среда, 4 апреля 2012 г.

О vx.netlux.org, PHDays и белых воротничках

Честно говоря, я не собирался писать на эту тему, но читая обсуждения в свете последних событий вокруг изъятия сервера сайта vx.netlux.org и наткнувшись на многочисленные мнения мол “давно было пора этот ресурс закрыть”, “чем больше таких ресурсов закроют, тем лучше” и т.п. от пиджаков и белых воротничков той же отрасли, в которой работаю сам… Просто промолчать я теперь не могу.

Проведем простой эксперимент: возьмем нынешние и недавно закрытые вакансии вирусных аналитиков в антивирусных компаниях и посмотрим, каковы обязательные требования к техническим навыкам соискателей:

Eset:

Вирусный аналитик-стажер (http://www.esetnod32.ru/.company/job/vacancy/info2/)

  • Умение программировать и анализировать код на asm x86, С/С++
  • Опыт обратного анализа программ с использованием инструментов: IDA Pro, OllyDbg
  • Понимание внутреннего устройства ОС семейства MS Windows, уверенное знание WinAPI и устройства PE-файлов

Вирусный аналитик в группу расследования инцидентов (http://www.esetnod32.ru/.company/job/vacancy/info3/)

  • Умение программировать и анализировать код на asm x86, С/С++, Python
  • Опыт обратного анализа программ с использованием инструментов: IDA Pro, OllyDbg, WinDbg
  • Понимание внутреннего устройства ОС семейства MS Windows, уверенное знание WinAPI и устройства PE-файлов

Вирусный аналитик в группу анализа сложных угроз (http://www.esetnod32.ru/.company/job/vacancy/info4/)

  • Опыт проведения полного анализа вредоносных программ.
  • Умение реконструировать сложные алгоритмы и протоколы сетевого взаимодействия.
  • Умение программировать и анализировать код на asm x86/x64, С/С++, Python
  • Опыт обратного анализа программ с использованием инструментов: IDA Pro, OllyDbg, WinDbg
  • Понимание внутреннего устройства ОС семейства MS Windows, уверенное знание WinAPI и устройства PE-файлов

Dr.Web (http://hh.ru/vacancy/5318479)

Вирусный аналитик

  • Знание Assembler x86 на уровне написания больших проектов.
  • Владение инструментами OllyDBG, Hiew, IDA.
  • Глубокое знание архитектуры Windows, DOS структуры NE и PE-файлов.
  • Хорошее знание языков C/C++.

Лаборатория Касперского (http://hh.ru/vacancy/5020964)

Вирусный аналитик

  • Заинтересованность в области вирусного анализа.
  • Знание языка Аssembler x86.
  • Базовые знания WinAPI.
  • Базовые умения анализировать файлы в дизассемблере IDA.

Яндекс (http://rabota.mail.ru/vacancy/5320721)

Вирусный аналитик

“У вас получится, если вы:

  • изучив веб-страницу, можете понять, есть ли там вредоносный код, что он делает и как он там оказался;
  • знаете, как можно проанализировать программу, систему или веб-приложение на наличие вредоносного кода;
  • понимаете основы и принципы работы антивирусов;
  • умеете быстро найти необходимую информацию, и разобраться в незнакомой программе/языке программирования;”

Вполне очевидно, что каждая из вакансий, в различной степени, но предполагает наличие у соискателей некоторого опыта в лоулевеле и реверсинге (за исключением, разве что, вакансии ЛК, к слову сказать – давно пылящейся в архиве HH). То, что у вчерашнего студента, лишь с его академическими знаниями, нет шанса попасть даже на должность стажера в Eset, в общем-то тоже понятно. Откуда у него возьмется умение программировать и анализировать код на асме и плюсах, а тем более владение отладчиком и дизассемблером? И уже тем более, откуда у него возьмется опыт больших проектов на асме в довесок к предыдущим требованиям? Или я что-то упустил и сейчас это преподают во всех ВУЗах страны, выпускающих по ИТшным специальностям? Сразу же встает вопрос: откуда вчерашнему студенту эти не-академические знания взять? Нужно отдать должное отечественным представителям аверопрома: программы стажировок для молодых специалистов у них изредка появляются (правда не у всех), на конференциях их специалисты делают доклады, из которых начинающие могут много чего подчерпнуть, да и в блогах их матерых аналитиков также можно найти некоторое количество релевантной информации, если конечно научиться отличать ее от откровенных факапов. Однако, этого недостаточно. Все перечисленное выше, относится к очень важной составляющей пути становления профессионала – его самообразованию. Думаю понятно, что без практики любая теория будет напрочь забыта, это лишь вопрос времени. А ведь именно практика определяет наличие у человека опыта и навыков. И какой бы крамольной не казалась эта мысль, но лучшим способом получить опыт и навыки реверсинга малвари – это реверсить малварь. Внимание – вопрос: где вчерашнему студенту взять малварь для исследований? <sarcasm>Просить образцы у аверов?</sarcasm>

Темой вирмейкерства и реверсинга я заинтересовался еще на младших курсах ВУЗа, около 13-14 лет назад. Тогда с источниками информации было совсем туго: информацию приходилось собирать по крупицам, выискивая ресурсы на которых были выложены свежие номера “Infected Voice”, архивы “40hex”, публикации парней из “29a” и, конечно же, общаясь в ASM.TALKS, SU.VIRUS и PVT.VIRII. Забавно, но в те махровые времена, многие из нынешних матерых аналитиков вовсе не гнушались подчерпнуть лишний раз информацию от по уши стоящих в блэке. Когда, в начале 2000-х (уже отойдя от лоулевела практически во всех его проявлениях) я случайно наткнулся на VX Heavens, моей первой мыслью была радость за тех ребят, которым еще предстоит во всем этом разобраться. Ведь на том ресурсе было все необходимое для того, чтобы получить те самые навыки и опыт, которые так настойчиво требуют сейчас представители антивирусного саббата. А теперь, если существование этого ресурса будет признано незаконным, то у меня остается только один вопрос: как законно стать реверсером с опытом, достаточным для того, чтобы начать работать в этом направлении под белой шляпой?

Да, на этом ресурсе была внушительная коллекция старючей малвари (кстати, доступная на thepiratebay по состоянию на май 2010-го), но там была также бесценная и крупнейшая подборка материалов на которых фактически выросли все, кто более или менее в теме реверсинга на сегодняшний день. Кроме того, это была площадка, где люди могли обменяться опытом, подчерпнуть что-то новое и обсудить это. Вот это уже интереснее… Чуть меньше, чем через пару месяцев, в Москве пройдет международный форум Positive Hack Days (http://phdays.ru). Там будут и эксплоиты (что по сути, по нашему новому законодательству вполне классифицируется как вредоносное ПО), там будут взломы всего, что открывает сокеты (и даже того, что их не открывает), там будут оригинальные исследования и, наконец, там будет общение исследователей друг с другом по полной программе. Понимаете, к чему я клоню? Это будет двухдневный, практически 100%-ый аналог VX Heavens IRL. И, если само существование VX Heavens будет признано незаконным, то это создаст опасный прецедент по препятствованию легального обмену информацией между вайт исследователями в любой его форме. Ведь блэки, в отличии от них – не заморачиваются на легальности своих действий и, в случае чего, найдут способы обеспечить подобный обмен. А что делать остальным?

Одной из основных задач вайт-форумов, аналогичных PHDays, является возможность каждому участнику абсолютно законно заняться любимым делом, во всеуслышание рассказать о своих исследованиях, тут же попробовать их на практике, получить, если не навыки и опыт, то хотя бы направления для своего дальнейшего развития. Но как, КАК?! - я вас спрашиваю, реверсер сможет во всеуслышание рассказывать о своих достижениях, если они основаны на материалах, полученных из источников, чье существование само по себе незаконно? За то непродолжительное время, что я успел проработать в PT, я уже много раз натыкался на критику нашей компании за ее внешнюю деятельность. Забавно, но это были те же люди, которые сейчас критикуют VX Heavens. Я слышал от них много приятных сердцу замечаний типа “вы же рассказываете на своих вебинарах о том, как взламывать!!!”, “на своей конференции вы поощряете взломы и деструктивную деятельность!!!”, “вы пугаете своими презентациями тех, кто принимает решения!!!” (вообще пять баллов. Интересно – если у них во время такой презентации, пакетом под ухом хлопнуть – обделаются или нет?), “понастроили этих своих хакспейсов” (это было не в адрес PT, но тоже пять баллов – ага, прям всю Москву ими заполонили, проходу от них нет) и т.д. Я не готов, не имею права и не собираюсь заявлять здесь что-либо от лица компании, поэтому отвечу на все эти вопросы лично от себя “фром зе боттом оф май харт”, как говорится: идите-ка вы со своей мнительностью, господа белые воротнички…

Помимо ваших драгоценных инфраструктур, за которые вы так переживаете, есть еще кое-что, упущенное вами (не иначе, как в виду особой важности вашей деятельности, тут нет вопросов, да) – это наше подрастающее поколение. Сотни, тысячи студентов, выпускающиеся ежегодно по специальностям, так или иначе связанным с информационной безопасностью и сталкивающихся с вакансиями типа приведенных в начале заметки. Не только антивирусных компаний, а практически всеми, более-менее соответствующими их специализации. И этим парням (и девчатам конечно же) еще нужно объяснить, что всем тем, что им интересно - можно заниматься совершенно легально. Что этим тоже можно честно зарабатывать на жизнь, что они могут не прятаться и спокойно рассказывать о своих исследованиях широкой аудитории, ДАТЬ им такую возможность наконец. Дать им возможность осуществить свой первый взлом там, где им за это не грозит условный срок и показать, что на светлой стороне силы тоже, в общем-то неплохо. Дать им уверенность в том, что они выбрали правильную специальность. Ведь после выпуска, с учетом нынешних реалий, у них остается только три выбора:

  • идти на копейки стажироваться, работая фактически за еду (если Dr.Web предлагает аналитику с такими требованиями 35 т.р. в Питере, то я представляю, сколько там будет получать стажер);
  • постараться прокачать свои знания и получить хоть какой-то опыт, учась на последних курсах и параллельно посещая форумы и конференции о практике ИБ (а не только о теории, которую так любите вы, многоуважаемые господа в пиджаках), хакспейсы, подглядывая в ресурсы типа VS Heavens и пробуя, пробуя и, еще раз, - ПРОБУЯ;
  • и, наконец, двинуть в блэк и забыть про все эти заморочки с высокой моралью. Ведь для того, начать писать винлоки на дельфях, успешно использовать всевозможные sqlmap’ы, эксплуатировать R/LFI или делать j2me-троянов в 10 строчек - им не надо соответствовать столь высоким требованиям, как в нынешних вакансиях, не находите?

Вот только в последнем случае, господа белые воротнички, у ваших испуганных руководителей рано или поздно начнутся инфаркты.

3 комментария:

  1. Николай Домуховский5 апреля 2012 г., 10:35

    >показать, что на светлой стороне силы тоже, в общем-то неплохо.
    Но денег на темной  становится все больше и зарабатывать их там так просто... :)

    ОтветитьУдалить
  2. Да, все так. Только за исключением того, что закрыли в Украине, а ПХД в России пройдет. Если бы в РФ был аналогичный прецедент, было бы актуальнее имхо.

    ОтветитьУдалить
  3. я ни разу в жизни не видел вир.аналитика или просто реверсера, которые начинали бы с ковыряния всяких старых вирусов
    Во первых они практически все самоучки
    Во вторых начинают большинство с банального кряка

    ОтветитьУдалить

Пожалуйста, будьте вежливы к автору и остальным посетителям этого блога