
Quando e como você começou a fazer hacking ético?
O primeiro computador, o Commodore 64, foi-me dado pelo meu pai quando eu tinha 8 ou 9 anos. Eu desmontei imediatamente. Quando eu tinha 10-12 anos, comecei a programar. E então me interessei pelo tópico de segurança cibernética.
Enquanto estudava na universidade, planejava sair de lá para fazer desenvolvimento. Mas um dia tivemos um Dia da Carreira e alguém disse que o hacking ético pode oficialmente ganhar a vida. O pensamento então me surpreendeu. Comecei a participar do programa Yahoo Vulnerability Finder e me envolvi com hacking ético. Ele já trabalhou com empresas como Deloitte, Context Information Security e Yahoo. Neles, realizei testes de penetração , trabalhei como parte da equipe Red e fiz pesquisas na área de segurança cibernética.
Existem tecnologias específicas que interessam a você?
Não sou muito bom em hackear web. Ele não me interessa tanto quanto análise de código-fonte, engenharia reversa ou análise de sistemas. Nos últimos dois anos, passei muito tempo aprendendo sobre plataformas de Desenvolvimento e Integração Contínua (CI / CD). Gosto de hackear quando sistemas complexos interagem e em algum ponto as coisas podem dar errado. Pesquisar vulnerabilidades aqui é tão eficaz quanto usar engenharia reversa clássica ou encontrar bugs em aplicativos nativos.
Como você decide quais produtos procurar por vulnerabilidades?
Eu normalmente viso produtos onde outros caçadores de insetos encontraram algo. Uma vez que esta ocupação ocupa todo o meu tempo de trabalho e tem que pagar a hipoteca, também procuro projetos que oferecem as maiores recompensas para as vulnerabilidades encontradas. Mas se eu começasse a sentir que tudo isso está se tornando uma rotina, provavelmente faria outra coisa. Aprender tecnologias interessantes é o que me motiva.
Você já enfrentou problemas para divulgar informações sobre vulnerabilidades?
O maior problema são os pagamentos lentos quando os pagamentos demoram de 6 a 9 meses. Portanto, tento participar daqueles programas de hackers éticos que são conhecidos por pagar dentro de um prazo razoável.
Uma ou duas vezes não consegui provar que o bug que encontrei é na verdade um bug. Talvez eu não tenha explicado bem no relatório ou não forneça exemplos claros. Acho que há um problema recorrente aqui - não somos muito bons em explicar o erro ou o grau de risco que ele causa.
De qual vulnerabilidade você encontrou mais orgulho e por quê?
Vários anos atrás, no hackathon H1-702, consegui encontrar um bug que acionou a execução de código no GitHub. Essa era uma área na qual eu iria me concentrar por um ano ou mais, embora o bug em si não fosse bom o suficiente para me orgulhar. Há muito tempo suspeitava que haveria um bug, e foi muito agradável encontrá-lo. Por este trabalho recebi o maior dinheiro.
Quais são as tendências interessantes em hackear agora, em termos de código e tecnologia?
O mais notável é o uso de containers. Recentemente, pesquisei muitos produtos de containerização e Kubernetes. Eu encontrei alguns bugs em um produto e os comparei com outros usando tecnologias semelhantes. Vários bugs se sobrepõem. Cada um deles me levou a novos bugs, já em outros produtos.
Que conselho você daria a um caçador de insetos iniciante?
Não espere muito - encontrar bugs é um processo lento. Trabalho nessa área há mais de 10 anos, estou profissionalmente engajado em testes de penetração e ainda acho que encontrar uma vulnerabilidade é difícil. A qualidade mais valiosa aqui é a persistência. Você não deve esperar muito dinheiro no primeiro dia.
Existem outros planos de carreira para os próximos anos, além de ser totalmente dedicada à caça de insetos?
Estou ganhando um bom dinheiro agora pesquisando vulnerabilidades. Portanto, simplesmente não há “próximo passo”. Mas tenho uma ideia sobre como criar uma equipe. Conheço várias pessoas que trabalham como pentesters em empresas. Eu adoraria criar uma equipe com eles, mas convencê-los a deixar seu emprego permanente é mais difícil do que parecia.
A pesquisa de vulnerabilidades parece uma atividade que as pessoas geralmente fazem sozinhas. Você acha que o trabalho em equipe pode ser eficaz aqui?
Claro, todos trariam suas habilidades e experiência em benefício da causa comum. Quando trabalhei com outros hackers em eventos offline, nossa comunicação real era a base de tudo. Mesmo quando você simplesmente explica suas idéias ou começa a duvidar de suas sugestões, isso geralmente o leva a novos pensamentos. Você não os teria alcançado por conta própria. Como introvertida, realmente gosto de trabalhar sozinha. Mas não ver as pessoas todos os dias é difícil. Portanto, gostaria muito de trabalhar em equipe.
Quer nos contar mais alguma coisa sobre segurança da informação?
Recentemente, percebi que a indústria do Bug Bounty tem um pequeno problema de relações públicas. Muitas pessoas percebem isso de uma forma simplificada. Eles acham que em algum ponto da proteção de um produto popular encontram um erro crítico e muitas pessoas começam a enviar relatórios sobre ele ao mesmo tempo. Na verdade, tudo é mais complicado.
Eu vi essa indústria de todos os lados - desde a plataforma, produtos e bugs. Um pequeno número de pessoas tem essa experiência. Espero que, em um futuro próximo, os programas Bug Bounty prestem mais atenção ao pentesting tradicional.
Uma coisa que não gostava enquanto trabalhava era que sempre tive um objetivo. Eu gostaria que em algum momento a indústria chegasse ao ponto em que as empresas incentivassem seus funcionários em tempo integral a participarem de programas de recompensa por insetos. Todos se beneficiariam com isso. Afinal, as habilidades que seus especialistas adquirem dessa forma podem ser aplicadas no ambiente de trabalho.
Blog ITGLOBAL.COM - TI gerenciada, nuvens privadas, IaaS, serviços de segurança da informação para empresas:
- Medo da automação do trabalho e outras tendências na segurança cibernética global e russa
- Como encontramos a vulnerabilidade no servidor de e-mail do banco e como ela ameaçou
- Como fazer amizade com GOST R 57580 e virtualização de contêiner. Resposta do Banco Central (e nossas considerações)
- As principais tendências do setor de TI em 2021 segundo o Gartner