Einige Habrovsk-Bürger glauben, dass Mitarbeiter des Kaspersky Lab in geheimen Labors geklont oder von Kindheit an aufgewachsen sind. Wir haben uns entschlossen, dieses Problem genauer zu untersuchen, und mehrere junge Kollegen zu Interviews eingeladen. Es stellte sich heraus, dass dies keine lebenden Menschen sind und unter ihnen äußerst neugierige Exemplare auftauchen. Zum Beispiel ist Nikita Kurganov, der kürzlich zum AMR-Team (Anti-Malware Research) hinzugefügt wurde, ein begeisterter Sicherheitsbeamter, der ab dem vierten Jahr von Baumanka zum Beruf kam.
In weniger als einem Jahr ist er ein professioneller Bedrohungsforscher von einem Sportbegeisterten wie Capture the Flag (CTF) geworden und plant nicht, dort anzuhalten. Jetzt kombiniert dieser Verrückte (im guten Sinne des Wortes) das Vollzeitstudium mit einer vierzigstündigen Vollzeitarbeitswoche eines viralen Analytikers. Also beschlossen wir zu fragen, wie er zu einem solchen Leben gekommen ist - für den Fall, dass jemand anderes von den lokalen Lesern seine Erfahrung benötigt. Der Titel ist übrigens ein Zitat von Nikita. Also beantwortete er die Frage "Wie sehen Sie Ihre zukünftige Karriere?"
LK: Sagen Sie mir von Anfang an, wie sind Sie überhaupt auf die Idee der Sicherheit gekommen?
Nikita: Ich bin ursprünglich nach Baumanka in die Abteilung für Informationssicherheit gekommen. Weil Informationssicherheit die vielversprechendste Richtung ist. Es wird immer sein, was auch immer man sagen mag. Und je weiter sich Informationstechnologien entwickeln, desto mehr werden diejenigen Informationen stehlen wollen und desto schwieriger wird es sein, diese Informationen zu schützen. Deshalb wollte ich mich mit diesem speziellen Bereich befassen. Plus alle möglichen Horrorgeschichten über Hacker. Es war interessant, worum es ging, dachte ich, vielleicht kann ich auch in diesem Bereich etwas tun ...
Insbesondere, wie ich zu den praktischen Aspekten der Informationssicherheit gekommen bin, ist ein weiteres Thema. Wir haben unser eigenes CTF-Team in Baumanka, ich bin seit dem zweiten Jahr dabei. Bevor ich letztes Jahr bei Wettbewerben sprach (im Allgemeinen begann die gesamte Geschichte meines beruflichen Aufstiegs im letzten Jahr), beschloss ich, die allgemeinen Trends und Trends in der Informationssicherheit herauszufinden, und besuchte verschiedene „Sommerschulen“ in Informationssicherheit. Dann sah ich die Nachrichten über Kaspersky Summer Lab, die nur einmal durchgeführt wurden. Dort erzählten sie mir im Laufe von sieben Tagen praktisch alles, was ich hören wollte, und mir wurde schließlich klar, dass ich entweder ein Reverse Engineering sein oder mich mit Computerforensik, also Forensik, beschäftigen wollte.
Danach informierte ich mich über das SafeBoard-Praktikumsprogramm und entschied mich, mich zu bewerben. Normalerweise habe ich die Online-Testphase durchlaufen, das Crackme-Problem gelöst und bin dann zum Hackathon gegangen. Dort entschied er sich zunächst für die Richtung der Forensik, interessierte sich für die Rekrutierung in der Abteilung für die Reaktion auf Vorfälle.
Nach dem Hackathon sagten sie mir, dass ich im Prinzip durchlaufe, aber es gab verschiedene Bereiche, einschließlich Testen, Systemanalyse. Aber ich wusste mit Sicherheit, dass ich Informationssicherheit betreiben möchte. Danach gab es allgemeine Kurse, in denen wir schnell die Grundlagen des Wissens über Entwicklung, Test, Sysanalyse und Bedrohungsforschung erhielten. Aber ich bin schon absichtlich zu AMR gegangen, ich wollte ein Gutachter sein, ein Schwachstellenforscher.
Aber als sie mit dem Interview begannen, kam es irgendwie vor, dass ich nicht zu meiner für mich interessanten Spezialität ging. Es gab viele von ihnen, diese Interviews, wahrscheinlich 10 Stücke. Laut Informationssicherheit gab es vier, für die heuristische Analysegruppe, für Botnets und auch für die Forensik. Ich habe die letzte Phase der Auswahl erreicht. Wenn Sie sitzen, ist hier der Abteilungsleiter und Sie lösen Aufgaben direkt mit ihm. Und ich bin nirgendwo zu AMR gegangen. Im Allgemeinen funktionierte die Sicherheit nicht.
LK: Und wie sind Sie zu AMR gekommen?
Ich habe bereits verstanden, dass ich Kaspersky nicht verlassen wollte. Während meines Praktikums in der internen Entwicklungsabteilung wurde mir angeboten, in die Testabteilung zu gehen. Unser dortiges Team war an der Veröffentlichung von Release-Services beteiligt. Ich habe dort zwei oder drei Monate gearbeitet, aber nach dem ersten Monat wurde mir klar, dass das Testen überhaupt nicht meine war, und ich begann, nach etwas in AMR zu suchen. Und als ich einmal auf einem internen Portal war, sah ich eine Stelle als Junior-Viralanalytiker in einem Virenlabor. Und ich habe beschlossen, mich zu bewerben. Warum nicht?
Dementsprechend kontaktierte ich HR, sie schickten mir Aufgaben. Das heißt, zusätzlich zum Studium an der Universität habe ich gleichzeitig Qualifizierungsaufgaben in Virlab gelöst, die erforderlich sind, um zumindest die Interviewphase zu erreichen. Nun, ich war mit den Hauptarbeitstests beschäftigt. Die Aufgabe war schwierig, aber sehr interessant. Übrigens war es ein Knaller von der Zero Nights-Konferenz 2017. Wie sich später herausstellte, wurde es von meinem zukünftigen Mentor in Virlab geschrieben. Ich habe es für ungefähr drei Nächte gelöst, es hat mir einfach sehr gut gefallen. Nun, im Allgemeinen war das Hauptziel, zum Virlab zu gehen, meine Augen brannten. Ich machte einen Bericht, schickte ihn mir und eine Woche später, bereits im März, planten sie ein Interview.
Außerdem ist es allgemein interessant - ich bin gekommen und mein direkter Mentor und Abteilungsleiter sitzen dort. Dieselben Fragen werden ungefähr gleich gestellt. Wir diskutieren Crackme. Und dann stellen sie mich vor den Computer, geben mir eine kleine Datei und sagen: Sie haben 10 Minuten Zeit und müssen uns sagen, was dieses Ding macht. Und da ist es nur eine Assembler-Liste. Und ich muss es besonders ohne zu zögern erzählen, indem ich mir nur die Auflistung ansehe und dabei kommentiere. Für mich war es erstens ungewöhnlich und zweitens ein Schock.
Ich saß und analysierte alles der Reihe nach. Wie sich herausstellte, war es eine Art Adapter zum Herunterladen von Malvari. Ich war auf dem Weg verwirrt, enträtselt, sie drängten mich zu bestimmten Gedanken. So kam es, dass ich mich in 10 Minuten um ihn kümmerte und in kleinen Stücken erzählte, was dort vor sich ging. Er erzählte mir, woher die Malware gepumpt wurde, warum sie gepumpt wurde, alle möglichen Feinheiten. Dann endete das Interview und das Warten begann. Bald schrieben sie mir - sie sagen, dass Sie zu einer Position gehen. Und Ende Mai sind sie bereit, sich in den Staat einzuschreiben.
Und hier war wahrscheinlich die schwierigste Wahl für mich. Wird es möglich sein, dies mit der Universität zu kombinieren? Aber ich habe diesen Schritt gemacht. Mir wurde klar, dass die Position wunderschön ist, genau das, was ich immer wollte. Ich verstehe, dass es wahnsinnig schwierig sein wird, es zu kombinieren. Aber wenn das Schicksal Ihnen eine solche Chance gibt, müssen Sie sie ergreifen. Das ist die Wahrheit. Damit es später keine Gedanken mehr gibt "Was würde passieren, wenn ...". Um es mein ganzes Leben lang nicht zu bereuen. Und sozusagen ging ich All-In. Ohne zu wissen, wie der Zeitplan aussehen wird.
Und den ganzen Sommer habe ich gearbeitet, studiert und bin in den Kurs eingetreten. Bevor Sie eine Position in Virlab eingeben, müssen Sie eine dreimonatige Testphase bestehen, wenn Bewerbungen bei Ihnen eingehen und Sie alles direkt analysieren. Das heißt, Sie werden auf den neuesten Stand gebracht und erfahren, wie AMR funktioniert, wie Tools verwendet werden, worauf bei der Analyse zu achten ist, wie es schnell geht. Nun, sie enthüllen alle Nuancen von Virlab. Irgendwann dachte ich, ich könnte es nicht tun, aber wie sich jetzt herausstellt, kann ich es kombinieren. Das heißt, sowohl Universität als auch Arbeit.
"LK": Und was bist du jetzt an der Universität?
Nikita : Ich bin in meinem vierten Jahr. Noch zwei Jahre zu studieren. Im sechsten Jahr verlasse ich die Universität mit einem Diplom in Computersicherheit. Dies hat aber nichts mit Umkehrung zu tun. Dies sind mathematische Methoden zum Schutz von Informationen.
"LK": Planen Sie dann weiter zu studieren? Meister?
Nikita : Nun, es macht nicht viel Sinn. Wir haben jetzt eine Spezialität, es ist wie ein Bachelor plus ein Master-Abschluss. Das heißt, wenn Sie gehen, dann zur Graduiertenschule. Aber ich möchte nicht zur Graduiertenschule gehen, ich möchte angewandte Dinge tun. In der Wissenschaft, nein, ich will nicht.
LK: Ein viraler Analytiker ist der gleiche Specht. Er arbeitet in Schichten, häuft eine Menge Malvari und verdächtige Dateien an und setzt und hohlt den Code. Also?
Nikita : Dolbit-Code, ja. Aber nicht nur das. Das heißt, die meiste Arbeit besteht wirklich darin, dass wir sitzen und den Code analysieren. Viele Anwendungen kommen bei uns an, die Chinesen können nachts 50 Dateien senden, das ist eine normale Situation. Darüber hinaus schreiben wir noch unsere Heuristiken, dh heuristische Erkennungen. Wir verbessern die Arbeit des Streams, dh wir sammeln Stichproben, wir überlegen, wie wir die Analyse im Stream verbessern können, wir schreiben unsere internen Dienstprogramme. Das heißt, wir beschäftigen uns in gewissem Umfang auch mit der Entwicklung. Zusätzlich zu denen, die andere Abteilungen für uns schreiben.
Tatsächlich sind wir aber wie eine Art virale Unterstützung. Malvari fliegt zu uns, wir aggregieren, verarbeiten und verteilen sie zwischen den Abteilungen. Diese Malware befindet sich in der Abteilung für heuristische Analysen, dies ist in Antispam, dies ist in Botnetzen. Hier haben wir einen solchen Umschlagpunkt - die erste Linie. Wir tun auch einige andere Dinge, die dazu dienen, die Analyse zu verbessern, aber tatsächlich - ja. Wir hämmern den Code.
LK: Und wie viele Stunden gibt es Schichten?
Nikita : 8 Stunden wechseln. Es gibt Nacht, aber zum Glück nicht bei uns. Wir haben morgens und abends. Und wenn es Nacht in Moskau ist, arbeitet eine Schicht in Wladiwostok. Das heißt, wir haben tatsächlich zwei Hauptstandorte. Wladiwostok und Moskau.
"LK": Und wie passt das alles zu Ihrem Stundenplan an der Universität?
Nikita : Seltsamerweise stellte sich heraus, dass es fast verlustfrei war. Das heißt, ich vermisse fünf Prozent der Leistung. So kam es, dass der Zeitplan perfekt verlief und das Management termingerecht Zugeständnisse machte. Das heißt, ich habe einen fünftägigen Arbeitsplan, der jedoch verteilt wird. Drei Tage arbeite ich in der Morgenschicht und zwei Tage am Abend. Und dank dieser Balance verbinde ich erfolgreich Studium und Arbeit. Das heißt natürlich, Sie opfern Ihre freien Tage, Sie können nicht irgendwohin gehen. Aber das Ziel ist großartig! Ich möchte cool sein. Und um cool zu werden, muss man pflügen. Ich mache Urlaub für die Sitzung. Aber wie anders?
LK: Wie sehen Sie sich im Allgemeinen weiter? Jetzt sind Sie ein Analyst, der Erfahrung sammelt, aber AMP hat eine große Abteilung und beschäftigt sich mit verschiedenen Dingen.
Nikita: Ich verstehe ja. Im Allgemeinen ist der Beginn der Arbeit im Bereich Informationssicherheit von virlaba ideal. Weil wir alle Arten von Malware analysieren, von Android bis Linux. Manchmal werden APT-Angriffe von der GREAT-Abteilung an uns gesendet. Und wir alle analysieren es. Mit der Zeit beginnen Sie zu verstehen, welche Themen für Sie interessanter sind und welchen Entwicklungsvektor Sie auswählen möchten. Im Moment interessiere ich mich am meisten für komplexe APT-Angriffe. Immerhin passieren verschiedene Dinge. Einige der Satelliten versuchen zu hacken. Das ist wirklich sehr interessant. Jede heuristische Erkennung ist immer noch interessant. Und alles im Zusammenhang mit der Suche nach Schwachstellen. Hier sehen Sie sich den Code an und verstehen, wo potenzielle Zero-Day-Schwachstellen auftreten können. Wenn Sie Zero-Day finden, wächst Ihr Prestige.
LK: Aber dies ist keine Analyse verdächtiger Dateien mehr? Wo suchen Sie nach Zero-Day-Schwachstellen?
Nikita: Nein, es ist nicht in verdächtigen Dateien. Es ist wie ein Hobby.
LK: Sie haben also noch Zeit für ein Hobby?
Nikita: Nun, es ist Zeit für ein Hobby. Leider reicht es nicht aus. Studie. Manchmal stellt sich heraus, dass CTF gespielt wird, manchmal wird nach Schwachstellen gesucht. Und wie ich sehe ... Also will ich das tun. Sammeln Sie zuerst Erfahrungen und verstehen Sie dann bereits, wohin Sie speziell gehen müssen. In welchen Abteilungen. Im Allgemeinen ist das ultimative Ziel, der Anführer von RnD zu werden. Tatsächlich werde ich mich jedoch für einen bestimmten Bereich entscheiden, nachdem ich vielfältige Erfahrungen gesammelt habe. In naher Zukunft - in einem Jahr auf das mittlere Niveau zu steigen.
LK: Wie gefällt dir das Team?
Nikita: Im Virlab? Nun, zuerst, wenn Sie an einen neuen Ort kommen, drücken Sie ein wenig. Du bist ein bisschen schüchtern. Aber im Laufe der Zeit beruhigte sich alles, als ich anfing, Wissen direkt einzupumpen, lernte ich alle Jungs kennen. Wir werfen dort alles miteinander ab, professionelle Witze, Meme, diskutieren Arbeitsmomente. Normalerweise bin ich dem Team beigetreten. Und es gibt gemeinsame Interessen. Jemand möchte sich auch in die gleiche Richtung wie ich entwickeln, um mit ihnen im Allgemeinen eine gemeinsame Sprache zu finden.
"LK": Sie lesen einige zusätzliche Materialien zu einer Spezialität. Folgen Sie den Nachrichten. Und was genau lesen Sie aus Ressourcen?
Nikita: Ich lese viel, denn in der Informationssicherheit muss man ständig im Thema bleiben. Schließlich erkennen wir nicht nur neue Bedrohungen. Die ganze Zeit gibt es einige Schwachstellen, einige neue Angriffe. Jede, aber fortgeschrittene Ausbildung. Manchmal hilft es direkt, auf Vorfälle zu reagieren. Was genau lese ich? Nun, die Hauptquelle ist der Hacker. Dann habe ich alle möglichen Artikel über Habré gelesen. Manchmal aus dem Sandkasten. Manchmal schaue ich mir Berichte von früheren Konferenzen zu Themen der Informationssicherheit an. Dort DEFcon, BlackHat. Ich versuche mehr auf Englisch zu lesen, da der größte Teil der Literatur immer noch Englisch ist.
LK: Haben Sie jetzt mehr als sechs Monate gearbeitet und interessieren Sie sich immer noch dafür? Enttäuscht eine Routine nicht?
Nikita: Interessant! Wenn wir uns bereits einigen Schlussfolgerungen aus meiner Geschichte nähern, möchte ich generell sagen, dass wir klar zu unserem Ziel gehen müssen. Also habe ich mir ein Ziel gesetzt. Tolles Ziel, sagen wir mal. Und ich gehe zu ihr. Ich verstehe, was ich wirklich brauche und wann ich in kleinen Schritten gehe und wenn ich über mehrere Schritte springe. Es geschah mit SafeBoard - vier Monate später wurde er von einem Praktikanten ein Junior-Viral-Analyst. Und Sie müssen verstehen, dass Sie, wenn das Schicksal Ihnen Chancen gibt, diese ergreifen müssen. Denn wenn Sie sie nicht nehmen, wird sich das Schicksal von Ihnen abwenden, und das ist alles, es wird keine Chance geben, und Sie werden sich Ihr ganzes Leben lang vorwerfen, sie nicht ausgenutzt zu haben. Und du musst den ganzen Tag an dir arbeiten (ich verstehe, dass es schwer ist, ich möchte einen Spaziergang machen). Aber jetzt ist es besser zu arbeiten - dann wird es einfacher. Wenn Sie ständig zu diesem Ziel gehen und Risiken eingehen, ist alles in Ordnung. Wir müssen arbeiten, hart arbeiten.
"LK": Nikita, niemand wird glauben, dass Sie das alles selbst sagen. Sie werden sagen, dass die Personalabteilung Sie gezwungen hat, die Rede mit einer motivierenden Rede zu beenden.
Nikita: Was ist, wenn ich das wirklich denke?
"LK": Nun, Erfolg für Sie, am wichtigsten, brennen Sie nicht von der Last aus.
Jetzt geht es übrigens weiter, oder besser gesagt, die Rekrutierung für das nächste Praktikumsprogramm von Kaspersky Lab endet bereits. Wenn Sie also wie Nikita Ihren zukünftigen Beruf dem Kampf gegen das Computer-Böse widmen möchten, ist es Zeit, sich zu bewerben. Es stehen fünf Bereiche zur Verfügung: Bedrohungsforschung, -entwicklung, -tests, Systemanalyse und Systemadministration. Lesen Sie
hier mehr auf der Programmseite.