вторник, 11 сентября 2018 г.

Интервью о паблике w2hack редакции телеграм-комьюнити Hack Underground

Всем, привет, дорогие друзья!  Сегодня несколько необычный пост. За много лет своей деятельности - выступлений на различных профильных конференциях, форумах и эвентах посвященных вопросам ИБ, чтения образовательных курсов, преподавания в университетах, ведения личного блога и других активностей, в том числе и нашего паблика w2hack, я получил большое количество вопросов, предложений, идей, конструктивной и не очень:) критики, комментарии, ответы на которые, очень надеюсь, будут интересны широкой аудитории.   Все это сегодня в моем интервью!

Интервью

Редакция: Друзья, привет всем! Сегодня в гостях у нас Иван, известный так же под ником @D3One, автор паблика w2hack, посвященного вопросам ИБ, этичному хакингу и защите данных.

В: - Иван, привет! Спасибо, что нашел для нас время. Ну, что давай сразу приступим!?

О: - Всем привет! И вам спасибо за приглашение, рад нашей встрече, постараюсь ответить на все ваши вопросы. Я готов, начинаем.


В: Расскажи, пожалуйста, что такое паблик w2hack для тебя?

О: Вести паблик я начал довольно недавно, первый пост был опубликован в марте этого года. Хотя, сама идея создать  телеграм канал у меня возникла значительно раньше.  Я много обдумывал эту идею, собирал материалы. И если бы не постоянная критическая нехватка времени и перегрузка проектами, то я бы начал раньше. Тем не менее, и за столь небольшое время я постарался наполнить паблик, надеюсь, интересными для моей аудитории материалами.

В целом паблик для меня то некая площадка, где я могу свободно делиться со своими подписчиками интересными материалами, практическими уроками, ссылками, советами и рекомендациями, опытом из моей практически деятельности, и всем тем, что реально будет полезно и для начинающего спеца и уже скиллового синьера.

Мой паблик это не коммерческий проект, я не собираю никаких денег с подписчиков и не плачу никому за продвижение канала. Все это моя личная инициатива. Своей задачей я ставил возможность чему-то научить, подсказать, продемонстрировать кейсы воочию для широкой аудитории, при том акцент сделать именно на практическую безопасность. Я считаю, это очень важный аспект, так как, на мой взгляд, ценностью обладают именно тот контент, который чему-то учит, после которого у читателя остается практический навык, какие-то знания в голове, в отличии, к примеру, от большинства учебников и статей, где «просто разговаривают» о безопасности.

В: Почему ты решил запустить свой канал в телеграм?

О: До старта паблика в телеграме большинство своих материалов я публиковал в личном блоге и блоге на портале SecurityLab. Мои посты были посвящены абсолютно разным темам – и compliance вопросам и техническом аспектам и защите персональных данных и где-то настройке Linux и фичам проведения ИТ\ИБ-аудита и т.д.  В период, когда я преподавал в университете, мои студенты часто спрашивали меня: «Как это сделать!?», «Где это настроить?», «Что можно предпринять, что бы решить эту задачу?». И я решил, что паблик будет содержать только технический контент, полностью ориентированный на практику. То есть не просто фраз «для защиты личных данных нам нужно шифровать жесткий диск» или «одним из способов защиты системы является форсирование политики Whitelist». А «какой конфигурационный файл отредактировать», «в какой оснастке какой консоли настроить AppLocker», «какие команды набрать в терминале или CMD» и т.д.

К тому же, как я смог убедиться, ВУЗы зачастую не могут качественно подготовить ребят-студентов, и после выпуска, к большой скорби, многие не могут найти себе подходящую работу по специальности. Дело тут конечно в нескольких причинах (некоторые из которых я уже описывал в своей статье на канале), но одна из них — это то, что знания, которое преподаются не соответствуют тому, что сегодня требуется от кандидатов на рынке труда. А получается это потому, что «академический» состав преподавателей качественно отличатся от тех, кто работает в индустрии, высококвалифицированных спецов, кто бы мог делиться своим опытом очень мало, сюда же минимум качественной информации доступной бесплатно (большинство полезной литературы выпускается не в России и печатается исключительная на английском языке), некоторое технологическое запаздывание отечественной ИТ-отрасли по сравнению, например, с США и так далее.

Отчасти, это так же связно, с теми временами, когда я сам учился в университете. Тогда интернет был диалапный, телефоны еще с фонариками, найти какую либо инфу в сети было крайне сложно, торренты только набирали обороты, специализированных сайтов, форумов и комьюнити почти не было, а книги и учебники в электронном виде были колоссальной редкостью. Ни о каких телеграм пабликах или блогах тогда вообще речи не было. Поэтому мне со времен студенческой скамьи и до сих пор приходится самостоятельно искать нужную информацию, изучать новые технологии, продукты, осваивать вновь появляющиеся инструменты (ПО, утилиты) и все это только свои трудом. Я знаю цену знания и тем усилиям, что необходимо приложить что бы их получить!

Поэтому паблик стал тем так же местом, где я смог делиться материалами и своим опытом по мимо того, что я давал ребятам на парах. И, что не мало важно, для людей, которые находятся в остальных городах нашей необъятной страны, у которых нет финансовых или физических ресурсов что бы повышать свой уровень знаний в отрасли ИБ.

Хотя, я ни на что не претендую, не объявляю себя гуру или авторитетом. И всем хейтерам хочу сразу сказать - я так же, как и любой человек в чем-то могу допустить оплошность или неточность, все, что я публикую, это мой личный взгляд, собственная точка зрения, которая может не совпадать с вашей. Я никому ничем не обязан, а весь материал распространяется «как есть».


В: На какую целевую аудиторию ты ориентируешься?

О: (смеется) Под конкретно какую-то одну аудиторию я контент не подгоняю. Всем, кому интересно, что я публикую -  те остаются. Одной из первых целей создания паблика было распространение материалов для студентов, поэтому я сохраняю стиль подачи «от простого к сложному» и старюсь ориентироваться на новичка или того, кто пока еще не набрался большого опыта. Хотя, я уверен, некоторые материалы окажутся полезными и продвинутым спецам, кто уже довольно долго работает или каким-то другим образом занимается безопасностью. Понятное дело, что лютым пен-тестерам или бородатым гуру с красными глазами, бородой и свитером в этом будет сложно найти что-то новое для себя. А так это самые широкие слои от постигающих азы и профессионалов ИБ до тех, кто просто интересуется какими-то отдельными вопросами ИБ. Как это часто бывает, например, ИТ-админов и DevOps’ов, которые хорошо разбираются в администрировании, но мало осведомлены в том, как все должно быть защищено.

В: Откуда ты берешь материалы для публикации?

О: М, интересный вопрос! Однозначно вот так сложно сказать. Я никогда не вел никакой статистики по этому поводу. Большая часть моих идей рождается в голове, поэтому я просто прихожу домой, сажусь и пишу, фиксирую свои мысли попутно добавляя к ним различные ссылки, видео, дополнительные материалы имеющие отношения к теме статьи. Так же каждый день я просматриваю большое количество сайтов-агрегаторов публикующих новости ИБ, инциденты, доклады, кейсы. Очень много идей так же возникает после решения какой-либо задачи, проекта, где я принимал участие. Иногда на какие-то темы меня наводят вопросы подписчиков или моих студентов. Какие-то статьи, бывает, у меня давно болтаются в черновиках и ждут пока я их отформатирую и приведу в финальный вид.

В: Не боишься ли ты того, твои материалы могут быть использованы в противозаконных целях?

О: Понимаете, в своем паблике я рассказываю, делюсь, демонстрирую, но не больше. То как это потом возможно будет использоваться не зависит от меня. Я же не могу ходить и каждого держать за руку читая нотации, заглядывать в каждый монитор через плечо грозя при этом пальцем. Это тоже самое, как вы, к примеру, отучившись на водительские права садитесь за руль. Если у вас есть голова – то вы будите соблюдать ПДД.  Аналогично тому, как вы отдаете своего ребенка в секцию бокса, где его учат технике, а как он потом ее уже будет применять – для собственной защиты или что бы задирать сверстников больше зависит от воспитания и моральных качеств. У меня опубликован Disclamer в котором я ясно это обозначил. К тому же, я рассказываю ведь не только «как что-то взломать» (смеется), но и как защититься, обезопасить себя и свои данные. Невозможно уметь защищаться не знаю того как на тебя могут напасть. Очень много материалов в паблике посвящено настройке штатных средств защиты Windows и Linux. А «техники атаки» преимущественно имеют отношению к практике проведения пен-тестов, по-другому тут нельзя. Да и не зря канал носит название White 2 hack, то есть ясно дает понять о том на какой мы стороне. (смеется) 

Хотя я нисколько не порицаю тех, кто перешел на темную строну. Это реальность. И тут каждый зарабатывает как может. Об этом когда-то очень хорошо сказал дон Карлеоне: «Просто бизнес, ничего личного».


В: А, что из практической ИБ тебе интересно самому?

О: По всему опыту работы в индустрии ИБ мне приходилось заниматься почти всем - от вопросов управления службой ИБ до настройки и администрирования средств защиты информации собственными руками и проведению форензик-процедур. Поэтому я считаю себя многопрофильным спецом, обладающем широким бэграундом. Хотя, конечно, все направления безопасности в одинаковой степени знать просто невозможно, и у меня есть несколько областей, где опыт экспертизы больше.  Но на мой взгляд такой подход гораздо лучше, чем узкая специализация, к примеру, только в сфере защите сетей, супер-навыков администрирования SIEM или скиллов по разработке одной лишь документации ИБ.  Да, и что бы уметь выстраивать комплексную корпоративную безопасность в качестве CISO нужно владеть большим количеством знаний из каждой предметной области, иметь видение ситуации «насквозь». А это невозможно без специальных знаний и большого опыта за плечами. 

Ну а вообще, конечно, это скорее технические аспекты ИБ – тестирование на проникновение, технический аудит ИТ-систем, настройка опций безопасности штатных средств защиты и СЗИ в виде коммерческих продуктов (DLP, WAF, SIEM, IDS и т.д.) – ведь именно этот арсенал, по сути, и обеспечивает защиту корпоративного периметра. Но так же большое внимание уделяю построению правильных процессов ИБ в компании поскольку ни раз уже видел как большое количество ИБ-шных систем и вбуханных в них денег попросту оказываются бесполезными перед «человеческим фактором».

В: Какие отклики ты получаешь чаще всего?

О: Довольно разные. Большинство — это вопросы по моим материалам, что публикую, и просьбы помощи решить какой-то нестандартный вопрос. Так же иногда пишут просто «спасибо» или «очень клево», выражают благодарность. Кто-то делится ссылками на статьи и видео, что нашел, какие-то курсы, выложенные в онлайн, просто своим мнением по какому-либо вопросу. Редко, но так же бывает, что выражают недовольство контентом, но это, как и везде, будут те – кто поддерживают тебя и всегда найдутся иные кто будет против. Случалось, даже в комментариях были оскорбления или необоснованные обвинения. С такими людьми очень сложно говорить, они настроены поругаться, развести срач в комментариях или просто лишены нормального человеческого рассудка. Но, я надеюсь, после выхода этого интервью, откликов станет еще чуть больше! (улыбается)

В: А как ты относишься к тому, что кроме тебя есть много других пабликов на тему ИБ?

О: А я как-то особенно должен к этому относиться? (улыбается) Один из пунктов «манифеста хакера» гласит, что «информация должна быть свободна для всех». Я очень рад, что подобных каналов сегодня довольно много и по большей части они публичны. Это очень здорово, поскольку позволяет больше распространять информации, обмениваться контентом, развивать комьюнити. Я и сам подписан на несколько интересных пабликов и с удовольствием читаю их релизы. Я стараюсь сделать свой канала интересным, не похожим на другие, не повторяться и делиться тем, что сам знаю и умею. Ну, а если это интересно читателям, то они будут постоянными подписчиками.


В: Какие у тебя перспективные планы или новые задумки по паблику?

О: Безусловно, так же продвигать только качественный и интересный контент. У меня и сейчас уже много идей для новых публикаций, но поскольку подготовка материалов не приносит мне никаких денег и является скорее хобби, то времени на эту активность в условиях частой перегрузки проектами, остается, к сожалению, очень мало.  Хотел еще проставить #хештеги ко всем выпущенным статьям, но к сожалению, стандартный функционал телеграма это не позволяет делать. Поэтому я продолжаю думать над этим вопросом. 

Ну, и куда же без сюрпризов!? (смеется) Совсем скоро я запускаю серию открытых лекция «Практическая [без]опасность». Это бесплатные открытие лекции для всех жалеющих по самым актуальным темам ИБ, собранным как раз из многочисленных вопросов, предложений и идей созданного мной комьюнити. Главный упор на лекциях будет сделан на «практическую применимость», то есть минимум теории и максимум демонстраций и практических рекомендаций. Все подробности о программе, датах проведения и месте вы сможете узнать из постов на моих ресурсах.

В: Иван, хотел бы ты что-то сказать своим подписчикам?

О: Друзья, большое спасибо, что вы остаетесь со мной на w2hack канале. Очень приятно наблюдать как наше комьюнити растет. Отдельно хотелось выразить благодарность тем, кто пишет, комментирует, присылает свои идеи, мысли, находит какие-то неточности, делится своими материалами и просто не остается равнодушным.  Не стесняйтесь, пишите на почту w2hack@mail.ru или мне в личку @D3One. Буду рад вашим откликам!  Благодаря им я делаю контент более интересным и живым!

Редакция: Иван, отличная беседа! Большое спасибо тебе за откровенные ответы! Мы от себя и лица многочисленных подписчиков желаем тебе творческих успехов, новых интересных задач и роста комьюнити!