пятница, 16 ноября 2012 г.

Человек ломает SAP: Интервью с техдиром

Человек ломает SAP: интервью с техдиром компании Digital Security


Александр "SH2KERR" Поляков
В 2008 году закончил питерский Политех по специальности "комплексное обеспечение информационной безопасности автоматизированных систем".
Архитектор сканера "ERPScan — сканер безопасности SAP".
Автор книги "Безопасность Oracle глазами аудитора: нападение и защита".
Постоянный докладчик на ключевых международных конференциях по безопасности: BlackHat, HITB, HackerHalted, Source, Confidence, DeepSEC, Troopers, SecurityByte и т.д.
Большой любитель экстремальных видов спорта: стантрайдинг, роупджамп, вейкборд, серфинг и путешествия по Индии на поездах в вагонах третьего класса.


Считается, что сделать в России бизнес в области информационной безопасности — ужас как сложно. Мы встретились с одним из ярких представителей российской ИБ-тусовки, который делает хорошую карьеру в этой сфере: ездит по лучшим мировым конференциям, а в свободное от перелетов время создает с нуля бизнес на абсолютно новом рынке софта для анализа защищенности бизнес-приложений SAP.

Как ты пришел в сферу информационной безопасности? Как началась и развивалась твоя карьера?

Ну, в общем тут ничего необычного, всe довольно стандартно. Увлечение математикой я перенял от отца, эзотерической литературой в смеси с различными духовными практиками — от матери. В общем, всe это наверное повлияло на моe становление. После школы поступил по олимпиаде в Политех на факультет защиты информации. Кстати, поступал за компанию, на всякий случай, а вообще сначала хотел заниматься компьютерным дизайном, как бы смешно это сейчас ни звучало.

Но из-за не совсем честных способов поступления этот вариант отвалился, чему я сейчас рад. Ну а в универе на третьем курсе понял, что хочу знать, как конкретно ломают системы (иначе непонятно, от чего я, собственно, должен их защищать). Я купил журнал "Хакер", подписался на какую-то рассылку по ассемблеру, ну и начал искать в интернете сервера с PHP-инклудами. Где-то год проработал админом в небольшой компании, где можно было в свободное время заниматься безопасностью, а потом от Лeши Синцова узнал, что есть компания, в которой можно ломать, да ещe и деньги за это получать.

Правда, и задачки там были недетские: к примеру, обойти защиту от переполнения в XP, когда этого еще никто не мог сделать. Долго готовился, читал разную литературу и в итоге напросился на собеседование, в процессе которого мне в течение трех часов методично давали понять, что я ничего не знаю, и вообще я никто. Потом дали тестовое задание — найти уязвимость в сервисе и написать эксплоит с обходом ASLR. В общем, в итоге мне сказали ладно, так уж и быть, можешь приходить стажeром, вроде мозги на месте, остальное придeт.

Как ты оцениваешь пользу от полученного образования?


На самом деле, у нас в универе действительно много чему учат, хотя тогда казалось, что половина из этого — бесполезно. Спасибо тем немногим преподавателям, таким как Платонов и Семьянов, которые пытались привить любовь к предмету. Так что теоретическая база Политеха очень мощная, и сотрудников в компанию предпочитаю набирать оттуда — они на уровень выше других претендентов. А на работе меня учил Вейдер, он любил говорить: "Штукирко, если ты не зОхекаешь этот сервер, я тебе руку сломаю", — вот так и учил.

Расскажи, чем ты занимаешься и что тебе интересно больше всего в информационной безопасности.

Последнее время сфера интересов все больше расширяется, в нее входят и другие области типа управления проектами, маркетинга, саморазвития и прочего. В области ИБ мое внимание привлекают сложные бизнес-приложения или системы, в которых деньги лежат. Ну или хотя бы нефть переливается. А также маппинг программных уязвимостей на бизнес-риски (например, как утащить цистерну нефти, хакнув систему контроля).

Если более технически, то мне нравится тема поиска уязвимостей и комплексного аудита защищeнности сложных систем. В уязвимостях фанатею от бизнес-логики вроде обхода авторизации и нестандартных багов. Наверное поэтому люблю сложные системы, в них больше вероятность встретить необычные ошибки или векторы, требующие реализации связки различных уязвимостей. Если говорить о том, что, наоборот, не моe, то это наверно ревeрсинг, ну и ЗПД конечно же :).

Почему ты стал заниматься аудитом Oracle?

В ходе работ по тестам на проникновение и внутреннему аудиту часто встречался Оракл. Я осознавал недостаток информации по данной системе среди наших экспертов и решил изучить нишу глубже, тем более что к этому времени мои прошлые увлечения (например, Wi-Fi, по которому я писал диплом) не сулили развития, а другая моя любовь — web-уязвимости — стала уж слишком попсовой :).

Мы знаем, что ты даже написал книгу по аудиту Oracle. Зачем? Много ли на это ушло времени?

Ну, помимо того, что хотелось сделать вклад в российскую литературу по ИБ, да и вообще принести хоть какую-то пользу людям, это было своеобразное испытание себя. Решил поставить цель и добиться ее. С практической точки зрения — подумал, что написав книгу, я смогу писать статьи не напрягаясь. Напрягаться в итоге всe равно приходится, но своеобразный опыт я получил. По времени это, конечно, адский труд: с ужасом вспоминаю, как всe лето тратил на это по 10 часов в день. Короче, даже вспоминать не хочется :).

На твой взгляд, могут ли три талантливых студента сделать в России бизнес в области ИБ? Или без лицензий, бумажек и генерала ФСБ в руководстве ничего не светит?

Я думаю, что возможно всe, другое дело — какой ценой. Ну и смотря как высоко ты хочешь залезть (хотя тут дело уже не "в области ИБ", а "в России"). Но этот бизнес довольно сложный даже для средней компании.

Кто чаще всего является вашими клиентами? С какими задачами к вам обычно обращаются?


Клиенты — в основном крупный бизнес. Задачи практически из всех возможных областей, они собственно описаны в разделе услуг на нашем сайте: аудит защищeнности, тесты на проникновение, сертификация, а также анализ отдельных приложений. Наиболее интересное из тех направлений, которые мы в последние годы всесторонне развиваем, — анализ защищeнности бизнес-приложений или отдельных ключевых элементов в ИТ-структуре компании. Это системы ДБО и АБС, платeжные шлюзы, платформы виртуализации, промышленные системы и, естественно, ERP (в частности SAP).

Твоя должность называется "технический директор". А чем конкретно ты занимаешься?


Прежде всего я полностью отвечаю за развитие нашего продукта — сканера безопасности SAP ERPScan. Я курирую практически всe, что связано с продуктом, кроме продаж: исследования, разработка, сопровождение, пресэйлз, а также маркетинг/пиар на запад.

Как ты и твои коллеги пришли к разработке подобного продукта?

После написания книги про Оракл мне захотелось чего-то более неизведанного и сложного. Варианта было два — SAP и АСУ-ТП (SCADA). В то время ни тем, ни другим в России не занимался никто, да и в мире в целом было немного специалистов. При этом SAP реально встречался на аудитах, так что SCADA я решил оставить на потом. Ну и, собственно, проникнув в тему SAP более глубоко, осознал, что есть незанятая ниша в области этого продукта.

Основной задачей было понять, что он будет представлять из себя, и в каком виде нужен обществу. На эти вопросы мы потратили очень много времени. Меня пугало полное отсутствие предложений на рынке при очевидной необходимости данного решения. Ну не может быть такого, чтобы никто не сделал и не делает до сих пор ничего подобного. Где подвох?

Собственно, пребывая в этих раздумьях, мы и дали фору нашему основному конкуренту, а потом и ещe одной компании, которые выпустили продукт немного раньше. Но сейчас один из конкурирующих продуктов мы благополучно догнали, а где-то и перегнали, а второй — это, собственно, не что иное как десять модулей с уязвимостями под SAP в графическом интерфейсе. Даже у нашей бесплатной утилиты сейчас порядка сорока модулей :).

Расскажи немного о конкурентах, что это за компании?




  

Основной конкурент — это аргентинская компаня Onapsis с продуктом X1. Но напрямую сравнивать наши продукты всe-таки нельзя: у них он предназначен в основном для пентестеров и консультантов, позволяет эксплуатировать уязвимости. Мы же изначально ориентировались больше на систему мониторинга и соответствие стандартам, нежели на тулзу для пентестеров. 

Поэтому наш продукт более развит в области многопользовательского доступа, управления сканированиями и категоризацией проектов. Мы меньше ориентированы на тестирование чeрным ящиком, хотя сейчас конкурируем и в этой области, добавив в недавнем релизе функционал анонимного сканирования (пентеста), которым очень удобно пользоваться при проведении аудитов SAP для выполнения рутинных задач (в чeм мы лично убедились на одном из аудитов).

Сколько человек занимается проектом ERPScan и непосредственно его разработкой?

Этот вопрос выходит за рамки NDА. Ну а на самом деле людей постоянно не хватает, так что милости просим, раздел вакансий всегда открыт. Даже если конкретной вакансии нет на сайте, пусть это вас не останавливает. Рисeрчеры, аналитики, тестеры — все нужны. Мы вообще постоянно в поиске новых исследователей, аналитиков и пентестеров. Но, честно говоря, большой процент людей, приходящих на собеседования, меня очень огорчает. Толковые люди попадаются, но это редкость (хотя, казалось бы, сейчас, с такой огромной базой информации по нашей теме в интернете, проблем возникать не должно вообще). Но часто люди очень слабо себя показывают на собеседованиях, зато потом прямо взрываются идеями и конкретными делами. Такое тоже бывает.

Как к вашему проекту относятся разработчики SAP’а?



Разработчики SAP, я думаю, вообще живут в танке. Ну а Product Security Response Team, с которой мы постоянно сотрудничаем, проявляют интерес. Причeм не только к сканеру, но и ко множеству бесплатных утилит, которые мы выпускаем

Есть ли у вас какое-то общение с SAP, как они вас вообще воспринимают?

Общение вполне партнeрское. Мы не только находим баги, но и помогаем правильно их закрыть, а также консультируем по вопросам безопасности в целом, ежегодно встречаемся лично. Пока официального партнерского статуса нет, ибо компания крупная, и всe очень непросто. К сожалению, в их глобальной экосистеме просто нет такого рода партнeров.

Хотя количество компаний, которые ищут уязвимости и получают от SAP официальные благодарности, растeт, на постоянной основе этим занимаются только три компании. Чтобы активизировать общение, мы недавно решили немного припугнуть народ, объявив, что на предстоящей конференции BlackHat мы покажем 0day-уязвимость, которой подвержена половина торчащих в интернет SAP-систем. Клиенты SAP перепугались, начали звонить в SAP и просить помощи. Зато уязвимость была закрыта за пару недель, хотя до этого четыре месяца висела в Pending-статусе.

В последнее время ты очень много участвуешь в конференциях по ИБ. Не надоело?

Это вряд ли надоест. Хотя, конечно, попадаются и довольно скучные события, но на каждой конференции есть множество вариантов занять себя и провести время с пользой. Во–первых, это опыт представления докладов, который существенно отличается от выступлений на родном языке. Во вторых, возможность поучиться у крутых докладчиков их приeмам. В-третьих — взгляд со стороны на чужие ошибки, а в-четвертых — попадаются действительно хорошие доклады, на чтение которых в виде PDF зачастую нет времени, да и эффект не тот. Ну и, конечно же, общение с интересными людьми, посещение новых мест и прочее. Конференции — это одно из немногих событий, где можно запросто совмещать приятное с полезным.

Каковы твои впечатления от святая святых — Defcon и BlackHat, которые прошли в Вегасе? Стоит ли оно того, чтобы стремиться туда съездить?


Безусловно, это те события, на которых стоит побывать хотя бы раз в жизни. Хотя я в принципе придерживаюсь той точки зрения, что всe надо попробовать хотя бы раз в жизни :). Конечно, массовость события даeт о себе знать: если нет знакомых, то будет довольно скучно среди десяти тысяч людей, как бы странно это не казалось. На блекхате никто не возится с докладчиками как с детьми, не устраивает им специальных ужинов, вечеринок и экскурсий. Там все предоставлены сами себе. Успел отхватить флаер на вечеринку от Rapid7 — молодец, не успел — сиди дома :). Хотя на дефконе и того круче: там бывает и на доклад не пустят, опоздай ты на минуту, ибо залы переполнены, и мест постоянно не хватает. Это тебе не шутки: 15 000 человек на 5 залов :).

С кем из известных в области иб людей удалось познакомиться на таких мероприятиях?

Слушай, ну известность — это дело такое, звeзды меняются :). Да и в разных областях — свои кумиры. Кому-то Гроссман — гуру, кому-то HDMoore, а кому- то Митник. Я себе особой цели с кем-то познакомиться не ставил. Но недавно оказался на одной конфе с Вичфилдом Диффи. Я сначала даже и не понял, кто он, и только потом до меня дошло. Вот это реально звезда. Ну а из простого люда я наконец вживую познакомился практически со всеми Oracle-гуру типа Корнбруста и Личфилда, подарил им по копии своей книжки. Часто встречал Дена Камински, но знакомиться с ним было невозможно, он был постоянно в стельку.

Ты пытаешься как-то разнообразить свои выступления? Были ли какие-то приколы во время докладов?

Ну, я пару раз начинал свой доклад на русском и так продолжал пару минут, пока у слушателей глаза не выросли, как тарелки. А потом говорил "Извините, забыл переключить раскладку" и продолжал уже по-английски. Народ оценил.

Неплохой был прикол с демонстрацией живого взлома SAP-клиента. Я объявил, что сейчас взломаю первый попавшийся мне SAP-клиент, который найду в Гугле. Я зашел на google.com, вбил соответствующую строку для поиска уязвимых сайтов и действительно поломал первый попавшийся мне сайт :). Впрочем, выдача гугла была подстроена, а взламывался локальный сервер. Народ был в шоке: думали, что я реально ломанул кого-то в интернете, говорили, что я сумасшедший… Ну а что делать, блекхат — это блекхат, народ требует зрелищ! И к тому же, в тот момент в интернете реально было полно уязвимых серверов, но американская тюрьма меня не прельщала.

Мы знаем, что ты побывал в целой куче стран. Расскажи о своих путешествиях.



Ну конечно не куча стран, всего наверное около 25, но этой темой я заболел, так что скоро надеюсь догнать Артемия Лебедева. В целом на отдых люблю ездить в Азию и в непопулярные направления, ибо в популярные так или иначе попадаю по работе. Европу не очень люблю, там всe слишком как-то правильно что ли, хотя Барселона, Лондон и Амстердам — это места, в которых стоит побывать. 

В Азии люблю брать мотоцикл, рюкзак с самым необходимым и просто колесить без определeнной цели и места ночлега. Безумно крутые и дикие места есть на севере Бали: вулканы, озeра и дикие пляжи, населeнные только обезьянами, которые занимаются всяким, не стесняясь никого.


Очень красивые места на островах в Таиланде. Полнейшая отрешeнность от остального мира. В этом году надеюсь посетить наконец Камбоджу и Лаос, о чем мечтал последние три года, но никак не мог доехать. На этом с Азией я, наверное, сделаю паузу и переключусь на Латинскую Америку или Океанию. Везде занимаюсь каким-нибудь экстремальным видом спорта: на Бали, естественно, сeрфинг, в Сингапуре — вейкборд, в Тайланде — стантрайдинг, во Вьетнаме — кайт, а в Индии достаточно просто поездить на поездах третьего класса :).


По материалам http://www.xakep.ru


Комментариев нет:

Отправить комментарий