ペネトレーションテストとハッキングについての大人の会話

今週、DeteActの創設者で

ロシアのハッカーチームLC↯BCのメンバーであるOmar Ganievが、私たちのソーシャルネットワークについて話しました 。オマールは、国内で最高のハッカーの1人と安全に呼ぶことができます。



LC↯BCは、2016年に上海で開催された0CTF国際コンピュータセキュリティトーナメントの決勝で1位を獲得しました。



彼の人生の半分以上の間、オマールはコンピューターシステムをハッキングしてきました。彼にとって、これは主に趣味と基本的なライフスキルであり、徐々に仕事になり、それから起業家精神の基礎となりました。



仕事自体に加えて、オマールはこの活動の研究面や、個人的に、そしてさまざまなチームの一部として多く参加したスポーツハッキング大会（CTF）に非常に惹かれています。



現在、オマールがメンバーであるモアスモークリートチキンチームは、さまざまな企業や国で働く愛好家で構成されており、ロシアで最強のCTFチームであり、世界でも最強のチームの1つです。



DeteAct（正式にはContinuous Technologies LLC）に関しては、セキュリティ分析と侵入テストサービスを提供します。簡単に言えば、さまざまな企業が、システムの強さをテストし、悪意のあるハッカーの攻撃やビジネスの損失を防ぐ方法を学ぶために、システムをハッキングするように求めています。



放送の録音とトランスクリプトをあなたと共有します。

---

みなさん、こんにちは。私の名前はオマールガニエフです。私はハッカーコミュニティでベッチとしても知られています。私はハッカーです。コンピュータシステムのセキュリティチェックに長年携わっています。それは学校での私の趣味になり、過去9年間、それは私の主な職業でした。過去7年間、私は情報セキュリティの分野の新興企業で働いてきました。私自身、ContinuousTechnologiesとしても知られるDeteActの創設者です。現在、私たちは10人であり、順調に成長しており、実用的な情報セキュリティの分野でサービスを提供しています。ペネトレーションテスト、セキュリティ分析、およびその他の種類のセキュリティ監査-これらすべてについて本日お話しします。



ペネトレーションテスト、侵入テスト。情報セキュリティの分野でも、侵入テストや監査に携わる人々の間では、用語の混乱や誤解が多いため、それが何であるかを判断する必要があります。ペネトレーションテストでは、人によって意味が異なることがよくあります。これらの人々が顧客でありサービスプロバイダーである場合、それは特に不快です。ここでの主な用語は、セキュリティ監査、侵入テスト、セキュリティ評価、およびレッドチームです。



セキュリティ監査は最も一般的な概念です。これは、オブジェクトのあらゆる種類のセキュリティ調査を意味し、セキュリティ要件への準拠をチェックします。必ずしも情報を提供する必要はありません。たとえば、それは火災安全である可能性があります。



ペネトレーションテスト（侵入テスト）は、さまざまな方法で理解できますが、はるかに具体的なものです。直接的な論理的関連は、侵入テストは特定のシステムに侵入できるかどうかを確認するためのチェックであり、侵入テストの結果はバイナリの答えである必要があります-はい/いいえ：侵入が可能かどうか。これは、このサービスの理解の1つです。つまり、潜在的な攻撃者がシステムに侵入し、たとえば1週間または2週間でいくつかの目標を達成できるかどうかをチェックします。この間、ペンテスターはシステムを破壊しようとするため、システムのセキュリティレベルを確認できます。これは、コンプライアンスの分野で特に当てはまります。一部の組織（政府機関、国際決済システム）では、企業（銀行、カード取得）この意味で侵入テストに合格。このような侵入テストでは、支払いデータにアクセスするために機能したかどうか（はいまたはいいえ）を確認する必要があります。そうでない場合は、すべて問題ありません。はいの場合、すべてが悪いです。



しかし、侵入テストについては別の理解があります。これは、「セキュリティ分析」と呼ばれることがよくあります。これは幅広い作業です。ハッカー-ペンテスターは、リソースに深く侵入しようとするのではなく、できるだけ多くの脆弱性を探しています。ほとんどの場合、結局のところ、顧客はこの特定のサービスを見たいと思っています。彼らは答えを得ることに興味があるだけでなく（それが壊れているかどうかにかかわらず）、それらを閉じるためにできるだけ多くの穴を見つけることに興味があります-将来それらが壊れないように。

Redteamingは、侵入の観点からペネトレーションテストがどのように機能するかと意味が似ていますが、いくつかの特殊性があります。一般的に、ホリバーのほとんどは、レッドタイミングとは何かというトピックで実施されます。要するに、これは攻撃チームが特定の損害を与え、特定の脅威またはビジネスリスクを達成することを目的とするイベントです-たとえば、資金の盗難、顧客データベース、マネージャーのメール（各企業には独自のビジネスリスクがあります。クリティカル）。攻撃チームの前に実質的に制限はありません（唯一の制限は法律の範囲です）。従来のセキュリティ分析や侵入テストとは異なり、redtimersは、オフィスに入ってパスワード付きの紙を物理的に盗んだり、wifiを傍受したりする場合でも、あらゆる手段でビジネスリスクを達成できます。防御側-つまり、会社テストされているものも無制限です。セキュリティ担当者、管理者、開発者、開発者はこのテストに抵抗し、攻撃を特定して防止しようとします。したがって、実際の状況の現実的なトレーニングとシミュレーションが得られます。教え、人は言うかもしれません。



Q：興味を引くために、どの国でペネトレーションテスターの需要が高く、検証の注文のほとんどはどこから来ていますか？



ペネトレーションテストの最も広い需要は米国にあります。 2番目の質問がロシア企業に関するものである場合、注文のほとんどはロシアからのものです。この市場は、それ自体、すべての国でかなり孤立しています。これはデリケートな問題であるため、誰もが知っているサービスからそのようなサービスを注文する傾向があります。誰も自分の安全を他の国の誰かや見知らぬ人に任せたくないのです。さらに、西側からは、制裁と評判の悪さから、ロシアにそのようなサービスを注文する人はほとんどいません。



そこで、侵入テストとその種類を大まかに把握しました。プロジェクトがどのように実施されているか、そして方法論が何であるかを簡単に伝えることができます。ここでは、作業方法をすぐに異なる色のいわゆる「ボックス」に分割する必要があります。ブラックボックスモードでペネトレーションテストを実施できます。テスターに​​は、サイトのアドレス（または会社名）を除いて、調査対象に関する情報はほとんど提供されません。もう1つの極端な例は、すべての情報が提供されるホワイトボックスです。インフラストラクチャの場合は、すべてのIPアドレス、ネットワーク図、内部ネットワークへのアクセス（必要な場合）、すべてのホスト名（ドメイン名）が表示されます。これがソフトウェア、ある種のWebサービスの場合、ソースコード、構成、さまざまな役割のアカウントなどが発行されます。最も一般的なモードはグレーボックスです。黒から白まで何でもかまいません。一部の情報が提供されていますが、すべてではありません。たとえば、Webサービスの場合、さまざまな役割のアカウント、技術スタックに関するいくつかの基本情報（使用されているプログラミング言語とデータベース、サービスインフラストラクチャ図）を発行できます。しかし同時に、情報源は提供されていません。



方法論を決定した後、作業の実行方法について、攻撃側に入力データが与えられます。つまり、必要に応じて、アクセス、ホストアドレスなどが発行されます。攻撃者は、攻撃が実行されるIPアドレスを提供できるため、顧客は実際の攻撃者と区別することができます。次に、侵入テストの古典的な手順が実行されます。具体的な実装と内訳は異なる場合がありますが、一般的には、最初に調査を行う必要があります。ペネトレーションテスターは、インフラストラクチャへのエントリポイント（ホスト、ネットワークサービス、電子メールアドレス）を探しています。これがWebサービスの場合、APIエンドポイント（さまざまなWebインターフェイス、ドメインのさまざまなAPIホストなど）を探しています。偵察が行われた後、検出されたインターフェースの脆弱性の検索が実行されると、スキャン（フェーズ）の段階が始まります。脆弱性が発見された場合、次の段階は悪用です。脆弱性は、ある種のアクセスを取得するために使用されます。さらに、侵入テストの種類に応じて、エクスプロイト後の実行を実行できます。システムの奥深くに移動し、追加のアクセスを取得します。さらに、クリーンアップが行われる場合があります。顧客は、さらなる悪用の実行を常に望んでいるわけではありません。脆弱性を見つけて報告するだけで十分な場合もあります。



エクスプロイト後の意味を明確にするために、たとえば、ペンテスターがインフラストラクチャ内で外部からアクセス可能な脆弱なサーバーを見つけたとします。たとえば、最近、MS Exchange（Microsoftのメールサーバー）に脆弱性のパッチがありました。これは、ほとんどすべての企業が持っており、突き出ています。その中に重大な脆弱性が発見されました。この脆弱性自体には大きな影響があります。攻撃者はこの脆弱性を使用してメールにアクセスできます。しかし、これに加えて、彼らはエクスプロイト後を実行することができ、このメールサーバーからインフラストラクチャ全体にさらに広がります。 Windows Active Directoryドメインのインフラストラクチャである他のいくつかのサーバーを使用して、従業員のワークステーション、つまり開発インフラストラクチャにアクセスします。等。



Q：ペネトレーションテストと監査のために組織から必要な最小限の入力は何ですか？





最小入力データは会社名です。つまり、実際には利用できない場合があります。偵察の段階で、会社名でホストを探しているとき、またはサイトに関連付けられているホストを探しているときに、間違いを犯して、いくつかのIPアドレスとに属していないホストを見つける可能性があることは明らかです。この会社。したがって、偵察後、通常、余分なものを壊さないように、万が一の場合に備えて合意が成立します。間違いを犯すのはとても簡単です。



Q：ロシアには、ピッキングやハンマーを備えた本物のレッドタイマーはありますか？ ：D



多くの人がそのようなスキルを持っていると思います。正直なところ、そのようなプロジェクトがどれだけ需要があり、どれくらいの頻度で実行されているのかわかりません。マスターキーを持って直接歩き、柵を乗り越える必要があったこと。おそらく、そのようなプロジェクトはめったに実行されません。

Q：Webアプリケーションファイアウォールまたは少なくともWindows Defenderをバイパスするにはどうすればよいですか？ EmpireとKoadicのフレームワークについて何が言えますか？それらを使用していますか？



適切なペイロードを選択して、WAFを手動でバイパスします。ここでは、メソッドが標準です。 WAFの唯一の問題は、リダイレクトである場合、防御側が攻撃を防止する場合、または何らかの方法で攻撃を焼き払う場合、またはWAFなどの保護手段の助けを借りて検出された場合、脆弱性を隠すことができることです。したがって、慎重に行動し、脆弱性がない他のいくつかのホストでペイロード（つまりエクスプロイト）を確認する必要があります。したがって、WAFをチェックしてバイパスすることはできますが、その過程で、防御側が脆弱性を検出することはありません。



Q：攻撃者と防御にはどのようなソフトウェアが必要ですか？



保護に必要なソフトウェアは大きなトピックです。ペネトレーションテストよりもはるかに広いです。攻撃者に必要なソフトウェアは、私たちが話している作業の種類によって異なるため、良い質問です。ソフトウェア、Webサービスの分析について話している場合、実質的にソフトウェアは必要ありません。 BurpSuiteのようなスイスのナイフで十分です。有料版の価格は400ドルで、必要なツールがほぼすべて含まれています。さらに、もちろん、動作するプログラミング言語（通常、侵入テスターの場合はPythonまたはGoLang）。それは十分だ。

インフラストラクチャ、リダイレクトについて話す場合、そこにあるツールキットははるかに広いです。さまざまな脆弱性スキャナーが必要であり、システム上でそれらを修正するためのツールが必要です。システムに侵入した後、その足がかりを得る必要があり、アンチウイルスによって検出されないようにペイロードを難読化する必要があります。等々。



Q：ロシア連邦のどの地域で、監査のテストまたは実施を最も求められていますか？



どうやら、私たちはどの業界で侵入テストの最大の需要について話しているようです。明らかに、ITを持っている企業が必要としています。 ITが発展すればするほど、IT企業も増え、侵入テストが必要になります。需要はこれにほぼ対応します。一部の企業では、国営企業や銀行などの重要な情報インフラストラクチャの一部であるため、侵入テストが必須です。銀行の場合、中央銀行の要求に応じて、また国際決済システムのPCIDSS証明書を取得する一環としてペネトレーションテストが必要です。他の支払い機関にもこの証明書が必要です。つまり、決済組織、重要な情報インフラストラクチャの対象、およびIT企業は侵入テストを必要とします。つまり、スタートアップを含め、インフラストラクチャ全体がユーザーベースのWebサービスであるIT企業は、壊れているかどうかが重要です。



Q：侵入テストでソーシャルエンジニアリングを理解することはどれほど重要ですか？



私は彼女について個別に言及しませんでした。これはリダイレクトのためのツールの1つだと思います。さらに、ソーシャルエンジニアリングは、多くの場合、個別のサービスとして個別に実行され、単純なメーリングリストのように見えます。フィッシングサイトを作成し、会社の従業員の電子メールを探して、このサイトへのリンクをいくつかの凡例とともに送信します（たとえば、これは新しい企業ポータルであり、全員がアクセスしてパスワードを入力する必要があります）。



次に、統計を保持します。つまり、手紙を閲覧し、リンクをクリックしてパスワードを入力した人の数です。私たちはそれを顧客に示し、彼は私たちが誰と教育プログラムを実施する必要があるかを理解しています。正直なところ、このようなテストには実質的にスキルは必要ありません。また、1回限りの郵送に関しては、会社自体がオープンソースツールを使用して簡単にテストを実施できます。一般に、セキュリティ意識向上業界というまったく別のビジネスがあり、情報セキュリティの分野で人々の意識を高めています。



ユーザーベースに定期的にフィッシングメールを送信する特別な製品があります。人が誘惑された場合、彼は彼が経験しなければならないトレーニングビデオまたは他のインタラクティブなレッスンを受け取ります。その後、再度チェックされ、傾向が監視されます。たとえば、1年前は従業員の50％がフィッシングに転落しましたが、現在は5％にすぎません。もちろん、フィッシングの危険性を完全に取り除くことはほとんど不可能です。



理解することはどれほど重要か-そのような仕事をしているならそれは重要ですが、それは十分に簡単です。または、編集を行っている場合、ソーシャルエンジニアリングはそのフレームワーク内で非常に効果的です。しかし同時に、もちろん、それらははるかに正確で正確でなければなりません。すべての従業員に大量に郵送することはできません。彼らはそれに気づき、どこに侵入しようと試みることができるかを理解します。あなたはそれを個々の特定の人々に送る必要があります。



Q：サービスの費用はいくらですか？



誰もあなたのために本当にそれに答えないので、素晴らしい質問です。



これは非常に異なります。通常、ペネトレーションテストは、大まかに言えば、顧客が支払うことができる金額の費用がかかります。これは係数の1つです。問題は、作業量でさえ最初は決定論的ではないということです-特にそれがブラックボックスである場合。最初は、ホストとインターフェースがいくつあるかさえ本当にわかりません。この会社の性質、インフラの種類、必要な人数と時間は大まかにしか理解できず、そこから人件費を人件費で見積もることができます。ある種の価格設定フレームワークがある場合、人週に係数を掛けて、それを価格として与えることができます。

実際、すべてが大きく異なります。多くの場合、特に大企業では、営業担当者は単に会社を見つけ、ある種の予算をノックアウトし、その予算内で作業を行う必要があります。そしてここでは、むしろ、人件費は価格に合わせて調整されており、その逆ではありません。



結局のところ、価格がわかりにくい不透明な市場があるため、同じ品質と人件費で作業コストが何度も異なる可能性があるとも言えます。同じ量の作業で30万ルーブルと400万ルーブルの侵入テストを見つけることができます。これは入札でもよく見られます。技術仕様があり、値札とオファーを確認します。スプレッドは5〜10倍です。品質が5〜10倍異なる可能性は低いという事実にもかかわらず。



ペネトレーションテストの品質と価格について話しているので。あなたの会社が侵入テストを必要としているかどうかを理解する必要があります-そしてあなたがペネトレーションテストであるならば、あなたは侵入テストを正当化して会社にそれを売る方法を理解する必要があります。ここにも普遍的な答えはありません。私の意見では、侵入テストドライバーはいくつかの単純なものです。そのうちの1つは、すでに述べたコンプライアンスです。組織が侵入テストを実施する必要がある場合、これがないと、プラスチックカードでの支払いを受け入れるなどのビジネス機能を実行できません。これは明らかです。



もう1つの要因はインシデントです。会社がすでに壊れていたとき、会社は損害を被り、引っ掛かりました。身を守るためには、調査や侵入テストなど、今後壊れないようにするなどの対策が必要です。誰もが走り始め、何をすべきかを考え始めます。



3番目の要因は恐怖です。たとえば、まだインシデントは発生していませんが、業界の他のメンバーが発生している可能性があり、会社は恐れています。恐怖の推進力と併せて考えることができるもう1つの推進力は、ある種の開発を始めたばかりの新興企業などの新しい企業です。彼らはそれを考え、脆弱性を修正し、将来それらを防ぐために、すぐに侵入テストを実施する必要があると判断しました。そのため、サービスが公開され、おそらく人気が出るまでに、脆弱性はありません。これが最も健全なアプローチです。



スタートアップの間で非常に一般的なもう1つの要因は、カウンターパーティの要件です。この種のコンプライアンスは、ビジネス機能を実行できるが、カウンターパーティがセキュリティを監視していることを確認したい場合です。したがって、たとえば欧米の大企業に販売したい中小企業の場合は、間違いなく侵入テストに合格する必要があります。特にSaaS（サービスとしてのソフトウェア）を提供する場合は、ペネトレーションテストレポートが必ず必要になります。これは彼らのガイドラインに含まれ、彼らの弁護士と警備員は、侵入テストに合格しなかったそのような請負業者を単に許可しません。



これらが、企業が浸透テスターに​​目を向け、私たちがテストを実施する理由です。しかし、品質の面では、実際、それは非常に困難です。ペネトレーションテストでは、作業量は最初は決定されていませんが、結果も決定論的ではないことはすでに述べました。 600万ルーブルの侵入テストを注文すると、「脆弱性は見つかりませんでした」という単語で構成されるレポートを取得できます。作業が完了し、品質が良いことを確認するにはどうすればよいですか？理解できません。これを正確に検証するには、実際にこのすべての作業を新たに行う必要があります。ログを監視して、ネットワークアクティビティが実際にペンテスターからのものであるかどうかを確認できますが、これはすべて複雑です。そして、簡単に言えば、仕事の質をチェックすることは不可能です。

アクティビティの追跡以外に考えられる対策は、実行中の詳細なレポート、アーティファクト、スキャナーからのレポート、およびその他のログ（Burpツールなど）を要求することです。最初に、方法論、つまりペンテスターが何をしようとしているのかについて話し合うことができます。このことから、彼らが理解していることは明らかです。しかし、これにはすべてスキルと知識が必要です。したがって、ペンテスターとやり取りしてこれらのサービスを理解しているセキュリティ担当者が会社にいない場合、作業の品質を確認することはできません。



Q：どこから始めればいいですか？ペネトレーションテストの分野に深く潜るのに理想的な年齢は何歳ですか？



これらの質問はどちらもキャリアに関するものであり、ここでは、たとえば「ペネトレーション」を「プログラミング」に変更できます。理想的な年齢はないと思いますが、これは誰もが繰り返すマントラのようなものです。おそらく手遅れになることはないでしょう。しかし、もちろん、10歳で勉強を始めると、成功する可能性が高くなり、40歳で始めるよりも早く学ぶことができます。これは40から始めることが役に立たないという意味ではありませんが。もっと手間がかかります。第二に、功利主義の観点から話すと、ペネトレーションテストの分野での仕事について、ペネトレーションテストになり、仕事を得るために、エントリーのしきい値は開発よりも低くなります。開発に役立つようになるには、少なくともいくつかのテクノロジーをプログラミングして理解できる必要があります。そして順番に「活動の錯覚」​​かもしれませんが、侵入テストで少なくとも何かを始めるには、いくつかのツールの使用方法を学び、この作業の結果を解釈するだけで十分です。ただし、これは非常に基本的なエントリのしきい値になります。ペネトレーションテストで本当にクールになるには、開発するよりも多くの努力が必要です。ハッキングを実際に習得するには、開発について知る必要があります。1つのプログラミング言語とテクノロジースタックではなく、いくつかの開発について知る必要があります。また、インフラストラクチャ、ネットワーク、WindowsとLinuxの管理、およびプログラミングに関する少なくともある程度の（またはより良い、優れた）知識が必要です。あなたはある領域に深く没頭する必要があり、同時に壊すことができます。つまり、侵入テストへの参加の下限しきい値は低くなりますが、シニア以上になることはより困難になります。ペネトレーションテストを開発するよりも、本当にクールになるにはもっと努力が必要です。ハッキングを実際に習得するには、開発について知る必要があります。1つのプログラミング言語とテクノロジースタックではなく、いくつかの開発について知る必要があります。また、インフラストラクチャ、ネットワーク、WindowsとLinuxの管理、およびプログラミングに関する少なくともある程度の（またはより良い、優れた）知識が必要です。あなたはある領域に深く没頭する必要があり、同時に壊すことができます。つまり、侵入テストへの参加の下限しきい値は低くなりますが、シニア以上になることはより困難になります。ペネトレーションテストを開発するよりも、本当にクールになるにはもっと努力が必要です。ハッキングを実際に習得するには、開発について知る必要があります。1つのプログラミング言語とテクノロジースタックではなく、いくつかの開発について知る必要があります。また、インフラストラクチャ、ネットワーク、WindowsとLinuxの管理、およびプログラミングに関する少なくともある程度の（またはより良い、優れた）知識が必要です。あなたはある領域に深く没頭する必要があり、同時に壊すことができます。つまり、侵入テストへの参加の下限しきい値は低くなりますが、シニア以上になることはより困難になります。また、インフラストラクチャ、ネットワーク、WindowsとLinuxの管理、およびプログラミングに関する少なくともある程度の（またはより良い、優れた）知識が必要です。あなたはある領域に深く没頭する必要があり、同時に壊すことができます。つまり、侵入テストへの参加の下限しきい値は低くなりますが、シニア以上になることはより困難になります。また、インフラストラクチャ、ネットワーク、WindowsとLinuxの管理、およびプログラミングに関する少なくともある程度の（またはより良い、優れた）知識が必要です。あなたはある領域に深く没頭する必要があり、同時に壊すことができます。つまり、侵入テストへの参加の下限しきい値は低くなりますが、シニア以上になることはより困難になります。



最初のラングで立ち往生しないようにするには、基本的なことを学ぶことから始める必要があります。プログラミング、ネットワーク、テクノロジー全般-OS、ネットワークの配置方法、最新のサービスの展開方法、さまざまなよく知られた攻撃がさまざまなプログラミング言語でどのように機能するか、それらを防御する方法。たくさんありますが、これらはすべて、前進するために知っておく必要のある基本的なことです。



Q：現在、wifi Evil Twinへの攻撃は現実のものですか、それとも企業はRADIUSサーバーを介した認証を持っていますか？



正直なところ、統計がなければ専門家の答えは出せません。それは誰にとっても違うと思います。 EvilTwinがうまく機能する場所はおそらくたくさんあります。



Q：NIST、OSTMM、OSINT、OWASPなどの方法とアプローチを仕事で使用していますか？また、どれを強調できますか？



OSINTは実際には技術ではなく、単なるオープンソースインテリジェンスです。 OWASPは一般的に組織ですが、この組織にはWebアプリケーション、モバイルアプリケーションをテストするための方法論があり、私たちはそれらに従います。少なくとも精神的には、すべてのチェックリストをティックごとに実行するわけではありません。かなり物議を醸す可能性があります。 OSSTMMの方法論に従います。私の意見では、探索、スキャン、活用、事後活用、ストリッピングの手順が設定されているのはOSSTMMです。つまり、この方法論の要点は、そのような手順を適用する必要があるということですが、その後、はるかに詳細。



要するに、はい、しかし文字通りではありません。私たちはこの方法論の精神に従います。



Q：面接では何が求められますか？



別の方法で。あなたが行く予定の位置に依存します。このような質問パターンがよくあります。彼らはあなたに状況を説明します-例えば、あなたは外部からLinuxサーバー上でコードを実行し、境界を通り抜け、Webサーバーを壊し、内部にいます、次にどのような行動を取るべきですか？または-あなたは従業員のワークステーションに着きました、次のステップは何ですか？または-あるページでクロスサイトスクリプティングに脆弱性を発見しました。コンテンツセキュリティポリシーはそのようなパラメータで実装されていますが、どのように回避しますか？通常、この種の質問があります。



Q：バグバウンティに参加するためのしきい値は何ですか？それだけで生活することは本当に可能ですか？



バグバウンティは間違いに対する報酬です。会社がその会社のシステムの脆弱性を報告する人々にお金を与えるプログラム。このようなペネトレーションテストのクラウドソーシングは、2つの会社間の合意の下ではなく、公募を通じて実行されます。これは知らない人のためのものです。



実際、バグバウンティは成長しているものです。多くのプログラムがある大きな会場があります。ペンテスターのバグバウンティに参加するためのエントリーしきい値は、低いものと高いものの両方です。これらのバグ報奨金プログラムやリソースが非常に多く、壊れてしまう可能性があるため、いくつかの単純な脆弱性を見つけることができるという意味では低いです。必ずしも複雑ではありません。しかし、その一方で、いくつかのプログラムに遭遇する可能性があります。そこでは、すべての単純なバグがすでに見つかっており、何も見つからずに2か月かけてそのプログラムを掘り下げています。これは非常に意欲をそそります。したがって、人々はこの分野で自分自身を試してみることがよくありますが、彼らは不運です-彼らは何か難しいことを試みて、脆弱性を見つけません。



一般的に、バグバウンティには、独自の優れた知識がなくても大金を稼ぐ人がたくさんいます。彼らは数回幸運に恵まれたか、バグバウンティのトリックを理解し、単純な脆弱性を含むプログラムやリソースを見つける方法を学びました。また、あるリソースに何らかの脆弱性を見つけて、それが実際には非常に広範囲に及んでいることに気付くことがよくあります。同様に、収益化することで、さらに多くの企業が破綻する可能性があります。バグバウンティだけで生活するのは現実的ですか？はい、バグバウンティだけで年間数十万ドルを稼ぐ億万長者さえいます。それらは少数です。もちろん、ほとんどの人はほとんど稼ぎません。しかし、少なくとも年に数万人を稼ぐ人々の十分な層があります。つまり、数十人だけでなく、数百人です。



Q：Metasploitのバージョンについて教えてください。いくつかあると聞きましたが、中には有料のものもあります。違いはなんですか？



有料版のサイトに行って、違いを読んでもらえると思います。私はMetasploitproを長い間使用していませんが、少なくともWebインターフェイスはあります。これは違いの1つです。他にどのような根本的な違いがあるのか​​、すぐには言いません。おそらく他のモジュールがいくつかあります。



最も一般的な脆弱性についてお話ししたいと思います。実際、多くの企業が1年を通して侵入テストを実施し、さまざまな種類の脆弱性の数を数えて、その年の統計を要約しています。私はそのような統計を失望させませんでしたが、発見された感情と最も単純なものについて話すと、攻撃者に多くの利益をもたらすインフラストラクチャの最も単純で最も効果的な脆弱性は、弱いパスワードポリシーです。バナルブルートフォース攻撃は、インフラストラクチャの惨劇です。会社が少なくとも500人を雇用している場合、彼らのかなりの部分は特に技術に精通していません。それらの少なくとも1つは通常、パスワードをブルートフォースすることができます。これは、パスワードポリシーが会社に実装されている場合に特に効果的です。これにより、たとえば、パスワードが強制されます。大文字、小文字、数字、少なくとも8文字を含み、3か月または1か月ごとに変更します。これは悪い結果につながります。人がこれを強制された場合、彼はパスワードを思い出すことができません。ランダムなパスワードでパスワードマネージャーを使用しない場合は、今月を大文字で書くことがあります（「December2020」など）。実際、これはすべての一般的な企業インフラストラクチャで非常に一般的です。ActiveDirectoryを想像してみてください。何百人もの従業員が、自分のマシンにWindowsをインストールしています。あなたはただ現在または先月と年を取り、すべてのアカウントを通過することができます-誰かが壊れます。非常に強力な攻撃。その後、彼はパスワードを思い出せません。ランダムなパスワードでパスワードマネージャーを使用しない場合は、今月を大文字で書くことがあります（「December2020」など）。実際、これはすべての一般的な企業インフラストラクチャで非常に一般的です。ActiveDirectoryを想像してみてください。何百人もの従業員が、自分のマシンにWindowsをインストールしています。あなたはただ現在または先月と年を取り、すべてのアカウントを通過することができます-誰かが壊れます。非常に強力な攻撃。その後、彼はパスワードを思い出せません。ランダムなパスワードでパスワードマネージャーを使用しない場合は、今月を大文字で書くことがあります（「December2020」など）。実際、これはすべての一般的な企業インフラストラクチャで非常に一般的です。ActiveDirectoryを想像してみてください。何百人もの従業員が、自分のマシンにWindowsをインストールしています。あなたはただ現在または先月と年を取り、すべてのアカウントを通過することができます-誰かが壊れます。非常に強力な攻撃。すべてのアカウントを通過します-誰かが壊れます。非常に強力な攻撃。すべてのアカウントを通過します-誰かが壊れます。非常に強力な攻撃。



Webサービスについて言えば、最も単純な攻撃は、承認をバイパスして他のクライアントからのデータにアクセスすることです。攻撃は、たとえば、口座番号ごとに銀行の明細書を提供するWebアプリケーションにリクエストを送信するという事実にあります。リンクまたはサイトへのリクエストでは、アカウント番号の数値が送信され、それに応じて、ステートメントを含むPDFファイルが発行されます。自分の口座番号を他人の口座番号に変更すると、他人の明細書が届きます。



この脆弱性は「安全でない直接オブジェクト参照」と呼ばれます-安全でない直接オブジェクト参照。私の観察によれば、最近のサービスでは、これが最も一般的な脆弱性です。 SQLインジェクションやクロスサイトスクリプティングなど、過去に蔓延していたより古典的な脆弱性は、最新のフレームワークを使用して作成されたサービスではあまり一般的ではありません。特にSQLインジェクション。しかし、フレームワークはそれらから保存しないため、論理エラーが発生します。開発者は、自分自身を保護する方法、ロールモデルを実装する方法、およびオブジェクトへのアクセスを区切る方法について自分で考える必要があります。



Q：システムの穴の特定のグラデーションについて話していますが、単純、中、複雑な脆弱性の例を挙げていただけますか？



正直言って、これについてどのような文脈で話したのか覚えていません。さて、単純な脆弱性とは、見つけやすく、悪用しやすい脆弱性であると言いました。おそらく、これらのパラメータを使用して、脆弱性の複雑さ、つまり検索の複雑さと悪用の複雑さを特徴付けることができます。それを見つけるのは難しいかもしれません-たとえば、これはある種のトリッキーな論理的脆弱性であり、その悪用にはサービスのロジックとさまざまなコンポーネントの相互作用を理解する必要がありますが、同時に、操作はシンプル：いくつかのリクエストを送信するだけです。または、たとえば、100 MBのソースと100万行のコード（座って、読んでください）が与えられたため、見つけるのが難しい場合があります。



これらの100MBの脆弱性を見つけるのは難しい場合がありますが、悪用するのは簡単です。またはその逆-ファイアウォールのため、いくつかの制限のために悪用することは困難です。しかし、ペネトレーションテストのレポートには、「単純で複雑な」グラデーションはありません。重要度に応じたグラデーションがあります。重要度は、リスクのレベル（つまり、損害のレベル）と悪用の可能性で構成されます。ただし、確率は複雑さとほぼ同じです。脆弱性を見つけるのに多くの時間と上級侵入テスターのスキルが必要な場合、悪用の可能性は低いと推定できます。 3週間の掘削で発見しましたが、他の人はまったく発見しない可能性があります。ただし、この脆弱性による被害は大きくなる可能性があります。このような指標を組み合わせることで、「平​​均的な」レベルのリスクが得られます。



ペネトレーションテストレポートには、かなり標準的なテンプレートがあります。導入部分があり、テストした内容とその理由、侵入者のモデル（アカウントを持っているかどうかに関係なく、外部アクセスまたは内部アクセス）について簡単に説明しています。次に、結果を簡単に説明する要約があります。どの脆弱性が発見されたか、どのレベルのセキュリティ-すべてが悪いか、すべてが良いかです。それぞれの脆弱性が説明され、スクリーンショットで示され、会社の開発者がすべてを理解するためのコードが提供されています。そして、推奨事項が示されています。また、損傷の可能性とレベルの評価も提供します。



Q：侵入テスト中に、企業部門でms17-010を使用してパッチが適用されていないWindows 7に遭遇したことはありますか？



がある。通常、ドメイン内ではありません。多すぎない程度に。



Q：面接の時期はどうやってわかりますか？他の候補者からどのように目立ちますか？（おそらくプログラミング言語の知識またはHackTheBoxのようなサイトのアカウント）



私はサイトのアカウントにもっと多くを置くでしょう。もちろん、あなたが正直にそこで問題を解決するなら。それが公平でなければ、知識はなく、とにかく面接に合格しません。

もちろん、一般的には認定もあります。実際には何も表示されませんが、HRフィルターを通過して突破するのに役立ちます。



Q：基礎を築くための文献やリソースに関するガイダンスを提供できますか？



はい、しかし、あまり便利な形式ではありません。







しかし、今では文献が不足することはありません。むしろ、あなたに合った大量の資料から選択するのが難しいのです。グーグルの「ペネトレーションコース」-一度にたくさんのことがあります。 HackTheBoxは素晴らしいです。何も決めませんでしたが、アイデアはあります。そこではたくさんのスキルを学ぶことができると思います。



Q：PythonとBash以外に、学ぶ価値のあるプログラミング言語は何ですか？



Bashはおそらく本当に実行する必要があります。ちなみに、Bashを上手に練習できる素晴らしいサイトOverTheWireBanditがあります。つまり、タスクを完了するのに十分な知識がある1つの言語だけです。もちろん、Pythonが適していないタスクもあります。たとえば、インターネット上の多くのホストからデータをすばやく収集する必要がある場合などです。しかし、ほとんどのタスクでは、それで十分です。ただし、少なくともパラダイムを理解し、構文を読むレベルでは、知っている言語が多ければ多いほどよいでしょう。ペネトレーションテストと監査中に、さまざまな言語で記述されたさまざまなスタックとアプリケーションに遭遇します-それらがどのように機能するかを理解できる必要があります。さらに、ソフトウェアソースをまったく監査しない場合（インフラストラクチャのみを扱う場合）でも、さまざまな言語を知っている必要があります。多くのツールはPythonで書かれていません。ツールがうまく機能しない場合は、ツールを理解し、コードを読み、パッチを適用する必要があります。 Windowsインフラストラクチャでは、ほとんどがC＃であるとしましょう。



Q：OSCP以外に、redtimに最も需要のある証明書は何ですか？



正確にRedtimのために？そのように呼ばれる証明書があります-CertifiedRedream Professional、Certified Redteam Expert、PentesterAcademy。しかし、それらは大きな需要はなく、ただ存在しているだけです。どれが本当に需要があるのか​​答えるのは難しいと思います。需要は、必要要員の要件に雇用主が何人入力し、入札要件に顧客が何人いるかによって計算されます。多くの場合、請負業者の従業員は証明書を持っている必要があります。ほとんどの場合、OSCPまたはCEHは、実用的というよりも理論的な古い証明書を持っている必要があります。



Q：ペネトレーションテストで逆コンパイルスキルが必要ですか？



ある程度はそうです。特に、アプリケーションセキュリティを使用する場合は、アプリケーションセキュリティの分析に使用します。そこで役立つかもしれません。しかし、ほとんどの場合、モバイルアプリケーションの場合、ソースコードが提供されない場合がありますが、アプリケーション自体はあり、逆コンパイルしてリバースエンジニアリングします。



一般に、「スキルが必要ですか」について質問すると、どのスキルについても、それが役立つと言えます。しかし、すべてを完全に知ることは不可能です。多くを知ることは良いことですが、それでもあなたは自分の専門分野を理解し、あなたがより良くできることを理解する必要があります。 Webアプリケーション内でも、専門分野があります。業界ごとに専門分野があります。たとえば、人は決済サービスの脆弱性をよく知っているかもしれません。 Webや財務ロジックレベルでは問題ではありません。決済端末のテスト、インターネットバンキング、カードの取得などにのみ従事している人がいます。これがすべて1つの領域であるように見えますが、実際には非常に異なるものがあります。また、ハードウェア（スマートカード、端末）、Web、API、およびモバイルアプリケーションは異なる場合があります。要するに、どんなスキルも役に立ちますが、必須ではありません。ある種の重要なスキルと知識を持っていることが不可欠です。



コストと需要について追加できます。私の推定によると、ロシアの侵入テスト市場の規模は約10〜15億ルーブルです。これは19年の終わりに数えました。これは、これがまさにロシア企業がペネトレーションテストに費やす金額であることを意味します。もちろん、ペネトレーションテスト企業は少なくとも少しは海外でサービスを販売できるので、全体の市場規模はわずかに大きくなります。もちろん、ペネトレーションテスト市場は非常に細分化されています。少しのお金を稼ぐ中小企業がたくさんあります。ローテーションは新鮮な外観と最大のカバレッジを提供するため、顧客は侵入テストのプロバイダーを変更する傾向があります。たとえば、あるチームは1つの脆弱性を見逃し、他のチームはそれに気づきますが、別の脆弱性を見逃す可能性があります。このため、完全な独占はありません。1つのチームが座り、ペネトレーションテストはそこからのみ購入します。それらは毎年変わります。



Q：OSCP試験は何時間で終了しましたか？



覚えていない、数時間。正直なところ、私は2回合格しました。日中に初めてすべてを解決したとき、80ページのレポートを作成しましたが、その要件を読みませんでした。特定の形式のスクリーンショットが必要であることが判明し、私のレポートは受け入れられなかったので、再度提出する必要がありました。テストを再受験するのに5時間かかりました。Q：ペネトレーションテストの分野でロシア語を話すブロガーにアドバイスしてください。







弊社にはブログがあります。確かに、私たちはめったに書きません。基本的に、Twitterで人々をフォローする必要があります。ロシア語を話すペンテスターを含め、ほとんどのペンテスターは英語で書きます。私たちは複製しようとします-私たちはロシア語と英語の両方で書きます。私はTwitterから情報を入手します-遅かれ早かれ、興味深いものすべてを再投稿する興味深い人々を購読しているので、ブログを具体的にフォローすることはできませんが、Twitterを通じてすべてを入手できます。またはテレグラムチャネル経由。ロシア語を話すブロガーはいないようです。



Q：Linux /ネットワーク管理者がペネトレーションテストに参加する可能性はどのくらいありますか？



インフラストラクチャ侵入テストへの直接の道。管理者がネットワークとLinuxを十分に理解していれば、簡単に参加できるはずです。唯一のことは、それがWindows管理者である場合、道はさらに短くなるということです。企業ネットワークは通常Windowsです。とにかく大丈夫です、それは良い背景です。



実際、私はGoogleプレートを持っており、さまざまな専門分野やレベルのペネトレーションテスターに​​関する一連の知識を書き留めています。インターン、ジュニア、中級、シニア、Webおよびインフラストラクチャ。おそらく、リンクを挿入することができます。最終的な投稿があれば、それはハブレにあります。これらは私の主観的な要件ですが、コメントや提案をして何かを追加した人々からのフィードバックに基づいて、少し変更しました。したがって、プラスマイナス適切と見なして、それらに焦点を当てることができます。記載されている認定、さらには市場での給与率、開発の方向性も記載されています。



Q：ペネトレーションテスト中に顧客から尋ねられる質問から逃れることはどれほど美しいことですか？「まあ、何か見つけましたか？」



なぜ質問から離れるのですか？回答。まだ何も見つからない場合は、まだ見つかりません。遅かれ早かれ、レポートでこの質問に答える必要があります。したがって、仕事を始めてから1週間後に尋ねられ、見つからなかったと言うのは普通のことです。



Q：ペネトレーションテストの欠員を探す場所はどこですか？ hhにはほとんどありません。



はい、ヘッドハンターはあまり持っていません。通常、誰もが知人によってお互いを探しているので、おそらく、あなたはただ人々とコミュニケーションをとる必要があります。あなたはあなたの履歴書を投稿することができます-おそらくこのモードではより多くの注目が集まるでしょう。 LinkedInで求人を検索することもできます。また、欠員が掲載されているTelegramチャネルもあります



。Q：tryhackmeについてどう思いますか。



わかりません。今ではたくさんのサイトがありますが、ウェブ上ではPortswiggerAcademyに決めることをお勧めします。 PortswiggerはBurpの背後にある会社です。



Q：ペネトレーションテストとリモコン。それは本当ですか？または、仕事の詳細のために、彼らはオフィスに募集しようとしますか？



本当に。さて、今では大企業でさえ、誰もがリモートで作業しています。純粋にリモートオプションを検討している場合は、問題が発生する可能性があることは明らかです。また、最初にオフィスに来て1か月間、次にリモートで仕事をするという形式もあります。



Q：公開データベースまたは学ぶべき典型的な脆弱性のリストはありますか？それともある種の本？



はい、たとえば、OWASPトップ10です。これは物議を醸すものですが、これらはWebアプリケーションのトップ10の脆弱性です。 CWE（Common Weakness Enumeration）もあります。これは、すべての脆弱性を分類して、それらを階層システムに分割する試みです。特定の脆弱性の例があることがわかります。もう1つのディレクトリはCVEで、さまざまなソフトウェアの脆弱性のディレクトリにすぎません。そこには実際の例もあり、エクスプロイトがどのように機能するかを見て理解することができます。



Q：仕様書を少し読むことができますか？



もちろん、音声フォーマットは奇妙です。画面を共有できます。 [画面は共有されていません]ドキュメントへのリンクはHabréにあると思います。各レベルに必要な経験（年単位）を示しています。もちろん、これは主観的なものであり、むしろ参照点としてのものです。スキルは順不同で説明されています。対象となる給与と資格。そして成長の道-次のレベルに到達するために何をすべきか。たとえば、ジュニアペンテスターの場合、仕事または勉強のいずれかで、約1年の経験が必要です。少なくとも1年間勉強しておらず、ITやプログラミングに関与しておらず、すぐに侵入テストに参加しようとした場合、その人は知識とスキルをほとんど持っていません。このレベルでの主な要件は、ペネトレーションテストの方法論に関する一般的な知識、テクノロジーの基礎に関する知識、Linuxを使用し、ネットワークで動作する簡単なスクリプト（パーサーなど）を作成する能力です。正規表現の知識、HTPプロトコルの知識、ツールの操作（脆弱性スキャナーとBurp）。一般的に、それを読んでください、私はすべてをリストするわけではありません。



Q：ほとんどすべての欠員が少なくとも2年の経験を必要とする状況で何をしますか？バグバウンティとHackTheBoxに固執するか、またはあなたが一致しないレベルに突破しようとしていますか？



それはでたらめです。彼らは要求し、要求します-実際、彼らは知識を見ます。バグバウンティとHackTheBoxだけで「エクスペリエンス」に書き込むことができます。あなたが本当に必要な知識と理解のレベルに対応していない場合、それはあなたが対応していないことを意味します。しかし、経験年数の正式な基準はそれほど重要ではないと思います。