Сегодня у меня вью с простым 21-летним пацаном, который выбрал немного другой путь. Это его блог на английском, а это визитка.
MaulNet: Итак, значит ты ну типа хакер?
Хакер: Вообще нет, я исследователь. Моя работа находить уязвимости, делать рисеч, но не эксплуатировать или делать кому-то «плохо».
Я – whitehat.
MaulNet: А какие языки ты знаешь и как вообще это началось?
Хакер: Я был «обычным» программистом. Началось давно, году в 2008, когда я читал бомжедвижение и SEO блоги. Все это казалось мутью для школьников (и сейчас кажется), поэтому я быстро перешел в обычный фриланс – делал скрипты/движки на PHP.
Постепенно это выросло в нечто большее, поработал фултайм на нескольких работах, переключился на Ruby.
Казалось бы конец и дальше остается только развиваться в этом направлении, но в марте 2012 я взломал популярный среди гиков сайт github.com. Тут в мозгах произошел сдвиг, и из создания систем я начал думать как их взламывать. Получалось весьма неплохо.
MaulNet: А это в Github тебя приглашали работать после взлома?
Хакер: Нет, именно с ними у меня отношения навсегда испорчены и работать с ними не получится никогда. После взлома пришло несколько десятков писем от больших компаний типа twitter, facebook, google и не очень. К счастью, я не пошел на фултайм и остался свободным консультантом – так я работаю гораздо продуктивней.
MaulNet: Прямо от всех пришло по приглашению? На рынке кадровый голод? И как они тебя нашли?
Хакер: Это обычная практика, когда кто-то «засветился» на хакер ньюс например (а топ 6 новостей там было про меня), то HRы начинают закидывать удочки. Поэтому программисты, много занимающиеся open source, получают от них предложения регулярно.
MaulNet: Короче говоря, с 2012-го ты начал консультировать?
Хакер: Не сразу, какое-то время я еще поработал в Skrill, но с начала 2013 года занимался только консультациями. Тогда и зарегистрировал компанию Sakurity.com – и теперь работаю не один.
MaulNet: Skrill – это платежка? Ты ее тоже взломал?
Хакер: Да, на нее обычно выводят деньги с odesk или при работе с покер сайтами. Это европейская версия пейпала.
Позвали работать после нахождения уязвимости, ага.
MaulNet: А чего все такое дырявое-то?
Хакер: Абсолютное большинство не вкладывает деньги в безопасность. Даже крутой программист оставляет за собой уязвимости, потому что мозги его работают в другом направлении. И хакеров, способных это найти, не так то много. Но они есть.
MaulNet: Ты проработал какое-то время в их европейском офисе?
Хакер: Два месяца в Софии всего.
MaulNet: Какая примерно зарплата?
Хакер: Обычная немецкая, порядка 50 тыс евро в год.
MaulNet: Тебя там не вдохновили перспективы или просто неинтересно, скучно?
Хакер: Да какие могут быть перспективы. В Европе все монотонно, все получают плюс-минус одинаковую ЗП, платят дикие налоги – не мое. На тот момент мне надо было бы в Штаты ехать.
MaulNet: А в Штатах что?
Хакер: Там крутятся деньги, есть крутые стартапы, в которых интересно работать. В долине все это.
MaulNet: Ладненько.
Значит потом ты поехал в эти Азии и начал консультировать?
Хакер: Ну да, с тех пор езжу по миру, но чаще в Азии. Год прожил в Бангкоке, но скоро надо двигаться дальше.
MaulNet: Сколько у тебя с тех пор было клиентов на консультации?
Хакер: Я не считаю, но уже больше 30. Дело не в количестве конечно, каждый клиент это разный объем заказа.
MaulNet: А в деньгах сколько в среднем получается один клиент?
Хакер: Если на пару дней, то в среднем 3-4k $. Если крупный заказ, то 10-20k.
MaulNet: Может стоит опустить расценки? Все же 30 клиентов за два года не так уж много. Или от этого клиентов не прибавится?
Хакер: Задачи много раньше и не стояло, я не нагонял на сайт трафик, старался найти свою нишу, работая один или с парой контракторов. Сейчас планы изменились, и я буду увеличивать объемы. Но цена не изменится, она полностью оправдана для того сегмента клиентов, который мне интересен. Пентестить блоги на вордпрессе за 50 баксов – это не к нам.
MaulNet: Расскажи, что из себя представляет средний клиент? Среди клиентов есть какие-нибудь известные IT-фирмы?
Хакер: Полно, можно посмотреть список на сайте для примера.
В клиентах есть и крупные платежные системы, но не все разрешают оглашать эту информацию. Для типичного рунет-юзера, правда, там мало кто покажется знакомым. В основном, это успешные стартапы из долины, в рунете о них никто не знает.
MaulNet: Как они тебя находят? Чаще через блог или по рекомендациям прошлых клиентов? В SEO, есть мнение, чаще работают рекомендации, ну может за исключением новых фирм и очень хорошо раскрученных «визиток».
Хакер: Через рекомендации редко.
В основном, это люди, которые наткнулись на сайт и увидели там мое имя (которое краем уха слышали многие в долине), посмотрели отзывы и посты. Думаю в будущем рекомендации будут случаться чаще.
MaulNet: Что из себя представляет твой отчет по безопасности?
Как часто нет никаких серьезных угроз? Это, кстати, правда, что iCloud взломали простым перебором паролей?
Хакер: Отчет – это список с описанием уязвимостей, рекомендации и вывод о безопасности приложения. Смотря что считать серьезной угрозой – критический баг, позволяющий выполнить код на сервере, встречается только в одной трети приложений, но просто опасные вещи типа XSS находятся практически всегда. За iCloud я не следил, но вроде бы да, это был обычный перебор.
MaulNet: Итак, значит ты ну типа хакер?
Хакер: Вообще нет, я исследователь. Моя работа находить уязвимости, делать рисеч, но не эксплуатировать или делать кому-то «плохо».
Я – whitehat.
MaulNet: А какие языки ты знаешь и как вообще это началось?
Хакер: Я был «обычным» программистом. Началось давно, году в 2008, когда я читал бомжедвижение и SEO блоги. Все это казалось мутью для школьников (и сейчас кажется), поэтому я быстро перешел в обычный фриланс – делал скрипты/движки на PHP.
Постепенно это выросло в нечто большее, поработал фултайм на нескольких работах, переключился на Ruby.
Казалось бы конец и дальше остается только развиваться в этом направлении, но в марте 2012 я взломал популярный среди гиков сайт github.com. Тут в мозгах произошел сдвиг, и из создания систем я начал думать как их взламывать. Получалось весьма неплохо.
MaulNet: А это в Github тебя приглашали работать после взлома?
Хакер: Нет, именно с ними у меня отношения навсегда испорчены и работать с ними не получится никогда. После взлома пришло несколько десятков писем от больших компаний типа twitter, facebook, google и не очень. К счастью, я не пошел на фултайм и остался свободным консультантом – так я работаю гораздо продуктивней.
MaulNet: Прямо от всех пришло по приглашению? На рынке кадровый голод? И как они тебя нашли?
Хакер: Это обычная практика, когда кто-то «засветился» на хакер ньюс например (а топ 6 новостей там было про меня), то HRы начинают закидывать удочки. Поэтому программисты, много занимающиеся open source, получают от них предложения регулярно.
MaulNet: Короче говоря, с 2012-го ты начал консультировать?
Хакер: Не сразу, какое-то время я еще поработал в Skrill, но с начала 2013 года занимался только консультациями. Тогда и зарегистрировал компанию Sakurity.com – и теперь работаю не один.
MaulNet: Skrill – это платежка? Ты ее тоже взломал?
Хакер: Да, на нее обычно выводят деньги с odesk или при работе с покер сайтами. Это европейская версия пейпала.
Позвали работать после нахождения уязвимости, ага.
MaulNet: А чего все такое дырявое-то?
Хакер: Абсолютное большинство не вкладывает деньги в безопасность. Даже крутой программист оставляет за собой уязвимости, потому что мозги его работают в другом направлении. И хакеров, способных это найти, не так то много. Но они есть.
MaulNet: Ты проработал какое-то время в их европейском офисе?
Хакер: Два месяца в Софии всего.
MaulNet: Какая примерно зарплата?
Хакер: Обычная немецкая, порядка 50 тыс евро в год.
MaulNet: Тебя там не вдохновили перспективы или просто неинтересно, скучно?
Хакер: Да какие могут быть перспективы. В Европе все монотонно, все получают плюс-минус одинаковую ЗП, платят дикие налоги – не мое. На тот момент мне надо было бы в Штаты ехать.
MaulNet: А в Штатах что?
Хакер: Там крутятся деньги, есть крутые стартапы, в которых интересно работать. В долине все это.
MaulNet: Ладненько.
Значит потом ты поехал в эти Азии и начал консультировать?
Хакер: Ну да, с тех пор езжу по миру, но чаще в Азии. Год прожил в Бангкоке, но скоро надо двигаться дальше.
MaulNet: Сколько у тебя с тех пор было клиентов на консультации?
Хакер: Я не считаю, но уже больше 30. Дело не в количестве конечно, каждый клиент это разный объем заказа.
MaulNet: А в деньгах сколько в среднем получается один клиент?
Хакер: Если на пару дней, то в среднем 3-4k $. Если крупный заказ, то 10-20k.
MaulNet: Может стоит опустить расценки? Все же 30 клиентов за два года не так уж много. Или от этого клиентов не прибавится?
Хакер: Задачи много раньше и не стояло, я не нагонял на сайт трафик, старался найти свою нишу, работая один или с парой контракторов. Сейчас планы изменились, и я буду увеличивать объемы. Но цена не изменится, она полностью оправдана для того сегмента клиентов, который мне интересен. Пентестить блоги на вордпрессе за 50 баксов – это не к нам.
MaulNet: Расскажи, что из себя представляет средний клиент? Среди клиентов есть какие-нибудь известные IT-фирмы?
Хакер: Полно, можно посмотреть список на сайте для примера.
В клиентах есть и крупные платежные системы, но не все разрешают оглашать эту информацию. Для типичного рунет-юзера, правда, там мало кто покажется знакомым. В основном, это успешные стартапы из долины, в рунете о них никто не знает.
MaulNet: Как они тебя находят? Чаще через блог или по рекомендациям прошлых клиентов? В SEO, есть мнение, чаще работают рекомендации, ну может за исключением новых фирм и очень хорошо раскрученных «визиток».
Хакер: Через рекомендации редко.
В основном, это люди, которые наткнулись на сайт и увидели там мое имя (которое краем уха слышали многие в долине), посмотрели отзывы и посты. Думаю в будущем рекомендации будут случаться чаще.
MaulNet: Что из себя представляет твой отчет по безопасности?
Как часто нет никаких серьезных угроз? Это, кстати, правда, что iCloud взломали простым перебором паролей?
Хакер: Отчет – это список с описанием уязвимостей, рекомендации и вывод о безопасности приложения. Смотря что считать серьезной угрозой – критический баг, позволяющий выполнить код на сервере, встречается только в одной трети приложений, но просто опасные вещи типа XSS находятся практически всегда. За iCloud я не следил, но вроде бы да, это был обычный перебор.
