21 окт. 2014 г.

Cyberwoman Олеся Шелестова: в Twitter про меня писали: «Блондинка продает пароли»

Сегодня мы запускаем новый специальный проект. Мы хотим рассказать о женщинах, работающих на рынке ИБ. Они успешны и прекрасны в обычной и профессиональной жизни. Их объединяет профессионализм, способность противостоять обстоятельствам, упорство в достижении намеченных целей, но у каждой из них своя история. Наша первая героиня – Олеся Шелестова.

ДОСЬЕ
Олеся Шелестова – эксперт по ИБ, специализируется на аналитике и разработке SIEM\SIM\GRC\VA-систем. В ИБ работает с 2004 года. Участник PHDays, РусКрипто и других российских и международных security-конференций. Автор множества статей. Увлекается Ethical Wi-Fi Hacking. Работает «под прикрытием» и для взлома Wi-Fi-сетей использует плюшевого медведя, «заряженного» Wi-Fi-адаптером и антенной. В свободное от компьютера время любит погонять на мотоцикле, профессионально занимается стрельбой из лука. Спит не более 4 часов в день. Фанат своего дела. 



Расскажи, как ты пришла в ИТ и ИБ? С чего все начиналось? 
Я помню, как мне впервые показали компьютер, собранный в дипломате. Из дипломата выпилили части, вставили туда детали и микросхемы и подключили клавиатуру. На этом устройстве можно было примитивно программировать и, конечно же, играть в игры. Я с детства увлекалась всякими инженерными штучками, отлично управлялась с паяльником, могла починить мелкую электронику. Это хобби передалось мне от отца, который был электронщиком-радиолюбителем. Где-то в 7–8 классе мне захотелось зарабатывать, и я бралась за ремонт разной мелочи, компьютерных приставок и джойстиков, «перепрошивала» и продавала картриджи для приставок. 

После окончания института работала айтишницей. Занималась установкой и настройкой операционных систем, прокладкой и установкой первых сетей, которые тогда работали не на Ethernet, и уж тем более не на Wi-Fi. Wi-Fi в те времена мы даже представить себе не могли. Потом начала работать с более сложным сетевым оборудованием: настраивать фаерволы, устанавливать первые антивирусы. Чтобы построить сеть и наладить маршрутизацию, мне нужно было понимать, какая информация куда передается, какие угрозы существуют, как будет производиться атака и какими инструментами можно ее предотвратить. С этого момента и началось мое знакомство с информационной безопасностью. Затем были почтовые сервера, банковские системы. Вот так вот и пошло, я примкнула к безопасникам. Тогда это было чуть интереснее, чем банальная работа по настройке сетей.

Когда ты только начинала заниматься ИТ и ИБ, сталкивались ли ты с предвзятым отношением к тому, что ты девушка? Не приходилось ли тебе слышать от друзей, родственников, знакомых, что ИТ и ИБ – это не женское занятие? 

Сталкивалась очень часто. Конечно, стереотип о том, что ИТ и ИБ – не женское занятие, и что девушки могут реагировать на какие-то вещи более эмоционально, он есть. От этого никуда не денешься. И это понятно с точки зрения мужчины, который думает: «Как же девушка полезет под стол или понесет сервер? Я лучше возьму мужчину». В сфере ИТ и ИБ, где преимущественно мужской коллектив, женщине порой тяжело сделать так, чтоб тебя услышали, восприняли всерьез. Но когда ты показываешь себя как профессионал, когда решаешь задачи, которые с первого взгляда кажутся невозможными, тогда к тебе относятся совсем по-другому, и ты завоевываешь авторитет.

Никогда не приходилось использовать свои способности в личных целях?
Нет. Я никогда себе этого не позволяла и всегда вижу границу дозволенного. Для меня это табу. Был случай на РусКрипто в прошлом году, когда в Twitter писали: «Блондинка продает пароли». Да, я действительно «продампила» весь траффик на РусКрипто. Для перехвата паролей использовала плюшевого медведя, в которого я встроила Wi-Fi-адаптер и направленную антенну. Из того трафика, который я дампила, частично можно было вытащить какие-то пароли к каким-то сервисам, но только к тем, которые использовались в clear-тексте и передавались в открытом виде. Тогда организаторы попросили меня продать эти пароли за крипторубли – местную «валюту», которая использовалась на самой конференции. Дампы я тогда продала и купила на эти деньги «шляпу Лукацкого». Люди, конечно, тогда были несколько напуганы происходящим. Не все понимают, что такое дампы, что из этого можно вынуть, но сами эти слова всех вводят в ступор и заставляют нервничать. 



Какие у тебя мотивы? Почему ты этим занимаешься?
Практикуя Ethical Wi-Fi Hacking, я преследую исключительно обучающие цели, показываю пользователям, что Wi-Fi – это небезопасно. Даже если я что-то нарушаю, то делаю это только для того, чтобы посмотреть, как эту угрозу можно реализовать. Но я никогда не буду наживаться на этом. Срабатывает какой-то внутренний стопор. Если мне когда-нибудь потребуется попробовать взломать какую-то систему, то, скорее всего, я это сделаю на стенде. 

Очень часто я нахожу в интернете уязвимости на сайтах, открытые порты и иногда выкладываю их и указываю на «дырку» в безопасности. Недавно на сайте одного известного сервис-провайдера, на котором хранятся, загружаются и вставляются потом ссылками картинки, я нашла две серьезные уязвимости. Был какой-то инстинкт, что они там есть. Как бы я не относилась к этому провайдеру, я сообщила об этом в техподдержку. Несмотря на то что никакого bug bounty открыто не было, я не получила от этого провайдера ни копейки. 

Но я бы не советовала неопытным, только начинающим специалистам лезть туда, где не объявлен конкурс или открыт bug bounty. Лучше пробовать свои силы там, где есть разрешенная возможность, потому что компании могут реагировать на ваше «увлечение» по-разному. Некоторые вендоры и компании даже против того, чтобы им сообщали о каких-то найденных на их ресурсах багах. На мой взгляд, это очень плохо, потому что так уязвимости становятся скрытыми. Потом они уходят на подпольные сообщества, их начинают эксплуатировать, и все становится печально для рынка. Фактически вендор может просто не знать об этой уязвимости, в то время как от нее могут пострадать и другие ресурсы. В случае с хостингом картинок уязвимость была на сервере самого сервис-провайдера, но она угрожала и тем ресурсам, на которых их картинки публиковались. И эта цепочка могла тянуться очень далеко. Даже когда сообщаешь об уязвимости, то частенько приходит ответ о том, что этот ресурс вне bug bounty. Тогда я получаю: «Спасибо, что сказали», но денег при этом не платят, а иногда даже и спасибо не говорят. А могут даже наоборот – еще и претензии предъявить. Тогда я такие уязвимости отсылаю от сторонних ресурсов. Не от себя, чтоб не иметь потом неприятностей. 

У коллег были такие случаи, когда они получали в ответ не благодарность, а кучу обвинений и вопросов в свой адрес: зачем вы вообще проверяли наш сайт, что искали и т.д. Но ведь чтоб найти уязвимость не нужно сканировать ресурс, достаточно просто запустить кэширующий прокси и пассивно смотреть, что внутри между браузером и этим сайтом передается. От незнания владельцы этих ресурсы начинают выдумывать, что из-за такого сканирования сайт плохо грузится и теряет клиентов. Но у меня каких-то серьезных противостояний не было и до конфликтов пока не доходило.

Чем ты еще увлекаешься? Какие книги читаешь? Как проводишь свободное время?
Увлекаюсь мотоциклом, стрельбой из лука. До этого я прыгала с парашютом, потом с вингсьютом (прим. ред. англ.wingsuit – костюм-крыло из ткани). В основном читаю профессиональную литературу, документацию. Последнюю художественную книгу прочла года два тому назад. Просто не хватает на это времени. Хотя совсем недавно мне рассказывали про одного ученого, который заперся в пещере и вышел на 36-часовой день. Он ложился спать, спал столько, сколько мог, а потом все остальное время работал. В нашей профессии нужно постоянно работать головой и находиться в определенном напряжении, потому что понимаешь, что твои ошибки «крошат» и останавливают бизнес-процессы. Наша работа очень похожа на работу авиадиспетчеров, которые рулят самолетами. И здесь таким диспетчером выступает лояльность компании, в которой ты работаешь. Обеспечьте человека задачами, выделите время на их решение. И, если человек ответственный, он их решит в срок, независимо от того, во сколько приходит и уходит с работы. Конечно, есть разные программисты, кто-то отсиживает время и не задерживается на работе лишней минуты. Если человек любит свою работу, если он работает на себя и ему это интересно, тогда получаются такие «маньяки», которые могут работать по 18 часов в день. Такой график, конечно, опасен. У меня были такие случаи, когда график сдвигался, и я приходила на работу днем, отсиживала все совещания, к вечеру раскачивалась, когда все уже уходили, а потом возвращалась домой и только там начинала работать. 

Такой график не мешает личной жизни, общению с друзьями и т.д.?
Конечно мешает. Но такие маньяки-профессионалы должны быть. 

Ты себя к таким относишь?
Да, я – маньячка. Я люблю свою работу, иногда работу ценю даже больше, чем общение с друзьями. Бывают задачи, которые надо решить к определенному сроку. И тогда ты делаешь итерации по много-много часов подряд, работаешь на пределе возможностей до того самого момента, когда ты совсем выдыхаешься и уже не можешь продолжать. Это время – самое продуктивное, и нужно использовать его по максимуму. 

Твоя программа действий после вуза для молодого специалиста?
В первую очередь, надо понять, чем бы ты хотел заниматься больше всего и тогда выбрать компанию и пойти туда стажером. Сейчас очень много компаний, которым требуются специалисты по ИБ в качестве стажеров. Я часто встречаю такие вакансии на том же hh. Компании ищут стажеров на защиту Unix или стажера, который будет заниматься пентестами, и других. Надо просто понимать, что тебе интересно. Есть такие же вакансии и у конечных заказчиков, куда можно пойти и попробовать порешать ежедневные кейсы и повариться в группе экспертов. И это, наверно, было бы самая идеальная ситуация, в отличие от работы у отдельных вендоров и разработчиков.

Я бы не стремилась обвешиваться сертификатами, несмотря на то, что многие компании требуют эти самые сертификаты при приеме на работу. И тем не менее приглашают на собеседования и без них. Если у человека есть понимание и способность самостоятельно в чем-то разобраться, именно понимание, а не заучивание теории и ответов на экзамены, то специалиста обязательно оценят. Нужно стремиться видеть и понимать комплексные процессы, что и как взаимодействует. Начать можно с азов, которые дадут в вузе. Если чувствуешь пробелы, восполни эти пробелы в интернете, где масса видео, вебинаров. Много интересных статьей есть, например, на Хабре. Это процесс познания, как лесенка: ты начинаешь чем-то заниматься, понимаешь, что какой-то информации не хватает, изучаешь, запоминаешь, пробуешь сделать и ползешь по лесенке дальше. С чем-то столкнулся, даже на уровне бокового зрения, сразу задумываешься: а как бы я эту проблему решил. Нужно хвататься за эти кирпичики и выстраивать эту лесенку из своих навыков и знаний. То, что вы таким образом изучили, до чего самостоятельно докопались, никуда от вас не денется. 

Спасибо!

Комментариев нет:

Отправить комментарий