Узнавайте первыми о новостях в нашем Telegram-канале

Хакеры между тьмой и светом. Беседы с KHS community

22 апреля 2019

4 мин

Пропустить возможность побеседовать с группой KHS community, пока они еще в Алматы - этого блюскрин.кз никогда бы себе не простил. Мы вытащили ребят во дворик паба Lenor буквально за полчаса до старта очередного выступления группы по этичному хакингу. Беседа проходила на фоне постоянно прибывающих участников, количество которых явно удивило даже самих организаторов.

Блюскрин.кз удалось побеседовать со всем активным ядром группы: Максим Ефименко, Жамиля Бактыгалиева, Бауыржан Дюсекеев. Фото Алишера Моисеева для блюскрин.кз

И тут стоит, наверное, отметить то спокойствие и дружелюбие, с которым команда отнеслась к беседе и вообще, ко всему происходящему. "Эксперименты - это всегда интересно!" - вполне красноречиво выразился по этому поводу наш первый спикер c очень известным ником slider. В целом, нам удалось побеседовать со всем активным ядром группы: с Максимом Ефименко @sliderr (Астана), Жамилей Бактыгалиевой @zhvmilv из Уральска и павлодарцем Бауыржаном Дюсекеевым @Thatskriptkid. Для удобства ответы ребят мы вложили в уста одного общего собеседника.

Блюскрин.кз ведет репортаж об алматинском туре KHS community в пабе Lenor. Фото Рустама Ниязова для блюскрин.кз
Полный зал в ожидании KHS community

Как родилась идея организовать тур по городам?

Всё началось со встреч в так называемом формате 2600. Название произошло от частоты 2600 Гц, с которой передавался сигнал в американских телефонных сетях. Это известный формат встреч хакеров по всему миру.

Максим Ефименко рассказывает Блюскрин.кз о сути белого хакинга. Фото Алишера Моисеева для блюскрин.кз
Максим Ефименко, он же slider

Наш первый митап состоялся 1 декабря 2017 года в Астане. Основной темой докладов стала, естественно, информационная безопасность. Встречи быстро стали популярными, встал вопрос о распространении формата 2600 и на Алматы. Благодаря анонсам конференции на каналах https://t.me/cyberseckz и https://t.me/khscommunity, появилась ощутимая потребность выступать в регионах, нас там знали и ждали. Весьма показателен случай с кызылординскими ребятами, которые "прокачались" на наших онлайн-стримах с митапов, и получили международный сертификат OSCP (Offensive Security Certified Professional).

Бауыржан Дюсекеев рассказывает Блюскрин.кз о важности знания языков программирования.. Фото Алишера Моисеева для блюскрин.кз
Бауыржан Дюсекеев, он же Thatskriptkid

Так идея туров окончательно оформилась в концепт сообщества этичных хакеров. И последовало общее решение - туру KHS быть! Был выбран и первый пункт поездки - Караганда. Сразу же оговоримся, что в наш концепт, кроме самого трипа и локальных встреч, входят следующие компоненты: образовательная программа, формат CTF, воркшопы и так называемый “Hall of Fame/Баги за баунти” (смотрите всю информацию по теме KHS в конце материала).

Что показало выступление в Караганде?

В первую очередь - неожиданно сильная потребность людей в обучении и освоении ИБ.  К нашему удивлению, пришло примерно 70-80 человек. Публика оказалась необычайно живой, готовой к дискуссиям. Студенты, сотрудники различных компаний, программисты, хакеры и гики - все они задавали верные и интересные вопросы. Это был отличный старт, который вдохновил нас, дал столь необходимую обратную связь.

С какими вопросами приходили люди?

Каждый наш доклад был по-своему уникален, посвящен тому или иному аспекту безопасности, соответственно, и вопросы были разнообразные. Вот из ряда классических: как взломать Wi-Fi? Чаще всего обсуждались реальные ситуации. Делились опытом, рассказывали как справиться с проблемой.

Жамиля Бактыгалиева - главный коммуникатор и организатор KHS. Из интервью. Фото Алишера Моисеева для блюскрин.кз
Жамиля Бактыгалиева, @zhvmilv

Назовите тройку главных проблем казахстанских сайтов и сервисов в сфере безопасности.

Получится не три, а гораздо больше. Неверная серверная настройка, в том числе старое ПО. Чаще всего встречаются необновленные CMS (Системы для создания и управления веб-сайтами - Прим. ред.), уязвимые модули и банальные ошибки в коде, которые приводят, например, к SQL injection (Одна из распространённых точек взлома сайтов и программ, работающих с базами данных - Прим. ред.). Далее следует проблема слишком простых паролей, которые легко перебрать.

В случае с локальными сетями к беде может привести устаревшая версия прошивки роутера, отключенные обновления для операционных систем. Из-за чего, кстати говоря, чаще всего и используется уязвимость в SMB (Сетевой протокол для удаленного доступа к ресурсам и принтерам - Прим. ред.).

Алматинский тур KHS community в пабе Lenor. Алишера Моисеева для блюскрин.кз
Алматинский тур KHS community в пабе Lenor

Сюда же относится плохая осведомленность администраторов и модераторов, отсутствие "капчи", приводящая к утечке данных. Остальные проблемы аналогичны тем, что возникают во всем мире, их можно увидеть в списке OWASP top 10.

Но ведь должна быть какая-то специфика в решении проблем в ИБ?

Для нас не характерны какие-то особые проблемы. Возможно, есть отличие в уровне ответственности за ИБ. В других странах за небезопасное хранение персональных данных населения ответственные организации штрафуют . У нас такие меры наказания отсутствуют (Подробнее о таких случаях см. здесь - Прим. ред.).

Чтобы вы посоветовали начинающим хакерам?

Максим Ефименко: Изучайте языки программирования. Не столь важен выбор языка, сколько умение эффективно его применять. Стоит отметить прочные позиции Python в среде программистов. Актуален Golang - компилируемый многопоточный язык, который отличается высокой скоростью работы.

Совет Максима Ефименко: Изучайте языки программирования! Фото Алишера Моисеева для блюскрин.кз

В освоении ИБ поможет вам и Rust - мультипарадигмальный компилируемый язык программирования общего назначения. Учитесь комбинировать различные уязвимости для достижения лучшего результата. Делитесь знаниями и опытом с другими, это способствует пониманию проблемы. Не останавливайтесь на одной теме и методе, ищите другие способы решения задач и проблем.

Жамиля Бактыгалиева: Посещайте мероприятия по практической ИБ, даже в онлайн-режиме. Интересуйтесь. Практикуйте. Решайте таски (root-me.org, hackthebox). Общайтесь.

Бауржан Дюсекеев: Для начала - стать программистом.

Рекомендуем посты блюскрин.кз на тему группы KHS:
Алматинский тур по этичному хакингу от команды KHS community
В Алматы впервые состоится воркшоп по этичному хакингу
Kaz’Hack’Stan всегда приходит после восьми
Ответы группы можно получить, подписавшись на канал: https://t.me/khscommunity.

Похожие материалы

Похожие материалы

Похожие материалы