|
mindw0rk Опубликовано: dl, 12.06.04 20:55 XbIP[UkR]: "Информационная безопасность - это процесс, а не результат" Обычно хак-группы долго не живут. Распадаются через год-два - причин тому может быть много. То ли кто-то чего-то не поделил, то ли появились другие заботы. UkR team - одна из немногих "старых" команд, которая существует по сей день. Причем не просто существует, а заметно выросла. Из "deface"-тим превратилась в уважаемую security-команду, услугами которой пользуются многие компании. О том, как появилась UkR, как она работает, и немножечко о себе рассказывает ее фаундер - XbIP. О группеmindw0rk: На вашем сайте http://ust.icqinfo.ru есть небольшой about об UkR, но как-то там все слишком официально. В двух словах, кто вы и откуда?XbIP: В марте 2000 года у нас с друзьями прошел ряд дискуссий, в результате которых стало ясно - пора объединяться под новым проектом. Название UkR team преследовало сразу несколько целей: это и указание на государственную принадлежность, которое должно было, по идее, вводить недоброжелателей в заблуждение, и память об исторических корнях, и некоторые личные причины, о которых я лучше умолчу. Первое время мы попросту взламывали компьютерные системы и иногда там чего-то изменяли. Не корысти ради, исключительно в образовательных целях :). Например, если обнаруживалась система IRIX, то, зная, что вряд ли еще представится шанс поработать на mips'овских процессорах, мы смотрели, как все работает и взаимодействует, изучали ключевые особенности... Дефейс был как резюме после изучения очередной главы учебника. Сделал дефейс - поставил точку. mindw0rk: Сколько человек числится в официальных мемберах сейчас? Над какими проектами вы работаете? Какие ваши работы получили наибольшее признание у security-сообщества? XbIP: Мемберов у нас сейчас четверо: XbIP – ваш покорный слуга :). Devoid - программист, специалист по реверс-инжинирингу. В настоящее время, помимо учебы и проектов UkR team, входит в группу разработки антивирусного ПО для одного российского linux-проекта. Соавтор книги "Безопасность Ассемблера". spr0t - системный инженер, MCSE, CCNA. l0ck - программист, принимает участие в тестировании security digital chip компании Samsung. Основное направление UkR - собственные исследования в области информационной безопасности. Многие наши утилиты используют как представители хакерского сообщества, так и специалисты по защите информации. Например, программа UST.AntiNmap, сводящая на нет механизм определения ОС сканером Nmap, и honeypot-система UST.Nate были упомянуты в книге А.Лукацкого "Обнаружение атак" (2-е издание). А исследования в области Anti-Fingerprint получили положительный отклик у известного security-эксперта Lance Spitzner (автор книг Know Your Enemy и Honeypots: Tracking Hackers, основатель проекта honeynet). "These are very exciting and useful honeypot tools! Lots of people would find this very interesting", - это его слова :). Совместно с Zillion'ом (проект Safemode, www.safemode.org) мы разработали Sprint OS fingerprint 0.4.1. mindw0rk: Я слышал, когда-то проводились глобальные хак-тусы, в которых принимали участие практически все наши известные команды, включая UkR. Расскажи о них. Проводится ли что-либо подобное сейчас? XbIP: Действительно, отдельные представители команд UkR, GiN, dev/ice (включая бывший FOI), VOID, Legion2000 регулярно встречались. Обсуждали то, что было у всех на уме - безопасность. Информационный голод, который мучил нас всех 4 года назад, вкупе с юношеским энтузиазмом давали поразительные результаты. Самая крупная туса, насколько я помню, собрала около 20 человек. Сейчас встречи проводятся гораздо реже. Многие поняли, что информационная безопасность – не для них. Стали заниматься другими вещами. Но в память о старых временах собираемся по-прежнему на том же месте, договариваясь перед встречей, что "водку на лавочках пить не будем" :). mindw0rk: Расскажи о security-бизнесе в нашей стране. Насколько у нас востребовано это направление и как велика конкуренция? XbIP: О том, насколько востребовано, можно судить по отчетам о причиненном бизнесу ущербе в результате вирусных эпидемий, попыток несанкционированного доступа и прочего. Компании не хотят терять деньги, но пока не могут найти баланс между вложенными в безопасность средствами и отдачей от них. Конкуренция практически отсутствует - все работают по своим направлениям. mindw0rk: Насколько уверенно себя чувствует UkR в security-бизнесе? На какого клиента вы ориентируетесь и как находите своих клиентов? XbIP: Мы занимаем свою нишу. Как в той пословице: каждый сверчок знай свой шесток. Клиенты в большинстве случаев находят нас сами. Обычно это те, кто заинтересован в наших проектах. mindw0rk: Ты наверняка знаешь свой рынок. Расскажи вкратце о других российских компаниях, занимающихся обеспечением компьютерной безопасности. Не официальную инфу из их about'ов, а твое объективное мнение. XbIP: Информзащита – лучший учебный центр и лучшие комплексные решения по безопасности, но их минус - для тестирования на проникновение негласно приглашаются люди со стороны. Наиболее компетентны в вопросах тестирования на проникновение Андек и БлэкСан. Шумная Positive Technlogies ни на что больше не способна, кроме как выдавать отчеты по работе своего сканера без какого-либо глубокого анализа. Внимания заслуживает Digital Security (бывшая Domina Security) – практически монополисты по продвижению стандартов безопасности на российский рынок и авторы не имеющих аналогов в России учебных курсов. Все остальные компании не имеют ни специалистов, ни опыта работы по обеспечению действительно актуального уровня безопасности. Те же Ланит, IBS, Кварта и др. mindw0rk: Интересно было бы узнать, как на практике происходит работа по обеспечению безопасности в компании. Расскажи на примере любого из ваших клиентов, как вы с ним работали. Начиная с переговоров и обсуждения деталей и заканчивая собственно оплатой. XbIP: Для одного из наших клиентов наибольшую опасность представлял промышленный шпионаж. Т.е. основным требованием к нам было обеспечение конфиденциальности и целостности информации, являющейся коммерческой тайной компании. Мы решили сразу провести тестирование на проникновение в корпоративную сеть клиента и попытаться получить доступ к хранящейся там информации. В качестве исходных данных был дан лишь веб-сервер компании, и, естественно, мы знали ее название. Оказалось, что веб-сервер находится на аутсорсинге у провайдера. Нужно было выяснить диапазон адресов, принадлежащих клиенту. Посмотрев DNS записи, а позже получив ответ на наше письмо, написанное якобы новым сотрудником, мы узнали IP-адрес почтового сервера. Следующим шагом была попытка просканировать диапазон адресов на предмет определения версий ОС и используемых сервисов. Но тут сразу стало ясно, что внешний периметр контролирует межсетевой экран. Уязвимостей в доступных нам сервисах и службах выявлено не было, и мы уже собрались писать в отчете, что проникновение не удалось, если бы не один момент. Во время тестирования мы пользовались поисковыми системами для поиска почтовых адресов сотрудников компании, и неожиданно на сайте job.ru обнаружили вакансию от нашего клиента. Требовался человек на замещение должности сетевого администратора, и в анкете было указано, что обязательным условием является опыт работы с Checkpoint Software Firewall. Стало ясно, что за зверь встал у нас на пути :). Мы вплотную занялись изучением возможностей этого продукта и со временем нашли лазейку, через которую взяли управление на себя. Оставалось только заставить файрвол принимать анонимный доступ из интернета за доступ из сети вида VPN, после чего мы оказались во внутренней сети. Скопированный "План развития компании на полугодие" стал доказательством нашей работы. mindw0rk: Прямо триллер какой-то :). А сколько, если не секрет, сейчас стоят услуги по обеспечению компьютерной безопасности? Понятно, что от многого зависит, но все-таки :). XbIP: Если это тестирование на проникновение, то в зависимости от результатов сканирования: $300 - $10000. Все зависит от имени и статуса компании. Если PT готовы за $500 сканить (а ничего больше и не могут), то IBS уже берет $10000. Тарифы на консультации слишком уж рознятся, а диапазон цен на внедрение политики безопасности компании: $5000 - $20000. mindw0rk: Тебе хотелось бы, чтобы UkR стала одной из крупнейших и авторитетных в мире компаний по обеспечению безопасности? Или тихо-спокойно работать в любимом деле без дополнительной мороки для тебя предпочтительнее? XbIP: Размер компании и авторитет - разные вещи. Безусловно, хотелось бы заслужить хороший авторитет. Ну а размеры – это уже от нас зависит. mindw0rk: В интервью с m00 в февральском Хакере один из мемберов группы упомянул о вас так: "UkR увлеклась секьюрити как бизнесом, и, имея в составе своей команды около 2 человек, уже не представляется мне частью сцены". Было бы интересно услышать твой комментарий :). XbIP: Сразу видно, что автор не имеет ни малейшего представления о делах и положении нашей команды. Ведь только просмотрев новостную ленту на сайте, можно убедиться, что проект поддерживают более двух человек. Занимаемся мы не секьюрити как бизнесом, а бизнесом как частью безопасности. А вообще, если ему что-то представляется, это его личные проблемы =). О себеmindw0rk: Расскажи теперь о себе любимом. Как зовут, сколько лет, где учишься/работаешь, чего ждешь от жизни?XbIP: Павел Валерьевич =)), 21 год. Основное место работы - аналитик информационной безопасности в одной из крупнейших компаний России. Никаких фраз типа "стать самым-самым специалистом по безопасности" ты не услышишь =)). Все проще и банальнее: жить с любимой девушкой и наслаждаться счастьем. mindw0rk: Дай угадаю. Первый комп ты увидел в конце 80-х в какой-нибудь станции юных техников. Быстро преодолел стадию геймерства, начал потихоньку программировать на басике. Потом, сдавая тоннами бутылки, накопил денег на собственный Спектрум и безвылазно работал за ним. Уже где-то в 1995 купил нормальный PC. Практически сразу подключился к инету и принялся разбираться, куда совать TCP/IP и как работают баги... Все было примерно так, или я где-то ошибся? :) XbIP: Дата правильная =). Первый комп увидел в конце 80-х у родителей на работе – это был новейший 80086 =)). Через какое-то время родители подарили свой компьютер, с этого и начались первые опыты программирования. Только на басике я никогда ничего не писал. В 12 лет продал другу за 5 тыс. рублей первую программу. Это был простенький вирь, вносящий изменения в конфигурационные файлы и имеющий интерфейс популярного тогда антивируса Aidtest. mindw0rk: Сильно болел компами в то время? XbIP: Сильно – не то слово. Кроме них вообще ничего не замечал. mindw0rk: Легко ли тебе давалась "компьютерная грамота"? XbIP: Если бы давалась легко - было бы не так интересно. Чем дальше в лес - тем больше дров, как говорится. mindw0rk: Ник у тебя оригинальный весь такой. Прям как у меня :). У него есть столь же оригинальная предыстория? Ты еще, насколько я знаю, подписываешься разными птичьими никами. Любишь птичек, да? :) XbIP: Когда-то я подписывался Хирург, но знакомая девушка называла сокращенно хир. И потом как-то незаметно у нее это трансформировалось в хыр. Это прозвище закрепилось за мной и среди сетевых друзей. Chaika – раньше это был ник девушки, отношения с которой показали мне, чего я стою как мужчина, определили взгляды на мир. Именно она помогла мне превратить хобби в специальность. Тот, кто читал роман Р.Баха "Чайка по имени Джонатан Ливингстон", поймет мой жизненный путь. А ВОРОНА (третий ник – прим. mindw0rk) - подходящий образ. Умная, расчетливая птица. При ощущении опасности становится очень осторожной. Поедает всевозможных мелких животных, падаль, отбросы и растения. mindw0rk: Некоторые люди, с которыми я разговаривал, считают, что российская хак-сцена - одна из самых сильных и сплоченных. Я - парень не местный, ничего про это не знаю. Но очень мне интересно, какая она на самом деле - эта наша хак-сцена? XbIP: Не хочу вдаваться в подробности, так как рассказа о ней без оценки не получится, а оценку я давать не вправе. Скажу лишь, что раньше сцена была, сейчас – в коме. Ждем выздоровления. mindw0rk: Как по-твоему, может ли хороший специалист у нас получать соответствующие своей квалификации деньги, или все-таки лучше драпать отсюда в более развитые страны? Что ты вообще думаешь о переезде в США или Германию? XbIP: Может. Сужу по себе. Мне хватает, чтобы полностью удовлетворить все свои потребности, плюс 2 раза в месяц на выходные выезжать за пределы России. О переезде ничего не думаю. Я патриот! =) mindw0rk: А куда, если не секрет, выезжаешь? Вообще, какие у тебя любимые места для отдыха и для посмотреть? Как вообще предпочитаешь отдыхать? XbIP: В Москве - это центр и набережные. Люблю пройтись по центру столицы, понаблюдать за людьми, их поведением и жизнью. А набережные - то место, где ты один в самом центре жизни. Прекрасные субъективные ощущения. Предпочитаю пешие прогулки в размышлениях. А также периодически выбираться к друзьям в Киев, Минск другие города. mindw0rk: Насколько я знаю, ты сейчас работаешь над какой-то книгой. Которой, вроде, даже аналогов нет :). Расскажи о ней поподробнее. XbIP: Книга посвящена такому аспекту информационной безопасности, как Fingerprint - удаленное определение типов и версий операционных систем, сервисов и служб. Так как Fingerprint сейчас неотъемлемая часть несанкционированного доступа, книга может стать интересной как специалистам по обеспечению ИБ, так и тем, кто непосредственно осуществляет попытки НСД. Книгу пишу я один, в основном ориентируясь на результаты собственных исследований и исследований UkR team. mindw0rk: Признание твоих способностей каким человеком ты бы посчитал самым для себя значимым? С кем из security ppl ты бы хотел познакомиться в RL? XbIP: Своей любимой девушкой. Со всеми, с кем имею хорошие отношения в интернете. mindw0rk: До меня дошли слухи, что ты скоро женишься. Как это тебя угораздило, дружище? :) Не боишься, что жена будет всячески отвлекать от компа, постоянно отрывать от работы с назойливыми требованиями какого-то там долга? :) XbIP: Да, на страницах вашего журнала хотел бы еще раз сказать, что я люблю Надюшку Остафийчук =)). Летом можете поздравлять со свадьбой. И ничего такого я не боюсь. Она – одна из умнейших людей, которые мне встречались в жизни. А учитывая то, что она превосходный юрист и экономист, ее знания как нельзя кстати пригодятся на данном этапе развития UkR security team. mindw0rk: Расскажи о своих предпочтениях. Что читаешь, что слушаешь, что смотришь, что носишь, что ешь/пьешь и т.п. XbIP: Читаю все подряд, от женских журналов сестры до бухгалтерских справочников матери. Слушаю спокойную музыку, шансон (не уголовный и не блатной), инструментальное что-нибудь. Смотрю тоже все подряд, но особенно люблю документальные и исторические фильмы. Являюсь абсолютным противником алкогольных напитков. Предпочитаю посидеть в тихой кафешке с чашкой капучино или кока-колы. mindw0rk: Какой совет может дать такой успешный специалист в сфере security тем ребятам, которые еще не достигли успеха, но нему стремятся? XbIP: Информационная безопасность - это процесс, а не результат. Поэтому лучше участвовать в процессе, чем, спотыкаясь, бежать за результатом.
(c) mindw0rk, mindw0rk@mail.ru
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|
|