SEO Блог

• Головна
• Про цей блог
• Контакти
• Мапа сайту

Інтерв'ю з хакером : « Я за пару днів заробляю 3-4к $ , а ти хто такий?"

Спонсор поста - Gold- affiliate - партнерка по
продажу ювелірних виробів на ру-трафіку .

Сьогодні у мене в'ю з простим 21 -річним пацаном , який вибрав от трохи інший шлях. Це його блог англійською , а це візитка . MaulNet : Отже , значить ти ну типу хакер ? Хакер : Взагалі немає , я дослідник . Моя робота знаходити уразливості , робити Рісеч , але не експлуатувати або робити кому то « погано» . Я - whitehat . MaulNet : А які мови ти знаєш , і як взагалі це почалося ? Хакер : Я був « звичайним» програмістом . Почалося давно , році в 2008 , коли я читав бомжедвіженіе і SEO блоги. Все це здавалося каламуттю для школярів (і зараз здається ) , тому я швидко перейшов у звичайний фріланс - робив скрипти/движки на PHP. Поступово це виросло в щось більше , попрацював фултайм на кількох роботах , переключився на Ruby. Здавалося б край і далі залишається тільки розвиватися в цьому напрямку , але в березні 2012 я зламав популярний серед гиків сайт github.com . Тут в мізках стався зсув , і з створення систем я почав думати як їх зламувати . Виходило дуже непогано. MaulNet : А це в Github тебе запрошували працювати після злому? Хакер : Ні, саме з ними у мене стосунки назавжди зіпсовані , і працювати з ними не вийде ніколи . Після злому прийшло кілька десятків листів від великих компаній типу twitter , facebook , google і не дуже . На щастя , я не пішов на фултайм і залишився вільним консультантом - так я працюю набагато продуктивніше . MaulNet : Прямо від усіх прийшло на запрошення ? На ринку кадровий голод ? І як вони тебе знайшли? Хакер : Це звичайна практика , коли хтось « засвітився » на хакер ньюс наприклад ( а топ 6 новин там було про мене), то HRи починають закидати вудки . Тому програмісти , багато займаються open source , отримують від них пропозиції регулярно . MaulNet : Коротше кажучи , з 2012 - го ти почав консультувати ? Хакер : Не відразу , якийсь час я ще попрацював в Skrill , але з початку 2013 року, займався тільки консультаціями. Тоді й зареєстрував компанію Sakurity.com - і тепер працюю не один. MaulNet : Skrill - це платіжка ? Ти її теж зламав ? Хакер : Так , на неї зазвичай виводять гроші з odesk або при роботі з покер сайтами . Це європейська версія Пейпал . Покликали працювати після знаходження уразливості , ага. MaulNet : А чого все таке діряве -то? Хакер : Абсолютна більшість не вкладає гроші в безпеку. Навіть крутий програміст залишає за собою уразливості , бо мізки його працюють в іншому напрямку. І хакерів , здатних це знайти , не так то багато. Але вони є. MaulNet : Ти пропрацював якийсь час в їх європейському офісі ? Хакер : Два місяці в Софії всього . MaulNet : Яка приблизно зарплата? Хакер : Звичайна німецька , порядку 50 тис євро на рік. MaulNet : Тебе там не надихнув перспективи чи просто нецікаво , нудно ? Хакер : Та які можуть бути перспективи . В Європі все монотонно , всі отримують плюс - мінус однакову ЗП , платять дикі податки - не моє. На той момент мені треба було б в Штати їхати . MaulNet : А в Штатах що ? Хакер : Там крутяться гроші, є круті стартапи , в яких цікаво працювати. В долині все це. MaulNet : Ладненько . Значить потім ти поїхав в ці Азії і почав консультувати ? Хакер : Ну да , з тих пір їжджу по світу , але частіше в Азії. Рік прожив в Бангкоку , але скоро треба рухатися далі. MaulNet : Скільки у тебе з тих пір було клієнтів на консультації? Хакер : Я не вважаю , але вже більше 30. Справа не в кількості звичайно , кожен клієнт це різний обсяг замовлення . MaulNet : А в грошах скільки в середньому виходить один клієнт ? Хакер : Якщо на пару днів , то в середньому 3-4k $ . Якщо велике замовлення , то 10-20k . MaulNet : Може варто опустити розцінки ? Все ж 30 клієнтів за два роки не так вже й багато . Або від цього клієнтів не додасться ? Хакер : Задачі багато раніше і не стояло , я не наганяв на сайт трафік , старався знайти свою нішу , працюючи один або з парою контракторів . Зараз плани змінилися , і я буду збільшувати обсяги . Але ціна не зміниться , вона повністю виправдана для того сегмента клієнтів , який мені цікавий . Пентестіть блоги на вордпресс за 50 баксів - це не до нас . MaulNet : Розкажи , що з себе представляє середній клієнт ? Серед клієнтів є які -небудь відомі IT - фірми ? Хакер : Повно , можна подивитися список на сайті для прикладу.
В клієнтах є і великі платіжні системи , але не все дозволяють оголошувати цю інформацію. Для типового рунет -юзера , правда , там мало хто здасться знайомим . В основному , це успішні стартапи з долини , в рунеті про них ніхто не знає. MaulNet : Як вони тебе знаходять ? Частіше через блог або за рекомендаціями минулих клієнтів ? В SEO , є думка , частіше працюють рекомендації , ну може за винятком нових фірм і дуже добре розкручених « візиток » . Хакер : Через рекомендації рідко.
В основному , це люди , які наткнулися на сайт і побачили там моє ім'я (яке краєм вуха чули багато в долині ) , подивилися відгуки і пости . Думаю в майбутньому рекомендації будуть траплятися частіше. MaulNet : Що з себе являє твій звіт з безпеки ?
Як часто немає ніяких серйозних загроз ? Це , до речі , правда , що iCloud зламали простим перебором паролів ? Хакер : Звіт - це список з описом вразливостей , рекомендації та висновок про безпеку додатки . Дивлячись що вважати серйозною загрозою - критичний баг , що дозволяє виконати код на сервері , зустрічається тільки в однієї третини додатків , але просто небезпечні речі типу XSS знаходяться практично завжди . За iCloud я не стежив , але начебто так, це був звичайний перебір . MaulNet : А чим небезпечний XSS ? Пам'ятаю , їм раніше генерішь посилання на порожніх сторінках великих порталів . Хакер : XSS це виконання твоїх скриптів в контексті чужого домену . На якомусь блозі додавання посилань це найкраще що можна з ним зробити , а якщо у вас XSS на gmail , наприклад , то це читання/написання будь-яких листів у жертви і коштує серйозних грошей . MaulNet : На що при аналізі ти витрачаєш найбільше часу ? Що найскладніше ? І взагалі які бувають типи веб вразливостей ? Хакер : Якщо аудит з читанням ісходников , то найбільше йде на їх читання . Потрібно переглянути кожен файл , далі побудувати в голові як працює додаток . І тільки в процесі спливають ідеї як цю архітектуру можна атакувати . Типи вразливостей я б виділив у клієнтські ( XSS ітд) і серверні . Клієнтські найпростіше знайти і продемонструвати , але в реальності їх майже не використовують т.к. це довго і неприбутково . Серверні ж це реальна загроза , яку треба шукати в першу чергу . Звичайний SQL injection часто веде до виконання коду і можна просто завантажити всю базу даних. MaulNet : Розкажи що-небудь ще важливе . Хакер : Краща рекомендація розробникам - це використовувати хороші фреймворки . Самописние движки , які так люблять сеошники і початківці програмісти - це шлях в нікуди . Кажуть Yii і Zend непогані. Для пітона це джанго , для рубай це рейки .
Фреймворк вирішує багато проблем сам. MaulNet : Мене , пам'ятаю , зламали після того , як адмін встановив для входу на один із сайтів додаткову phpMyAdmin , а потім забув про неї , вона не оновлювалася , мабуть багато було паблікових дірок до тієї версії . Це часте явище? Як часто проблема скоріше в сервері , ніж у самій самописна движку ? Хакер : За фактом так, це мабуть більшість зломів - коли баг знаходиться на якомусь піддомені , забутої админке або старої версії вордпресс . Важливо стежити за своєю інфраструктурою і не запускати всяку застарілу муть на тому ж сервері , де і головне додаток з критичними даними. MaulNet : Твої клієнти ніколи не просять особисті зустрічі ? Платять без всяких договорів ? Хакер : Особистих зустрічей не було жодного разу. Зазвичай укладаємо договір за бажанням клієнта , але у мене завжди пост оплата . MaulNet : Без передоплати ? Хакер : Так, не беру передоплату MaulNet : Чому ? Хакер : Проблем ніколи не виникало , та й мені так спокійніше . MaulNet : Де і як потрібно копати , щоб з жебрака PHP - програміста перекваліфікуватися в хакери ? Хакер : Інструкції у мене немає , я перейшов своїм шляхом і мій досвід тут не допоможе . Взагалі треба займатися чим тобі подобається. Жебраком PHP програміста робиться не PHP , а його невміння себе продати/розвинути свої скіли до потрібного рівня. Гроші є в будь-якій ніші . MaulNet : І все- таки , що потрібно читати? Хакер : Все підряд. І мій блог ) MaulNet : Блін , може англійською є чіткі форуми ? Хакер : В основному Твіттер , треба підписатися на пару сотень чуваків і дивитися що вони роблять. І робити самому. MaulNet : Дай пару прикладів. Хакер : Наприклад , lcamtuf і його книга The Tangled Web - це біблія веб хакера. Втім , я її не читав :) Таких блогів кілька десятків , шукайте самі. MaulNet : Ти недружній по відношенню до початківців хакерам ^) Хакер : Є люди з тягою до викладання - я не з таких. Мені на пошту регулярно пишуть всякі індуси з проханням навчити ... самі давайте ) MaulNet : Скажи , де пацанам почитати про той же XSS ? Хакер : Можна зайти на OWASP - це Вікі по веб вразливостям . MaulNet : Які контори в твоїй ніші найкрутіші ? Хакер : Наприклад - Matasano відомі своїми дослідженнями , особливо в криптографії. MaulNet : Розкажи про плани на майбутнє. Хакер : Плани на майбутнє це збільшити число клієнтів і створити пару інструментів на продаж. В даний момент працюю над детектором соціальних профілів. Можливо він вийде як open source , а може і як продукт. MaulNet : Детектор соц. профілів - це той самий невидимий лайк ? ) Хакер : Так - http://sakurity.com/profiledetector MaulNet : А в чому сенс випускати як open source ? Хакер : Не знаю , хочеться зробити людям приємне. У мене немає жодного open source проекту , а без нього зараз нікуди .
 Багато рисечерів випускають продукти open source , наприклад той же брутофорс iCloud - https://github.com/hackappcom/ibrute MaulNet : Розкажи тоді коротко в чому сенс детектора . Хакер : Треба змусити відвідувача твоєї сторінки зробити клік в спеціально відведену зону , там знаходиться прозорий віджет. В цей час скрипт на сервері відстежує кліки , можна майже моментально визначити профіль у соціальній мережі людини , який клікнув . Це дозволяє створити таргінг пропозиції . Тільки ти клікнув , а тобі вже « Дорогий Вася , судячи з ваших альбомами ВК ви щойно повернулися з Італії , тому ми хочемо запропонувати вам подорож до Японії !». MaulNet : Що з себе представляє середній хакер сьогодні?
Мені здається , що це такий чол , який сидить на Антічате або може якомусь закритому форумі , збирає пабліковие уразливості зі стандартних движків типу Drupal , а потім ллє на сайти всякі mobile редіректи . Хакер : Хакери бувають різні. Тип як ти написав це блекхети , і я не бачу в цьому нічого поганого. Якби не було хакерів , то і не було б попиту на безпеку , у мене б не було роботи . Є хакери , які пишуть експлоїти і продають , є ті хто самі нічого не створюють , а використовують те, що знайдуть в паблік. MaulNet : Ти все ще збираєш біткоіни ?
Це правда , що крипту не можна вломать ? Хакер : Так , я люблю біткоіни і навіть приймаю ними оплату за роботу. Звичайно дратує останнє падіння курсу . Зламати можна, в цьому і суть їх надійності . Цифрове золото . MaulNet : Про кількість ти , напевно , не скажеш , але який% від твоїх заробітків за весь час лежить в крипті ? Хакер : Може відсотків 30. Залежить від курсу . Може через рік ці 30 перетворяться на 99 . MaulNet : 99 відсотків, решта на пиво . Так і запишемо .

Опубліковано: 09/10/14 @ 01:01
Розділ Блоги

Рекомендуємо:

8 жовтня, Київ - Курс " Java for beginners "
Бесіда з Ростиславом Соколовським , UX дизайнером в SoftServe
DOU Ревізор в Jooble : « Офіс без стін , що сприяє легкій атмосфері в колективі »
Коли ReadWriteLock буває марний
25 жовтня , Київ - Майстер - клас Андрія Лісточкіна " Побудова API - сервісів c Node.JS "

© 2011-2024 Seo Blog. Розробка сайту SeoB