![]() |
||
---|---|---|
Русский security-специалист, отец сайта http://security.nnov.ru. Автор многочисленных эдвайсоров. Работает в крупной российской компании, занимаясь поддержкой пользователей. Принимает активное участие в исследованиях и обсуждении компьютерной безопасности. Death Scorpion: Расскажите сначала немного о себе: ну, там, возраст, где работаете/учитесь (учились), увлечения, семейное положение ну и т.д. В общем все, что Вы сочтете нужным. 3APA3A: Реального имени называть не хочется, как не сложно догадаться из Нижнего Новгорода. Безопасность - не основная деятельность, скорее хобби, но полезное в основной работе. Death Scorpion: Расскажите, пожалуйста, про то, как Вы началали увлекаться компьютерами вообще и темой безопасности в частности. С чего началось Ваше знакомство с компьютерами? Какой "путь" Вы прошли от первого знакомства с компьютерами до сегодняшнего дня? 3APA3A: Увлечение компьютерами возникло не спонтанно. Решил заниматься программированием лет в 13-14, затем программистский класс в физмат-школе, ВМК и т.д. А вот компьютерной безопасностью начал заниматься случайно, и это пока, скорее, хобби. Как ни странно, все это связано и с появлением Security.nnov и с bugtraq :). Death Scorpion: Расскажите о Ваших отношениях с другими командами/людьми. Какие команды считаете профессиальными, какие Вам не очень нравятся? Чьи релизы Вам нравятся? 3APA3A: Мировая security сцена сейчас переживает переломный момент. В каком-то смысле даже с переломом хребта. Интересных команд на сцене просто нет - или они за сценой работают на security-индустрию или под сценой (в Death Scorpion: Сколько человек непосредственно занимается сайтом? Есть ли у Вас что-то типа команды? 3APA3A: Сайтом занимается команда из одного человека. Поэтому развиваться, к сожалению, не получается Death Scorpion: А можно ли попасть в Вашу команду со стороны? 3APA3A: Конечно, можно. Более того, в, свете всего вышесказанного, я даже готов платить небольшую степендию Death Scorpion: А какие тогда Вы предъявляете требования к претенденту на вступление? 3APA3A: Компетентность (гуру быть не обязательно, но хотя бы терминологией владеть не на уровне знания терминов, а на уровне их понимания). Знание технического английского, потому что без него в этой области делать нечего. Хорошая память и интуиция. Приходится оценивать информацию с точки зрения новизны и полезности. Инициативность. Если претендент придет и скажет "давай я буду делать то-то и то-то" это просто замечательно. Причем избыток одного качества всегда может компенсировать недостаток других. Ну и, естественно, безопасность должна быть для этого человека устоявшимся хобби. Иначе он ее не перенесет. Death Scorpion: На каких языках Вы программируете? Какие Вам больше нравятся? За какими, на Ваш взгляд, будущее? 3APA3A: Программирую мало и на чем придется. Главное - уметь программировать, язык это лишь инструмент который выбирается из удобства или из потребностей. При наличии опыта новый язык изучается за пол дня, а через пару дней вообще перестаешь чувствовать от него какое-то неудобство. Если есть достаточно крупная и общая задача и есть выбор - предпочитаю C (причем именно без плюсов) из-за большей переносимости. Death Scorpion: Какие Операционные системы предпочитаете: из семейства Windows или *nix - подобные? Почему? 3APA3A: Опять же - исходя из задачи. Очень часто после того, как известно, что надо сделать, какие требования и что имеется в наличии - вариантов просто не остается. В работе использую и Windows и Unix и Linux. На рабочем месте предпочитаю Windows. Death Scorpion: Взламывали ли Вы (или дефейсили) сами сайты? 3APA3A: Нет, конечно, ничего не взламывал. Кроме вполне легальных ситуаций - забытые пароли, тестирование защищенности конфигурации и т.п. И уж тем более не дефейсил сайты - это полностью противоречит моим принципам. Death Scorpion: А часто ли пытаются взламать Ваш сайт? Проводятся ли на него DDoS - атаки? Были ли реальные случаи взломов? 3APA3A: Честно говоря не знаю, не слежу за атаками, пока от них нет неприятных последствий. Какой смысл? DDoS атаки были, но достаточно слабые. В общем-то я не думаю, что кому-то есть большой интерес во взломе сервера. Death Scorpion: Как знать, вероятно многие хотели бы это сделать ради самоутверждения, чтобы потом кидать понты - "Я похакал сайт ЗАРАЗ'ы!" А как Вы относитесь к кардингу, крэкингу, фрикингу, социальной инженерии и т.д? Занимались ли Вы когда - либо чем - нибудь из этого? Знакомы ли с какими представителями этих underground - движений? 3APA3A: Лазить во что-то дебаггером/дизассемблером приходилось. Но когда результаты один раз получены - повторять это еще и еще становится не интересно. Да и сам процесс отладки сильно утомляет, стараюсь Death Scorpion: Вы говорите, что плохо относитесь к социальной инженерии. Но ведь в последнее время она все чаще используется в процессе взлома сайтов. Так зачем мучиться и искать дыру в защите, если можно добиться того, что кто - нибудь просто - так даст тебе возможность проникнуть в систему? 3APA3A: А кто сказал, что я хорошо отношусь к взломам сайта и проникновениям в чужую систему? Очень часто это не имеет ничего общего с хаком - возьмите тех же Scriptkiddie. Death Scorpion: А каково, кстати, Ваше отношение к этим самым скрипткиддисам? Считаете ли Вы, что это промежуточный этап между начинающим и спецом или это больше диагноз и скрипткиддис никогда уже не станет профессионалом? 3APA3A: Scriptkiddie слишком не точный термин. Но использовать что-то не пытаясь в этом разобраться, улучшить, изменить - это не хак. Death Scorpion: Как Вы относитесь к ICQ - хакингу, угону уинов? 3APA3A: Регистрация домена? Подбор пароля? И в чем тут хакинг? Это бизнес такой... Death Scorpion: Хм... А что тогда для Вас значит вообще слово "Хакер"? Какой смысл Вы в него вкладываете? 3APA3A: Хакер - человек способный генерировать новые идеи выходя за пределы стандартных рамок. Все новое и нестандартное - это хак. Через стадию хака проходит любое новое изобретение до того, как оно поставлено на конвеер и начало приносить прибыль. Тогда это изобретение стало технологией. Death Scorpion: Да, весьма интересная точка зрения. Вы наверняка читали "Манифест Хакера" от Ментора (The Conscience of a Hacker by The Mentor). Что Вы о нем думаете? 3APA3A: Есть и отрицательные и положительные моменты. С одной стороны действительно необходимо изменить подход общества к термину "хакер". Преступников из подростков действительно во многом делают журналисты, называя этим термином любого преступника и в то же время подогревая интерес подростков в этой области. Но с другой стороны это попытка обвинить общество в собственных грехах. Точка зрения инвалида, который считает, что общество ему обязано. Если ты считаешь, что это общество тебе не подходит и не пытаешься ничего изменить в себе, а не в обществе - то _ты_ асоциален и будь готов к тому, что общество пытается тебя от Death Scorpion: А считаете ли Вы, например, Кевина Митника хакером? Как Вы вообще к нему относитесь? 3APA3A: Да, несомненно. В то время сложно было увлекаться компьютером и не быть хакером - проторенных путей и пошаговых инструкций не существовало. Death Scorpion: Согласен с Вами. В то время не то, что пошаговых инструкций - компьютеров мало было :). А кого еще из хакеров его времени Вы считаете достойными уважения? 3APA3A: Мне сложно говорить про времена Митника, я их не застал. Безопасность сетевых приложений, которая меня преимущественно интересует, начала развиваться буквально на пару лет позже. Среди пионеров - Aleph1, Death Scorpion: Ваше самое большое достижение (открытие) в сфере безопасности (может быть самый любопытный баг)? 3APA3A: Первый интересный эксплоит был http://www.security.nnov.ru/docs2554.html. Не то, чтобы там были какие-то совсем новые вещи, но под Windows просто никто раньше так не делал. http://www.security.nnov.ru/docs4765.html - тут действительно интересная техника (забивания памяти с прыжком наобум) для случая, когда эксплоит казался невозможным. Кстати, во многих последних эксплоитах она активно используется. http://www.security.nnov.ru/docs2554.html - достаточно интересно было "разобрать" в общем-то неплохо написаное приложение, причем не используя никаких шелкодов/дебаггеров и прочих противных нудных вещей. http://www.security.nnov.ru/docs6145.html - эта дырка и идеи, к сожалению, остались почти незамеченными. Ну и несколько статей совместно с offtopic'ом, посвященных обходу фаерволов и защите клиентских приложений. Death Scorpion: Как, по - вашему, развита ли security - индустрия (если так можно выразиться =)) в России? Хватает ли сейчас квалифицированных специалистов в сфере security? Что ждет security - индустрию в России в будущем? 3APA3A: Квалифицированных специалистов никогда не хватает. Сейчас в безопасности намечаются тенденции к объединению всего и вся - обнаружения вторжений и фильтрации, систем физической и информационной безопасности, контроля доступа и поиска уязвимостей. Так что грозит комплексность решений. Death Scorpion: Какую программу, по Вашему мнению, можно назвать лучшей security - утилитой? Какой софт Вы вообще чаще используете для проверки безопасности? 3APA3A: Я не занимаюсь профессионально безопасностью, поэтому крайне редко что-то использую. В большинстве случаев мне хватает утилит типа nmap/Ethereal. Death Scorpion: Как Вы считаете, с чего надо начинать, если изучать компьютерную безопасность с нуля? Дайте совет начинающим хакерам 3APA3A: С основ. Сети, администрирование операционной системы, программирование. Death Scorpion: Есть ли у Вас хобби? Чем занимаетесь в свободное от работы время? Как отдыхаете от компов? 3APA3A: Валяюсь с компьютером, читаю. Время от времени пытаюсь заняться чем-нибудь спортивным с попеременным успехом, но дольше чем на несколько месяцев редко хватает. Death Scorpion: А в компьютерные игры не играете? Тоже расслабляет. 3APA3A: Сейчас уже практчиески не играю - не остается времени. Death Scorpion: Вы упомянули, что иногда стараетесь заниматься спортом. А каким, если не секрет? 3APA3A: За последние пару лет успел позаниматься фитнесом и йогой. А до этого Death Scorpion: Что любите читать? Какие любите фильмы? 3APA3A: Фантастику, последнее время преимущественно фэнтези, до этого больше Death Scorpion: Есть ли у Вас мечта? 3APA3A: Да полно. Death Scorpion: Как Вы относитесь к нашему журналу MaZaFaKa.Ru Ezine? Что по Вашему лишнее, что надо добавить? 3APA3A: Неужели кто-то будет читать e-zine в формате HTML да еще и приложенным вьвером? ;) Death Scorpion: Зато из-за того, что журнал в хтмле, он красивее оформлен и более напоминает печатное издание =) Тем более, можно смотреть и не встроенным вьюером, а просто браузером. 3APA3A: Да, но не любой решиться запустить чужой HTML в локальной зоне. В PDF такие вещи делаются. И уж никак не в CHM :) Death Scorpion: Ну это был первый номер просто =) А как Вам по содержанию? 3APA3A: Во втором номере у вас тоже виден прямой экспорт HTML из ворда :) По содержанию - не очень. Ну из последнего номера почитал я статью про ботнеты - информацию устарела, хотя и номер уже довольно старый... Там, кстати, есть ссылка на статьи про обход фаерволов из предыдущих номеров, которых я в упор не вижу. Death Scorpion: Скажите что - нибудь на прощание нашим читателям. 3APA3A: Раз-два-три проверка связи. Примечание: по просьбе 3APA3'ы ответы на первые 2 вопроса взяты из его интервью для журнала Хакер |
||
by Death Scorpion |
||