Artyom Moskovsky es un baghunter, pentester y hombre de seguridad que inmediatamente quiere hacer la pregunta embarazosa "¿cuánto gana?" El año pasado, recibió la recompensa más grande en la historia de Valve: $ 20 mil y $ 25 mil por dos vulnerabilidades importantes en Steam y otros $ 10 mil por errores más pequeños.
Nos mantuvimos en contacto durante varios días, y Artem contó cómo comenzó a hacer lo suyo, qué habilidades se necesitan para esto y si atrae con tanto talento al lado oscuro.
En 2006, cuando tenía 9 años, tuve la primera PC, y sin saberlo decidí que estaría trabajando en TI. Hasta el grado 10 estuvo orientado hacia la programación. Después, cuando aparecieron los primeros éxitos en el sector de la información, decidí que la seguridad era más interesante.
Comenzó con un banal: era necesario hacer un sitio para el clan en el juego Jedi Academy. Luego, la elección recayó en el viejo uCoz, pero la idea de "hacer sitios web geniales" permaneció. Miré los cursos de PHP "especialista". Al mismo tiempo, colgaba en antichat y otros foros temáticos, leyendo artículos sobre vulnerabilidades típicas. Fue simplemente interesante.
Pasaron los años, y todavía estaba en busca de mí mismo y esto me llevó a la publicidad. Luego usé una gran red publicitaria para arbitrar el tráfico. Bueno, como lo usé, tristemente actualicé las estadísticas y me desanimé por la falta de pistas. Como recuerdo ahora, mis ojos captaron los parámetros de fecha en la solicitud de estadísticas. Algunos movimientos elegantes de los dedos, y aparece una ventana modal en la ventana del navegador, era XSS. Escribí en apoyo, y después de una hora mi saldo en el sitio ya estaba mostrando $ 300. Luego, en el décimo grado, después de haber ganado el primer dinero "serio", pensé: sí, este es mi tema. En este cargo de motivación durante el mes siguiente, hice diez veces más, ayudando a los sitios de publicidad de redes a ser más seguros.
Ahora vivo en Odessa, estudiando en la Universidad Politécnica de Odessa, especializándome en Ciencias de la Computación. Pero mis actividades en Internet no deberían estar vinculadas a una universidad. No afectó particularmente esto. Durante casi tres años he trabajado como pentester a tiempo completo. Pero para una buena vida, la obsesión sería suficiente.
- ¿Entonces no arrancaste el techo de tu frescura? Como mierda, trabajo, haré esto.- No fue frustrante, pero ocurrió un cierto cambio. Me sentí independiente del sistema.
- ¿Por qué fuiste a estudiar y trabajar? Este es un sistema y no es particularmente efectivo.- Una cosa es ser parte del sistema, otra cosa depender de él. La universidad y el trabajo son una manera fácil de encontrar personas y amigos con ideas afines.
A tiempo completo trabajo cuatro días a la semana. Busco vulnerabilidades solo cuando hay un estado de ánimo, por lo tanto, resulta bastante inestable. Pero si cuentas durante un año, entonces los errores salen a ganar muchas veces más.
- ¿Te quedas dormido con ofertas después de tus historias?Sí, las ofertas vienen. Este último estaba en una buena compañía internacional para el puesto de experto en seguridad de aplicaciones.
En 2018, Artem encontró una vulnerabilidad en Steam. Hizo una inyección SQL en la base de datos en la página para socios y encontró la oportunidad de descargar claves para cualquier juego.
Escribió en detalle sobre el proceso aquí .
“Se generó un archivo con 36,000 claves para el juego Portal 2. Wow.
Solo en un conjunto estaba este número de teclas. Y todos los sets en este momento más de 430,000. Por lo tanto, al ordenar los valores de keyid, un atacante potencial podría descargar todas las claves generadas por los desarrolladores de juegos de Steam »
“Después de 5 horas, la vulnerabilidad se solucionó, pero el estado de triaged (aceptado) se estableció para ella después de 8 horas y, maldita sea, para mí fue muy difícil 3 horas por las cuales mi cerebro logró sobrevivir a las etapas desde la negación hasta la aceptación.
Como la vulnerabilidad no fue designada como aceptada, creí que la línea aún no había llegado a mi informe. Pero arreglaron el error, lo que significa que podrían haberlo registrado antes que yo.
Ahora, si cuenta todo el dinero para las vulnerabilidades de Valve, obtendrá 55 mil. Pienso invertir en algo, pero aún no lo he decidido.
"¿Qué es lo correcto para llamar a su ocupación?"Baghanting. Los problemas surgen cuando intenta explicar a las personas que no son de TI lo que está haciendo. La palabra hacker es la más cercana a ellos. No me siento cómodo al decirlo porque, en mi opinión, esta palabra fue utilizada por escolares que amenazaban con romper tu VK o calcular por ip. Por lo tanto, mi respuesta habitual, "Bueno, como un hacker", va acompañada de una mirada incómoda al suelo.
- ¿Qué tipo de habilidad se necesita para esto?Comprender cómo funcionan las cosas. El resultado del anterior será la comprensión de las vulnerabilidades en sus implementaciones. Me gusta en las conversaciones que tengo que lidiar con diferentes tecnologías. Esto realmente expande tus horizontes en amplitud. Después de un tiempo, aparece la experiencia, la intuición, y usted ya en su cabeza modela amenazas para la aplicación en estudio.
Casi siempre uso Python porque es ligero y hermoso. Pero si necesita algún tipo de salida en la web, entonces recurro a PHP. Ahora, por ejemplo, estoy automatizando algunas tareas de inteligencia. La interfaz web se ejecuta localmente en PHP: salida y gestión de tareas, y las tareas mismas se envían a los "agentes" de Python, que se alojan en un par de VDSocs.
A veces, cuando escribo algo con prisa y no seguridad, entonces puedo permitirme inyectar inyecciones en este "producto", pero esto ya no es más mimos.
- ¿Eliges un objetivo durante mucho tiempo?Me gusta buscar vulnerabilidades en lo que uso yo mismo. Se siente algún tipo de desafío, aparece la motivación. A veces incluso sabes que no te lo pagarán, tal vez ni siquiera respondan, pero es interesante.
Si elige un programa público en X1 que ha estado pagando por errores durante varios años, entonces no debe confiar en XSS en el campo de búsqueda. O profundiza donde la mayoría no llega, o encuentra un vector en el que la mayoría no pensó.
Antes de la historia de Valve, Artem describió cómo encontró una vulnerabilidad en uno de los grupos para la extracción conjunta de criptomonedas, justo en un momento en que todos estaban locos por las cadenas de bloques y el crecimiento de bitcoin.
Encontró una manera de evitar la identificación de dos factores y tomar posesión de cualquier cuenta en la aplicación. Para el informe, Artem recibió un bitcoin, en ese momento $ 18,000. Pensar en cuánto le cuesta a Artem ahora es probablemente más doloroso que la mayoría de nosotros.
Actualizado: aquí había un párrafo con una historia sobre una compañía grande y costosa. Tuvo que ser eliminado, porque no todas las compañías grandes y caras están agradecidas cuando señalan vulnerabilidades.
- ¿Las inmersiones son difíciles?No lo llamaría fracasos. El fracaso es cuando estableces una meta: aquí voy a Uber y encuentro a RCE, le pagan a Stomilien. En mi opinión, el objetivo correcto es comprender la infraestructura de la empresa, comprender la funcionalidad de la aplicación web, cómo interactúan sus partes entre sí y verificar varios casos. Esta es una tarea completamente factible, que está en la zona de su influencia. La presencia de vulnerabilidad ya está fuera de esta zona, por lo tanto, establecer ese objetivo es, en primer lugar, burlarse de usted mismo.
Si siento que no tengo idea de a dónde ir más lejos, entonces generalmente me doy unos días para distraerme, relajarme. Y luego regresa con nuevas ideas o pasa a otro objetivo. Por cierto, vale la pena buscar errores solo cuando hay un estado de ánimo, forzarse no es efectivo. Así como en todo lo demás.
- ¿Cuál crees que es la forma más efectiva, técnica o social?Mirando por qué. A los Baghunters no se les paga por los servicios sociales, tal vez incluso se les castiga. En ataques reales, se usan ambos.
- ¿Un buen guardia de seguridad debería tener experiencia en piratería?Bueno, si la experiencia de un pirata informático no es condicional de 2 años, sino la capacidad de desenrollar inyecciones y encontrar XSS, entonces sí. Bien, creo que debería.
- Tu trabajo es tal, donde funcionó o no. ¿O puede hacerse cualitativa y pobremente?- Si te refieres a pentest, entonces sí, puedes hacerlo cualitativamente, pero no puedes. Los criterios dependen de la situación: desde el diseño del informe y la integridad de las recomendaciones, hasta el número de vulnerabilidades y su importancia.
- ¿Percibes la seguridad como enemigos o como colegas?- Como colegas. Yo mismo me considero una caja fuerte.
- ¿Te sientes superior a los desarrolladores convencionales?Los desarrolladores son diferentes. Definitivamente me siento superior a aquellos que concatenan la entrada del usuario con una consulta SQL. Y si tomamos toda la esfera, es difícil de decir, porque soy un actor u otro en ambos.
De vez en cuando, pienso en crear y desarrollar mis propios servicios y herramientas interesantes en el campo de la seguridad de la información. Por lo tanto, a menudo estoy en el proceso de "crear". Hasta ahora, todo es para mí, pero tal vez el mundo verá mis creaciones.
¿Qué haría si el mundo coincidiera fantásticamente y la seguridad dejara de ser necesaria? Elegiría entre trabajar en Uber y YandexTaxi.
Pero en serio, mis habilidades serían suficientes para trabajar como programador promedio. En general, no veo la dificultad de encontrar un trabajo en TI, si ya tienes algún tipo de horizontes, simplemente profundizas tu conocimiento en lo que es más interesante.
- Si ahora estuvieras escribiendo un programa de entrenamiento de hackers / baghunter, ¿qué temas habría?Programacion Inglés: toda la información relevante en inglés. Literatura: lectura de informes de X1. Anonimato Educación física: en el caso de Pativen, si es malo con el anonimato. Correcto, si es malo con la educación física.
- Vi en los comentarios que te preguntaron por qué no vas al lado oscuro. Si no te ríes, entonces, ¿por qué?El sueño tranquilo y la armonía interior son más importantes que cualquier dinero.
"Si cruzaras, ¿serías un buen criminal?"Sí, lo tomaría de los ricos y se lo daría a los pobres. Si alguna vez me atrapan, entonces lo más probable es que sin éxito y sin informar anónimamente de un error a una empresa que no tiene un contador de errores oficial y no responde bien a la ayuda externa. Bueno, si soy un buen criminal, entonces no lo sabrás.