Михаил Жмайло прошёл собеседование на позицию пентестера в команде CICADA8 ещё до того, как окончил школу. А сразу после экзаменов пришёл к нам работать – пока на полставки, потому что параллельно надо ещё получить высшее образование. Как ему это удалось, с чего стоит начинать путь в пентестинге и какие у него творческие планы – Миша рассказывает.
- Ты решил стать пентестером в 16 лет. Расскажи, с чего всё началось и чем продолжилось?
- Если честно, получилось случайно. Раньше ни фильмов про хакеров не смотрел, ни тематическую литературу не изучал. Знал, конечно, Кевина Митника, слышал историю Джулиана Ассанжа, но никогда не представлял, что хакером можно работать официально.
Как раз около трех лет назад появился инструмент по угону сессий Telegram путем кражи определенных файлов у жертвы и последующего копирования их на компьютер атакующего. Заинтересовался, посмотрел, как это работает, попробовал запустить, но не тут-то было! Мой, тогда еще не столь серьезный Windows Defender, заблокировал выполнение программы, указав, что я пытаюсь запустить вирус. Само собой, любопытство взяло вверх, начал изучать методы обхода антивируса, и, находясь в поиске, обнаружил сайт tryhackme.com. Обилие информации, представленной там, просто ослепило меня, я загорелся желанием все это изучить, чтобы уж точно обойти Windows Defender.
Затем цели, конечно, сменились, появилось желание изучить пентест в более общем его проявлении, будь то тестирование на проникновение Windows Active Directory или веб-сайтов. Приходил из школы, садился после факультативов и решал представленные лабораторные задачи, учил теоретическую часть. Думаю, так и начался мой путь. Я помню, я выходил с ОГЭ и думал, как сейчас буду курс по пентесту смотреть :))
- Какие журналы и блоги ты бы рекомендовал тем, кто рассматривает информационную безопасность как возможное направление для развития, но пока не уверен?
- Мне очень сильно нравились различные околоИБшные публикации на Хабре и в Тинькофф-журнале. Будь то статьи на тему безопасности Wi-Fi-сетей, правил цифровой гигиены, новости об утечках. Сериал «Мистер Робот» до сих пор руки так и не дошли посмотреть – работа :D
- А какие курсы и книги для пентестеров ты бы посоветовал?
- Конечно, очень многое зависит от того, какой уровень знаний у пентестера и в каком направлении он хочет развиваться, ведь даже таком, казалось бы, узком направлении, существует еще миллион различных ответвлений и развилок. Можно изучать физическую безопасность, тестирование Windows Active Directory, веб-сайтов, Kubernetes, облачную инфраструктуру и прочее, прочее, прочее. Универсальной таблеткой может послужить сайт tryhackme.com (да, с которого я и начинал). Во-первых, материал оттуда охватывает практически все нужные темы, во-вторых, цена подписки за такой великолепный контент абсолютно смешная (что-то около 15$ в месяц). После можно перейти на более специализированные ресурсы, например, portswigger.com, adsecurity.org, academy.hackthebox.com.
- Где ты сейчас учишься? Какие ещё вузы ты рассматривал и какие считаешь самыми крутыми в ИТ и ИБ в России?
- Я сейчас учусь в Уральском Федеральном Университете (УрФУ) на направлении прикладной информатики. Серьезно рассматривал, если честно, только УрФУ по куче различных неинтересных причин. Причем поступить хотел на информационную безопасность, но судьба решила иначе. И, знаете, думаю, что мне повезло, так как мы сейчас проходим темы, изучение которых я когда-то отложил в долгий ящик и благополучно про них забыл. Тем не менее, из вузов, наверное, можно выделить МИРЭА, но этот выбор я делаю лишь анализируя рейтинг на платформе hackthebox. Вы можете посмотреть сами вот тут. Если говорить об образовании, не могу не отметить, что среди моих знакомых есть очень много сильных и умных ребят, большинство из которых самоучки.
- Future Crew – первое место работы для тебя. Как тебе удалось убедить команду в своей экспертизе без внушительного опыта в резюме, какие реализованные проекты ты показал?
- Я думал начать работать после второго или первого курса, а потом увидел вакансию, и что-то меня заставило пойти на собеседование. К счастью, мир ИБ очень тесный. Все члены команды были буквально через одно-два рукопожатия. Глупо вновь ссылаться на удачу, может быть, команде понравились мои статьи в журнале xakep.ru. Или мой профиль на GitHub. Или просто нужно было нанять меня, чтобы однажды написать этот пост :D
- Где можно почитать твои статьи?
Статьи, думаю, можно считать хобби. Ведь лучше всего материал запоминается тогда, когда ты пытаешься его объяснить другим. Однажды понял, что людям в автобусе не очень интересно слушать про пентест, поэтому начал писать статьи. Большой, оформленный и интересный материал один-два раза в месяц выходит в журнале xakep.ru, а различные небольшие заметки и лайфхаки в блоге в Telegram.
- В следующем году выступишь на Positive Hack Days? А где ещё хотелось бы выступить? А на какие конференции просто стоит заглянуть, хотя бы онлайн?
- В планах, конечно, Positive Hack Days 2024. По крайней мере, дебют хотелось бы сделать именно на PhD, а потом грех не податься на абсолютно любые ИБ-конференции с докладом, ведь навык публичных выступлений очень важен, его нужно развивать постоянно. Очень интересные доклады рассказывают на OffZone, Black Hat, KazHackStan, Standoff Talks.
- Какими типами задач ты занимаешься сейчас и какие направления тебе интересны в перспективе?
- Задачи ооооочень разные и ооооооооооооооочень интересные. Практически вся «цветовая палитра» пентестов. Здесь и социотехнические тестирования, и пентест больших корпоративных сетей, и анализ защищенности веб-сайтов. Я доволен, как слон. Быть пентестером круто, необычно, здорово, но, с другой стороны, я думаю о своем хобби всегда. Уж не знаю, хорошо это или нет. Причем обратите внимание, что именно о хобби. Есть работа, а есть хобби. Хобби – изучать пентест (да, я не изучил даже и 5% от всего намеченного), а работа – реализовывать изученное на практике. Встаю с утра, чищу зубы, а в голове уже летают мысли об эксплойтах, защитах, недостатках и уязвимостях :)
