Интервью с дорогим хакером Егором Хомяковым, и причина нищебродства проггеров
Интервью с дорогим хакером Егором Хомяковым, и причина нищебродства проггеров
Егор ломал GitHub и Skrill.com. Его пытались завербовать в Twitter, Facebook, Google - но он выбрал путь одинокого белого самурая. Ведет агентство с солидным портфолио, предпочитает называться не хакером, а консультантом.
1. Привет, Егор. Расскажи чуток о себе, где сейчас находишься, чем занимаешься.
О себе - ничего интересного, просто работаю в своей индустрии, а живу в данный момент в Бангкоке. Но я часто езжу, поэтому скоро куда-то опять перееду.
2. Цифрами контрактов поделишься? Чтобы читатели примерно знали, что там за уровень. :)
Ничего секретного, за 8 часов (экспресс аудит) это $4,000, за обычный аудит длинной в неделю $12-14k. Тк невозможно предугадать как часто будут контракты скажу что в среднем в месяц выходит чуть больше $10k :)
3. Почему делаешь аудиты безопасности, а не сам ломаешь? Финансово выгодней, или на душе спокойней? :)
А зачем ломать самому если я и так сейчас себя отлично чувствую? В белом бизнесе денег на порядок больше, можно пиарить свое настоящее имя, а не бегать от закона, постоянно думать как отмыть бабло и вообще быть плохим парнем. Я бы рассмотрел черную сферу только в случае если бы все было совсем туго или мне нечего было есть… Я слабо представляю такую ситуацию.
4. Допустим, человек решил стать хакером, с нуля. Куда ему податься, какой язык программирования осваивать? Обязательно ли идти в андеграунд, в какие-то закрытые тусовки? Или там мало интересного, больше языком чешут?
Главное чтобы появился азарт, какая-то цель. Это очень творческая профессия, поэтому инструкций дать не могу. Читать блоги разных исследователей, читать про каждый термин, экспериментировать со всем самому. А из языков я бы порекомендовал Ruby. Он идеально подходит для написания как скриптиков для себя так и для полноценных приложений на Rails.
5. У вебмастеров актуальная проблема - взломы сайтов. Как считаешь, проблема неизбежна, или просто разработчики CMS и админы хостингов - халтурщики? Ведь по идее, они могли бы аудит безопасности заказывать, раз уж берут ответственность за кучу сайтов? А то бывает залатывают дыры уже после взлома))
Так как большинство CMS это опенсорс, то вопрос - где им взять деньги на аудит? В любом случае - не бывает совершенных систем, например даже в Rails два года назад нашли супер критическую уязвимость о которой никто раньше не мог подумать. Да такое постоянно случается. Деньги не решают проблему на корню, к сожалению. Ну и нужно признать что все эти веб CMS на пхп написаны на коленке «лишь бы работало». Все мы писали однажды mysql_query(«insert … set name=’$_GET[name]‘..}); :)
6. Какой движок сайта считается самым сложным для взлома? Самописные движки, в целом, уязвимей публичных? Я верно понимаю, кодить учатся многие, но безопасностью редко озадачиваются?
Нельзя заявлять что самописный движок гарантировано хуже. Но все же готовые библиотеки и фреймворки решают часть задач про которые разработчики сами забывают. Кодить и кодить безопасно не одно и тоже.
Я сам когда был разработчиком никогда не задумывался об этом. Ведь главное чтобы работало!
7. Какая самая глупая ошибка вебмастеров и админов, из-за чего сейчас чаще всего ломают? Может нам стоит почитать что-то по базовой безопасности, кроме советов не ставить легкие пароли? :)
Главное это не доверять юзер инпуту. И следить за новостями - помните как РЖД не мог неделю исправить баг в OpenSSL, Heartbleed? Халатность и невежество.
8. В чем главный косяк начинающих фрилансеров? Где находить серьезных клиентов? Иной раз смотришь на фрилансерскую тусовку, и плакать охота - как же так, взрослые дядьки работают за еду (ну или я дезинформирован)). Наверно на буржуйских фриланс-биржах иначе? Где там пиаришь свою контору? Я по юзабилити консультирую, бывают мысли, не открыть ли свою контору, ниша денежная, непопулярная, нормальных спецов мало. Только не представляю, где в буржунете берут клиентов.
Да, у многих рожденных в пост-СССР в голове стоит установка «буду хорошим спецом = буду хорошо зарабатывать». Они идут в ВУЗы (я, кстати, бросил на первом курсе), учат матан, фигачат функциональное программирование, носят шапку когда холодно, и вообще хорошие ребята. Но они себя недооценивают. Узко мыслят. Все эти дядьки/линуксоиды/фрилансеры пашущие в своих провинциях в интернет провайдерах стоят в десятки раз дороже на мировом рынке.
Нужно просто уметь себя _продать_. Дядя Сэм не поедет в Караганду за линуксоидом Васей работающим за 10 долларов в час. Но дядя Сэм с удовольствием заключит контракт с консалтинговым агенством господина Vasya Petroff у которого в портфолио десять других стартапов из Долины.
9. Почему ты работаешь с буржуями, а не с нашими? Как же страшилка про их конкуренцию, «рынокподелен»?
Конкуренция конечно есть, но все получают свой кусок пирога. В РФ же пирога нет впринципе. Или он есть, но он кислый и делят его 3 с половиной компании на госзаказах. Еще тут есть политический аспект - я не особо верю в будущее РФ как страны, и не вижу смысла тратить свое время на полудохлый рунет.
10. Чему нам стоит поучиться у американских специалистов, в чем они сильно превосходят наших? (может менталитет, или личностные качества, отношение к работе, и т. д.) Чему им стоит поучиться у нас?
Да всему. Продуктивность работника в США/европе на порядок выше. Они вежливей, всегда вовремя напишут, уточнят, подскажут. Хамства нет. Профессионализм - зависит от человека, но если даже русский человек не хуже как специалист, указанные выше качества дают еще кучу баллов зарубежным спецам.
11. Стоит ли новичкам соваться в безопасность сайтов? Знаешь же, сейчас если выйти на улицу, кинуть камень - в сеошника попадешь или PHP-программиста. Может зря все лезут в популярные ниши, где и без них тесно?
Конкуренция в профессиональных сферах типа программинга или безопасности это МИФ. Макдак, бургеркинг, продавцы телефонов в евросети - там конкуренция и тесно. А в нашей ниши только приходи,
делай свое дело хорошо, и получай хрустящий кеш по размерам твоих амбиций.
12. Какой твой блок сейчас, что отделяет от более больших денег? Что мешает вместо N зарабатывать, скажем, 3N денег? Личные недочеты, или…
Лень наверно. Если я перестану работать и буду валятся на острове с кокосами в гамаке - накоплений хватит на пару лет. А те деньги что я зарабатываю сейчас это капля в море, интереса и мотивации все меньше. Потолок доходов в том чем я занимаюсь уже достигнут, дальше надо менять подход к работе / делегировать. Этим и буду скоро заниматься.
13. Тебе не хотелось уехать раз и навсегда, сменить гражданство, говорить и жить на английском, забыть о существовании своей дефолтной страны?
Я уехал раз и навсегда 2 года назад в Азию. В перспективе, наверно как и все, перееду в США/Европу, заведу семью. Но пока мне там не нравится, и я тусуюсь тут. Каждый раз когда я приезжаю в Нью Йорк у меня комплекс что я бедный. А в Азии наоборот, думаешь что ты уже всего добился и можно расслабиться.
Zenpr.ru
Егор ломал GitHub и Skrill.com. Его пытались завербовать в Twitter, Facebook, Google - но он выбрал путь одинокого белого самурая. Ведет агентство с солидным портфолио, предпочитает называться не хакером, а консультантом.
1. Привет, Егор. Расскажи чуток о себе, где сейчас находишься, чем занимаешься.
О себе - ничего интересного, просто работаю в своей индустрии, а живу в данный момент в Бангкоке. Но я часто езжу, поэтому скоро куда-то опять перееду.
2. Цифрами контрактов поделишься? Чтобы читатели примерно знали, что там за уровень. :)
Ничего секретного, за 8 часов (экспресс аудит) это $4,000, за обычный аудит длинной в неделю $12-14k. Тк невозможно предугадать как часто будут контракты скажу что в среднем в месяц выходит чуть больше $10k :)
3. Почему делаешь аудиты безопасности, а не сам ломаешь? Финансово выгодней, или на душе спокойней? :)
А зачем ломать самому если я и так сейчас себя отлично чувствую? В белом бизнесе денег на порядок больше, можно пиарить свое настоящее имя, а не бегать от закона, постоянно думать как отмыть бабло и вообще быть плохим парнем. Я бы рассмотрел черную сферу только в случае если бы все было совсем туго или мне нечего было есть… Я слабо представляю такую ситуацию.
4. Допустим, человек решил стать хакером, с нуля. Куда ему податься, какой язык программирования осваивать? Обязательно ли идти в андеграунд, в какие-то закрытые тусовки? Или там мало интересного, больше языком чешут?
Главное чтобы появился азарт, какая-то цель. Это очень творческая профессия, поэтому инструкций дать не могу. Читать блоги разных исследователей, читать про каждый термин, экспериментировать со всем самому. А из языков я бы порекомендовал Ruby. Он идеально подходит для написания как скриптиков для себя так и для полноценных приложений на Rails.
5. У вебмастеров актуальная проблема - взломы сайтов. Как считаешь, проблема неизбежна, или просто разработчики CMS и админы хостингов - халтурщики? Ведь по идее, они могли бы аудит безопасности заказывать, раз уж берут ответственность за кучу сайтов? А то бывает залатывают дыры уже после взлома))
Так как большинство CMS это опенсорс, то вопрос - где им взять деньги на аудит? В любом случае - не бывает совершенных систем, например даже в Rails два года назад нашли супер критическую уязвимость о которой никто раньше не мог подумать. Да такое постоянно случается. Деньги не решают проблему на корню, к сожалению. Ну и нужно признать что все эти веб CMS на пхп написаны на коленке «лишь бы работало». Все мы писали однажды mysql_query(«insert … set name=’$_GET[name]‘..}); :)
6. Какой движок сайта считается самым сложным для взлома? Самописные движки, в целом, уязвимей публичных? Я верно понимаю, кодить учатся многие, но безопасностью редко озадачиваются?
Нельзя заявлять что самописный движок гарантировано хуже. Но все же готовые библиотеки и фреймворки решают часть задач про которые разработчики сами забывают. Кодить и кодить безопасно не одно и тоже.
Я сам когда был разработчиком никогда не задумывался об этом. Ведь главное чтобы работало!
7. Какая самая глупая ошибка вебмастеров и админов, из-за чего сейчас чаще всего ломают? Может нам стоит почитать что-то по базовой безопасности, кроме советов не ставить легкие пароли? :)
Главное это не доверять юзер инпуту. И следить за новостями - помните как РЖД не мог неделю исправить баг в OpenSSL, Heartbleed? Халатность и невежество.
8. В чем главный косяк начинающих фрилансеров? Где находить серьезных клиентов? Иной раз смотришь на фрилансерскую тусовку, и плакать охота - как же так, взрослые дядьки работают за еду (ну или я дезинформирован)). Наверно на буржуйских фриланс-биржах иначе? Где там пиаришь свою контору? Я по юзабилити консультирую, бывают мысли, не открыть ли свою контору, ниша денежная, непопулярная, нормальных спецов мало. Только не представляю, где в буржунете берут клиентов.
Да, у многих рожденных в пост-СССР в голове стоит установка «буду хорошим спецом = буду хорошо зарабатывать». Они идут в ВУЗы (я, кстати, бросил на первом курсе), учат матан, фигачат функциональное программирование, носят шапку когда холодно, и вообще хорошие ребята. Но они себя недооценивают. Узко мыслят. Все эти дядьки/линуксоиды/фрилансеры пашущие в своих провинциях в интернет провайдерах стоят в десятки раз дороже на мировом рынке.
Нужно просто уметь себя _продать_. Дядя Сэм не поедет в Караганду за линуксоидом Васей работающим за 10 долларов в час. Но дядя Сэм с удовольствием заключит контракт с консалтинговым агенством господина Vasya Petroff у которого в портфолио десять других стартапов из Долины.
9. Почему ты работаешь с буржуями, а не с нашими? Как же страшилка про их конкуренцию, «рынокподелен»?
Конкуренция конечно есть, но все получают свой кусок пирога. В РФ же пирога нет впринципе. Или он есть, но он кислый и делят его 3 с половиной компании на госзаказах. Еще тут есть политический аспект - я не особо верю в будущее РФ как страны, и не вижу смысла тратить свое время на полудохлый рунет.
10. Чему нам стоит поучиться у американских специалистов, в чем они сильно превосходят наших? (может менталитет, или личностные качества, отношение к работе, и т. д.) Чему им стоит поучиться у нас?
Да всему. Продуктивность работника в США/европе на порядок выше. Они вежливей, всегда вовремя напишут, уточнят, подскажут. Хамства нет. Профессионализм - зависит от человека, но если даже русский человек не хуже как специалист, указанные выше качества дают еще кучу баллов зарубежным спецам.
11. Стоит ли новичкам соваться в безопасность сайтов? Знаешь же, сейчас если выйти на улицу, кинуть камень - в сеошника попадешь или PHP-программиста. Может зря все лезут в популярные ниши, где и без них тесно?
Конкуренция в профессиональных сферах типа программинга или безопасности это МИФ. Макдак, бургеркинг, продавцы телефонов в евросети - там конкуренция и тесно. А в нашей ниши только приходи,
делай свое дело хорошо, и получай хрустящий кеш по размерам твоих амбиций.
12. Какой твой блок сейчас, что отделяет от более больших денег? Что мешает вместо N зарабатывать, скажем, 3N денег? Личные недочеты, или…
Лень наверно. Если я перестану работать и буду валятся на острове с кокосами в гамаке - накоплений хватит на пару лет. А те деньги что я зарабатываю сейчас это капля в море, интереса и мотивации все меньше. Потолок доходов в том чем я занимаюсь уже достигнут, дальше надо менять подход к работе / делегировать. Этим и буду скоро заниматься.
13. Тебе не хотелось уехать раз и навсегда, сменить гражданство, говорить и жить на английском, забыть о существовании своей дефолтной страны?
Я уехал раз и навсегда 2 года назад в Азию. В перспективе, наверно как и все, перееду в США/Европу, заведу семью. Но пока мне там не нравится, и я тусуюсь тут. Каждый раз когда я приезжаю в Нью Йорк у меня комплекс что я бедный. А в Азии наоборот, думаешь что ты уже всего добился и можно расслабиться.
Zenpr.ru