Interview mit Baghunter Artyom Moskau. Er hackte Steam und erhielt die größte Auszeichnung in der Geschichte von Valve.



Artyom Moskovsky ist ein Baghunter, Pentester und Sicherheitsmann, der sofort die peinliche Frage stellen möchte: "Wie viel verdienen Sie?" Letztes Jahr erhielt er die größte Belohnung in der Geschichte von Valve - 20.000 und 25.000 US-Dollar für zwei große Sicherheitslücken bei Steam und weitere 10.000 US-Dollar für kleinere Fehler.

Wir haben mehrere Tage lang korrespondiert, und Artem erzählte, wie er anfing, sein eigenes Ding zu machen, welche Fähigkeiten dafür benötigt werden und ob er mit solch einem Talent auf die dunkle Seite zieht.



Im Jahr 2006, als ich 9 Jahre alt war, hatte ich den ersten PC und ich entschied unwissentlich, dass ich mich in der IT drehen würde. Bis zur 10. Klasse war er auf Programmierung ausgerichtet. Nachdem die ersten Erfolge im Informationssektor zu verzeichnen waren, entschied ich, dass Sicherheit interessanter ist.

Es begann mit einem Banal: Es war notwendig, eine Site für den Clan im Spiel Jedi Academy zu erstellen. Dann fiel die Wahl auf den guten alten uCoz, aber die Idee, „Websites cool zu machen“, blieb bestehen. Ich habe mir die PHP "Spezialisten" -Kurse angesehen. Gleichzeitig hing es an Antichat- und anderen thematischen Foren und las Artikel über typische Schwachstellen. Es war einfach interessant.

Jahre vergingen und ich war immer noch auf der Suche nach mir selbst und dies führte mich zur Werbung. Dann habe ich ein großes Werbenetzwerk verwendet, um den Verkehr zu vermitteln. Nun, als ich es benutzte, habe ich die Statistiken leider aktualisiert und war durch den Mangel an Leads entmutigt. Wie ich mich jetzt erinnere, fielen mir die Datumsparameter in der Statistikanforderung auf. Ein paar anmutige Bewegungen der Finger und ein modales Fenster erscheint im Browserfenster - es war XSS. Ich schrieb zur Unterstützung und nach einer Stunde zeigte mein Kontostand auf der Website bereits 300 Dollar an. Dann, in der 10. Klasse, nachdem ich das erste "ernsthafte" Geld verdient hatte, dachte ich - ja, das ist mein Thema. Aufgrund dieser Motivation habe ich im nächsten Monat zehnmal mehr getan, um Websites mit Werbenetzwerken sicherer zu machen.

Jetzt lebe ich in Odessa und studiere an der Polytechnischen Universität von Odessa mit Schwerpunkt Informatik. Meine Aktivitäten im Internet sollten jedoch nicht an eine Universität gebunden sein. Er hat dies nicht besonders beeinflusst. Seit fast drei Jahren arbeite ich in Vollzeit als Pentester. Aber für ein gutes Leben würde Baghunting ausreichen.

- Dann hast du das Dach nicht von deiner Kühle abgerissen? Wie verdammt, Arbeit, ich mache das.

- Es war nicht frustrierend, aber es kam zu einer gewissen Verschiebung. Fühlte mich unabhängig vom System.

- Warum hast du studiert und gearbeitet? Dies ist ein System und nicht besonders effektiv.

- Es ist eine Sache, Teil des Systems zu sein, eine andere Sache, davon abhängig zu sein. Universität und Arbeit sind eine einfache Möglichkeit, Gleichgesinnte und Freunde zu finden.

Zur Vollzeit arbeite ich vier Tage die Woche. Ich suche Schwachstellen nur, wenn es eine Stimmung gibt, daher stellt sich heraus, dass es ziemlich instabil ist. Aber wenn Sie für ein Jahr zählen, dann kommt auf Bugs heraus, um ein Vielfaches mehr zu verdienen.

- Schläfst du mit Angeboten nach deinen Geschichten ein?

Ja, Angebote kommen. Letzterer war in einem guten internationalen Unternehmen für die Position des Application Security Expert.
Im Jahr 2018 fand Artem eine Sicherheitslücke bei Steam. Er drehte die SQL-Injection in der Datenbank auf der Seite für Partner und fand die Möglichkeit, Schlüssel für jedes Spiel herunterzuladen.

Er schrieb hier ausführlich über den Prozess.

„Es wurde eine Datei mit 36.000 Schlüsseln für das Spiel Portal 2 erstellt. Wow.
Nur in einem Satz war diese Anzahl von Schlüsseln. Und alle Sets im Moment mehr als 430.000. Durch Sortieren der Keyid-Werte kann ein potenzieller Angreifer alle Schlüssel herunterladen, die jemals von Steam-Spieleentwicklern generiert wurden. »

„Nach 5 Stunden wurde die Sicherheitsanfälligkeit behoben, aber der Teststatus wurde nach 8 Stunden akzeptiert, und verdammt noch mal, für mich waren es sehr schwierige 3 Stunden, für die mein Gehirn die Phasen von der Verweigerung bis zur Akzeptanz überstanden hat.

Da die Sicherheitsanfälligkeit nicht als akzeptiert eingestuft wurde, glaubte ich, dass die Leitung meinen Bericht noch nicht erreicht hatte. Aber sie haben den Fehler behoben, was bedeutet, dass sie ihn vor mir hätten registrieren können.

Wenn Sie nun das gesamte Geld für die Sicherheitslücken von Valve zählen, erhalten Sie 55.000. Ich denke in etwas zu investieren, habe mich aber noch nicht entschieden.

"Was ist das Richtige, um Ihren Beruf zu nennen?"

Baghanting. Probleme treten auf, wenn Sie versuchen, Nicht-IT-Mitarbeitern zu erklären, was Sie tun. Das Wort Hacker ist ihnen am nächsten. Es ist mir unangenehm, das zu sagen, weil dieses Wort meiner Meinung nach von Schulkindern verwendet wurde, die drohten, Ihre VK zu knacken oder per IP zu berechnen. Daher wird meine übliche Antwort „Nun, wie ein Hacker“ von einem unangenehmen Blick auf den Boden begleitet.

- Welche Fähigkeiten werden dafür benötigt?

Verstehen, wie Dinge funktionieren. Das Ergebnis des vorherigen wird ein Verständnis dafür sein, welche Schwachstellen in ihren Implementierungen auftreten können. Ich mag es bei der Baghunting, dass ich mich mit verschiedenen Technologien auseinandersetzen muss. Dies erweitert wirklich Ihren Horizont in der Breite. Nach einer Weile erscheinen Erfahrung, Intuition und Sie bereits in Ihrem Kopf Modell Bedrohungen für die untersuchte Anwendung.

Fast immer benutze ich Python, weil es leicht und schön ist. Aber wenn Sie eine Ausgabe im Web benötigen, greife ich auf PHP zurück. Jetzt automatisiere ich zum Beispiel einige Geheimdienstaufgaben. Die Weboberfläche wird lokal in PHP ausgeführt - Ausgabe und Aufgabenverwaltung, und Aufgaben selbst werden an Python- "Agenten" gesendet, die auf einigen VDSocs gehostet werden.

Manchmal, wenn ich etwas in Eile und nicht in Sicherheit schreibe, kann ich es mir leisten, Injektionen in dieses „Produkt“ zu injizieren, aber das ist keine Verwöhnung mehr.

- Wählst du schon lange ein Ziel?

Ich suche gerne nach Schwachstellen in dem, was ich selbst benutze. Eine Art Herausforderung ist zu spüren, Motivation erscheint. Manchmal weißt du sogar, dass sie dich nicht dafür bezahlen, vielleicht antworten sie nicht einmal, aber es ist einfach interessant.

Wenn Sie ein öffentliches Programm auf X1 auswählen, das seit mehreren Jahren für Fehler bezahlt, sollten Sie sich im Suchfeld nicht auf XSS verlassen. Gehen Sie entweder tiefer, wo die Mehrheit nicht erreicht, oder entwickeln Sie einen Vektor, an den die Mehrheit nicht gedacht hat.
Vor der Valve-Geschichte beschrieb Artem , wie er in einem der Pools eine Sicherheitslücke für das gemeinsame Mining von Kryptowährung fand - gerade zu einer Zeit, als alle verrückt nach Blockchains und dem Wachstum von Bitcoin waren.

Er fand einen Weg, die Zwei-Faktor-Identifizierung zu umgehen und jedes Konto in der Anwendung in Besitz zu nehmen. Für den Bericht erhielt Artem ein Bitcoin - damals 18.000 US-Dollar. Zu überlegen, wie viel es Artem jetzt kostet, ist wahrscheinlich schmerzhafter als die meisten von uns.

Aktualisiert: Hier war ein Absatz mit einer Geschichte über ein großes und teures Unternehmen. Es musste entfernt werden, da nicht alle großen und teuren Unternehmen dankbar sind, wenn sie auf Schwachstellen hinweisen.

- Sind Dips schwer gegeben?

Ich würde es nicht als Fehler bezeichnen. Misserfolg ist, wenn Sie sich ein Ziel setzen: Hier gehe ich zu Uber und finde RCE, sie zahlen Stomilien. Meiner Meinung nach besteht das richtige Ziel darin, die Infrastruktur des Unternehmens zu verstehen, die Funktionalität der Webanwendung zu verstehen, wie ihre Teile miteinander interagieren, und verschiedene Fälle zu überprüfen. Dies ist eine völlig realisierbare Aufgabe, die in der Zone Ihres Einflusses liegt. Das Vorhandensein von Sicherheitslücken befindet sich bereits außerhalb dieser Zone. Daher besteht das Setzen eines solchen Ziels in erster Linie darin, sich selbst zu verspotten.

Wenn ich das Gefühl habe, keine Ahnung zu haben, wohin ich weiter gehen soll, gebe ich mir normalerweise ein paar Tage Zeit, um mich abzulenken und zu entspannen. Und dann entweder mit neuen Ideen zurückkehren oder zu einem anderen Ziel übergehen. Übrigens lohnt es sich, nur dann nach Fehlern zu suchen, wenn Stimmung herrscht. Sich selbst zu zwingen ist nicht effektiv. Sowie in allem anderen.

- Was ist Ihrer Meinung nach effektiver, technischer oder sozialer?

Auf was achten. Baghunter werden nicht für soziale Dienste bezahlt, vielleicht sogar bestraft. Bei echten Angriffen werden beide verwendet.

- Ein guter Wachmann sollte Hacking-Erfahrung haben?

Nun, wenn eine Hacker-Erfahrung nicht von 2 Jahren abhängig ist, sondern von der Fähigkeit, Injektionen abzuwickeln und XSS zu finden, dann ja. Gut, ich denke es sollte.

- Ihre Arbeit ist so etwas, wo es funktioniert hat oder nicht. Oder kann es qualitativ und schlecht gemacht werden?

- Wenn Sie Pentest meinen, dann können Sie es qualitativ tun, aber Sie können nicht. Die Kriterien hängen von der Situation ab: von der Gestaltung des Berichts über die Vollständigkeit der Empfehlungen bis hin zur Anzahl der Schwachstellen und ihrer Kritikalität.

- Nehmen Sie Sicherheit als Feinde oder als Kollegen wahr?

- Wie Kollegen. Ich selbst betrachte mich als sicher.

- Fühlen Sie sich herkömmlichen Entwicklern überlegen?

Entwickler sind anders. Ich fühle mich definitiv denen überlegen, die Benutzereingaben mit einer SQL-Abfrage verketten. Und wenn wir die ganze Sphäre einnehmen, ist es schwer zu sagen, weil ich auf die eine oder andere Weise ein Schauspieler in beiden bin.

Von Zeit zu Zeit denke ich darüber nach, meine eigenen interessanten Dienste und Tools im Bereich der Informationssicherheit zu entwickeln. Daher bin ich oft gerade dabei, etwas zu „erschaffen“. Bisher ist alles für mich, aber vielleicht wird die Welt meine Kreationen sehen.

Was würde ich tun, wenn die Welt fantastisch zusammenpassen würde und keine Sicherheit mehr benötigt würde? Ich würde zwischen Arbeit in Uber und YandexTaxi wählen.

Aber im Ernst, meine Fähigkeiten würden ausreichen, um als durchschnittlicher Programmierer zu arbeiten. Im Allgemeinen sehe ich keine Schwierigkeit, einen Job in der IT zu finden. Wenn Sie bereits einen Horizont haben, vertiefen Sie einfach Ihr Wissen über das Interessanteste.

- Wenn Sie jetzt ein Hacker / Baghunter-Trainingsprogramm schreiben würden, welche Fächer gäbe es?

Programmierung Englisch - alle relevanten Informationen in Englisch. Literatur - Lesen von Berichten aus X1. Anonymität. Sportunterricht - im Falle von Pativen, wenn schlecht mit Anonymität. Richtig - wenn schlecht mit Sportunterricht.

- Ich habe in den Kommentaren gesehen, dass Sie gefragt wurden, warum Sie nicht auf die dunkle Seite gehen. Wenn Sie es nicht auslachen, dann wirklich - warum?

Friedlicher Schlaf und innere Harmonie sind wichtiger als jedes Geld.

"Wenn Sie überqueren würden, wären Sie ein guter Verbrecher?"

Ja, ich würde es von den Reichen nehmen und es den Armen geben. Wenn ich jemals heiß erwischt werde, habe ich höchstwahrscheinlich nur erfolglos und nicht anonym einen Fehler an ein Unternehmen gemeldet, das keinen offiziellen Fehlerzähler hat und nicht gut auf Hilfe von außen reagiert. Nun, wenn ich ein guter Verbrecher bin, dann werden Sie nichts davon wissen.

Source: https://habr.com/ru/post/de436128/


All Articles