|
mindw0rk Опубликовано: dl, 14.12.04 01:28 Кто, по-твоему, главный хакер? Ричард Столлман? Старо. Кевин Митник? Попсово. Марк Мэйфрет из eEye Digital Security считает, что именно он. И даже занимает в компании официальную должность с одноименным названием. Как бы то ни было, eEye – одна из ведущих security-фирм на мировом рынке, услугами которой пользуются правительственные и крупнейшие коммерческие организации. А сам Марк широко известен в security-кругах, и сделал достаточный вклад в развитие компьютерной безопасности, чтобы заслужить уважение. Поэтому сегодняшнее интервью именно с ним. mindw0rk: Марк, расскажи, пожалуйста, о своей компании. Не рекламный буклет в духе «мы все можем», больше про атмосферу внутри, про своих сотрудников, локальные мероприятия и забавные эпизоды из жизни eEye. ММ: eEye Digital Security стала уже достаточно большой компанией – сейчас у нас работает свыше 140 человек. Поэтому, говоря об атмосфере, многое зависит от того, о каком отделе идет речь: исследовательском, инженерном, отделе продаж или каком-нибудь другом. В любом случае, eEye – это место, где ты можешь чувствовать себя комфортно, будучи самим собой. Большинство забавных эпизодов происходит со мной и моей командой исследователей, когда мы идем тусить своей компашкой. После просиживания весь день за компом, читая все эти ламерские эдвайсоры на багтраке и еще более ламерский код Microsoft, приятно посетить какую-нибудь пивнушку и напиться до чертиков. Наш главный офис, который находится в Калифорнии, расположен рядом с пляжем. И там полно отличных баров, которые мы частенько посещаем. Названия историй, которые я мог бы рассказать, звучали бы так (идет перечисление спиртных напитков): «Tequila», «The Bum Toss», «Sloppy 3», «Del Taco»... Скажу еще, что большинство баров, где бы колбасились, после этого навсегда закрывали для нас двери. :)
mindw0rk: Я впервые вижу позицию «Главного хакера» в качестве официальной в крупной компании. Расскажи, чем ты все-таки занимаешься как «главный хакер»? И как выглядит твой рабочий день? ММ: «Главный хакер» - этот тайтл, который я создал для себя сам. В некоторой мере, потому что работать на такой должности довольно забавно, но основная причина – мне кажется, понимать хакерство важно, если ты являешься разработчиком security-софта. В eEye я занимаюсь многими вещами, от управления исследовательской командой до разработки дизайна будущих продуктов нашей компании и встреч с клиентами. Больше всего в моей работе мне нравится разнообразии. Я могу сегодня заниматься чем то очень низкоуровневым, вроде исследования новых уязвимостей и эксплоитов, а завтра – проводить презентации наших разработок в зале, полном начальства.
mindw0rk: Я слышал, вы помогаете правительственным и военным структурам повысить безопасность их компьютерных систем. Насколько защищены эти системы на самом деле? ММ: Некоторые правительственные агентства действительно являются клиентами eEye и используют наш софт, чтобы защитить свои сети. Но дать однозначный ответ, секурны системы правительства США или нет, сложно – слишком велико само правительство. Некоторые организации намного более защищены чем другие. Но вообще чиновники в правительстве больше любят поговорить о проблемах безопасности, чем заняться ее организацией. mindw0rk: Какого рода секурное ПО установлено на их компах? Насколько компетентен правительственный тех. персонал? ММ: У правительства есть все виды секурного ПО, какие только можно представить. Часто возникает ситуация, когда ему нужно нанять ведущих security-экспертов, но денег на это они тратить не хотят. А с какой стати блестящему специалисту по сетевой безопасности идти работать на правительство за половину суммы, которую он может заработать, работая на коммерческую организацию? До тех пор, пока правительство не осознает, что на обеспечение своей безопасности нужно выделять больше средств, и привлекать к этому лучших экспертов, оно будет оставаться в задних рядах по степени защищенности своих систем.
mindw0rk: eEye – один из лидеров security-рынка и одна из самых авторитетных security-компаний. В чем, по-твоему, причины ее успеха? В чем достоинства eEye по сравнению с конкурирующими компаниями? ММ: Текилла. Много текиллы! :) Мне кажется, секрет успеха компании в том, что мы нанимаем только тех людей, которые испытывают настоящую страсть к исследованию безопасности и технологий. В то время как многие секурити-компании нанимают «рок-звезд», хакеров, которые больше увлечены популяризацией своего имени и своей принадлежностью к «сцене». Возможно, раньше у них и было стремление исследовать, но теперь огонь погас, страсть улетучилась и на первый план встали деньги. mindw0rk: Ты наверняка общался со многими известными коллегами в security-сфере. Поделись своим мнением о некоторых из них. Я читал биографии Дэна Фармера, Алана Коха, Вица Венемы, Стива Белловина и других. Но, возможно, ты мог бы дать неофициальное представление о них? ММ: Дэн, Кох, Венема, Стив... полагаю, когда эти парни сделали себе имена, меня еще не было на этом свете. Хехе :). По правде, я никогда не общался лично ни с кем из них, но изучал многие их работы, особенно когда только начинал знакомиться с миром компьютерной безопасности. Я считаю их пионерами в своей области и рекомендую всем, кто планирует серьезно заняться безопасностью, почитать книги и документации, написанные этими людьми. Знать прошлое и то, откуда пришло настоящее – не менее важно, чем знать само настоящее. Конечно, многие старых технические мануалы уже неактуальны, но читать их полезно хотя бы потому, что они воспитывают в тебе определенный склад ума. Мышление хакера. Книга Дэна Фармера «Improving the Security of Your Site by Breaking Into It» является отличным тому примером. mindw0rk: А если взять хаксцену и молодых ребят-хакеров, кого бы ты выделил? ММ: Я всегда считал l0pht и ADM пионерами, тимами, которые являются двигателем прогресса в security-области. Кроме них есть много других групп, к которым я испытываю большое уважение. Жаль, что большинство людей, которые раньше были креативными и делали значимый вклад в security-комьюнити, теперь перестали заниматься исследовательской деятельностью. Или поступили на работу в компании, где результаты их исследований держатся в тайне от общества. Я, наверное, становлюсь слишком стар... просто скучаю по старым-добрым временам. :)
mindw0rk: Расскажи о самых интересных security-мероприятиях, в которых тебе доводилось участвовать? ММ: Самые яркие воспоминания остались о Blackhat Vegas 2003. Вегас всегда вызывает у меня положительные эмоции, но в 2003 году было особенно здорово. Мне удалось встретиться со многими старыми друзьями-хакерами и познакомиться с интересными людьми, причастными к компьютерной безопасности. Разъезжать по всему Лас-Вегасу, упиваться вусмерть, совершать безумные поступки вместе со старыми друзьями и ребятами из eEye – это было незабываемо. Вторая любимая security-конференция – AD200x, которая состоялась в Японии в 2003 г. Один из моих работодателей является организатором этой конфы, так что он, я и несколько других исследователей отправились в Токио, выступить с докладом. Токио – удивительный город и там много очень талантливых японских хакеров. Мы классно зажгли! :)
mindw0rk: Насколько перспективна сейчас в США карьера в сфере компьютерной безопасности? Какой средний оклад получают специалисты в вашей стране? ММ: В США security-специалисты очень востребованы. Лично я каждый раз сталкиваюсь с проблемой, когда нужно нанять умных, креативных специалистов. Есть куча людей, которые утверждают, что разбирается в компьютерной безопасности, но лишь единицы из них имеют необходимые технические навыки. Оклад очень сильно варьируется и в основном зависит от того, где именно в США ты живешь. Для работника в сфере security цифры такие: от 65 до 200 тысяч долларов в год, в зависимости от твоего уровня и того, чем ты занимаешься. mindw0rk: На что работодатели обращают внимание в первую очередь на собеседовании? ММ: Каждый работодатель имеет свои заморочки. Многие компании предпочитают сотрудников со степенью или имеющих опыт работы в сфере security. Лично я, когда провожу собеседование с новым человеком, не обращаю внимание на эти вещи. Я просто ищу людей, которые понимают безопасность на очень низком уровне, которые смогут находить уязвимости, писать утилиты, генерировать идеи. Людей, у которых есть чему поучиться. Пионеров. Если ты такой – шли мне свое резюме и кто знает... :) mindw0rk: Какие были самые опасные уязвимости, найденные в 2004 году? Какие уязвимости могут стать самыми опасными в 2005? ММ: 2004 = ASN (баг в Abstract Notation Library). Хотя ни у кого не хватило смелости выложить на паблик экплоит, я по-прежнему считаю эту уязвимость самой опасной в этом году. В 2005 г. «Client side»-баги будут оставаться самыми опасными, и именно о них должен волноваться коммерческий сектор. Такого рода уязвимости позволяют «плохим парням» проникать через сетевой периметр и перехватывать контроль над системами во внутренних сетях, уровень секурности которых обычно чрезвычайно низок. Хорошей иллюстрацией тому может стать недавняя вспышка zeroday Internet Explorer уязвимостей. mindw0rk: Что ты думаешь о намереньях Большого Брата держать всех под колпаком? ММ: Имхо правительство, как и церковь, всегда будет делать все возможное, чтобы «пасти овечек». И чем больше люди будут зависеть от технологий, тем легче будет «Большому Брату» за ними наблюдать. mindw0rk: Насколько целесообразны системы тотального слежения? И насколько преуспел «Большой Брат» в своей цели на сегодняшний день? ММ: Это зависит от того, что ты имеешь в виду, говоря «Большой Брат». Не во всех странах у правительства есть возможность шпионить за людьми. Это может стать проблемой там, где мало распространен Интернет и вообще хай-тек. В то же время в США, Китае и некоторых других странах, которые в техническом плане очень развиты, «Большой Брат» хорошо подкован и, конечно, шпионит за народом. В развитых странах у правительства более чем достаточно возможностей держать тебя под колпаком. В некоторых случаях стоит доверять своему правительству в том, что оно не будет злоупотреблять своею властью. Но мы все знаем, что ошибки и тайный сговор – это реальность. Поэтому нужно постоянно быть в курсе вещей, которые происходят вокруг. Конечно, можно стать экстремистом и полностью изолировать себя от технологий, держаться подальше от компьютерных систем. Но в этом случае трудно жить нормальной жизнью. И ты закончишь как Осама бин Ладен, скрывающийся в гребаных пещерах. :) Поэтому ты должен сам определить для себя правильный баланс между «нормальной жизнью» и недоверием к системам тотального слежения. В США, например, сейчас наблюдается массовая фокусировка на голосованиях. Я согласен с тем, что определение, чего хотят в большинстве своем люди – вещь важная. Но при голосовании нужно ввести личные данные и это идет вразрез с некоторыми законами о приватной жизни. Так как «плохой парень», опять же, может легко получить о тебе и твоей жизни всю нужную информацию. mindw0rk: Расскажи о самых защищенных в мире компьютерных сетях. Где они используются и как организована в них защита? ММ: Самые секурные сети, как и самый секурный софт – это те, о которых буквально никто не знает. И если люди узнают об этой сети, то она перестает быть защищенной. Она становится даже менее защищенное, чем те, о которых все знают уже давно. Возьмем для примера огромные софтварные корпорации, такие как IBM, Peoplesoft, Computer Associates и др. Многие из них ведут критические части своего бизнеса (финансовая система, базы данных) на программах, которые никогда раньше не исследовались на наличие уязвимостей. Они считают, что их программные пакеты стоимостью миллионы долларов надежно защищены, так как в сети нет никаких упоминаний о багах в них. Но на самом деле, это ложное мнение. Причина того, что security-эдвайсоры по этому ПО еще не были опубликованы лишь в том, что хакеры не имеют к нему доступа и еще не успели его взломать. В то же время зарубежное правительство к подобному софту доступ имеет и находит в нем уязвимости, не сообщая об этом широким массам. Такова печальная реальность.
mindw0rk: Как насчет проблемы безопасности мобильных платформ (мобильные телефоны, КПК, bluetooth и беспроводные гаджеты). Актуальна ли она сейчас? Какой вред «плохие парни» могут причинить таким устройствам? И какой они уже успели причинить? ММ: Когда разговор заходит о мобильных устройствах, степень их защищенности практически всегда преувеличивается. У них есть свои проблемы, но я не думаю, что сейчас нужно переживать о появлении настоящего червя для тех же мобильников. Пока нет четкой стандартизированной платформы для мобильных телефонов, риск невелик. Symbian, Microsoft и многие другие компании борются за право стать такой платформой. И как только одна из них (больше всего шансов у Microsoft) станет стандартной, появятся критические уязвимости, черви, атаки. А до тех пор все эти разговоры о безопасности беспроводных устройств будут проходить больше для развлечения, чем для решения проблем. mindw0rk: Мне интересно твое мнение, какие могут быть последствия, если завтра вдруг рухнет весь интернет. Причем на длительное время (сутки). Кто больше всего от этого пострадает? И возможно ли теоретически такое? ММ: Вау. :) Это действительно сложный вопрос, и я не уверен, что у меня хватит квалификации на него ответить. По своему опыту я знаю, что многие компании напрямую зависят от Интернета и не смогут работать без доступа к сети. Очевидно, что они потерпят большие убытки, случись что. Да и простые люди с каждым днем все больше привязываются к сетевым технологиям, помимо работы. Что касается того, возможно или нет – мой ответ: «Да».
mindw0rk: Ты когда-нибудь встречал девушку, которая в сфере компьютерной безопасности не уступала по уровню тебе? Или даже превосходила тебя в некоторых вещах. Что ты думаешь о девчонках, которые любят никсы и пишут эксплоиты? Это вообще нормально для девушки? :) ММ: Да, я встречал женщин, весьма квалифицированных специалистов. Но их очень немного. Намного больше «илитных хакгрупп», куда входят девицы, посещающие security-конференции, но ничего не знающие о компьютерной безопасности. Но опять же таких парней намного больше. Если тебе удастся отыскать симпатичную малышку, которая пишет эксплоиты, дай мне знать. :) mindw0rk: Какие книги ты мог бы назвать «Хакерской библией». Дай список книг, которые, по твоему мнению, должен прочитать каждый security-эксперт. ММ: Я никогда не читал книг по компьютерной безопасности. Если ты хочешь потратить свое время на чтение книг, тогда прочти книги по программированию. А если ты по настоящему хочешь стать авторитетным security-экспертом, тогда научись программировать и изучи, как работают операционные системы. Вот тебе список необходимых знаний: C, C++, Ассембли, понимание ОС, ядра, процессов, структуры памяти, классификации атак (overflows, format strings, logic bugs и др.). Не трать свое время на чтение дерьма вроде «Hacking exposed». Это никуда тебя не приведет, кроме, разве что, позиции тупого консультанта в какой-нибудь Foundstone. mindw0rk: Что тебе известно о русском security-комьюнити? Тебе приходилось общаться с нашими ведущими спецами? ММ: Русские хакеры наряду с китайцами самые крутые. Некоторые из докладов и программ, сделанных русскими хакерами, намного более продвинутые, чем релизы других. Мы в eEye любим шутить, что русские хакеры такие крутые, потому что в России ахренеть как холодно, и они скорее останутся дома читать книги по Азму, в то время как мы будем хлестать текиллу на пляжах солнечной Калифорнии. :)
mindw0rk: Что сейчас чаще всего является «лакомым куском» для кракеров (блэк-хэтов). Какие были самые классные хаки, о которых ты слышал? ММ: В последнее время с этим тихо. Проблеме безопасности сейчас посвящается много внимания, компании начинают по настоящему заботиться о сохранности своей информации и все чаще приглашают экспертов для консультации и аудита. Поэтому, чем дальше, тем меньше остается багов для использования блэкхэтами. mindw0rk: Есть ли система, которую ты не в силах взломать? Вспомни самую трудную для тебя ОС. ММ: Windows 95 mindw0rk: Твое мнение о компьютерных законах? Их достаточно хорошо сформулировали, или ты бы внес поправки? ММ: Я считаю, что с помощью законов, касающихся компьютерных преступлений, правительство и органы пытаются подняться в глазах народа. Не понимаю, как они могут засадить совсем молодого парнишку на более длительный срок, чем насильника? В этом нет смысла, но это распространенная ситуация. Люди боятся того, чего не могут понять, поэтому совершают безумные вещи. Как, например, посадить парня в тюрьму на 5 лет только за то, что он постебался над сайтом компании. mindw0rk: Твои ассоциации со словами: компьютер, девушка, лучшее, фильм «Хакеры», Defcon, детство, IRC, США, наука, еда, виртуальная реальность, Гибсон, семья, зло, рут. ММ: Компьютер – ненависть, девушка – К., лучшее – секс, фильм «Хакеры» - вдохновение, Defcon – groupies (презрительное по отношению к неквалифицированным хакгруппам – прим. mindw0rk), детство – жестокость, IRC – черная дыра, США – дом, наука – логика, еда – блондинки, Гибсон – Les Paul, семья – eEye, зло – апатия, рут – система. mindw0rk: Чем бы ты занимался на месте президента корпорации Microsoft? :) ММ: Мучался бессонницей по ночам, зная, сколько компаний я выбил из бизнеса и сколько человеческих жизней разрушил. Попытался бы изменить своей жене со своей секретаршей.
(c) mindw0rk, mindw0rk@gameland.ru
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|
|