Первая сертифицированная OSCP девушка-пентестер в Центральной Азии — о стереотипах в IT, кибератаках и информационной безопасности

По данным международных служб по обеспечению безопасности в области киберугроз, каждую секунду в мире порядка 12 человек подвергаются кибератаке, а ежегодно совершается около 556 млн киберпреступлений, ущерб от которых составляет более 100 млрд долларов США. В Казахстане область кибербезопасности только развивается, но уже появляются сертифицированные специалисты.

Екатерина Шевченко — первая сертифицированная OSCP девушка-пентестер в Центральной Азии, которая тестирует уязвимости информационных систем. Она рассказала о том, с чего начинается путь специалиста в сфере ИТ, как стать легальным хакером и что нужно знать о безопасности вашего компьютера. 

---

От детского увлечения к серьезному выбору

Екатерина с детства увлекалась ИТ сферой: помимо видеоигр, она разбиралась в приложениях и пыталась самостоятельно вникнуть в их структуру.

«Я заходила в программу, нажимала все кнопки и смотрела, что произойдет. Такой экспериментальный подход и сегодня помогает мне в профессии». 

Поддержка родителей сыграла немаловажную роль в период развития увлечений в ИТ сфере: они не ограничивали ребенка в действиях, а, напротив, всячески помогали и направляли. «Подходила к папе и говорила: «Хочу научиться чему-нибудь». После чего он покупал по возможности ту или иную программу, что означало «программа есть — Катя, работай»», — рассказывает героиня. 

В старших классах Екатерина думала освоить профессию доктора или психотерапевта. Однако позже задалась вопросом не захочет ли сменить сферу деятельности в конечном счете.

На тот момент, в 2017 году, в инфополе стало появляться больше информации о киберпреступлениях, так как количество кибератак в 2017 году стало самым высоким за последние десятилетия. За первый квартал 2017 года новые вирусы появлялись практически каждые четыре секунды. Ввиду чего стало больше экспертов по кибербезопасности. Эта сфера заинтересовала девушку, и она начала углубленно изучать ИТ самостоятельно в интернете.

Именно тогда Екатерина и узнала о пентестерах — тестировщиках на проникновение в систему или устройство. Они занимаются симуляцией действий злоумышленника по взлому целевой системы. У пентестера есть цель, он пытается ее взломать всевозможными способами, затем готовит отчет по уязвимостям. Дальше пентестер работает с командой защитников клиента, обсуждая как можно предоставить уязвимости и предотвратить их дальнейшее возникновение. К пентестерам часто обращаются компании, которые хотят проверить свою систему на безопасность. Специалисты в области безопасности находят уязвимости в системе, предоставляют отчет, а затем работают с командой защитников

«Я очень боялась выбрать профессию, где будет достаточно отучиться несколько лет и на этом все, дальнейшего развития не будет». 

К тому моменту девушка решила поступать в МУИТ на факультет информационной безопасности, закончив который, она смогла бы проводить пентесты.

«Профессия пентестера мало того, что интересная для меня самой, но я смогу также помогать людям.  Та мысль, что я смогу держать данные моих близких в безопасности, меня очень вдохновила. И тут у меня не осталось никаких сомнений. Я по сей день не разочарована в своем выборе», — говорит Екатерина. 

Расследование кибератак, этичное хакерство и «зло во благо»

На последних курсах обучения в МУИТ Екатерина задумалась о поиске места для прохождения стажировки, чтобы закрепить полученные в ходе обучения навыки и знания. Девушка выпускалась в период пандемии, когда компании не проводили набора стажеров.

«Я начала практиковаться на различных платформах, которые созданы для ИТ специалистов, разместила резюме в LinkedIn. Там меня нашел Олжас Сатиев, Президент ЦАРКА, и пригласил на стажировку в центре», — вспоминает девушка.

ЦАРКА, или Центр анализа и расследования кибератак – одна из ведущих казахстанских организаций в области информационной и технологической безопасности. ЦАРКА является первой частной службой реагирования на компьютерные инциденты в Казахстане.

Спустя месяц успешного прохождения стажировки, Екатерину пригласили в ЦАРКА пентестером web-приложений и сайтов. 
Помимо проведения пентестов в рамках ЦАРКА, Екатерина является модератором национальной BugBounty площадки. 

BugBounty — это специальная программа, в ходе которой компания привлекает сторонних специалистов по кибербезопасности для тестирования своего программного обеспечения на уязвимости за вознаграждение. За каждую найденную уязвимость исследователь получает денежное вознаграждение.

Деятельность молодой специалистки в компании заключается в перепроверке уязвимости и ее критичности для компании. Затем команда отправляет заявку владельцу системы уведомление о наличии проблемы и предложением устранить ее. Эта площадка помогает применять на практике свои навыки, а также приобретать новые начинающим специалистам в сфере кибербезопасности, а также получать за это денежное вознаграждение. Как считает Екатерина, это отличная возможность подработки для студентов.

«На данный момент развиваться в ИТ сфере намного легче, чем несколько лет назад. Сейчас есть огромное количество приложений и онлайн-платформ для изучения и оттачивания навыков в сфере программирования, и даже есть множество бесплатных кружков, где можно приобрести знания у специалистов в этой области», — говорит Екатерина.

Как считает пентестер, если посмотреть на соотношение процентов мужчин и девушек, работающих в ИТ сфере, то можно заметить сильный разрыв. Девушек, работающих в этой области намного меньше, чем мужчин. 

«Я думаю, что девушкам мало говорят об этой области и мало просвещают их. Бытует мнение, что это все профессии, связанные с ИТ сферой, не женские, хотя я абсолютно с этим не согласна. Я считаю, что пол не имеет никакого значения при выборе профессии».

В киберпространстве существуют «черные» и «белые» шляпы. Последних именуют этичными хакерами, а «черные» шляпы — это злоумышленники. Они делятся на два типа: есть те, кому нужно заработать, а есть хактивисты, которые преследуют определенную цель. Хактивисты действуют не ради денег — они одержимы определенной идеей, социальной или политической.  Однако ввиду пандемии, наблюдается спад деятельности хактивистов. 

Этичные хакеры делают то же, что и злоумышленники, однако их деятельность законна. Белые хакеры известны также, как этичные хакеры. Екатерина как раз входит в группу этичных хакеров.

«Мы, этичные хакеры, делаем то же, что и злоумышленники, но во благо».

Этика хакеров заключается в соблюдении личных границ человека(клиента). Между заказчиком пентеста и этичным хакером подписывается соглашение о неразглашении, которое гарантирует неприкосновенность узнаваемых данных. 

Направление кибербезопасности развивается в Казахстане. Все больше компаний готовы заказать пентест для проверки наличия уязвимостей в их системе, а также для того, чтобы обезопасить себя и свою компанию от кибератак. 

«Сейчас мало просто настроить систему, необходимо ее проверять и усовершенствовать. В такие моменты, компании обращаются к нам — к пентестерам», — рассказывает Екатерина.

Если этичные хакеры взламывают систему по заказу клиента, то «черные» шляпы взламывают системы теми же способами, однако преследуют совсем иные цели. Они пытаются внедриться в систему, для того чтобы взять под контроль определенную компанию или группу людей, а также используют похищенную информацию для дальнейшей перепродаж.

По словам Екатерины, несмотря на то, что «черных» шляп сложно вычислить, по всему миру киберзлоумышленников больше, чем этичных хакеров. 

«Все больше людей переходят на сторону «добра», осознавая, что они в силах изменить направление своей деятельности во благо человечества. Основной причиной смены «стороны», я думаю, является беспокойство о своей безопасности. Будучи злоумышленником, приходится постоянно скрываться, а когда человек работает «в белую», он выполняет ту же самую работу», — говорит Екатерина Шевченко.

Сертифицированный антихакер

В начале августа Екатерина успешно сдала OSCP экзамен, став единственной девушкой в ЦА с данной сертификацией. OSCP — это международная сертификация по информационной безопасности, получаемая после сдачи экзаменов и прохождения курсов тестирования на проникновение с Kali Linux. 

OSCP — это первая сертификация на рынке информационной безопасности, которая требует практических знаний для успешного прохождения испытания.

«Когда я узнала, что в Казахстане нет девушек с этой сертификацией, то я была удивлена, так как этот сертификат очень важен для дальнейшего развития в области кибербезопасности».

В рамках этого экзамена проверяются различные практические навыки: возможность тестирования веб приложений и целевой системы, как архитектуры. Также проверяется методология специалиста: насколько быстро человек умеет находить уязвимости и определять какая из них более важна, которая может открыть доступ, а какая менее.

«Этот курс предоставляет доступ к лабораторным работам, которые я прошла за месяц. Однако до этого я готовилась сама на различных платформах, где можно отточить свои практические навыки. Осознанная подготовка к сдаче экзамена заняла у меня около полугода», — говорит Екатерина.

На момент сдачи экзамена, у Екатерины был опыт работы взлома машин около полутора лет.
Экзамен проходит в течение 24 часов. В задании участнику предлагается взломать пять машин. Взлом каждой машины оценивается по-разному: одни оцениваются в 10 баллов, другие — в 25, все зависит от сложности.

«Бывает так, что человек входит «в поток» и вот все получается идеально — он взламывает, находит пароли, переходит с легкостью на следующие задания; а иногда человек может просто выпасть, не видеть вектора и застрять в ступоре, где ничего не получается. В такие моменты крайне важно пересилить себя, отдохнуть, перезагрузиться и возвращаться в свой ритм», — рассказывает девушка.

«Безопасность и проведение пентеста — это не про легкие ответы. Здесь важна настойчивость и продолжать искать возможный вектор. Но если человек заинтересован в выполнении задания, то у него все получится». 

Экзамен проходит в виртуальном пространстве. Для начала экзаменуемый подключается к порталу, где проводится мониторинг. Экзаменующимся дают доступ к VPN и через него необходимо подключиться к инфраструктуре сервера. Экзаменаторы предположительно находятся в США. Они поднимают виртуальные машины, которые предстоит взломать. 

«Если оценивать сложность экзамена по шкале от 1 до 10, то этот экзамен, на данном этапе — 8. По окончании я просто пришла домой, легла и проспала часов девять, хотя мне нужно было написать отчет», — вспоминает Екатерина.

Спустя сутки после сдачи отчета Екатерина Шевченко получила письмо об успешном прохождении экзамена. 

Страховка от кибератак

По словам Екатерины, есть большая вероятность взлома любого устройства. Наибольшую вероятность взломать обыденного человека представляет социальная инженерия. 

«Социальная инженерия— психологическое манипулирование людьми с целью совершения определенных действий или разглашения конфиденциальной информации».

Социальная инженерия больше связана с психологией человека. Самое уязвимое, что есть, — это даже не наши технологии, а мы сами. Люди склонны делать пароли, которые они могут запомнить: дату рождения, адрес дома, кличку любимого питомца. Помимо социальной инженерии, есть технический вектор для взлома: когда человек не обновляет ПО, не устанавливает антивирус,  подключается к общественному вай-фаю. 

Если человек не связан с политикой, не является публичной или известной личностью, маловероятно, что будет произведена точечная атака. А вот под массовые атаки может попасться рядовой пользователь. Что может помочь?

• обновлять программное обеспечение; 
• устанавливать антивирус; 
• ставить сложные пароли;
• следить, что вы выкладываете в сеть;
• не делиться личными файлами; 
• использовать двухфакторную аутентификацию. 

Ещё больше о кибербезопасности мы рассказывали здесь.