Хакеры между тьмой и светом. Беседы с KHS community

Пропустить возможность побеседовать с группой KHS community, пока они еще в Алматы - этого блюскрин.кз никогда бы себе не простил. Мы вытащили ребят во дворик паба Lenor буквально за полчаса до старта очередного выступления группы по этичному хакингу. Беседа проходила на фоне постоянно прибывающих участников, количество которых явно удивило даже самих организаторов.

И тут стоит, наверное, отметить то спокойствие и дружелюбие, с которым команда отнеслась к беседе и вообще, ко всему происходящему. "Эксперименты - это всегда интересно!" - вполне красноречиво выразился по этому поводу наш первый спикер c очень известным ником slider. В целом, нам удалось побеседовать со всем активным ядром группы: с Максимом Ефименко @sliderr (Астана), Жамилей Бактыгалиевой @zhvmilv из Уральска и павлодарцем Бауыржаном Дюсекеевым @Thatskriptkid. Для удобства ответы ребят мы вложили в уста одного общего собеседника.

Как родилась идея организовать тур по городам?

Всё началось со встреч в так называемом формате 2600. Название произошло от частоты 2600 Гц, с которой передавался сигнал в американских телефонных сетях. Это известный формат встреч хакеров по всему миру.

Наш первый митап состоялся 1 декабря 2017 года в Астане. Основной темой докладов стала, естественно, информационная безопасность. Встречи быстро стали популярными, встал вопрос о распространении формата 2600 и на Алматы. Благодаря анонсам конференции на каналах https://t.me/cyberseckz и https://t.me/khscommunity, появилась ощутимая потребность выступать в регионах, нас там знали и ждали. Весьма показателен случай с кызылординскими ребятами, которые "прокачались" на наших онлайн-стримах с митапов, и получили международный сертификат OSCP (Offensive Security Certified Professional).

Так идея туров окончательно оформилась в концепт сообщества этичных хакеров. И последовало общее решение - туру KHS быть! Был выбран и первый пункт поездки - Караганда. Сразу же оговоримся, что в наш концепт, кроме самого трипа и локальных встреч, входят следующие компоненты: образовательная программа, формат CTF, воркшопы и так называемый “Hall of Fame/Баги за баунти” (смотрите всю информацию по теме KHS в конце материала).

Что показало выступление в Караганде?

В первую очередь - неожиданно сильная потребность людей в обучении и освоении ИБ.  К нашему удивлению, пришло примерно 70-80 человек. Публика оказалась необычайно живой, готовой к дискуссиям. Студенты, сотрудники различных компаний, программисты, хакеры и гики - все они задавали верные и интересные вопросы. Это был отличный старт, который вдохновил нас, дал столь необходимую обратную связь.

С какими вопросами приходили люди?

Каждый наш доклад был по-своему уникален, посвящен тому или иному аспекту безопасности, соответственно, и вопросы были разнообразные. Вот из ряда классических: как взломать Wi-Fi? Чаще всего обсуждались реальные ситуации. Делились опытом, рассказывали как справиться с проблемой.

Назовите тройку главных проблем казахстанских сайтов и сервисов в сфере безопасности.

Получится не три, а гораздо больше. Неверная серверная настройка, в том числе старое ПО. Чаще всего встречаются необновленные CMS (Системы для создания и управления веб-сайтами - Прим. ред.), уязвимые модули и банальные ошибки в коде, которые приводят, например, к SQL injection (Одна из распространённых точек взлома сайтов и программ, работающих с базами данных - Прим. ред.). Далее следует проблема слишком простых паролей, которые легко перебрать.

В случае с локальными сетями к беде может привести устаревшая версия прошивки роутера, отключенные обновления для операционных систем. Из-за чего, кстати говоря, чаще всего и используется уязвимость в SMB (Сетевой протокол для удаленного доступа к ресурсам и принтерам - Прим. ред.).

Сюда же относится плохая осведомленность администраторов и модераторов, отсутствие "капчи", приводящая к утечке данных. Остальные проблемы аналогичны тем, что возникают во всем мире, их можно увидеть в списке OWASP top 10.

Но ведь должна быть какая-то специфика в решении проблем в ИБ?

Для нас не характерны какие-то особые проблемы. Возможно, есть отличие в уровне ответственности за ИБ. В других странах за небезопасное хранение персональных данных населения ответственные организации штрафуют . У нас такие меры наказания отсутствуют (Подробнее о таких случаях см. здесь - Прим. ред.).

Чтобы вы посоветовали начинающим хакерам?

Максим Ефименко: Изучайте языки программирования. Не столь важен выбор языка, сколько умение эффективно его применять. Стоит отметить прочные позиции Python в среде программистов. Актуален Golang - компилируемый многопоточный язык, который отличается высокой скоростью работы.

В освоении ИБ поможет вам и Rust - мультипарадигмальный компилируемый язык программирования общего назначения. Учитесь комбинировать различные уязвимости для достижения лучшего результата. Делитесь знаниями и опытом с другими, это способствует пониманию проблемы. Не останавливайтесь на одной теме и методе, ищите другие способы решения задач и проблем.

Жамиля Бактыгалиева: Посещайте мероприятия по практической ИБ, даже в онлайн-режиме. Интересуйтесь. Практикуйте. Решайте таски (root-me.org, hackthebox). Общайтесь.

Бауржан Дюсекеев: Для начала - стать программистом.