Личность в сети: 3APA3A

voy

Xakep, номер #050, стр. 058-059

voy@satanic.com

Этот человек - весьма популярная личность в мире IT-security. Он написал множество статей и различных заметок на hackzone.ru, bugtraq.ru. Он является создателем известнейшего проекта www.security.nnov.ru, посвященного компьютерной безопасности. В общем, человек-личность. Встречайте, сегодня мы беседуем с 3APA3A’ой.

Х: Публика должна знать своего героя. Расскажи немного о себе, имя, сколько лет, место дислокации, где работаешь/учишься?3: Имя не скажу. Не потому что скрытный, а потому что может помешать основной работе (кому надо - сможет узнать, это достаточно несложно). 28 лет. Живу, естественно, в Нижнем Новгороде. Основная работа - возглавляю службу поддержки пользователей.

Х: Когда ты начал увлекаться компьютерами? Было ли это похоже на спонтанное увлечение, или все-таки с компьютерами тебе пришлось знакомиться из-за работы?3: Увлечение компьютерами возникло не спонтанно. Решил заниматься программированием лет в 13-14, затем программистский класс в физмат-школе, ВМК и т.д. А вот компьютерной безопасностью начал заниматься случайно, и это пока, скорее, хобби. Как ни странно, все это связано и с появлением Security.nnov и с bugtraq :).

Х: Что насчет проявления интереса к компьютерной безопасности? Помнишь ли свою первую публикацию в bugtraq?3: Что касается собственных статей, то сначала была написана статья для hackzone, посвященная взломам чатов. Статья была написана буквально за пару часов. Конечно, сейчас она кажется "ламерской", но с другой стороны, это была одна из первых статей, рассказывающих о том, что сейчас принято называть crossite scripting attack. Первый постинг в Bugtraq не помню - должно быть, это было письмо, посвященное FTP-спуфингу. Достаточно интересная проблема, которая обсуждается с 1996 года и до сих пор.

Х: Как возникла идея о создании собственного сайта об IT-безопасности, security.nnov.ru? Поддерживаешь ли ты его в одиночку, или есть какие-то помощники?3: В 1999 компания, в которой я работаю, решила провести конференцию, посвященную компьютерной безопасности (в Нижнем вопросами безопасности в то время практически никто не интересовался)... Интерес нашей компании к компьютерной безопасностью тогда ограничивался регулярным чтением Bugtraq'а, чтобы вовремя затыкать дырки. Но уже было понимание, что, скорее всего, компьютерная безопасность - это все-таки нечто большее. Под конференцию и был создан сайт www.security.nnov.ru (то, что было тогда, можно сейчас найти на http://www.security.nnov.ru/conference). Приехало много очень интересных людей (среди них, например, Алексей Лукацкий). Конференция прошла, сайт остался. Через некоторое время стало понятно, что Bugtraq дает достаточно большой объем информации, и, если ее отсортировать, то можно получить и достаточно фундаментальные знания. Но, во-первых, найти нужную информацию сложно, во-вторых, это не единственный источник информации. А в-третьих, там нет русскоязычных комментариев, поэтому на нее сложно ссылаться. Поэтому было решено создать собственную базу уязвимостей и сделать к ней доступ через web. Так www.security.nnov.ru стал тем, что он собой сейчас и представляет. Дизайн сделал Дядюшка Юлиус, хостинг обеспечила компания, все остальное я писал сам. Временами появлялись добровольные помощники, но надолго их не хватало :). Все-таки никаких финансовых дивидендов сайт не приносит.

Х: Хоть твой сайт и имеет преобладающую информационную направленность, но все же на нем можно встретить отнюдь не информационные вещи. К примеру, эксплоиты. Были случаи, когда ты ими пользовался не в "образовательных" целях? :)3: Что касается эксплоитов - об их назначении говорит комментарий на первой странице. Они лежат для того, чтобы человек мог самостоятельно убедиться в наличии той или иной проблемы. Использовать эксплоиты самому приходится крайне редко, и только в законных целях (либо для тестирования системы, либо, например, для восстановления утерянных учетных данных). Нарушать закон, находясь "на виду", в общем-то, довольно глупо.

Х: Никогда не приходилось вступать в контакт с нашими правоохранительными органами по вопросам компьютерной безопасности (как со стороны пострадавшего, так и наоборот)?3: Общаться с правоохранительными органами приходится, в т.ч. и в качестве эксперта. Это еще одна причина, по которой я не только не нарушаю закон, но и предпочитаю "не знать" ничего лишнего, когда кто-то другой собирается это делать :).

Х: Часто ли к тебе обращаются люди с предложениями провести аудит безопасности их системы/сети? Бывают ли действительно серьезные предложения?3: Предложения о проведении аудита бывают, причем большая часть сейчас поступает по работе. Еще чаще, к сожалению, приходится разбираться с инцидентами. Бывают и весьма серьезные предложения, некоторые приходится отклонять - сложно уйти от основной работы.

Х: Поддерживаешь ли ты отношения с российскими security-специалистами, хак-группами?3: Отношения, конечно, поддерживаю. Пожалуй, наибольший отклик вызвала уязвимость в Internet Explorer, которая "разрабатывалась" совместно с ребятами из Domain Hell (http://www.security.nnov.ru/search/news.asp?binid=1782). Общаемся также с Buggzy, Solar Designer. Неплохие отношения и со многими другими группами. По работе общаюсь со специалистами из многих крупных компаний, работающих в области компьютерной безопасности.

Х: Не пугает ли тебя тенденция понижения планки понятия "хакер" в СМИ? Не странно ли то, что в последнее время этим словом стали называть даже тех людей, которые дальше почтовых троянов ничего не видели?3: Да, понятие "хакер" сильно изменилось. Сейчас под словом "хакер" все чаще понимают человека, совершившего компьютерное преступление. А страдают из-за этого все те же мальчишки. Которые знают, что xakep - это cool, и что, если спер у соседа диалапный пароль, значит ты hax0r и, следовательно, крутой. Настоящий интерес не в этом. Нужно придумать, создать что-то свое. Неважно, что это будет - полезная утилита, новый способ атаки или новая концепция защиты. Главное - показать, что мозги работают.

Х: Когда ты впервые начал заниматься компьютерной безопасностью, были ли какие-нибудь планы, мечты? Сбылось ли что-нибудь?3: Никогда не думал, что буду серьезно заниматься компьютерной безопасностью. И уж тем более не думал, что Security.nnov когда-нибудь будет известен за пределами Нижнего (после нескольких месяцев существования сайта, посмотрев список e-mail, которые были подписаны на рассылку, и обнаружив там адреса администраторов крупнейших сетей, я был чрезвычайно удивлен).

Х: Оглядываясь назад, не хотелось бы тебе что-нибудь изменить? Может, были какие-нибудь другие перспективы собственного развития, к примеру, стать не компьютерщиком, а президентом? :)3: Я добился неплохих результатов в деле, которым занимаюсь всю более или менее сознательную жизнь (кстати, я не считаю себя большим специалистом в компьютерной безопасности, приходится решать комплексные задачи, в которых безопасность лишь одна из составляющих). Это должно означать, что я движусь в правильном направлении.

Х: Не мешает ли достаточно напряженная работа за компьютером личной жизни?3: Я женат, две недели назад у нас родилась вторая дочка. Так что в личной жизни все идет неплохо :).

Х: Поздравляю :). А какие виды некомпьютерного отдыха практикуются, да и вообще остается ли время на подобные мероприятия после работы?3: Хобби - музыка, чтение. Хотя времени остается немного.

Х: Какую музыку предпочитаешь?3: В музыке нравится: Dire Straits, Pink Floyd, Slade, The Beatles, Rolling Stones, T.Rex.

Х: А что насчет кино? Есть любимые жанры, режиссеры?3: Из фильмов - бюджетные фильмы в жанре "Action". Любимый режиссер - Quentin Tarantino.

Х: А как с компьютерным расслаблением? Какие игры по душе?3: Из игр - Counter Strike. У нас свой сервер (он открыт в пределах Нижнего Новгорода и им пользуются несколько клубов, так что там достаточно высокий уровень игроков и всегда есть с кем поиграть).

Х: Насколько я знаю, ник ЗАРАЗА появился из твоего увлечения quake'ом. Никогда не возникала идея заняться подобным компьютерным спортом серьезно, и как ты оцениваешь свои способности на этом поприще?3: Все-таки сейчас большая часть "профессиональных" игроков до 22 лет. И шансов за ними угнаться нет никаких :).

Х: Какой операционной системе ты отдаешь предпочтение: Windows или Unix?3: Я не отдаю предпочтение какой-либо операционной системе. Когда делается выбор платформы для корпорации, должен учитываться единственный фактор - деньги. Но деньги не только на покупку ОС, а совокупная стоимость владения, которая складывается из многих параметров (в т.ч. стоимости обучения сотрудников и зарплат системных администраторов). При этом у корпорации могут быть дополнительные требования, например, наличие авторизованной поддержки (или поддержки самим производителем операционной системы). Это сразу отметает многие бесплатные системы, как бы хороши они ни были. При выборе системы для домашнего компьютера главное - это наличие того, с кем можно посоветоваться. Поэтому ставить надо то, что советует ваш приятель-компьютерщик. В работе мы используем Windows NT, Windows 2000, FreeBSD, и даже OSF/1, плюс несколько различных дистрибутивов Linux, но при принятии решения рассматриваются и другие варианты. Сам с 1997 года живу на Windows NT 4.0. Целиком система ни разу не переустанавливалась (хотя пару раз приходилось собирать ее из обломков по кусочкам), так что все это время делается постепенный апгрейд (изначально был Cyrix DX2/66 разогнанный до 80, 16 Мб памяти, Cirrus Logic на 2Mb и жесткий диск 800Мб). Сейчас Celeron 1300, 256Mb, Voodoo III и жесткий диск на 8Gb. Пока хватает.

Х: Но есть же какие-нибудь причины, по которым у тебя дома на винчестере живет именно Win, а не что-то из зоопарка *nix?3: Дома, кроме семьи, вообще ничего не живет :). А для работы удобнее Windows-платформа по историческим причинам. А пока что-то работает и устраивает, я не вижу смысла переходить на другую платформу. По этой же причине до сих пор не перешел на Windows 2000 - никаких "идейных" причин тут нет.

Х: Твой любимый язык программирования?3: Крупные проекты пишу на C, поскольку писать приходится преимущественно под Unix. Но приходилось работать с кучей языков, начиная с Basic, Fortran и Java и заканчивая раритетным Prolog.

Х: А как ты относишься к такой вещи, как кардинг? Не приходилось ли сталкиваться на личном опыте?3: С кардингом и фрикингом никогда не сталкивался.

Х: Ну и вопрос на закуску. Читаешь ли ты журнал "Хакер"?3: Бумажные журналы вообще читаю крайне редко (если только попадаются где-нибудь на столике в холле для ожидания :)). Хакер ни разу не попадался :).

Х: Видимо, в неправильных холлах ожидаете :). Спасибо тебе за интервью. И напоследок, что бы ты хотел сказать нашим читателям?3: Много всего хочу сказать... Все не поместится :). Хочется опровергнуть несколько неверных представлений. Во-первых, что для того, чтобы стать хакером, надо разрушать и ломать. Для того, чтобы сломать, надо найти всего ОДНО слабое место. Для строительства надо исключить ВСЕ слабые места. Поэтому создавать - это и сложней и интересней... Во-вторых, о том, что компьютерному профессионалу кроме программирования ничего не надо. Это совершенно неверно. Чтобы стать настоящим профессионалом, нужно знать уйму вещей, от компьютера, казалось бы, довольно далеких - математику, теорию вероятности и статистику, теорию игр (не имеющую к Counter Strike никакого отношения :)), психологию (компьютер - это инструмент, результат работы всегда ориентирован на человека), философию (без нее очень сложно понять современные подходы к разработке проектов), экономику. Так что... Пойду, почитаю учебник :).