Хакеры условно делятся на «белых» и «черных»: первые легально проверяют ИТ-системы, а вторые вламываются в них для кражи информации. О жизни «белого» хакера Forbes рассказала Пола Янушкевич, создавшая свою компанию по информационной безопасности CQURE.
Как вы живете? Приходите в офис каждый день и работаете до вечера? Или вы можете выбирать время и место для работы?
Я бы хотела выбирать место для работы, но не могу. Технически это возможно, но моя роль в компании требует присутствия на территории заказчиков. Поэтому я всегда в поездках, посещаю разные страны. Чтобы провести внутренний пентест, приходится приезжать к заказчикам. Внешний можно проводить хоть на пляже.
Как вы проводите пентесты (тест защищенности ИТ-систем от несанкционированных проникновений)? Вы выбираете подходящее время для кибератаки? Или вы можете тестировать компании в любое время и в любом месте, и тестирование — исключительно технический вопрос?
В итоге все сводится к технике, но есть нюансы. Например, если клиент не работает ночью, лучше провести тест в это время. Когда мы делаем [дневные] пентесты для компаний из США, то можем работать всю их ночь, находясь в Европе, и это нормально. Но, как правило, предпочитаем обычный рабочий день — так проще и все счастливы. Нам не нравится работать всю ночь, но такое случается.
Часто мы тестируем копию сайта или сервиса. Например, недавно мы делали пентест пользовательских приложений для одного банка. Пришлось работать с копией системы, потому что на сайте был огромный трафик. А если при выполнении теста возникнут проблемы, это негативно повлияет на имидж банка.
У вас есть заказчики, которые просят делать настоящие пентесты в режиме реального времени?
Да, разумеется. Иногда мы делаем это в обычный рабочий день. Они предупреждены об этом, они находятся «в режиме ожидания». Если что-то случается, они сразу на связи, они ждут от нас звонка, чтобы разобраться с ситуацией. Однажды при тестировании в реальном времени мы «уронили» сайт, потому что сервис не мог справиться с таким количеством запросов. Между прочим, это была одна из компаний, сотрудничающих с российскими предприятиями нефтяной отрасли. Это шокировало заказчика, они целый день разбирались, как такое могло случиться. Все может произойти, но у нас нет цели «сломать» сайт, наша задача — показать слабые точки для атаки.
В любом случае, нужно проводить оба теста, внутренний и внешний?
Зависит от обстоятельств. Некоторые заказчики не хотят делать тест на проникновение изнутри компании: «Нет, нет, потому что, когда вы будете это делать, вы можете нас взломать». И мы думаем: «Бог мой, и зачем тогда делать пентест?» В таких случаях делаем только внешний тест. Лично мне не кажется это правильным: почему бы не сделать внутренний тест, если делаем внешний? Мы стараемся объяснить, но…
Статья: https://www.forbes.ru/tehnologii/353179-intervyu-hakera-vzlomat-mozhno-kogo-ugodno
