среди респондентов не было блэков, поэтому не очень легко составить список вопросов.
Comments: