倫理的なハッキングをいつ、どのように始めましたか?
最初のコンピューターであるコモドール64は、私が8歳または9歳のときに父から渡されました。すぐに分解しました。10〜12歳のときにプログラミングを始めました。そして、サイバーセキュリティのトピックに興味を持ちました。
大学で勉強している間、私は開発のためにそこを離れることを計画しました。しかし、ある日、私たちはキャリアデーを開催し、倫理的なハッキングは公式に生計を立てることができると誰かが言いました。その考えは私を驚かせました。私はYahooVulnerability Finderプログラムに参加し始め、倫理的なハッキングに参加しました。彼は、Deloitte、Context Information Security、Yahooなどの企業と協力してきました。それらの中で私は侵入テストを実施し、Redチームの一員として働き、サイバーセキュリティの分野で研究を行いました。
興味のある特定のテクノロジーはありますか?
私はウェブハッキングがあまり得意ではありません。彼は、ソースコード分析、リバースエンジニアリング、またはシステム分析ほど私には興味がありません。過去2年間、私は継続的な開発と統合(CI / CD)プラットフォームについて学ぶことに多くの時間を費やしてきました。複雑なシステムが相互作用し、ある時点で問題が発生する可能性がある場合、ハッキングを楽しんでいます。ここで脆弱性を検索することは、従来のリバースエンジニアリングを使用したり、ネイティブアプリケーションのバグを見つけたりするのと同じくらい効果的です。
脆弱性を探す製品をどのように決定しますか?
私は通常、他のバグハンターが何かを見つけた製品をターゲットにしています。この職業は私のすべての作業時間を占め、住宅ローンを支払わなければならないので、私は発見された脆弱性に対して最高の報酬を提供するプロジェクトも調べます。しかし、これがすべてルーチンになっていると感じ始めたら、おそらく他のことをするでしょう。興味深い技術を学ぶことが私を駆り立てるものです。
脆弱性に関する情報を開示する際に問題に直面したことがありますか?
最大の問題は、支払いに6〜9か月かかる場合の支払いの遅さです。したがって、私は妥当な時間枠内で支払うことが知られている倫理的なハッキングプログラムに参加しようとしています。
一度か二度、見つけたバグが実際にバグであったことを証明できませんでした。おそらく、私はそれをレポートで十分に説明しなかったか、十分に明確ではない例を提供しました。ここには繰り返し発生する問題があると思います。エラーやそれが引き起こすリスクの程度を説明するのはあまり得意ではありません。
あなたが見つけた最も誇りに思っている脆弱性とその理由は何ですか?
数年前、H1-702ハッカソンで、GitHubでコードの実行をトリガーするバグを見つけることができました。バグ自体は自慢できるほど良くはありませんでしたが、これは私が1年ほど焦点を当てる予定だった領域でした。バグがあるのではないかとずっと思っていたので、見つけてよかったです。この仕事のために、私は最高のお金を受け取りました。
コードとテクノロジーの観点から、現在のハッキングの興味深い傾向は何ですか?
最も目立つのはコンテナの使用です。私は最近、多くのコンテナ化とKubernetes製品を研究しました。ある製品で特定のバグを見つけ、同様のテクノロジーを使用して他の製品と照合しました。いくつかのバグが互いに重なり合っていました。それらのそれぞれは、すでに他の製品にある新しいバグに私を導きました。
新進のバグハンターにどのようなアドバイスをしますか?
あまり期待しないでください-バグを見つけるのは遅いプロセスです。私はこの分野で10年以上働いており、専門的に浸透試験に取り組んでいますが、それでも脆弱性を見つけるのは難しいと思います。ここで最も価値のある品質は持続性です。初日に多額のお金を期待するべきではありません。
バグハンティングに完全に専念する以外に、今後数年間のキャリアプランはありますか?
私は今、脆弱性を探して利益を上げています。したがって、「次のステップ」はありません。しかし、私はチームを作ることについて考えています。私は会社でペンテスターとして働いている何人かの人々を知っています。彼らと一緒にチームを作りたいのですが、彼らに常勤の仕事を辞めるよう説得するのは思ったより難しいです。
脆弱性の検索は、人々が通常一人で行う活動のように見えます。ここではチームワークが効果的だと思いますか?
もちろん、誰もが自分のスキルと経験を共通の目的の利益にもたらすでしょう。オフラインイベントで他のハッカーと仕事をしたとき、私たちの本当のコミュニケーションはすべての基盤でした。あなたが単にあなたの考えを説明したり、あなたの提案を疑ったりし始めたときでさえ、それはしばしばあなたを新しい考えに導きます。あなたは自分で彼らに到達しなかっただろう。内向的で、私は自分で働くことを本当に楽しんでいます。しかし、毎日人に会わないのは大変です。ですから、本当にチームで働きたいです。
情報セキュリティについて他に何か教えていただけますか?
私は最近、バグバウンティ業界に小さなPRの問題があることに気づきました。多くの人がそれを単純化した方法で認識しています。彼らは、人気のある製品の防御のある時点で重大なエラーを見つけ、多くの人々が同時にそれについてのレポートを送信し始めると考えています。実際、すべてがもっと複雑です。
プラットフォーム、製品、バグなど、あらゆる側面からこの業界を見てきました。少数の人々がこの経験をしています。うまくいけば、バグバウンティプログラムは近い将来、伝統的なペンテストにもっと焦点を合わせるでしょう。
仕事中に気に入らなかったのは、常に目標を持っていたということです。ある時点で、企業がフルタイムの従業員にバグバウンティプログラムへの参加を奨励するようになることを願っています。誰もがこれから恩恵を受けるでしょう。結局のところ、この方法でスペシャリストが習得したスキルは、職場で適用できます。
ブログITGLOBAL.COM-マネージドIT、プライベートクラウド、IaaS、ビジネス向け情報セキュリティサービス:
- グローバルおよびロシアのサイバーセキュリティにおける作業の自動化およびその他の傾向に対する懸念
- 銀行のメールサーバーの脆弱性をどのように見つけ、どのように脅威にさらしたか
- GOST R57580とコンテナ仮想化で友達を作る方法。中央銀行の対応(および私たちの考慮事項)
- Gartnerによると2021年のIT業界の主な傾向