9 Октябрь
Интервью с хакером: «Я за пару дней зарабатываю 3-4к$, а ты кто такой?»
Gold-affiliate — партнерка по
продаже ювелирных изделий на ру-трафике.
Сегодня у меня вью с простым 21-летним пацаном, который выбрал вот немного другой путь. Это его блог на английском, а это визитка.
MaulNet: Итак, значит ты ну типа хакер?
Хакер: Вообще нет, я исследователь. Моя работа находить уязвимости, делать рисеч, но не эксплуатировать или делать кому то «плохо».
Я — whitehat.
MaulNet: А какие языки ты знаешь, и как вообще это началось?
Хакер: Я был «обычным» программистом. Началось давно, году в 2008, когда я читал бомжедвижение и SEO блоги. Все это казалось мутью для школьников (и сейчас кажется), поэтому я быстро перешел в обычный фриланс — делал скрипты/движки на PHP.
Постепенно это выросло в нечто большее, поработал фултайм на нескольких работах, переключился на Ruby.
Казалось бы конец и дальше остается только развиваться в этом направлении, но в марте 2012 я взломал популярный среди гиков сайт github.com. Тут в мозгах произошел сдвиг, и из создания систем я начал думать как их взламывать. Получалось весьма неплохо.
MaulNet: А это в Github тебя приглашали работать после взлома?
Хакер: Нет, именно с ними у меня отношения навсегда испорчены, и работать с ними не получится никогда. После взлома пришло несколько десятков писем от больших компаний типа twitter, facebook, google и не очень. К счастью, я не пошел на фултайм и остался свободным консультантом — так я работаю гораздо продуктивней.
MaulNet: Прямо от всех пришло по приглашению? На рынке кадровый голод? И как они тебя нашли?
Хакер: Это обычная практика, когда кто-то «засветился» на хакер ньюс например (а топ 6 новостей там было про меня), то HRы начинают закидывать удочки. Поэтому программисты, много занимающиеся open source, получают от них предложения регулярно.
MaulNet: Короче говоря, с 2012-го ты начал консультировать?
Хакер: Не сразу, какое-то время я еще поработал в Skrill, но с начала 2013 года занимался только консультациями. Тогда и зарегистрировал компанию Sakurity.com — и теперь работаю не один.
MaulNet: Skrill — это платежка? Ты ее тоже взломал?
Хакер: Да, на нее обычно выводят деньги с odesk или при работе с покер сайтами. Это европейская версия пейпала.
Позвали работать после нахождения уязвимости, ага.
MaulNet: А чего все такое дырявое-то?
Хакер: Абсолютное большинство не вкладывает деньги в безопасность. Даже крутой программист оставляет за собой уязвимости, потому что мозги его работают в другом направлении. И хакеров, способных это найти, не так то много. Но они есть.
MaulNet: Ты проработал какое-то время в их европейском офисе?
Хакер: Два месяца в Софии всего.
MaulNet: Какая примерно зарплата?
Хакер: Обычная немецкая, порядка 50 тыс евро в год.
MaulNet: Тебя там не вдохновили перспективы или просто неинтересно, скучно?
Хакер: Да какие могут быть перспективы. В Европе все монотонно, все получают плюс-минус одинаковую ЗП, платят дикие налоги — не мое. На тот момент мне надо было бы в Штаты ехать.
MaulNet: А в Штатах что?
Хакер: Там крутятся деньги, есть крутые стартапы, в которых интересно работать. В долине все это.
MaulNet: Ладненько.
Значит потом ты поехал в эти Азии и начал консультировать?
Хакер: Ну да, с тех пор езжу по миру, но чаще в Азии. Год прожил в Бангкоке, но скоро надо двигаться дальше.
MaulNet: Сколько у тебя с тех пор было клиентов на консультации?
Хакер: Я не считаю, но уже больше 30. Дело не в количестве конечно, каждый клиент это разный объем заказа.
MaulNet: А в деньгах сколько в среднем получается один клиент?
Хакер: Если на пару дней, то в среднем 3-4k $. Если крупный заказ, то 10-20k.
MaulNet: Может стоит опустить расценки? Все же 30 клиентов за два года не так уж много. Или от этого клиентов не прибавится?
Хакер: Задачи много раньше и не стояло, я не нагонял на сайт трафик, старался найти свою нишу, работая один или с парой контракторов. Сейчас планы изменились, и я буду увеличивать объемы. Но цена не изменится, она полностью оправдана для того сегмента клиентов, который мне интересен. Пентестить блоги на вордпрессе за 50 баксов — это не к нам.
MaulNet: Расскажи, что из себя представляет средний клиент? Среди клиентов есть какие-нибудь известные IT-фирмы?
Хакер: Полно, можно посмотреть список на сайте для примера.
В клиентах есть и крупные платежные системы, но не все разрешают оглашать эту информацию. Для типичного рунет-юзера, правда, там мало кто покажется знакомым. В основном, это успешные стартапы из долины, в рунете о них никто не знает.
MaulNet: Как они тебя находят? Чаще через блог или по рекомендациям прошлых клиентов? В SEO, есть мнение, чаще работают рекомендации, ну может за исключением новых фирм и очень хорошо раскрученных «визиток».
Хакер: Через рекомендации редко.
В основном, это люди, которые наткнулись на сайт и увидели там мое имя (которое краем уха слышали многие в долине), посмотрели отзывы и посты. Думаю в будущем рекомендации будут случаться чаще.
MaulNet: Что из себя представляет твой отчет по безопасности?
Как часто нет никаких серьезных угроз? Это, кстати, правда, что iCloud взломали простым перебором паролей?
Хакер: Отчет — это список с описанием уязвимостей, рекомендации и вывод о безопасности приложения. Смотря что считать серьезной угрозой — критический баг, позволяющий выполнить код на сервере, встречается только в одной трети приложений, но просто опасные вещи типа XSS находятся практически всегда. За iCloud я не следил, но вроде бы да, это был обычный перебор.
MaulNet: А чем опасен XSS? Помню, им раньше генерили ссылки на пустых страницах крупных порталов.
Хакер: XSS это выполнение твоих скриптов в контексте чужого домена. На каком-нибудь блоге добавление ссылок это лучшее что можно с ним сделать, а если у вас XSS на gmail, например, то это чтение/написание любых писем у жертвы и стоит серьезных денег.
MaulNet: На что при анализе ты тратишь больше всего времени? Что самое сложное? И вообще какие бывают типы веб уязвимостей?
Хакер: Если аудит с чтением исходников, то больше всего уходит на их чтение. Нужно просмотреть каждый файл, далее построить в голове как работает приложение. И только в процессе всплывают идеи как эту архитектуру можно атаковать.
Типы уязвимостей я бы выделил в клиентские (XSS итд) и серверные. Клиентские проще всего найти и продемонстрировать, но в реальности их почти не используют т.к. это долго и неприбыльно. Серверные же это реальная угроза, которую надо искать в первую очередь. Обычный SQL injection зачастую ведет к выполнению кода и можно просто скачать всю базу данных.
MaulNet: Расскажи что-нибудь еще важное.
Хакер: Лучшая рекомендация разработчикам — это использовать хорошие фреймворки. Самописные движки, которые так любят сеошники и начинающие программисты — это путь в никуда. Говорят Yii и Zend неплохие. Для питона это джанго, для руби это рельсы.
Фреймворк решает многие проблемы сам.
MaulNet: Меня, помню, взломали после того, как админ установил для входа на один из сайтов дополнительную phpMyAdmin, а потом забыл про нее, она не обновлялась, видимо много было пабликовых дырок к той версии. Это частое явление? Как часто проблема скорее в сервере, нежели в самом самописном движке?
Хакер: По факту да, это пожалуй большинство взломов — когда баг находится на каком-то поддомене, забытой админке или старой версии вордпресса. Важно следить за своей инфраструктурой и не запускать всякую устаревшую муть на том же сервере, где и главное приложение с критическими данными.
MaulNet: Твои клиенты никогда не просят личные встречи? Платят без всяких договоров?
Хакер: Личных встреч не было ни разу. Обычно заключаем договор по желанию клиента, но у меня всегда пост оплата.
MaulNet: Без предоплаты?
Хакер: Да, не беру предоплату
MaulNet: Почему?
Хакер: Проблем никогда не возникало, да и мне так спокойней.
MaulNet: Где и как нужно копать, чтобы из нищего PHP-программиста переквалифицироваться в хакеры?
Хакер: Инструкции у меня нет, я перешел своим путем и мой опыт тут не поможет. Вообще надо заниматься чем тебе нравится. Нищим PHP программиста делает не PHP, а его неумение себя продать / развить свои скиллы до нужного уровня. Деньги есть в любой нише.
MaulNet: И все-таки, что нужно читать?
Хакер: Все подряд. И мой блог)
MaulNet: Блин, может на английском есть четкие форумы?
Хакер: В основном Твиттер, надо подписаться на пару сотен чуваков и смотреть что они делают. И делать самому.
MaulNet: Дай пару примеров.
Хакер: Например, lcamtuf и его книга The Tangled Web — это библия веб хакера. Впрочем, я ее не читал :)
Таких блогов несколько десятков, ищите сами.
MaulNet: Ты недружелюбный по отношению к начинающим хакерам ^)
Хакер: Есть люди с тягой к преподаванию — я не из таких. Мне на почту регулярно пишут всякие индусы с просьбой научить… сами давайте)
MaulNet: Скажи, где пацанам почитать про тот же XSS?
Хакер: Можно зайти на OWASP — это Вики по веб уязвимостям.
MaulNet: Какие конторы в твоей нише самые крутые?
Хакер: К примеру — Matasano известны своими исследованиями, особенно в криптографии.
MaulNet: Расскажи про планы на будущее.
Хакер: Планы на будущее это увеличить число клиентов и создать пару инструментов на продажу. В данный момент работаю над детектором социальных профилей. Возможно он выйдет как open source, а может и как продукт.
MaulNet: Детектор соц. профилей — это тот самый невидимый лайк? )
Хакер: Да — http://sakurity.com/profiledetector
MaulNet: А в чем смысл выпускать как open source?
Хакер: Не знаю, хочется сделать людям приятное. У меня нет ни одного open source проекта, а без него сейчас никуда.
Многие рисечеры выпускают продукты open source, например тот же брутофорс iCloud — https://github.com/hackappcom/ibrute
MaulNet: Расскажи тогда кратко в чем смысл детектора.
Хакер: Надо заставить посетителя твоей страницы сделать клик в специально отведенную зону, там находится прозрачный виджет. В это время скрипт на сервере отслеживает клики, можно почти моментально определить профиль в социальной сети человека, который кликнул. Это позволяет создать таргетированные предложения. Только ты кликнул, а тебе уже «Дорогой Вася, судя по вашим альбомам ВК вы только что вернулись из Италии, поэтому мы хотим предложить вам путешествие в Японию!».
MaulNet: Что из себя представляет средний хакер сегодня?
Мне кажется, что это такой чел, который сидит на Античате или может каком-нибудь закрытом форуме, собирает пабликовые уязвимости из стандартных движков типа Drupal, а потом льет на сайты всякие mobile редиректы.
Хакер: Хакеры бывают разные. Тип как ты написал это блекхеты, и я не вижу в этом ничего плохого. Если бы не было хакеров, то и не было бы спроса на безопасность, у меня бы не было работы.
Есть хакеры, которые пишут эксплоиты и продают, есть те кто сами ничего не создают, а используют то, что найдут в паблике.
MaulNet: Ты все еще собираешь биткоины?
Это правда, что крипту нельзя вломать?
Хакер: Да, я люблю биткоины и даже принимаю ими оплату за работу. Конечно раздражает последнее падение курса. Взломать нельзя, в этом и суть их надежности. Цифровое золото.
MaulNet: Про количество ты, наверно, не скажешь, но какой % от твоих заработков за все время лежит в крипте?
Хакер: Может процентов 30. Зависит от курса. Может через год эти 30 превратятся в 99.
MaulNet: 99 процентов, остальное на пиво. Так и запишем.
Понравилась статья? Хотите отблагодарить автора?
Тогда подпишитесь на блог через
Хорошо, что не чернухой занимается ;)
А какая разница? Я могу и «чернухой» в принципе заниматься, но только в образовательных целях.
Да и я не homakov… На этом сайте работает уязвимость подделки личности)
А помоему наоборот плохо, бяло бы круто услышать, чьто это он взломал icloud
Интервью понравилось, вот только какие-то картинки в статье странные, это что за жанр такой?)
футуризм
Аааааааа, ёпты, только мне Егор интервью дал, завтра публиковать собрался, а тут оказывается Маулнет опередил))
Впрочем, у меня вопросы другие, интервью не пересекаются.
Самый неинтересноватный текст, который я читал у маула за последние одиннадцать месяцев. От парнишки сложилось впечатление, как «я ламаю пэхапэ».
Но некоторые моменты понравились:
…
*успешные* стартапы из долины, в рунете о них *никто* не знает
…
Нужно просмотреть *каждый* файл
…
это библия веб хакера. Впрочем, я ее *не* читал
…
хочется сделать людям приятное
…
Да, я *люблю* биткоины
>*успешные* стартапы из долины, в рунете о них *никто* не знает
есть среднего размера стартапы созданные для местного рынка, всякая аналитика и виджеты. Например stripe.
>это библия веб хакера. Впрочем, я ее *не* читал
потому что все что в ней есть я прочитал в других местах
Еще замечу что броское название поста выбрал не я
Нормальный пацан — просто живет и занимается делом, а не думает о вилле на канарах.
Уважаю.
Что не вставило
«Самый неинтересноватный текст, который я читал у маула за последние одиннадцать месяцев»
Из Егора сложновато вытянуть подробное интервью. Просто сам он был не настроен отвечать задорно. К сожалению…
» как «я ламаю пэхапэ»»
Я Вас расстрою, но Егор как раз знаменит тем, что ломал рельсы. А Маулу большое спасибо, что стал публиковать инфу про вайтхатов.
Маул, хочешь я тебе тоже интервью дам? Заголовок уже готов: «Интервью с аристократом: Я люблю кокос, 21-летних хакеров, силиконовую долину, силиконовые жопы и читать стихи подвыпившим шлюхам, а тебя я утоплю в своих запасах цифрового золота!»
детектор соц. профиля, socfishing не?
и да и нет. socfishing использует довольно очевидный баг в вк, у меня же система более сложная. Ну и соцфишинг насколько я понял работает ТОЛЬКО с вк, а детектор могет facebook, google, youtube, tumblr, linkedin…
про какой именно «очевидный» баг речь? Сбор данных осуществляется без кликов на сайте ресурса который собирает эти данные. Это не clickjacking. Против фрейма из-под чужого домена тоже стоит необходимый заголовок. Баг то выходит нифига не очевидный. Ну или просто тебе не известный.
Какой там заголовок может быть в кнопке ВИДЖЕТА? Что у них там «без клика» если они незаметно ждут клика чтобы получить инфу из виджета? Я прекрасно знаю что и как у них работает, это очевидный баг и тупость разработчиков вконтакте. А спорить с дилетантами трата времени.
кококо, спорить с дилетантами, кококо…
на вк.ком на всех страницах стоит заголовок X-Frame-Options: deny говорю. Кроме виджетов во фреймах соответственно.
С нескольких разных аккаунтов пробовал. Без внутренних переходов и кликов по их сайту, просто после просмотра главной страницы, появляются лайки от их аккаунта вк на последние записи на моей странице.
да и в любом случае, даже если представить что это кликджекинг, то при клике по невидимому фрейму с кнопкой авторизации, на долю секунды всплывает попап от вк (и это подозрительно). Клик обычно происходит по некой ссылке, а если ты говоришь про невидимый фрейм с авторизацией (а ты именно про него), то после клика по нему, перехода по ссылке на сайте не происходит (фрейм мешает), а всего лишь закрывается сам невидимый фрейм. Что как бы тоже подозрительно. Мало того, поисковики прекрасно определяют кликджекинг и сайт должен вылететь под АГС, но этого не происходит. Скорее всего как раз потому что это не кликджекинг, а какой то другой способ определения. Таким образом смею предположить что диванный кулхацкер тут скорее всего ты.
пока чатились в аське он небойсь ее успел ломануть? про это стоило спросить =)
тупость… есть куча сервисов с белыми якерами, где за 20уе находят дыры, а тут колобаксы… гдеж таких лохов (клиентов) только находят…
Мало найти, надо ведь и пофиксить и прояснить че да как, чтобы не ломалось больше.
На счёт возраста, имхо, пиздёш… Пацан на работу в 15 лет устроился что ли?
Slanet ты завистливый пи&ар! Прочитал. Статья ахуе&&а, пацан красавчик. Сколько же завистливых задротов тут… Хочется сказать всем вам:»Продолжайте пускать желчь и заниматся рукоблудством»! Кстати, у Маула интервью лучше чем у Зенпро.
Тупые, ленивые, малолетние дрочеры-завистники! :)
Картинки дебильные портят всю статью.
А интервью и ответы хорошие! Спасибо!
маул хуйней занимаиццо
ммммммм…чернуха это не плохо……но интервью не о чем или мож хакера ты не того подобрал, как же отчеты от черных хакеров с скринами транз за фейк ав и прочее прочее ??? посмотреть как живут пацыки, а то мы нищеброды
картинки понравились и не пи.дите
Скажите пож. Можете взломат clash of clans online игру
Молодец, за 6 лет много достиг.
Мне тоже 21, примерно тогда же начинал, но минус мой огромный в том — что программированием мало занимался.
Да и служил…
и еще по спонсору:»Спонсор поста – Gold-affiliate – партнерка по
продаже ювелирных изделий на ру-трафике.» Там в ТОП-е люди относительно немного зарабатывают. Многие в СРА ушли, более увлекательная схема. Кто работает с голд-афилиат сейчас?
Я тут у Баблоруба более интересную историю хакера читанулhttp://totktoizniotkuda.com/statya-dlya-konkursa-vojdi-v-istoriyu/ , рекомендую ;-)
Маул, ты чаще тайтл меняешь, чем посты пишешь) давай уже что-то про новый альбом колдплея что ли :(
мне там, кстати, только «O» приглянулась
Интересный паренек. Теперь жизнь его навсегда захватил нет. Он раб своих интересов
Очень интересно, парень молодец, свое дело знает и сам зарабатывает. Хвалю.
Ни чего себе) маул, твои бредни еще читают)
Парень нашёл своё. Так бы каждому. Но к сожалению гораздо больше тех, кто любит «громко завидЫвать» :-). Думающих и делающих немного…
Картинки по теме. К сказочным рассказам, сказочные рисунки. Особенно позабавила картинка со взрывом мозга после слов «За iCloud я не следил, но вроде бы да, это был обычный перебор.»
К сказочным рассказам, хочу добавить что он точно не много зарабатывает ))
хороший человек знающий дело и поэтому хорошо зарабатывающий
очень понравилось интервью
А реально вообще найти хакера для взлома? А то кругом одни школьники и кидальщики.