Algunos ciudadanos de Habrovsk creen que los empleados de Kaspersky Lab son clonados en laboratorios secretos o criados desde la infancia, ya sabes dónde. Decidimos investigar este tema con más detalle y atrapamos a varios colegas jóvenes para entrevistas. Resultó que no, estas son personas muy vivas y entre ellas se encuentran ejemplares extremadamente curiosos. Por ejemplo, Nikita Kurganov, una reciente incorporación al equipo AMR (Anti-Malware Research), es un entusiasta guardia de seguridad que llegó a la profesión desde el cuarto año de Baumanka.
En menos de un año, se ha convertido en un investigador profesional de amenazas de un entusiasta de los deportes como capturar la bandera (CTF) y no planea detenerse allí. Ahora este loco (en el buen sentido de la palabra) combina el estudio a tiempo completo con una semana laboral de cuarenta horas a tiempo completo de un analista viral. Así que decidimos preguntarle cómo llegó a esa vida, en caso de que alguien de los lectores locales necesite su experiencia. Por cierto, el título es una cita de Nikita. Entonces respondió a la pregunta "¿cómo ves tu futura carrera?"
LK: Dime desde el principio, ¿cómo se te ocurrió la idea de seguridad?
Nikita: Originalmente vine a Baumanka al Departamento de Seguridad de la Información. Porque la seguridad de la información es la dirección más prometedora. Siempre lo será, digan lo que digan. Y cuanto más se desarrollen las tecnologías de la información, más habrá quienes quieran robar información y más difícil será proteger esta información. Por lo tanto, quería tratar con esta área en particular. Además de todo tipo de historias de terror sobre hackers empujados. Era interesante de qué se trataba, pensé, tal vez yo también pueda hacer algo en esta área ...
Específicamente, cómo llegué a los aspectos prácticos de la seguridad de la información es otro tema. Tenemos nuestro propio equipo CTF en Baumanka, he estado en él desde el segundo año. Antes de hablar en competiciones el año pasado (en general, toda la historia de mi avance profesional comenzó el año pasado), decidí averiguar cuáles son las tendencias generales y las tendencias en seguridad de la información, y fui a estudiar diferentes "escuelas de verano" en seguridad de la información. Luego vi las noticias sobre Kaspersky Summer Lab, que se llevó a cabo solo una vez. Allí, en el transcurso de siete días, me dijeron prácticamente todo lo que quería escuchar, y finalmente me di cuenta de que quería ser ingeniero inverso o dedicarme a la informática forense, es decir, a la informática.
Después de eso, me enteré del programa de pasantías SafeBoard y decidí presentar una solicitud. Normalmente pasé por la fase de prueba en línea, resolví el problema de crackme y luego fui al hackathon. Allí inicialmente decidió la dirección de la investigación forense, se interesó en reclutar al departamento que se ocupara de la respuesta a incidentes.
Después del hackathon, me dijeron que, en principio, lo atravesé, pero había diferentes áreas, incluidas las pruebas y el análisis del sistema. Pero sabía con certeza que quiero hacer seguridad de la información. Después de eso, hubo cursos generales en los que rápidamente se nos dieron los fundamentos del conocimiento sobre el desarrollo, las pruebas, el análisis de análisis y la investigación de amenazas. Pero ya fui a propósito a AMR, quería ser un revisor, un investigador de vulnerabilidades.
Pero cuando comenzaron con la entrevista, de alguna manera sucedió que no fui a mi especialidad que me interesaba. Hubo muchos de ellos, estas entrevistas, probablemente 10 piezas. Según la seguridad de la información, había cuatro, para el grupo de análisis heurístico, para botnets y para forenses también. Llegué a las etapas finales de selección, cuando estás sentado, aquí está el gerente del departamento y estás resolviendo tareas directamente con él. Y no fui a AMR, a ningún lado. En general, la seguridad no funcionó.
LK: ¿Y cómo terminaste en AMR?
Ya entendí que no quería dejar Kaspersky. Me ofrecieron ir al departamento de pruebas mientras realizaba una pasantía, en el departamento de desarrollo interno. Nuestro equipo allí estuvo involucrado en la publicación de servicios de lanzamiento. Trabajé allí durante dos o tres meses, pero después del primer mes me di cuenta de que las pruebas no eran mías en absoluto y comencé a buscar algo en AMR. Y una vez en un portal interno vi una vacante de un analista viral junior en un laboratorio viral. Y decidí aplicar. Bueno, porque no?
En consecuencia, contacté a RR. HH., Me enviaron tareas. Es decir, además de estudiar en la universidad, simultáneamente resolví tareas de calificación en virlab, que son necesarias para llegar al menos a la etapa de entrevista, y me dediqué al trabajo principal: las pruebas. La tarea fue difícil, pero muy interesante. Por cierto, fue un crack de la conferencia Zero Nights 2017. Como resultó más tarde, fue escrito por mi futuro mentor en virlab. Lo resolví durante unas tres noches, realmente me gustó. Bueno, en general, el objetivo principal era ir a la virlab, mis ojos estaban en llamas. Hice un informe, me lo envió y una semana después, ya en marzo, programaron una entrevista.
Además, en general es interesante: vine, y mi mentor directo y jefe de departamento están sentados allí. Se hacen las mismas preguntas sobre lo mismo. Discutimos crackme. Y luego me pusieron frente a la computadora, me dieron un pequeño archivo y me dijeron: tienes 10 minutos y tienes que decirnos qué hace esto. Y ahí está solo la lista de ensambladores. Y tengo que decirlo especialmente sin dudarlo, solo mirando la lista y comentando en el camino. Para mí fue, en primer lugar, inusual, y en segundo lugar, un shock.
Me senté analizado todo en orden. Al final resultó que era una especie de adaptador para descargar malvari allí, me confundí en el camino, me deshice, me empujaron a ciertos pensamientos. Dio la casualidad de que traté con él en 10 minutos y le conté en partes lo que estaba sucediendo allí. Me dijo de dónde se bombeó el malware, por qué se bombeó, todo tipo de sutilezas. Luego terminó la entrevista y comenzó la espera. Pronto me escribieron, me dicen que vas a un puesto. Y a fines de mayo están listos para inscribirse en el estado.
Y aquí fue probablemente la opción más difícil para mí. ¿Será posible combinar esto con la universidad? Pero di este paso. Me di cuenta de que la posición es hermosa, exactamente lo que siempre quise. Entiendo que sí, será increíblemente difícil combinarlo. Pero si el destino te da esa oportunidad, entonces debes aprovecharla. Esa es la verdad Para que no haya pensamientos después "qué pasaría si ...". Para no arrepentirme toda mi vida. Y por así decirlo, fui con todo adentro. Sin siquiera saber cuál será el horario.
Y todo el verano trabajé, estudié, ingresé al curso. Antes de ingresar a un puesto en virlab, cuando las solicitudes llegan y usted analiza directamente todo, debe pasar un período de prueba de tres meses. Es decir, se lo actualiza, se le dice cómo funciona AMR, cómo usar las herramientas, qué buscar al analizar, cómo hacerlo rápidamente, bueno, revelan todos los matices de virlab. En algún momento, pensé que no podría hacerlo, pero, como resulta ahora, puedo combinarlo. Es decir, tanto universitario como laboral.
"LK": ¿Y ahora qué estás en la universidad?
Nikita : estoy en mi cuarto año. Dos años más para estudiar. En el sexto año, salgo de la universidad con un diploma en seguridad informática. Pero esto, de hecho, no tiene nada que ver con el reverso. Estos son métodos matemáticos para proteger la información.
"LK": ¿Planeas estudiar más entonces? Maestro?
Nikita : Bueno, no tiene mucho sentido. Tenemos una especialidad ahora, es como una licenciatura más una maestría. Es decir, si vas, entonces a la escuela de posgrado. Pero no quiero ir a la escuela de posgrado, quiero hacer cosas aplicadas. En ciencia, no, no quiero.
LK: Un analista viral es el mismo pájaro carpintero. Trabaja por turnos, acumula un montón de malvari y archivos sospechosos, y se sienta y ahueca el código. Entonces?
Nikita : código Dolbit, sí. Pero no solo eso. Es decir, la mayor parte del trabajo es realmente que nos sentamos y analizamos el código. Muchas aplicaciones nos llegan, los chinos pueden enviar 50 archivos por la noche, esta es una situación normal. Pero además de esto, todavía escribimos nuestras heurísticas, es decir, detecciones heurísticas. Mejoramos el trabajo de la secuencia, es decir, acumulamos muestras, pensamos en cómo mejorar el análisis en la secuencia, escribimos nuestras utilidades internas. Es decir, de hecho, también estamos involucrados en el desarrollo hasta cierto punto. Además de los que otros departamentos escriben para nosotros.
Pero, de hecho, somos como una especie de soporte viral. Malvari vuela hacia nosotros, los agregamos, procesamos y distribuimos entre los departamentos. Este malware está en el departamento de análisis heurístico, está en antispam, está en botnets. Aquí tenemos ese punto de transbordo: la primera línea. También estamos haciendo otras cosas que sirven para mejorar el análisis, pero de hecho, sí. Martillamos el código.
LK: ¿Y cuántas horas hay turnos?
Nikita : cambio por 8 horas. Hay noches, pero, afortunadamente, no con nosotros. Tenemos mañana y tarde. Y cuando es de noche en Moscú, un turno funciona en Vladivostok. Es decir, tenemos de hecho dos ubicaciones principales. Vladivostok y Moscú.
"LK": ¿Y cómo encaja todo con tu horario en la universidad?
Nikita : Por extraño que parezca, resultó que era casi sin pérdidas. Es decir, extraño el cinco por ciento del poder. Dio la casualidad de que el cronograma funcionó a la perfección y la gerencia hizo concesiones a tiempo. Es decir, tengo un horario de trabajo de cinco días, pero está distribuido. Durante tres días trabajo en el turno de la mañana y dos días en la noche. Y gracias a este equilibrio, combino con éxito estudio y trabajo. Es decir, por supuesto, sacrificas tus días libres, no puedes ir a ningún lado. ¡Pero el objetivo es genial! Quiero ser genial Y para ser genial, tienes que arar. Me tomaré unas vacaciones para la sesión. ¿Pero qué tan diferente?
LK: En general, ¿cómo ves tu camino más lejos? Ahora usted es analista y está adquiriendo experiencia, pero AMP tiene un gran departamento y se dedica a varias cosas.
Nikita: entiendo, sí. En general, el comienzo del trabajo en seguridad de la información de virlaba es ideal. Porque analizamos todo tipo de malware, desde Android hasta Linux. A veces los ataques APT nos son enviados por el GRAN departamento. Y todos lo analizamos. Con el tiempo, comienza a comprender qué temas son más interesantes para usted, qué vector de desarrollo desea elegir. En este momento estoy más interesado en ataques APT complejos. Después de todo, suceden cosas diferentes. Algunos de los satélites están intentando piratear. Esto es realmente muy interesante. Cualquier detección heurística sigue siendo interesante. Y todo lo relacionado con la búsqueda de vulnerabilidades. Aquí puede ver el código y comprender dónde puede haber vulnerabilidades potenciales de día cero. Si encuentra el día cero, entonces su prestigio está creciendo.
LK: ¿ Pero esto ya no es un análisis de archivos sospechosos? ¿Dónde buscas vulnerabilidades de día cero?
Nikita: No, no está en archivos sospechosos. Es como un hobby.
LK: ¿Entonces todavía tienes tiempo para un pasatiempo?
Nikita: Bueno, hay tiempo para un pasatiempo. Lamentablemente, no es suficiente. Estudio. A veces resulta que juega CTF, a veces busca vulnerabilidades. Y en qué dirección veo ... Entonces quiero hacerlo. Primero, gane experiencia, y luego ya entienda adónde ir específicamente. En que departamentos. En general, el objetivo final es convertirse en el líder de RnD. Pero, de hecho, decidiré sobre un área específica después de adquirir una experiencia diversa. En un futuro cercano, en un año para alcanzar el nivel medio.
LK: ¿Qué te parece el equipo?
Nikita: en virlab? Bueno, primero, cuando vienes a un lugar nuevo, presionas un poco. Eres un poco tímido Pero con el tiempo, todo se calmó, cuando comencé a infundir conocimiento directamente, conocí a todos los muchachos. Allí nos arrojamos todo, bromas profesionales, memes, discutimos momentos de trabajo. Es decir, normalmente me uní al equipo. Y hay intereses comunes. Alguien también quiere desarrollarse en la misma dirección que yo, para desarrollar con ellos, en general, solo encontrar un lenguaje común.
"LK": está leyendo algunos materiales adicionales sobre una especialidad. Sigue las noticias. ¿Y qué estás leyendo exactamente de los recursos?
Nikita: Leo mucho, porque en la seguridad de la información uno debe permanecer constantemente en el tema. Después de todo, no solo atrapamos nuevas amenazas. Todo el tiempo hay algunas vulnerabilidades, algunos nuevos ataques. Cualquiera, pero entrenamiento avanzado. A veces ayuda directamente a responder a incidentes. ¿Qué estoy leyendo exactamente? Bueno, la fuente principal es el Hacker. Luego leí todo tipo de artículos sobre Habré. A veces desde la caja de arena. A veces veo informes de conferencias anteriores sobre temas de seguridad de la información. Hay DEFcon, BlackHat. Trato de leer más en inglés, porque la mayoría de la literatura todavía es en inglés.
LK: ¿Has trabajado durante más de seis meses y sigues interesado en esto? ¿Una rutina no decepciona?
Nikita: ¡Interesante! En general, si ya nos estamos acercando a algunas conclusiones de mi historia, quiero decir que tenemos que ir claramente a nuestra meta. Así que me puse una meta. Gran objetivo, digamos que sí. Y voy hacia ella. Entiendo lo que realmente necesito, y cuando doy pequeños pasos, y cuando salto varios pasos. Sucedió con SafeBoard: cuatro meses después, de un interno, se convirtió en un analista viral junior. Y debes entender que si el destino te da alguna oportunidad, entonces debes aprovecharla. Porque si no los tomas, el destino se alejará de ti, y eso es todo, no habrá posibilidad, y te reprocharás toda tu vida por no aprovecharlos. Y tienes que trabajar contigo mismo todo el día (entiendo que es difícil, quiero dar un paseo). Pero es mejor trabajar ahora, entonces será más fácil. Si constantemente vas a este objetivo y te arriesgas, entonces todo estará bien. Tenemos que trabajar, trabajar duro.
"LK": Nikita, nadie creerá que estás diciendo todo esto tú mismo. Dirán que RRHH te obligó a terminar el discurso con un discurso motivador.
Nikita: ¿Qué pasa si realmente lo creo?
"LK": Bueno, el éxito para ti, lo más importante, no te quemes de la carga.
Ahora, por cierto, continúa, o más bien, el reclutamiento para el próximo programa de prácticas de Kaspersky Lab ya está terminando. Entonces, si desea, como Nikita, dedicar su futura profesión a la lucha contra el mal de la computadora, entonces es hora de presentar una solicitud. Hay cinco áreas disponibles: investigación de amenazas, desarrollo, pruebas, análisis de sistemas y administración de sistemas. Lea más
aquí en la página del programa.