Artyom Moskovsky est un chasseur de sacs, un pentester et un homme de sécurité qui veut immédiatement poser la question embarrassante "combien gagnez-vous?" L'année dernière, il a reçu la plus grande récompense de l'histoire de Valve - 20 000 $ et 25 000 $ pour deux vulnérabilités majeures sur Steam et 10 000 $ pour les petits bugs.
Nous avons correspondu pendant plusieurs jours, et Artem a expliqué comment il avait commencé à faire son propre truc, quelles compétences étaient nécessaires pour cela et s'il attirait avec un tel talent du côté obscur.
En 2006, quand j'avais 9 ans, j'ai eu le premier PC, et j'ai inconsciemment décidé que je tournerais dans l'informatique. Jusqu'à la 10e année, il était orienté vers la programmation. Après, lorsque les premiers succès sont apparus dans le secteur de l'information, j'ai décidé que la sécurité était plus intéressante.
Tout a commencé par un banal: il fallait faire un site pour le clan dans le jeu Jedi Academy. Ensuite, le choix s'est porté sur le bon vieux uCoz, mais l'idée de «rendre les sites Web cool» est restée. J'ai regardé les cours "spécialisés" PHP. Dans le même temps, il s'est accroché à antichat et à d'autres forums thématiques, lisant des articles sur des vulnérabilités typiques. C'était juste intéressant.
Les années ont passé et j'étais toujours à la recherche de moi-même et cela m'a conduit à la publicité. Ensuite, j'ai utilisé un grand réseau publicitaire pour arbitrer le trafic. Eh bien, en l'utilisant, j'ai malheureusement mis à jour les statistiques et j'ai été découragé par le manque de leads. Si je me souviens bien maintenant, mes yeux ont saisi les paramètres de date dans la demande de statistiques. Quelques mouvements gracieux des doigts, et une fenêtre modale apparaît dans la fenêtre du navigateur - c'était XSS. J'ai écrit en soutien et après une heure, mon solde sur le site montrait déjà 300 $. Puis en 10e année, ayant gagné le premier argent "sérieux", je me suis dit - oui, c'est mon sujet. Sur cette charge de motivation au cours du mois prochain, j'en ai fait dix fois plus, aidant les sites publicitaires des réseaux à devenir plus sûrs.
Maintenant, je vis à Odessa, j'étudie à l'Université polytechnique d'Odessa et je me spécialise en informatique. Mais mes activités sur Internet ne devraient pas être liées à une université. Il n'a pas particulièrement affecté cela. Depuis près de trois ans, je travaille comme pentester à plein temps. Mais pour une bonne vie, la chasse aux sacs suffirait.
- Alors tu n'as pas arraché le toit de ta fraîcheur? Comme putain de boulot, je vais faire ça.- Cela n'a pas frustré, mais un certain changement s'est produit. Ressenti indépendant du système.
- Pourquoi êtes-vous allé étudier et travailler? Il s'agit d'un système, et pas particulièrement efficace.- C'est une chose de faire partie du système, une autre chose d'en dépendre. L'université et le travail sont un moyen facile de trouver des personnes et des amis partageant les mêmes idées.
À plein temps, je travaille quatre jours par semaine. Je ne recherche des vulnérabilités que lorsqu'il y a une humeur, donc cela s'avère plutôt instable. Mais si vous comptez un an, les bugs sortent pour gagner beaucoup plus.
- Vous endormez-vous avec des offres après vos histoires?Oui, les offres viennent. Ce dernier était dans une bonne entreprise internationale pour le poste d'expert en sécurité des applications.
En 2018, Artem a trouvé une vulnérabilité sur Steam. Il a fait tourner l'injection SQL dans la base de données sur la page pour les partenaires et a trouvé la possibilité de télécharger des clés pour n'importe quel jeu.
Il a écrit en détail sur le processus ici .
«Un fichier a été généré avec 36 000 clés du jeu Portal 2. Wow.
Ce n'est que dans un jeu que ce nombre de clés. Et tous les ensembles en ce moment plus de 430 000. Ainsi, en triant les valeurs de keyid, un attaquant potentiel pourrait télécharger toutes les clés jamais générées par les développeurs de jeux Steam »
«Après 5 heures, la vulnérabilité a été corrigée, mais le statut trié a été accepté après 8 heures et, bon sang, pour moi, il a été très difficile de 3 heures pour lesquelles mon cerveau a réussi à survivre aux étapes du déni à l'acceptation.
La vulnérabilité n'ayant pas été désignée comme acceptée, je pensais que la ligne n'avait pas encore atteint mon rapport. Mais ils ont corrigé le bogue, ce qui signifie qu'ils auraient pu l'enregistrer avant moi.
Maintenant, si vous comptez tout l'argent pour les vulnérabilités de Valve, vous obtiendrez 55 mille. Je pense investir dans quelque chose, mais je n'ai pas encore décidé.
"Quelle est la bonne chose à appeler votre profession?"Baghanting. Des problèmes surviennent lorsque vous essayez d'expliquer à des non-informaticiens ce que vous faites. Le mot pirate est le plus proche d'eux. Je ne suis pas à l'aise de le dire, car, dans mon esprit, ce mot a été utilisé par des écoliers qui menaçaient de casser votre VK ou de calculer par ip. Par conséquent, ma réponse habituelle, «Eh bien, comme un pirate informatique», s'accompagne d'un regard maladroit sur le sol.
- Quel type de compétence est nécessaire pour cela?Comprendre comment les choses fonctionnent. Le résultat de la précédente sera de comprendre quelles vulnérabilités peuvent être présentes dans leurs implémentations. J'aime dans la chasse aux sacs que je dois faire face à différentes technologies. Cela élargit vraiment vos horizons en largeur. Après un certain temps, l'expérience, l'intuition apparaît, et vous avez déjà dans votre tête des menaces de modèle pour l'application à l'étude.
J'utilise presque toujours Python car il est léger et beau. Mais si vous avez besoin d'une sortie sur le Web, je recourt à PHP. Maintenant, par exemple, j'automatise certaines tâches de renseignement. L'interface Web s'exécute localement en PHP - sortie et gestion des tâches, et les tâches elles-mêmes sont envoyées aux "agents" Python, qui sont hébergés sur quelques VDSocs.
Parfois, lorsque j'écris quelque chose à la hâte et non en sécurité, je peux me permettre d'injecter des injections dans ce «produit», mais ce n'est plus choyer.
- Choisissez-vous une cible depuis longtemps?J'aime rechercher les vulnérabilités dans ce que j'utilise moi-même. Une sorte de défi se fait sentir, la motivation apparaît. Parfois, vous savez même qu’ils ne vous paieront pas, peut-être qu’ils ne répondront même pas, mais c’est juste intéressant.
Si vous choisissez un programme public sur X1 qui paye des bogues depuis plusieurs années, vous ne devez pas compter sur XSS dans le champ de recherche. Soit aller plus loin là où la majorité n'atteint pas, soit trouver un vecteur auquel la majorité n'a pas pensé.
Avant l'histoire de Valve, Artem a décrit comment il avait trouvé une vulnérabilité dans l'un des pools pour l'extraction conjointe de crypto-monnaie - juste à un moment où tout le monde était fou des blockchains et de la croissance du bitcoin.
Il a trouvé un moyen de contourner l'identification à deux facteurs et de prendre possession de tout compte dans la demande. Pour le rapport, Artem a reçu un bitcoin - à ce moment-là, 18 000 $. Réfléchir à combien cela coûte à Artem est probablement plus douloureux que la plupart d'entre nous.
Mise à jour: voici un paragraphe avec une histoire sur une grande entreprise chère. Il a dû être supprimé, car toutes les grandes entreprises coûteuses ne sont pas reconnaissantes lorsqu'elles signalent des vulnérabilités.
- Les trempettes sont-elles difficiles à donner?Je n'appellerais pas cela des échecs. L'échec, c'est quand vous vous fixez un objectif: ici je vais chez Uber et trouve RCE, ils paient Stomilien. À mon avis, l'objectif correct est de comprendre l'infrastructure de l'entreprise, de comprendre les fonctionnalités de l'application Web, la façon dont ses parties interagissent les unes avec les autres et de vérifier divers cas. C'est une tâche tout à fait réalisable, qui est dans la zone de votre influence. La présence de vulnérabilité est déjà en dehors de cette zone, donc se fixer un tel objectif, c'est d'abord se moquer de soi.
Si je sens que je n'ai aucune idée où aller plus loin, je me donne généralement quelques jours pour me laisser distraire, me détendre. Et puis, revenez avec de nouvelles idées ou passez à un autre objectif. Soit dit en passant, il vaut la peine de rechercher des bogues uniquement lorsqu'il y a une humeur, se forcer n'est pas efficace. Ainsi que dans tout le reste.
- Selon vous, quels sont les moyens les plus efficaces, techniques ou sociaux?Regarder quoi. Les chasseurs de bagues ne sont pas payés pour les services sociaux, peut-être même punis. Dans les attaques réelles, les deux sont utilisées.
- Un bon agent de sécurité devrait avoir une expérience de piratage?Eh bien, si une expérience de pirate n'est pas conditionnelle à 2 ans, mais la capacité de dérouler les injections et de trouver XSS, alors oui. Bon, je pense que ça devrait.
- Votre travail est une telle chose, où il a fonctionné ou non. Ou peut-il être fait qualitativement et mal?- Si vous voulez dire pentest, alors oui, vous pouvez le faire qualitativement, mais vous ne pouvez pas. Les critères dépendent de la situation: de la conception du rapport et de l'exhaustivité des recommandations, au nombre de vulnérabilités et à leur criticité.
- Percevez-vous la sécurité comme des ennemis ou des collègues?- Comme des collègues. Je me considère moi-même comme un coffre-fort.
- Vous sentez-vous supérieur aux développeurs conventionnels?Les développeurs sont différents. Je me sens vraiment supérieur à ceux qui concaténent les entrées des utilisateurs avec une requête SQL. Et si nous prenons toute la sphère, c'est difficile à dire, parce que je suis d'une manière ou d'une autre un acteur dans les deux.
De temps en temps, je pense à la création et au développement de mes propres services et outils intéressants dans le domaine de la sécurité de l'information. Par conséquent, souvent je suis juste en train de «créer». Jusqu'à présent, tout est pour moi, mais peut-être que le monde verra mes créations.
Que ferais-je si le monde était parfaitement adapté et que la sécurité cessait d'être nécessaire? Je choisirais entre travailler dans Uber et YandexTaxi.
Mais sérieusement, mes compétences seraient suffisantes pour travailler comme programmeur moyen. En général, je ne vois pas la difficulté de trouver un emploi en informatique, si vous avez déjà des horizons, vous approfondissez simplement vos connaissances sur ce qui est le plus intéressant.
- Si vous étiez en train d'écrire un programme de formation de hackers / chasseurs de sacs, quels sujets y aurait-il?Programmation Anglais - toutes les informations pertinentes en anglais. Littérature - lecture des rapports de X1. L'anonymat. Éducation physique - en cas de Pativen si mauvais avec anonymat. Bon - si c'est mauvais avec l'éducation physique.
- J'ai vu dans les commentaires qu'on vous a demandé pourquoi vous n'allez pas du côté obscur. Si vous ne riez pas, alors vraiment - pourquoi?Le sommeil paisible et l'harmonie intérieure sont plus importants que n'importe quel argent.
"Si vous traversiez, seriez-vous un bon criminel?"Oui, je le prendrais aux riches et le donnerais aux pauvres. Si jamais je me fais prendre, il est fort probable que je viens de signaler un bug sans succès et de façon anonyme à une entreprise qui n'a pas de prime officielle et qui ne répond pas bien à l'aide extérieure. Eh bien, si je suis un bon criminel, vous ne le saurez pas.