Xaker bilan intervyu: «Istagan odamning shaxsiy hayotidan xabardor bo‘lish mumkin»
Xakerlar shartli ravishda ikkiga bo‘linadi: ba’zilari AT-tizimlarni oshkora tekshirishsa, boshqalari axborot o‘g‘irlashni maqsad qilishadi. Yaqinda axborot xavfsizligi bilan shug‘ullanadigan «CQURE» kompaniyasi asoschisi Pola Yanushkevich «Forbes»ga birinchi toifaga kiruvchi xakerlar haqida gapirib berdi.
— Ishlaringiz qalay? Har kuni idoraga kelib, kechgacha ishlaysizmi? Yoki vaqt va ish joyini tanlash imkoniyati mavjudmi?
— Men ish uchun joy tanlashni istardim, lekin unday qila olmayman. Texnik tomondan buning imkoniyati mavjud, lekin mening kompaniyadagi rolim mijozlar oldida bo‘lishimni talab qiladi. Shuning uchun doim safardaman, turli mamlakatlarga boraman. Ichki pentest (AT-tizimlariga ruxsatsiz kirishdan himoyalanganlikni bilib olish uchun test)ni o‘tkazish uchun mijozlarning oldiga borishga to‘g‘ri keladi. Tashqi pentestni esa hatto plyajda ham amalga oshirilish mumkin.
Foto: «News.microsoft.com»
— Pentestlarni qanday amalga oshirasiz? Siz kiberhujum uchun qulay paytni poylaysizmi? Yoki kompaniyalarni istalgan vaqt va istalgan joyda testdan o‘tkazishingiz mumkinmi, umuman testdan o‘tkazish texnik masalami?
— Oxir-oqibat hamma narsa texnikaga borib taqaladi, ammo o‘ziga xos jihatlari ham bor. Misol uchun, agar mijoz tun davomida ishlamasa, sinovni shu vaqtda o‘tkazish kerak. AQSh kompaniyalari uchun kunduzgi ishlarni qilsak, biz Yevropada tuni bilan ishlaymiz va bu odatiy holdir. Lekin odatda normal ish kuni afzalroq. Tun bo‘yi ishlashni yoqtirmaymiz, lekin shunaqasi ham bo‘lib turadi.
Ko‘pincha biz sayt yoki servisning nusxasini sinab ko‘ramiz. Misol uchun, yaqinda bir bank uchun maxsus dasturlarni amalga oshirdik. Tizimning nusxasi bilan ishlashim kerak edi, chunki saytning trafigi katta edi. Agar test o‘tkazayotgan paytda muammolar paydo bo‘lsa, bu bankning obro‘siga salbiy ta’sir qiladi.
— Real vaqtda haqiqiy pentestlar qilishingizni so‘ragan mijozlaringiz bormi?
— Ha, albatta. Ba’zan biz bu ishni oddiy ish kuni bajaramiz. Bu haqda kompaniya ogohlantiriladi, ular «hujumni kutishadi». Agar biror muammo yuzaga kelsa, ular darhol aloqaga chiqishadi, vaziyatni aniqlash uchun bizni chaqirishadi.
— Har qanday holatda ham ichki va tashqi sinovni amalga oshirish kerakmi?
— Vaziyatga bog‘liq. Ba’zi iste’molchilar ichki pentest o‘tkazishni istamaydi. «Yo‘q, yo‘q, chunki buni qilsangiz, ichimizdagi hamma narsani bilib olishingiz mumkin» deb rad javobini berishadi. Bunday hollarda faqat tashqi pentestni o‘tkazamiz. Shaxsan men buni to‘g‘ri deb hisoblamayman: agar tashqi test qilsangiz nima uchun ichki testni amalga oshirmaslik kerak? Biz tushuntirishga harakat qilamiz, lekin...
Qanday qilib xaker bo‘lish mumkin?
— Bu kasbga qachon qiziqib qolgansiz?
— Men har doim xavfsizlik sohasida ishlaganman. Texnologiyaga sohasiga asta-sekin kirib bordim. Maktab tarmog‘ining xavfsizligi uchun mas’ul edim. O‘shanda 17 yoshda edim, buning nimaligini tushunmasdim, lekin haqiqatan ham axborot xavfsizligi bilan shug‘ullanishni xohlardim. Men o‘z yo‘limni izlay boshladim. 17 yoshda nima qilish va nima qilmaslik kerakligini tushunish qiyin. Fikru yodingni band etgan bir narsa bor: shuni qilishni xohlaysan. Lekin bu kelajak uchun yaxshimi-yo‘qmi — bilmasdim. Biz ertaga nima bo‘lishini bilmaymiz.
— Siz «buzgan» birinchi operatsion tizim qaysi?
— Ular ikkita edi: «Windows» va «Linux».
— «”Windows” men buzgan birinchi tizim edi». Maqolaga yaxshi sarlavha bo‘lar ekan...
— O‘sha paytda «Windows» va «Linux» turli xavfsizlik tizimlaridan foydalangan. Bu «NT4.0» (1996 yilda chiqqan «Windows» operatsion tizimi) ishlatiladigan davrlar edi. Keyin hamma bilar ediki, siz ma’lum bir parametrni o‘zgartirmasangiz kompyuteringizga buzib kirishardi. Uning zaif nuqtalarini topish oson edi. Xakerlar bizga o‘zimizni himoya qilishni o‘rgatishdi, shuning uchun hozir ahvolimiz biroz yaxshiroq.
— Dunyodagi V2V-tizimlarning xavfsizlik darajasi haqida nima deya olasiz? Ular kiberhujumlarga tayyormi?
— Darhaqiqat, biz har doim pentest qilganimizda tizim ichiga kiramiz. Shundan gapira qolay. Har qanday tizimni buzish mumkin. Lekin hech kim sizga bepul ta’lim bermaydi, chunki bu juda o‘ziga xos bilimlardir. Bu sohada tabiiy bo‘shliq mavjud. «Financial Times»ning taxminicha 2019 yilga kelib dunyo bo‘yicha 6 mln. nafar axborot xavfsizligi mutaxassislari kerak bo‘ladi, lekin hozirgi rivojlanish sur’atlari bilan mazkur bozorda atigi 4-5 mln. nafar mutaxassis bo‘ladi. Xavfsizlik mutaxassislarini tayyorlash muammosi mavjud.
— Universitetlar ularni yetarli darajada tayyorlamasa, yaxshi mutaxassis bo‘lishning yana qanday usullari bor? Onlayn kurslarmi?
— Ko‘pgina bepul resurslar mavjud, biroq tizimlashtirilgan bilimlar albatta afzaldir. Internetda turli xil kurslar bor. Ular arzon. Siz ushbu kursni sotib olishingiz va bilimingizni tizimlashtirishingiz mumkin. Lekin bu kurslarning kamchiligi shundaki, ular hujum qilish texnikasi haqida ko‘proq tushuntirish beradi. Bundan tashqari, ular juda real bo‘lmagan muhitda mashq qiladilar. Menimcha, eng yaxshi usul mutaxassislarni mustaqil ravishda tayyorlashdir. Masalan, bizning jamoamiz shunday qilayapti.
— Sizning kompaniyangizda hozir qancha odam ishlaydi?
— Bu qanday hisoblashga bog‘liq. Bizning shtatda 20 nafar xodim bor. Yana 36 nafari shartnoma asosida ishlaydi. Lekin shartnomadagilar har oy bir necha hafta davomida biz uchun ishlaydi. Shuning uchun ularni ham xodimlarimiz deb hisoblashimiz mumkin.
— Qancha yosh xodimingiz bor?
— Jamoamizning taxminan yarmi yoshlardir. Biz ularga o‘rgatamiz, chunki ularning ba’zilari hech qanday tajribaga ega emas.
— Ularni universitetdan so‘ng ishga olasizlarmi?
— Ha. Ammo buning bir salbiy tomoni bor. Chunki muayyan vaqtga qadar siz kim bilan ishlayotganingizni aniq bilmaysiz. Odam tanlashda ikki marta adashganmiz, shuning uchun faqatgina jamoaga mos keladiganlarni ishga olamiz.
— Tasavvur qiling, xavfsizlik borasidagi barcha muammolar hal etilgan. Siz nima qilgan bo‘lardingiz?
— Plyajda hordiq chiqarardim. Lekin jiddiy gapiradigan bo‘lsam — savolingiz judayam qiziq bo‘ldi. Mening ikkinchi kasbim nima bo‘larkin? Menimcha AT sohasida ishlashni davom ettiraman. Lekin agar ATdagi barcha muammolar o‘z yechimini topsa, matematikaga o‘tib ketaman. Chunki matematika fikrlashga o‘rgatadigan aniq fandir. Balki tranzaksiyalar bilan shug‘ullanarman. Uoll-strit ko‘chasida bir nimalar sotarman. Chunki menga matematika yoqadi...
Manba: Xabar.uz
