Certains citoyens d'Habrovsk pensent que les employés de Kaspersky Lab sont clonés dans des laboratoires secrets ou élevés depuis leur enfance, vous savez où. Nous avons décidé d'étudier cette question plus en détail et avons pris plusieurs jeunes collègues pour des entretiens. Il s'est avéré que non, ce sont des gens très vivants et parmi eux des spécimens extrêmement curieux se rencontrent. Par exemple, Nikita Kurganov, un récent ajout à l'équipe AMR (Anti-Malware Research), est un gardien de sécurité enthousiaste qui est entré dans la profession dès la quatrième année de Baumanka.
En moins d'un an, il est devenu un chercheur professionnel des menaces d'un passionné de sport comme Capture The Flag (CTF) et ne prévoit pas de s'arrêter là. Maintenant, ce fou (dans le bon sens du terme) combine une étude à plein temps avec une semaine de travail à plein temps de quarante heures d'un analyste viral. Nous avons donc décidé de lui demander comment il avait pu mener une telle vie - au cas où quelqu'un d'autre des lecteurs locaux aurait besoin de son expérience. À propos, le titre est une citation de Nikita. Il a donc répondu à la question «comment voyez-vous votre future carrière».
LK: Dites-moi dès le début, comment vous est venue l'idée de la sécurité?
Nikita: Je suis à l'origine venu à Baumanka au Département de la sécurité de l'information. Parce que la sécurité de l'information est la direction la plus prometteuse. Il en sera toujours ainsi, quoi qu'on en dise. Et plus les technologies de l'information se développent, plus il y aura de gens qui veulent voler des informations et plus il sera difficile de protéger ces informations. Par conséquent, je voulais traiter de ce domaine particulier. Plus toutes sortes d'histoires d'horreur sur les pirates ont poussé. C'était intéressant de savoir de quoi il s'agissait, je pensais, peut-être que je peux aussi faire quelque chose dans ce domaine ...
Plus précisément, comment j'ai abordé les aspects pratiques de la sécurité de l'information est un autre sujet. Nous avons notre propre équipe de la FCE à Baumanka, j'y suis depuis la deuxième année. Avant de prendre la parole lors de concours l'an dernier (en général, toute l'histoire de ma carrière a commencé l'année dernière), j'ai décidé de découvrir quelles sont les tendances générales et les tendances en matière de sécurité de l'information, et suis allé étudier différentes «écoles d'été» en sécurité de l'information. Ensuite, j'ai vu les nouvelles de Kaspersky Summer Lab, qui n'ont été réalisées qu'une seule fois. Là, au cours de sept jours, ils m'ont dit pratiquement tout ce que je voulais entendre, et j'ai finalement réalisé que je voulais être soit une rétro-ingénierie, soit me lancer dans l'informatique judiciaire, c'est-à-dire la criminalistique.
Après cela, j'ai découvert le programme de stages SafeBoard et j'ai décidé de postuler. Normalement, je passais par la phase de test en ligne, résolvais le problème de crackme, puis je me rendais au hackathon. Là, il a d'abord décidé de la direction de la médecine légale, s'est intéressé au recrutement au département chargé de la réponse aux incidents.
Après le hackathon, ils m'ont dit que, en principe, je passe, mais il y avait différents domaines, y compris les tests, l'analyse du système. Mais je savais avec certitude que je voulais faire de la sécurité des informations. Après cela, il y a eu des cours généraux au cours desquels nous avons rapidement reçu les bases des connaissances sur le développement, les tests, la sysanalyse et la recherche sur les menaces. Mais je suis déjà allé volontairement chez AMR, je voulais être critique, chercheur en vulnérabilité.
Mais quand ils ont commencé l'entretien, il est arrivé que je ne me rende pas à ma spécialité qui m'intéresse. Il y en avait beaucoup, ces interviews, probablement 10 pièces. Selon la sécurité de l'information, il y en avait quatre, le groupe d'analyse heuristique, les botnets et la médecine légale également. J'ai atteint les dernières étapes de la sélection, lorsque vous êtes assis, voici le chef de service et vous résolvez les tâches directement avec lui. Et je ne suis allé à AMR, nulle part. En général, la sécurité n'a pas fonctionné.
LK: Et comment vous êtes-vous retrouvé chez AMR?
J'ai déjà compris que je ne voulais pas quitter Kaspersky. On m'a proposé d'aller au service des tests pendant mon stage au sein du département de développement interne. Notre équipe était impliquée dans la publication des services de publication. J'y ai travaillé pendant deux ou trois mois, mais après le premier mois, j'ai réalisé que les tests ne m'appartenaient pas du tout et j'ai commencé à chercher quelque chose dans la RAM. Et une fois sur un portail interne, j'ai vu un poste d'analyste viral junior dans un laboratoire viral. Et j'ai décidé de postuler. Et bien pourquoi pas?
En conséquence, j'ai contacté les RH, ils m'ont envoyé des tâches. Autrement dit, en plus d'étudier à l'université, j'ai simultanément résolu des tâches de qualification dans virlab, qui sont nécessaires pour atteindre au moins l'étape de l'entretien, eh bien, j'étais engagé dans le principal test de travail. La tâche était difficile, mais très intéressante. Au fait, c'était un crackme de la conférence Zero Nights 2017. Comme il s'est avéré plus tard, il a été écrit par mon futur mentor dans virlab. Je l'ai résolu pendant environ trois nuits, j'ai vraiment aimé ça. Eh bien, en général, l'objectif principal était d'aller au virlab, mes yeux étaient en feu. J'ai fait un rapport, je l'ai envoyé et une semaine plus tard, déjà en mars, ils ont prévu une entrevue.
De plus, c'est généralement intéressant - je suis venu, et mon mentor direct et mon chef de département sont assis là. Toutes les mêmes questions sont posées à peu près les mêmes. Nous discutons de crackme. Et puis ils me mettent devant l'ordinateur, me donnent un petit fichier et disent: vous avez 10 minutes et vous devez nous dire ce que fait cette chose. Et là, c'est juste la liste des assembleurs. Et je dois dire surtout sans hésitation, juste en regardant la liste et en commentant le long du chemin. Pour moi, ce fut, d'une part, inhabituel, et d'autre part, un choc.
Je me suis assis tout analysé dans l'ordre. Il s'est avéré que c'était une sorte d'adaptateur pour télécharger des malvari là-bas, je me suis embrouillé en cours de route, démêlé, ils m'ont poussé à certaines pensées. Il m'est arrivé de m'occuper de lui en 10 minutes, de lui raconter en petits morceaux ce qui se passait là-bas. Il m'a dit d'où le malware a été pompé, pourquoi il a été pompé, toutes sortes de subtilités. Puis l'interview s'est terminée et l'attente a commencé. Bientôt, ils m'ont écrit - ils disent que vous allez vous retrouver. Et fin mai, ils sont prêts à s'inscrire dans l'État.
Et c'était probablement le choix le plus difficile pour moi. Sera-t-il possible de combiner cela avec l'université? Mais j'ai fait ce pas. J'ai réalisé que la position est magnifique, exactement ce que j'ai toujours voulu. Je comprends que, oui, ce sera incroyablement difficile à combiner. Mais si le destin vous donne une telle chance, vous devez la saisir. Telle est la vérité. Pour qu'il n'y ait plus de pensées plus tard "que se passerait-il si ...". Pour ne pas le regretter toute ma vie. Et pour ainsi dire, je suis all-in. Sans même savoir quel sera le planning.
Et tout l'été, j'ai travaillé, étudié, commencé le cours. Avant d'entrer dans un poste dans virlab, lorsque les candidatures vous parviennent et que vous analysez tout directement, vous devez passer une période d'essai de trois mois. Autrement dit, vous êtes mis à jour, dit comment fonctionne AMR, comment utiliser les outils, ce qu'il faut rechercher lors de l'analyse, comment le faire rapidement, eh bien, ils révèlent toutes les nuances de virlab. À un moment donné, je pensais que je ne pouvais pas le faire, mais, comme il se trouve maintenant, je peux le combiner. Autrement dit, à la fois à l'université et au travail.
"LK": Et qu'êtes-vous à l'université maintenant?
Nikita : J'en suis à ma quatrième année. Encore deux ans pour étudier. En sixième année, je quitte l'université avec un diplôme en sécurité informatique. Mais cela n'a en fait rien à voir avec le revers. Ce sont des méthodes mathématiques pour protéger les informations.
"LK": Envisagez-vous de poursuivre vos études alors? Maître?
Nikita : Eh bien, ça ne sert à rien. Nous avons une spécialité maintenant, c'est comme un baccalauréat et une maîtrise. C'est-à-dire, si vous y allez, ensuite à l'école supérieure. Mais je ne veux pas aller aux études supérieures, je veux faire des choses appliquées. En science, non, je ne veux pas.
LK: Un analyste viral est le même pic. Il travaille par roulement, tas un tas de fichiers malveillants et suspects, et il s'assoit et creuse le code. Alors?
Nikita : Code Dolbit, oui. Mais pas seulement ça. Autrement dit, la plupart du travail consiste vraiment à nous asseoir et à analyser le code. De nombreuses applications nous arrivent, les chinois peuvent envoyer 50 fichiers la nuit, c'est une situation normale. Mais en plus de cela, nous écrivons toujours nos heuristiques, c'est-à-dire les détections heuristiques. Nous améliorons le travail du flux, c'est-à-dire que nous accumulons des échantillons, nous réfléchissons à la façon d'améliorer l'analyse sur le flux, nous écrivons nos utilitaires internes. Autrement dit, nous sommes également engagés dans une certaine mesure dans le développement. En plus de ceux que d'autres ministères écrivent pour nous.
Mais en fait, nous sommes comme une sorte de support viral. Malvari vole vers nous, nous les regroupons, les traitons et les distribuons entre les départements. Ce malware est dans le département d'analyse heuristique, c'est dans l'antispam, c'est dans les botnets. Ici, nous avons un tel point de transbordement - la première ligne. Nous faisons également d'autres choses qui servent à améliorer l'analyse, mais en fait - oui. Nous martelons le code.
LK: Et combien d'heures y a-t-il des quarts?
Nikita : Changer pendant 8 heures. Il y en a de nuit, mais, heureusement, pas avec nous. Nous avons matin et soir. Et quand il fait nuit à Moscou, un quart de travail fonctionne à Vladivostok. Autrement dit, nous avons en fait deux emplacements principaux. Vladivostok et Moscou.
"LK": Et comment tout cela s'inscrit-il dans votre emploi du temps à l'université?
Nikita : Curieusement, il s'est avéré que c'était presque sans perte. Autrement dit, je manque cinq pour cent de la puissance. Il se trouve que le calendrier s'est parfaitement déroulé et la direction a fait des concessions dans les délais. Autrement dit, j'ai un horaire de travail de cinq jours, mais il est distribué. Pendant trois jours, je travaille le matin et deux jours le soir. Et grâce à cet équilibre, j'ai réussi à combiner études et travail. Autrement dit, vous sacrifiez vos jours de congé, vous ne pouvez pas aller quelque part. Mais l'objectif est génial! Je veux être cool. Et pour devenir cool, il faut labourer. Je vais prendre des vacances pour la session. Mais comment différemment?
LK: En général, comment voyez-vous votre chemin plus loin? Vous êtes maintenant un analyste qui acquiert de l'expérience, mais AMP possède un grand département et est engagé dans diverses choses.
Nikita: Je comprends, oui. En général, le début des travaux sur la sécurité de l'information chez virlaba est idéal. Parce que nous analysons toutes sortes de malwares, d'Android à Linux. Parfois, les attaques APT nous sont envoyées par le GRAND département. Et nous l'analysons tous. Au fil du temps, vous commencez à comprendre quels sujets vous intéressent le plus, quel vecteur de développement vous souhaitez choisir. En ce moment, je suis le plus intéressé par les attaques APT complexes. Après tout, différentes choses se produisent. Certains satellites tentent de pirater. C'est vraiment très intéressant. Toute détection heuristique est toujours intéressante. Et tout ce qui concerne la recherche de vulnérabilités. Ici, vous regardez le code et comprenez où il peut y avoir des vulnérabilités potentielles zero-day. Si vous trouvez le jour zéro, votre prestige augmente.
LK: Mais ce n'est plus une analyse de fichiers suspects? Où recherchez-vous les vulnérabilités zero-day?
Nikita: Non, ce n'est pas dans des fichiers suspects. C’est comme un hobby.
LK: Vous avez donc encore du temps pour un passe-temps?
Nikita: Eh bien, il est temps pour un passe-temps. Malheureusement, cela ne suffit pas. Étude. Parfois, il s'avère jouer CTF, parfois chercher des vulnérabilités. Et de quelle façon je vois ... Alors je veux le faire. Tout d'abord, acquérez de l'expérience, puis comprenez déjà où aller spécifiquement. Dans quels départements. En général, l'objectif ultime est de devenir le leader du RnD. Mais en fait, je déciderai d'un domaine spécifique après avoir acquis une expérience diversifiée. Dans un avenir proche - dans un an pour atteindre le niveau moyen.
LK: Comment aimez-vous l'équipe?
Nikita: Dans virlab? Eh bien, d'abord, quand vous arrivez dans un nouvel endroit, vous appuyez un peu. Tu es un peu timide. Mais avec le temps, tout s'est calmé, quand j'ai commencé à pomper directement dans la connaissance, j'ai appris à connaître tous les gars. Nous jetons tout entre nous là-bas, des blagues professionnelles, des mèmes, discutons des moments de travail. Autrement dit, normalement, je me suis joint à l'équipe. Et il y a des intérêts communs. Quelqu'un veut aussi évoluer dans le même sens que moi, évoluer avec eux, en général, juste trouver un langage commun.
"LK": vous lisez des documents supplémentaires sur une spécialité. Suivez l'actualité. Et que lisez-vous exactement des ressources?
Nikita: J'ai beaucoup lu, car dans la sécurité de l'information, il faut constamment rester dans le sujet. Après tout, non seulement nous détectons de nouvelles menaces. Il y a tout le temps des vulnérabilités, de nouvelles attaques. Toute formation, mais avancée. Parfois, cela aide directement à répondre aux incidents. Qu'est-ce que je lis exactement? Eh bien, la source principale est le Hacker. J'ai ensuite lu toutes sortes d'articles sur Habré. Parfois du bac à sable. Parfois, je regarde des rapports de conférences passées sur des sujets liés à la sécurité de l'information. Il DEFcon, BlackHat. J'essaie de lire plus en anglais, car la plupart de la littérature est encore en anglais.
LK: Avez-vous travaillé pendant plus de six mois maintenant et êtes-vous toujours intéressé par cela? Une routine ne déçoit-elle pas?
Nikita: Intéressant! En général, si nous approchons déjà de certaines conclusions de mon histoire, je tiens à dire que nous devons clairement atteindre notre objectif. Je me suis donc fixé un objectif. Excellent objectif, disons-le. Et je vais vers elle. Je comprends ce dont j'ai vraiment besoin, quand je fais de petits pas et quand je saute par-dessus plusieurs pas. C'est arrivé avec SafeBoard - quatre mois plus tard, d'un stagiaire, il est devenu analyste viral junior. Et vous devez comprendre que si le destin vous donne des chances, vous devez les saisir. Parce que si vous ne les prenez pas, le destin se détournera de vous, et c'est tout, il n'y aura aucune chance, et vous vous reprocherez toute votre vie de ne pas en profiter. Et vous devez travailler sur vous toute la journée (je comprends que c'est difficile, je veux faire une promenade). Mais il vaut mieux travailler maintenant - alors ce sera plus facile. Si vous allez constamment à cet objectif et prenez des risques, alors tout ira bien. Nous devons travailler, travailler dur.
"LK": Nikita, personne ne croira que tu dis ça tout seul. Ils diront que les RH vous ont forcé à terminer le discours avec un discours motivant.
Nikita: Et si je le pense vraiment?
"LK": Eh bien, le succès pour vous, le plus important, ne brûle pas de la charge.
Maintenant, au fait, cela continue, ou plutôt, le recrutement pour le prochain programme de stages de Kaspersky Lab est déjà terminé. Donc, si vous voulez, comme Nikita, consacrer votre future profession à la lutte contre le mal informatique, alors il est temps de postuler. Cinq domaines sont disponibles: recherche sur les menaces, développement, tests, analyse et administration du système. En savoir plus
ici sur la page du programme.