Alguns cidadãos de Habrovsk acreditam que os funcionários da Kaspersky Lab são clonados em laboratórios secretos ou criados desde a infância, você sabe onde. Decidimos investigar esse problema com mais detalhes e capturamos vários jovens colegas para entrevistas. Descobriu-se que não, são pessoas bastante vivas e, entre elas, amostras extremamente curiosas. Por exemplo, Nikita Kurganov, uma recente adição à equipe da AMR (Pesquisa Anti-Malware), é um entusiasta guarda de segurança que veio para a profissão desde o quarto ano de Baumanka.
Em menos de um ano, ele se tornou um pesquisador profissional de ameaças de um entusiasta do esporte como o capture the flag (CTF) e não planeja parar por aí. Agora, esse louco (no bom sentido da palavra) combina estudo em tempo integral com uma semana de trabalho de quarenta horas em tempo integral de um analista viral. Por isso, decidimos perguntar como ele chegou a essa vida - caso alguém dos leitores locais precise de sua experiência. A propósito, o título é uma citação de Nikita. Então ele respondeu à pergunta "como você vê sua futura carreira".
LK: Diga-me desde o início, como você teve a ideia de segurança?
Nikita: Eu vim originalmente para Baumanka no Departamento de Segurança da Informação. Porque a segurança da informação é a direção mais promissora. Sempre será, o que se possa dizer. E quanto mais tecnologias de informação forem desenvolvidas, mais haverá quem queira roubar informações e mais difícil será proteger essas informações. Portanto, eu queria lidar com essa área em particular. Além disso, todos os tipos de histórias de horror sobre hackers foram lançados. Era interessante o que se tratava, pensei, talvez também possa fazer algo nesta área ...
Especificamente, como cheguei aos aspectos práticos da segurança da informação é outro tópico. Temos nossa própria equipe de CTF em Baumanka, estou presente desde o segundo ano. Antes de falar em competições no ano passado (em geral, toda a história do meu progresso na carreira começou no ano passado), decidi descobrir quais são as tendências gerais e tendências em segurança da informação e fui estudar diferentes "escolas de verão" em segurança da informação. Então vi as notícias sobre o Kaspersky Summer Lab, que foram realizadas apenas uma vez. Lá, ao longo de sete dias, eles me disseram quase tudo o que eu queria ouvir e finalmente percebi que queria ser engenheiro reverso ou se envolver em computação forense, ou seja, forense.
Depois disso, descobri o programa de estágio SafeBoard e decidi me inscrever. Normalmente, eu passava pela fase de testes on-line, resolvia o problema do crackme e depois ia para o hackathon. Lá, ele inicialmente decidiu pela direção forense, ficou interessado em recrutar para o departamento que lida com a resposta a incidentes.
Após o hackathon, eles me disseram que, em princípio, eu passo, mas havia áreas diferentes, incluindo teste e análise de sistema. Mas eu tinha certeza de que queria fazer segurança da informação. Depois disso, houve cursos gerais nos quais rapidamente recebemos os conhecimentos básicos sobre desenvolvimento, teste, análise analítica e pesquisa de ameaças. Mas eu já fui propositalmente para a AMR, queria ser um revisor, um pesquisador de vulnerabilidades.
Mas quando eles começaram com a entrevista, aconteceu de alguma maneira que eu não fui à minha especialidade interessante para mim. Muitas delas, essas entrevistas, provavelmente 10 peças. De acordo com a segurança da informação, havia quatro, para o grupo de análise heurística, para redes de bots e também para forense. Cheguei às etapas finais da seleção, quando você está sentado, aqui está o gerente do departamento e você está resolvendo tarefas diretamente com ele. E eu não fui à AMR, em lugar nenhum. Em geral, a segurança não funcionou.
LK: E como você acabou na AMR?
Eu já entendi que não queria sair da Kaspersky. Me ofereceram para ir ao departamento de testes enquanto eu fazia um estágio, no departamento de desenvolvimento interno. Nossa equipe estava envolvida na publicação de serviços de lançamento. Eu trabalhei lá por dois ou três meses, mas após o primeiro mês percebi que o teste não era meu e comecei a procurar algo na AMR. E uma vez em um portal interno, vi uma vaga de um analista viral júnior em um laboratório viral. E eu decidi me inscrever. Bem, porque não?
Nesse sentido, entrei em contato com RH, eles me enviaram tarefas. Ou seja, além de estudar na universidade, resolvi simultaneamente as tarefas de qualificação no virlab, necessárias para atingir pelo menos a fase da entrevista, bem, eu estava envolvido nos principais testes de trabalho. A tarefa foi difícil, mas muito interessante. A propósito, foi um crackme da conferência Zero Nights de 2017. Como se viu depois, foi escrito pelo meu futuro mentor no virlab. Eu resolvi por três noites, eu realmente gostei. Bem, em geral, o objetivo principal era ir ao virlab, meus olhos estavam pegando fogo. Fiz um relatório, enviei para mim e uma semana depois, já em março, eles agendaram uma entrevista.
Além disso, geralmente é interessante - eu vim, e meu mentor direto e chefe de departamento estão sentados lá. Todas as mesmas perguntas são feitas sobre o mesmo. Nós discutimos crackme. E então eles me colocaram na frente do computador, me deram um pequeno arquivo e disseram: você tem 10 minutos e precisa nos dizer o que essa coisa faz. E aí está apenas a lista dos montadores. E tenho que contar especialmente sem hesitar, apenas olhando a lista e comentando ao longo do caminho. Para mim, foi, em primeiro lugar, incomum e, em segundo lugar, um choque.
Eu analisei tudo em ordem. Como se viu, era algum tipo de adaptador para baixar malvari por lá, fiquei confuso ao longo do caminho, descobri, eles me levaram a certos pensamentos. Aconteceu que eu lidei com ele em 10 minutos, contei em pedaços o que estava acontecendo lá. Ele me disse de onde o malware foi bombeado, por que ele foi bombeado, todos os tipos de sutilezas. Então a entrevista terminou e a espera começou. Logo eles me escreveram - eles dizem que você está indo para uma posição. E no final de maio eles estão prontos para se inscrever no estado.
E aqui foi provavelmente a escolha mais difícil para mim. Será possível combinar isso com a universidade? Mas eu dei esse passo. Percebi que a posição é linda, exatamente o que eu sempre quis. Entendo que sim, será incrivelmente difícil de combinar. Mas se o destino lhe der essa chance, você precisará aproveitá-la. Essa é a verdade. Para que não houvesse pensamentos posteriores "o que aconteceria se ...". Para não me arrepender toda a minha vida. E por assim dizer, fui all-in. Sem nem mesmo saber qual será o cronograma.
E durante todo o verão em que trabalhei, estudei e entrei no curso. Antes de entrar em uma posição no virlab, quando os aplicativos chegam até você e você analisa tudo diretamente, você deve passar por um período de avaliação de três meses. Ou seja, você é atualizado, é informado sobre como a AMR funciona, como usar ferramentas, o que procurar ao analisar, como fazê-lo rapidamente, bem, eles revelam todas as nuances do virlab. Em algum momento, pensei que não poderia fazê-lo, mas, como se vê agora, posso combiná-lo. Ou seja, universidade e trabalho.
"LK": E o que você está na universidade agora?
Nikita : Estou no meu quarto ano. Mais dois anos para estudar. No sexto ano, saio da universidade com um diploma em segurança de computadores. Mas isso de fato não tem nada a ver com o contrário. Estes são métodos matemáticos para proteger as informações.
"LK": Você planeja estudar mais depois? Mestre?
Nikita : Bem, não faz muito sentido. Agora temos uma especialidade, é como um bacharel e um mestrado. Ou seja, se você for, então se formar. Mas não quero ir para a pós-graduação, quero aplicar as coisas. Na ciência, não, eu não quero.
LK: Um analista viral é o mesmo pica-pau. Ele trabalha em turnos, empilha vários arquivos malvari e suspeitos e senta e oca o código. Então
Nikita : Código Dolbit, sim. Mas não é só isso. Ou seja, a maior parte do trabalho é realmente que sentamos e analisamos o código. Muitas aplicações chegam até nós, os chineses podem enviar 50 arquivos à noite, esta é uma situação normal. Além disso, ainda escrevemos nossas heurísticas, ou seja, detecções heurísticas. Melhoramos o trabalho do fluxo, ou seja, acumulamos amostras, pensamos em como melhorar a análise no fluxo, escrevemos nossos utilitários internos. Ou seja, de fato, também estamos envolvidos no desenvolvimento, até certo ponto. Além daquelas que outros departamentos escrevem para nós.
Mas, de fato, somos como algum tipo de apoio viral. Malvari voa para nós, agregamos, processamos e distribuímos entre departamentos. Esse malware está no departamento de análise heurística, no antispam, nas botnets. Aqui temos um ponto de transbordo - a primeira linha. Também estamos fazendo algumas outras coisas que servem para melhorar a análise, mas na verdade - sim. Nós martelamos o código.
LK: E quantas horas há turnos?
Nikita : Troque por 8 horas. Há noites, mas, felizmente, não conosco. Temos manhã e noite. E quando é noite em Moscou, um turno funciona em Vladivostok. Ou seja, temos de fato dois locais principais. Vladivostok e Moscou.
"LK": E como tudo se encaixa na sua agenda na universidade?
Nikita : Por incrível que pareça, era quase sem perdas. Ou seja, sinto falta de cinco por cento do poder. Aconteceu que o cronograma correu perfeitamente e a gerência fez concessões no cronograma. Ou seja, tenho um horário de trabalho de cinco dias, mas é distribuído. Durante três dias, trabalho no turno da manhã e dois dias à noite. E graças a esse equilíbrio, eu combino com sucesso estudo e trabalho. Isto é, é claro, você sacrifica seus dias de folga, não pode ir a algum lugar. Mas o objetivo é ótimo! Eu quero ser legal. E para se tornar legal, você precisa arar. Vou tirar férias para a sessão. Mas quão diferente?
LK: Em geral, como você vê o seu caminho mais longe? Agora você é analista, ganha experiência, mas a AMP tem um departamento grande e está envolvido em várias coisas.
Nikita: Eu entendo sim. Em geral, o início do trabalho em segurança da informação da virlaba é ideal. Porque analisamos todos os tipos de malware, do Android ao Linux. Às vezes, os ataques do APT são enviados a nós pelo departamento GREAT. E todos nós analisamos isso. Com o tempo, você começa a entender quais tópicos são mais interessantes para você, qual vetor de desenvolvimento você deseja escolher. No momento, estou mais interessado em ataques complexos do APT. Afinal, coisas diferentes acontecem. Alguns dos satélites estão tentando invadir. Isso é realmente muito interessante. Qualquer detecção heurística ainda é interessante. E tudo relacionado à busca de vulnerabilidades. Aqui, você analisa o código e entende onde podem existir vulnerabilidades potenciais de dia zero. Se você encontrar o dia zero, seu prestígio estará aumentando.
LK: Mas isso não é mais uma análise de arquivos suspeitos? Onde você procura vulnerabilidades de dia zero?
Nikita: Não, não está em arquivos suspeitos. É como um hobby.
LK: Então você ainda tem tempo para um hobby?
Nikita: Bem, há tempo para um hobby. Infelizmente, não é suficiente. Estudo. Às vezes, ele toca CTF, às vezes, procura por vulnerabilidades. E para que lado eu vejo ... Então eu quero fazer isso. Primeiro, adquira experiência e depois já entenda para onde ir especificamente. Em quais departamentos. Em geral, o objetivo final é se tornar o líder da RnD. Mas, de fato, decidirei sobre uma área específica depois de ganhar experiência diversificada. No futuro próximo - em um ano para subir para o nível médio.
LK: Como você gosta do time?
Nikita: No virlab? Bem, primeiro, quando você chega a um novo lugar, pressiona um pouco. Você é um pouco tímido. Mas com o tempo, tudo se acalmou, quando comecei a bombear conhecimento diretamente, conheci todos os caras. Jogamos tudo um para o outro lá, piadas profissionais, memes, discutimos momentos de trabalho. Ou seja, normalmente entrei para a equipe. E há interesses comuns. Alguém também quer se desenvolver na mesma direção que eu, para desenvolver com eles, em geral, apenas encontrar uma linguagem comum.
"LK": você está lendo alguns materiais adicionais em uma especialidade. Acompanhe as novidades. E o que exatamente você está lendo dos recursos?
Nikita: Eu leio muito, porque na segurança da informação é preciso permanecer constantemente no assunto. Afinal, não apenas captamos novas ameaças. O tempo todo existem algumas vulnerabilidades, alguns novos ataques. Qualquer treinamento, exceto avançado. Às vezes, ajuda diretamente a responder a incidentes. O que exatamente eu estou lendo? Bem, a principal fonte é o Hacker. Depois li todos os tipos de artigos sobre Habré. Às vezes da caixa de areia. Às vezes, assisto relatórios de conferências anteriores sobre tópicos de segurança da informação. Há DEFcon, BlackHat. Eu tento ler mais em inglês, porque a maior parte da literatura ainda é em inglês.
LK: Você trabalha há mais de seis meses e ainda está interessado nisso? Uma rotina não decepciona?
Nikita: Interessante! Em geral, se já estamos chegando a algumas conclusões da minha história, quero dizer que precisamos ir claramente ao nosso objetivo. Então, eu estabeleci uma meta para mim. Grande objetivo, digamos que sim. E eu vou com ela. Entendo o que realmente preciso, e quando dou pequenos passos, e quando pulo vários passos. Aconteceu com o SafeBoard - quatro meses depois, de um estagiário, ele se tornou um analista viral júnior. E você precisa entender que, se o destino lhe der alguma chance, será necessário aproveitá-la. Porque se você não os tomar, o destino se afastará de você, e isso é tudo, não haverá chance, e você se censurará toda a sua vida por não tirar proveito deles. E você tem que trabalhar em si mesmo o dia todo (eu entendo que é difícil, quero dar um passeio). Mas é melhor trabalhar agora - então será mais fácil. Se você constantemente atingir esse objetivo e se arriscar, tudo ficará bem. Temos que trabalhar, trabalhar duro.
"LK": Nikita, ninguém vai acreditar que você está dizendo isso tudo sozinho. Eles dirão que o RH forçou você a terminar o discurso com um discurso motivador.
Nikita: E se eu realmente penso assim?
"LK": Bem, o sucesso para você, mais importante, não se exime da carga.
Agora, a propósito, continua, ou melhor, o recrutamento para o próximo programa de estágio da Kaspersky Lab já está terminando. Então, se você quiser, como Nikita, dedicar sua futura profissão à luta contra o mal dos computadores, é hora de se inscrever. Cinco áreas estão disponíveis - pesquisa de ameaças, desenvolvimento, testes, análise e administração de sistemas. Leia mais
aqui na página do programa.