Kapan dan bagaimana Anda memulai peretasan etis?
Komputer pertama, Commodore 64, diberikan kepada saya oleh ayah saya ketika saya berusia 8 atau 9 tahun. Saya segera memisahkannya. Ketika saya berumur 10-12 tahun, saya mulai membuat program. Dan kemudian saya tertarik dengan topik keamanan siber.
Sewaktu kuliah di universitas, saya berencana keluar dari sana untuk melakukan pengembangan. Tetapi suatu hari kami mengadakan Hari Karier dan seseorang berkata bahwa peretasan etis secara resmi dapat mencari nafkah. Pikiran itu kemudian membuatku tercengang. Saya mulai berpartisipasi dalam program Yahoo Vulnerability Finder dan terlibat dalam peretasan etis. Dia telah bekerja dengan perusahaan seperti Deloitte, Context Information Security, dan Yahoo. Di dalamnya, saya melakukan uji penetrasi , bekerja sebagai bagian dari tim Merah dan melakukan penelitian di bidang keamanan siber.
Apakah ada teknologi khusus yang menarik minat Anda?
Saya tidak pandai meretas web. Dia tidak menarik minat saya sebanyak analisis kode sumber, rekayasa balik, atau analisis sistem. Selama dua tahun terakhir, saya menghabiskan banyak waktu untuk mempelajari platform Continuous Development and Integration (CI / CD). Saya menikmati peretasan ketika sistem yang kompleks berinteraksi dan pada titik tertentu ada yang salah. Mencari kerentanan di sini sama efektifnya dengan menggunakan rekayasa balik klasik atau menemukan bug dalam aplikasi asli.
Bagaimana Anda memutuskan produk mana yang akan dicari kerentanannya?
Saya biasanya menargetkan produk di mana pemburu bug lain telah menemukan sesuatu. Karena pekerjaan ini menghabiskan semua jam kerja saya dan saya harus membayar hipotek, saya juga melihat proyek yang menawarkan penghargaan tertinggi untuk kerentanan yang ditemukan. Tetapi jika saya mulai merasa bahwa semua ini berubah menjadi rutinitas, saya mungkin akan melakukan hal lain. Mempelajari teknologi menarik itulah yang mendorong saya.
Pernahkah Anda menghadapi masalah dalam mengungkapkan informasi tentang kerentanan?
Masalah terbesar adalah pembayaran yang lambat saat pembayaran memakan waktu 6-9 bulan. Oleh karena itu, saya mencoba untuk berpartisipasi dalam program peretasan etis yang diketahui membayar dalam jangka waktu yang wajar.
Sekali atau dua kali saya tidak dapat membuktikan bahwa bug yang saya temukan sebenarnya adalah bug. Mungkin saya tidak menjelaskannya dengan cukup baik dalam laporan atau memberikan contoh yang kurang jelas. Saya pikir ada masalah yang berulang di sini - kami tidak begitu pandai menjelaskan kesalahan atau tingkat risiko yang ditimbulkannya.
Kerentanan apa yang paling Anda banggakan, dan mengapa?
Beberapa tahun yang lalu, di hackathon H1-702, saya berhasil menemukan bug yang memicu eksekusi kode di GitHub. Ini adalah area yang akan saya fokuskan selama satu tahun atau lebih, meskipun bug itu sendiri tidak cukup baik untuk dibanggakan. Saya sudah lama curiga bahwa akan ada bug, dan sangat menyenangkan menemukannya. Untuk pekerjaan ini saya menerima uang terbesar.
Apa tren menarik dalam peretasan sekarang, dalam hal kode dan teknologi?
Hal yang paling mencolok adalah penggunaan container. Saya telah meneliti banyak containerization dan produk Kubernetes belakangan ini. Saya menemukan bug tertentu dalam satu produk dan kemudian memeriksanya dengan produk lain yang menggunakan teknologi serupa. Beberapa bug saling tumpang tindih. Masing-masing membawa saya ke bug baru, sudah ada di produk lain.
Saran apa yang akan Anda berikan kepada pemburu serangga pemula?
Jangan berharap terlalu banyak - menemukan bug adalah proses yang lambat. Saya telah bekerja di bidang ini selama lebih dari 10 tahun, secara profesional melakukan pengujian penetrasi dan masih berpikir bahwa menemukan kerentanan itu sulit. Kualitas paling berharga di sini adalah ketekunan. Anda seharusnya tidak mengharapkan banyak uang pada hari pertama.
Apakah ada rencana karir lain untuk beberapa tahun ke depan selain didedikasikan sepenuhnya untuk berburu serangga?
Saya menghasilkan banyak uang sekarang dengan mencari kerentanan. Oleh karena itu, tidak ada “langkah selanjutnya”. Tapi saya punya ide tentang membuat tim. Saya kenal beberapa orang yang bekerja sebagai pentester di perusahaan. Saya ingin sekali membuat tim dengan mereka, tetapi meyakinkan mereka untuk berhenti dari pekerjaan tetap mereka lebih sulit daripada yang terlihat.
Mencari kerentanan tampak seperti aktivitas yang biasanya dilakukan orang sendiri. Apakah menurut Anda kerja tim bisa efektif di sini?
Tentu saja, setiap orang akan membawa keterampilan dan pengalaman mereka untuk kepentingan bersama. Ketika saya bekerja dengan peretas lain di acara offline, komunikasi nyata kami adalah dasar dari segalanya. Bahkan ketika Anda hanya menjelaskan ide-ide Anda atau mulai meragukan saran Anda, hal itu sering kali membawa Anda ke pemikiran baru. Anda tidak akan menjangkau mereka sendiri. Sebagai seorang introvert, saya sangat menikmati bekerja sendiri. Tetapi tidak melihat orang setiap hari itu sulit. Oleh karena itu, saya sangat ingin bekerja dalam tim.
Apakah Anda ingin memberi tahu kami hal lain tentang keamanan informasi?
Baru-baru ini saya menyadari bahwa industri Bug Bounty memiliki masalah PR kecil. Banyak orang melihatnya dengan cara yang disederhanakan. Mereka berpikir bahwa di beberapa titik dalam perlindungan produk populer mereka menemukan kesalahan kritis, dan banyak orang mulai mengirim laporan tentang hal itu pada waktu yang sama. Padahal, semuanya lebih rumit.
Saya telah melihat industri ini dari semua sudut - dari platform, produk, dan bug. Beberapa orang memiliki pengalaman ini. Semoga program Bug Bounty akan lebih fokus pada pentesting tradisional dalam waktu dekat.
Satu hal yang saya tidak suka saat bekerja adalah saya selalu punya tujuan. Pada titik tertentu, saya berharap industri akan mencapai titik di mana perusahaan akan mendorong karyawan penuh waktu mereka untuk berpartisipasi dalam program Bug Bounty. Semua orang akan mendapat manfaat dari ini. Bagaimanapun, keterampilan yang diperoleh spesialis Anda dengan cara ini dapat diterapkan di tempat kerja.
Blog ITGLOBAL.COM - Managed IT, private cloud, IaaS, layanan keamanan informasi untuk bisnis:
- Takut pada otomatisasi kerja dan tren lain dalam keamanan siber global dan Rusia
- Bagaimana kami menemukan kerentanan di server surat bank dan bagaimana hal itu mengancam
- Cara berteman dengan GOST R 57580 dan virtualisasi kontainer. Tanggapan Bank Sentral (dan Pertimbangan Kami)
- Tren utama industri IT pada 2021 menurut Gartner