Пентестеры — Ведьмаки мира ИТ

Вы замечали, что мир IT очень огромен, но при этом в нем как будто нет места для ИБ, несмотря на то, что довольно много, а порой критично много на самом деле нуждающихся в нём?

Многие сейчас создают, развивают продукты, но очень мало кто хочет платить за их безопасность, люди искоса смотрят на такое решение, ведь многие – в основном, конечно, бизнесмены – не хотят и не готовы платить за то, что не принесет им деньги впоследствии, а потенциал “не потерять” для них, по всей видимости, не звучит громко.

Под катом я хотел бы сравнить и провести параллель ( пусть, быть может, местами, это может казаться утрированно) между ведьмаками и пентестерами ( ведьмаками из мира IT).

По моим наблюдениям, мир ИТ сейчас устроен так, что кругом создается все больше сервисов, больше устройств, больше технологий – следовательно больше затрат cо стороны пользоватей, при этом , внедряя все больше, как правило, платных, подписок и платных возможностей ( в том числе расширенных ), и многие при этом, думая лишь о прибыли, забывают думать о защите.

Основные причины – не рассчитали бюджет на это или же целенаправленно забили на безопасность а-ля “и так сойдет”, “да кому мы нужны”.

При этом так же бывают случаи, когда не рассчитали время : У тебя есть определенные обязанности перед инвесторами или же начальством и тебе обязательно нужно уложиться в сроки.

Это удается немногим, но ,уложившись в сроки, люди в итоге успевают выпускают , “как есть” , обычно поставив безопасность на последнее место – сделав лишь самый основной функционал, не успев его должным образом протестировать – но это серьезный просчет, ведь всегда присутствует человеческий фактор, нельзя не учитывать сонных , уставших программистов , допустивших ( что , в принципе, не звучит так уж сверхъествественно ) , ошибку(-и) в огромном количестве программного кода.

И это только если не считать дефолтных качеств самих программистов – порой , происходит серьезная халтура, когда бюджет попросту “пилят” – происходит это так:

  1. Выделяется бюджет на тестирование, очень приличный кусок от изначальной цены отламывают и кладут себе в карманы, а оставшееся уже готовы потратить на это самое тестирование.

  2. Ищут за оставшуюся цену специалистов в иб.

  3. Обычно все же находятся те, кто принимают за эту сумму проведение работ, но сами тем временем ищут тех, кто бы сделал эту работу за меньшую сумму, с учетом того, что те потом сами допишут определенные пункты ТЗ.

  4. Эта цепочка движется вниз до тех пор, пока не дойдет до студентов, которые еще вчера “работали за еду” и им бы не помешала практика.

  5. В итоге цепочка движется обратно вверх, где каждый на звено выше дописывает что-то от себя.

  6. Как результат, в руки заказчику возвращается отчет низкого качества, в чем, собственно, они сами и виноваты.

Что касается добросовестных программистов-разработчиков, они на то и разработчики, чтобы именно разрабатывать продукты, а не защищать их.

Да, можно придерживаться принципов безопасной разработки, но никто не заменит полноценную работу пентестера.

Некоторые компании , разрабатывающие инструменты для автоматизации проведения пентеста признают, что хоть инструменты могут выручать, но живую работу пентестера нельзя заменить нечем, а пентестер , вооруженный этими самыми инструментами становится еще мощнее.

Но некоторые этого до сих пор не понимают, всегда необходимы специализированные профессионалы своего дела, эксперты в области иб, “особый отряд” – пентестеры.

Теперь же поговорим о терминологии.

К пентестерам мы вернемся после описания Ведьмаков, которые тоже представляют собой “особый отряд”.

Терминология

Кто такие ведьмаки?

Ведьмаки — вымышленные персонажи из вселенной “Ведьмака” Анджея Сапковского, мутанты со сверхъестественными способностями, прошедшие специальную подготовку, чтобы стать профессиональными истребителями чудовищ по найму.

Считается, что у ведьмаков нет эмоций, хотя это и не совсем так. За последние годы каста ведьмаков сократилась до горстки действующих охотников; столь мало их осталось, что мир начинает напоминать времена, когда их и вовсе не было.

Имунны ко всем болезням и токсинам, объясняется тем, что перед боем ведьмаки принимают токсичные эликсиры, усиливающие их способности на некоторое время, в то время как обычный человек может не перенести эффекта и умереть.

То есть -в общепризнанном смысле ведьмак — это профессия. Обычно под этим словом подразумевают наемных охотников на монстров, однако не любых представителей этого ремесла, а прошедших через ряд мутаций и изменений организма, которые делают ведьмаков сверхлюдьми, обладающими невероятными физическими возможностями. Именно эти данные позволяют им быть как нельзя более приспособленными к охоте на различных тварей и существ, и таким образом быть куда эффективнее любых «конкурентов».

Отслеживание монстров v.1
Отслеживание монстров v.1

Главного харизматичного героя – Геральта из Ривии вы можете знать, как минимум по одной из лучших игр десятилетия – “Ведьмак 3 : Дикая Охота”.

Геральт из Ривии
Геральт из Ривии

Пентестеры

Пентестеры – особый “отряд” людей, специально обученный и прошедший подготовку, чтобы стать профессиональными истребителями “чудовищ” – проблем (уязвимостей) в IT.

Считается, что у пентестеров ( читай “хакеров”) нет эмоций, что это суровые “компьютерщики” хотя это и не совсем так. За последние годы каста безопасников тоже сократилась до горстки действующих охотников; столь мало их осталось, что мир начинает напоминать времена, когда их и вовсе не было – особенно в России.

Имунны ко всем болезням и токсинам, объясняется тем, что перед боем пентестеры принимают токсичные эликсиры ( большое количество энергетиков, в том числе – кофе ), усиливающие их способности на некоторое время, в то время как обычный человек может не перенести такого количества и соответствующего ему эффекта и умереть.

То есть -в общепризнанном смысле пентестер — это профессия. Обычно под этим словом подразумевают наемных охотников на уязвимости и баги, однако не любых представителей этого ремесла, а прошедших через боевую закалку и опыт, и изменений организма, которые делают пентестеров сверхлюдьми, обладающими невероятными физическими возможностями.

А именно эти данные позволяют им выдерживать нагрузку на сердце и быть как нельзя более приспособленными к охоте на различных тварей и существ (вирусы и баги ), и таким образом быть куда эффективнее любых «конкурентов» – программистов с каким-то уклоном в ИБ.

Отслеживание "монстров" v.2
Отслеживание “монстров” v.2
"Типичный" пентестер
“Типичный” пентестер

Помимо этих сходств, ведьмаки, как и пентестеры, сталкиваются с недовольством тех, кто их нанял, а иногда и просто встречными прохожими.

На ведьмаков, как и на хакеров смотрят , как на какую-то отдельную касту людей , где те
“не такие ,как все”, и иногда даже опасаются.

Порой, ведьмак , гуляя по городу может услышать от “необразованных” в свою сторону “мутант, выродок”.

Скриншот из игры Ведьмак 3 : Дикая Охота
Скриншот из игры Ведьмак 3 : Дикая Охота

Пентестер (он же хакер), может услышать – все от тех же “необразованных” – фрик, задрот.

Обоим в “бою” не обойтись без светящейся в темноте “волшебной” штуковины.

Те же, кто “образован” и “в курсе” наоборот, относятся с уважением и почётом, что в мире ведьмака к самим ведьмакам, что в нашем мире IT – к пентестерам, и уважают их ремесло.

Ведьмакам , после убийства ими чудовища на заказ могут сыпаться предъявы, начиная попытками урезать плату за заказ, осознанной заменой на более дешевую плату, заканчивая полным отказом платить, ссылаясь на разные , порой абсурдные причины, за которыми, конечно же, скрывается понесение ущерба репутации и нежелание признавать свой проигрыш.

Пентестеров тоже не любят, тоже порой хотят урезать плату , осознанно заменить плату на более дешевую или не платить вовсе, ссылаясь на разные, порой абсурдные причины, а так же пытаются заткнуть (1, 2) – ибо не хотят нести репутационный ущерб.

Такое порой нередко встречается , что не всегда, даже тем, кто все правильно сделал, не выплачивают награду за найденные баги и уязвимости по программе bugbounty.

Порой с этих слов состоят многие интро к рассказам на различных конференциях , таких как, например, ZeroNights.

Багбаунти

Кстати о багбаунти, в мире IТ это платформа , где , в каком -то смысле “висит” заказ на убийство за которое полагается награда, но для начала это “чудовище” нужно выследить, может даже выманить и затем устранить, но по умолчанию предполагается, что оно есть, так как жителям оно где-то время от времени мешает спокойно жить.

В Ведьмаке 3 Дикая Охота эту функцию просто выполняет доска объявлений.

Ведьмаки, как и пентестеры, как было сказано ранее, созданы для того, чтобы выполнять задачи , с которыми не способны справиться обычные воины и подготовленные рыцари, не смотря на свои силы.

Так же , обучение пентесту, как и обучение в ведьмачьих школах терпит раскол – при обычных обстоятельствах ты не найдешь возможности этого сделать, единственная возможность – делать это подпольно ( онлайн/оффлайн -курсы ) или же тебя настигает судьба самоучки, никакие вузы и школы не предоставят вам в полной мере всех возможностей для становления “элитным убийцей”.

К чему же это я это все?..

Во вселенной Ведьмака, само становление ведьмаком требовало адских мук, через которые способны были пройти лишь единицы, что все таки, в последствии, окупало себя в полной мере – никто не мог выполнять работу лучше.

Вот только было множество пренебрежений к работе ведьмаков , что выражалось в неуважении и, пониженной , по меркам рынка , заработной плате со стороны нанимателей и простых жителей привели к упадку ведьмачьих школ, это не считая многих других нюансов и неудобств, которых им приходилось терпеть.

Там жители считали, мол чудовищ осталось не так много и оставшееся количество ведьмаков справится – но на самом деле ошибались, ведь чудовищ много и все они будут продолжать плодиться ( а с чего бы нет? ), быть может, создавая новые виды, а ведьмаки , хоть и сверхбойцы, но все же смертны, а создание новых бойцов либо идет очень медленно в подполье, либо отсутствует вовсе.

С той же проблемой мы сталкиваемся и в реальной жизни. Плохая гигиена в сфере ИБ, пренебрежение, неуважение по отношению к пентестерам, отсутствие качественных курсов(встречаю очень много воды), качественного обучения (многих интересует не желание научить, а лишь коммерция – проводить уроков как можно больше, рассказывая минимально, чтобы растянуть период на подольше и , следовательно, вытащить денег побольше) , а так же отсутствие его вовсе – ведет к вымиранию качественных проведений тестов на проникновение, качественных продуктов.

А ведь на кону наша с вами жизнь и наши персональные данные, если продолжить в том же духе – в будущем защищать страну будет некому.

В мире ведьмака эту проблему никто не собирается исправлять, но мы – еще можем попытаться это изменить.

 

Источник

future, information security, penetration testing, pentesters, warning, Witcher, ИТ, пентест

Читайте также