IT i Ty

024 IT Security – Andrzej Dyjak

Bezpieczeństwo, to bardzo duży kawałek tortu jakim jest IT, dlatego najwyższa pora, aby na łamach tego podcastu nieśmiało rozpocząć o nim rozmowę. Żeby mieć pewność, że pojawią się tutaj same mądre rzeczy, do rozmowy zaprosiłem Andrzeja Dyjaka, przedsiębiorcę, bezpiecznika, który posiada szeroką wiedzę, a co najważniejsze popartą praktyką. Prywatnie zapalonego miłośnik trójboju siłowego 😲

Transkrypcja

Cześć Andrzej.

Andrzej: Cześć Damian.

Słuchaj, spotkamy się dzisiaj tutaj dziś, żeby porozmawiać o temacie Security, zwłaszcza w kontekście IT. Mówię zwłaszcza, bo to bezpieczeństwo takie fizyczne w dzisiejszych czasach jest uzależnione, wręcz od właśnie technologii, od świata IT, ale zanim przejdziemy do tego naszego głównego wątku to mam dwa takie do Ciebie pytania na rozgrzewkę. Pierwsze, nie mam pojęcia jaka będzie Twoja odpowiedź. Wiem tylko, że z podcastami jakoś związany jesteś, bo nagrywasz swój gdzieś i bywasz tak samo gościem. Pamiętam Twój fajny występ u Tomka Ołyszko, ale powiedz mi, jak to jest z tym słuchaniem podcastów u Ciebie? Czy słuchasz podcastów i masz ewentualnie coś do polecenia?

Andrzej: Z podcastami u mnie jest tak, że tak, słucham podcastów. Słucham nawet bardzo dużo podcastów, w szczególności podcastów zagranicznych. Najczęściej są to podcasty amerykańskie. Tematyka podcastów, których słucham zmieniała się na przestrzeni lat. W ogóle słuchać podcastów zacząłem chyba w momencie, o ile dobrze kojarzę kupna iPhone’a nie wiem chyba 2015 albo 16 rok. Teraz ręki sobie nie dam uciąć i wtedy wsiąknąłem w podcasty. Zaczynałem od typowo inżynierskich. Pamiętam taki podcast Software Enginnering, chyba Software Enginnering Daily i potem różnego rodzaju podcasty skupione na konkretnych technologiach. Ja się zajmowałem Ruby, więc słuchałem podcastów rubiowych i jakoś mi się spodobała po prostu ta forma, a potem trafiłem na topowe podcasty typu Tim Ferriss czy Joe Rogan i można powiedzieć, że moja perspektywa na odsłuchiwanie podcastów się rozszerzyła. I tak w zasadzie… nie wiem 7 lat i dalej tych podcastów słucham. Słucham bardzo dużo, chociaż tak jak powiedziałem tematyka tego o czym słucham cały czas ewoluuje. Raczej skupiam się na podcastach zagranicznych, ale polskich też słucham. Chociaż już trochę mniej tych IT. Raczej podcastów biznesowych lub marketingowych lub po prostu takich o życiu. Tak to ujmę podcastów o życiu.

OK. Wiesz co u mnie też to słuchanie podobnie ewoluuje jak u Ciebie. Oprócz tego wątku jakiegoś tam zagranicznego, bo ja akurat zacząłem słuchać tak mocno technicznych podcastów związanych z technologią, a później tak to ewoluowało. Tak do mnie ta forma dosłownie zaczęła przemawiać, że na chwilę obecną w moim czytniku jest tam ponad 170 pozycji. Co tydzień dochodzi mi jakiś nowy podcast i to jest w ogóle już jakaś chyba też forma uzależnienia to słuchanie podcastów, a minus tego jest taki, że na chwilę obecną to już wiesz. Nie da się wszystkiego słuchać i muszę wybierać, a dużo fajnych treści powstaje. Oczywiście to jest. Znaczy na szczęście też są takie podcasty, które nie wychodzą wiesz zbyt regularnie, dlatego ja też sobie pozwalam na nieregularność w nadawaniu mojego podcastu, bo wiem jak to dobrze sprzyja na to, żeby można było sobie historię odsłuchać. A powiedz mi Andrzej jak to się w ogóle stało, że ten świata IT zapukał do Twoich drzwi? Jak to się stało, że spotkałeś, że zachciałeś być film gościem od IT?

Andrzej: To jest, nie wiem czy ciekawa historia, ale z mojej perspektywy jest dość ciekawa. Mianowicie ja w zasadzie do IT trafiłem od strony Security co jest dość nieczęstą drogą. Może teraz w chwili obecnej to się już powoli zmienia, dlatego, że samo bezpieczeństwo, samo Sapiens Security jako domena, jako dziedzina IT po prostu urosła. Natomiast jak ja wchodziłem na rynek to nawet w Polsce, a może przede wszystkim w Polsce, bo w Stanach już było to mocno do przodu, ale w Polsce ten rynek tak naprawdę dopiero raczkował. Ja wchodząc na rynek w ogóle nawet nie wiedziałem, że można zarabiać na czymś takim jak testowanie bezpieczeństwa, więc było to dla mnie można powiedzieć olśniewające, że: Ale jak to znajdę podatność, napisze exploita i ja mogę dostać za to pieniądze, bo tak właśnie wszedłem w IT, tak właśnie wszedłem w bezpieczeństwo, czyli szukałem podatności i sprzedawałem Exploity. Wtedy jeszcze nie było czegoś takiego jak Bug Bounty. To się nazywało, to miało różne nazwy, ale generalnie to były programy Vulnerability disclosure, tak jak Zero Day Initiative, które do tej pory istnieje czy Vulnerability contributor program od iDefense, który w chwili obecnej już chyba nie istnieje. Jest jeszcze kilka innych tego typu programów, więc można było w ten sposób spieniężać, monetyzować tą swoją wiedzę, ten swój skill set w momencie, kiedy ja wchodziłem, czyli to był 2009 – 2010 rok. A samym IT ja interesuję się w zasadzie od dziecka. Pierwszy mój styk z komputerem to był jeszcze na commodore C64, a potem PC wleciał w zasadzie dość szybko, bo jeszcze w poprzednim tysiącleciu i od razu można powiedzieć pokochałem komputery. Trudno powiedzieć z jakiej konkretnie przyczyny, ale spodobała mi się technologia i wiedziałem już w podstawówce, że będę zajmował się komputerami. Natomiast jeszcze wtedy nie wiedziałem, że będę zajmował się konkretnie Security.

Aha. OK, czyli może to nie zbyt fortunne określenie, ale można powiedzieć, że coś zaiskrzyło między Tobą a komputerem już od samego początku?

Andrzej: Zgadza się. Ewidentnie zaiskrzyło pomiędzy nami. Pomimo tego, że brzmi to jakby nie była to miłość.

A powiedz mi, jak to w ogóle było, że coś takiego jak to właśnie poszukiwanie podatności dotarło do Ciebie, że jest taka możliwość spieniężania tego swojego skill setu, tych umiejętności, jak wspomniałeś, bo to nie było właśnie aż tak wiele miejsc, gdzie można szukać takich rzeczy. Czy to też było w ten sposób, że sam na własną rękę poszukiwałeś jakieś podatności powiedzmy na stronach internetowych i sam się zgłaszałeś do firm? Czy to jednak zawsze gdzieś musiało być przez jakiegoś pośrednika?

Andrzej: Nie. Wiesz co w tamtych czasach to wyglądało trochę inaczej i dlatego też wspomniałem o tych Bug Bounty, o których możemy potem jeszcze porozmawiać. Natomiast u mnie zaczęło się to od typowych aplikacji desktopowych czy serwerowych. Generalnie aplikacji natywnych i wyglądało to w ten sposób, że po prostu szukałem w nich podatności i to podatności niskopoziomowych takich jak różnego rodzaju podatności klasy, memory corruptionbuffer overflow, heap overflow, integer overflow. Tutaj możliwości jest wiele, natomiast na koniec dnia sprowadza się to do tego samego, czyli pozwala w jakiś sposób ingerować w pamięć programu, a w momencie, kiedy możemy ingerować w pamięć programu, to jeżeli sobie dobrze ułożymy, to w jaki sposób ingerujemy w pamięć programu, to jesteśmy w stanie go przejąć, czyli jesteśmy w stanie przejąć kontrolę nad wykonywanym kodem. Jesteśmy w stanie zacząć wykonywać nasz własny kod i tych podatności tak naprawdę szukałem na własną rękę i po prostu sprzedawałem je do programów właśnie typu Zero Day Initiative. Natomiast te programy, te firmy, które utrzymywały te programy monetyzowałem to w ten sposób, że one miały produkty takie jak IPS, IDS. To są różnego rodzaju systemy, które wykrywają intruzów i dzięki tym informacjom o podatnościach były w stanie pisać lepsze regułki po to, żeby wykrywać tych intruzów. I do tego jeszcze te firmy miały i do tej pory mają politykę, że zgłaszają te podatności do oryginalnych vendorów, czyli byli właśnie takimi pośrednikami. Ja zgłaszałem do nich, oni mi płacili. Natomiast oni potem to zgłaszali dalej, czyli na przykład do Apple i Apple to łatał, i wszyscy byli szczęśliwi.

Tak albo nie.

Andrzej: Tak albo nie. W sensie raczej na koniec dnia prędzej czy później zawsze jest to załatane tylko w tamtych czasach jeszcze nie było takiego nacisku, że musi być to załatane dla przykładu do 90 dni. Nie było takiej.

Jasne, takiej tej kultury.

Andrzej: Dokładnie, nie było kultury. Natomiast w chwili obecnej jest trochę łatwiej, dlatego, że różnego rodzaju firmy typu właśnie Apple, Google, Microsoft i wiele różnych tych dużych firm mają własne swoje takie programy Bug Bounty, więc zamiast iść do Zero Day Initiative i sprzedawać exploity im można pójść po prostu do firmy i z nimi się podzielić tą informacją, i najczęściej otrzyma się jakąś nagrodę, chociaż tutaj jeżeli wejdziemy w temat Bug Bounty, to tam jeszcze podzielę się moimi spostrzeżeniami na ten temat i co według mnie jest bardziej korzystne, ale nie jest to takie też różowe jak może brzmieć, jak ja o tym mówię, bo można powiedzieć, nie ma róży bez kolców albo wszystko zawsze dobrze brzmi jak my nie musimy tego robić i jak my nie borykamy się z różnego rodzaju problemami.

Tak. Wiadomo, że trawa u sąsiada jest zawsze bardziej zielona, prawda? Trochę tak to jest. Słuchaj, to dobra to, zanim przejdziemy do Bug Bounty, do tych wszystkich innych rzeczy związanych właśnie z Security to powiedzmy sobie, czym to Security jest? Jak Ty definiujesz, bo to jest chyba bardzo szeroki cel, szeroki zakres cel tej dziedziny informatyki, ale czy jest jakaś jedna taka definicja, która Ci się nasuwa tutaj.

Andrzej: Tak na szybko to nie podzielę się jakąś konkretną słownikową definicją. Na pewno bezpieczeństwo dobrze jest sobie podzielić albo przynajmniej trzymać w głowie taką mentalną zakładkę, że jest pewna różnica pomiędzy bezpieczeństwem informacji, czyli Information Security, a cyberbezpieczeństwem, czyli Seeber Security, ponieważ jedno zawiera się w drugim, bo cyberbezpieczeństwo jest to trochę taki szerszy termin, który wywodzi się z wojska. A jak wywodzi się z wojska, to nie zajmuje się tylko samym bezpieczeństwem informacji, ale też bezpieczeństwa na przykład kanałów komunikacyjnych, czyli łączności, a samo bezpieczeństwo informacji zależy jak na to popatrzymy, ale raczej nie trzeba się tym zajmować. Natomiast takiej definicji książkowej na szybko nie podam, ale jedno jest pewne. Jeżeli mówimy o bezpieczeństwie systemów IT to mamy coś takiego jak Triada CIA, czyli confidentiality – poufność, Integrity – integralność i availability, czyli dostępność i to są 3 właściwości systemu, które chcemy, żeby system posiadał. Czyli od strony bezpieczeństwa mówimy, że system jest bezpieczny, jeżeli te właściwości systemu są utrzymane w danym systemie i trudno na nie wpłynąć, więc można powiedzieć, że to jest definicja bezpieczeństwa, czyli trzymanie pewnych właściwości systemu. Najczęściej mówimy o systemie IT i testowanie tych właściwości ciągłe po to, żeby cały czas weryfikować, czy one są utrzymane, czy nie są utrzymane na akceptowalnym poziomie, które sobie ktoś tam założył i wyszło mu z jakiejś jego własnej analizy ryzyka, że może sobie na to pozwolić lub nie.

OK. Dobra. To ja tu bym chciał dopytać, bo tak poufność to to wszyscy myślę, że mogą się domyśleć o co chodzi, dostępność też. A jak byś tutaj rozumiał integralność? Jak to należy rozumieć w tym ujęciu bezpieczeństwa?

Andrzej: Dobrze. Integralność. Integralność danych, jeżeli mówimy właśnie o information Security, to mam tu na myśli integralność danych, czyli dla przykładu, jeżeli ja zaczyna się komunikować z moim bankiem to chce, żeby dane, które przesyłam do swojego banku były tymi danymi, które ja faktycznie przesyłam, czyli żeby nikt pomiędzy mną a stroną w banku nie był w stanie modyfikować tych danych, więc właściwość tutaj jest właśnie tych danych, tego kanału komunikacyjnego, że on musi niejako zachować tą integralność pomiędzy punktem A, a punktem może nie B, bo tak po prostu nie jest, ale pomiędzy punktem na przykład właśnie F, więc mamy kilka pomiędzy punktów i chcemy zachować tą integralność danych, czyli żeby dane nie można było zmodyfikować, a jeżeli zostaną zmodyfikowane to byśmy mogli to wykryć i dalej zachować samą właściwość integralności.

OK. Dobra. I tu już myślę, że teraz wszystko jest jasne. Wszystkie te, ta cała triada została to co było niedopowiedziane dopowiedziane, a to co jest już samym hasłem z nazwy, czyli poufność i dostępność to myślę, że każdy wie o co chodzi. Powiedz mi, to może inaczej. Do tego Security podejdźmy. Jakie tutaj można spotkać stanowiska? Już chodzi o konkretne powiedzmy miejsce pracy. Nie jesteś człowiekiem, który się nazywa jestem Security Guy tak tylko jak tu można definiować stanowiska? Na co można, jak można, że tak powiem tą swoją karierę, w którą stronę ją skierować?

Andrzej: Wiesz co to jest świetne pytanie i to jak je zadałeś, bo niestety, ale bardzo często jest dokładnie właśnie tak, że właśnie jesteś tym Security Guy, który robi wszystko. Natomiast wiem o co chodzi. Chcesz zapytać, czy jeżeli przyjęlibyśmy sobie jakiś model, to jak to powinno wyglądać i jak to wygląda w takich można powiedzieć większych organizacjach, które stać na to, żeby wprowadzać już takie podziały? Bo to z założenia muszą być po prostu większe twory, które mają więcej zasobów i które mogą sobie pozwolić na posiadanie osobnych ludzi do osobnych ról.

Oczywiście.  To mówimy tylko i wyłącznie o takich właśnie już ustrukturyzowanych, jakichś miejscach, bo wiesz ja też na chwilę obecną chwilę pracuję w rodzinnej firmie, w której zatrudniamy 9 osób może pracuje i w zasadzie ja zarządzam jednoosobowym działem IT, tak? Czyli też jestem w zasadzie człowiekiem od wszystkiego. Trochę programowania, trochę zarządzania siecią, trochę bezpieczeństwa, a czasem trzeba więc skrętkę zarobić, więc to tak, to wygląda w takich mniejszych pewnie organizacjach. W organizacjach to za dużo powiedziane, które może nie wszystko chcą albo mogą autsorcować, ale właśnie chodzi mi o ten taki wachlarz dostępnych możliwości w świecie IT. Już załóżmy, że w jakiejś organizacji, w firmie, która nie ma ograniczeń jakichś finansowych, tak?

Andrzej: Jasne. W takim wypadku, jeżeli weźmiemy sobie dowolną organizację. Mamy firmę, to można byłoby popatrzeć na bezpieczeństwo i wykonać taki podział logiczny na bezpieczeństwo aplikacji APSEK, na bezpieczeństwo sieci, czyli Natsek Network Security i na bezpieczeństwo właśnie organizacji, korporacji Corpses Corporation Security i jeżeli wprowadzimy sobie taki logiczny podział tych domen bezpieczeństwa, to od nich możemy wyjść do roli, które ludzie mogą wypełniać i obowiązków, które mogą realizować. Wtedy dla przykładu, w domenie APSEK-owej mielibyśmy ludzi, którzy zajmują się testowaniem bezpieczeństwa web aplikacji, ale nie tylko web aplikacji, bo tu mogą być też aplikacje desktopowe czy mobilne. Często. Może nie często, ale czasami błędnie nazywanych per testerami, bo per tester nie musi testować tylko aplikacji. Może testować też, a nawet najczęściej testuje również sieci, a może też testować po prostu Corpses, czyli bezpieczeństwo korporacyjne, więc jest to taka można powiedzieć rola, którą można byłoby rozszerzyć na wszystkie, ale jeżeli skupimy się dalej na APSEK-u to są raczej ludzie, którzy skupiają się właśnie na tym bezpieczeństwie aplikacji w dowolnej technologii. Czy to będzie desktopowa, czy to będzie mobilna, czy to będzie webowa nie ma większej tutaj różnicy, czyli badaniem bezpieczeństwa i zabezpieczaniu aplikacji. Idąc dalej. Jeżeli mamy Networks Security to tutaj już możemy wyszczególnić dodatkowy podrozdział, gdzie można nawet nie tylko tutaj, bo to byłoby połączone z corpsekiem, ale występowałoby coś takiego jak zespół bezpieczeństwa Security Operations Center SOC, których zadaniem jest już obrona, ale nie tylko aplikacji. Można nawet powiedzieć, że małych wycinków aplikacji, ale przede wszystkim po prostu firmy, organizacji przed różnymi zagrożeniami z zewnątrz i oni robią to właśnie najczęściej na tym poziomie Networksowym, Corpsekowym i możemy pójść dalej i z Corpseku wyłoni nam się coś, za czym nie każdy przepada w bezpieczeństwie, ale taki typowy compliance, czyli to mogą być ludzie od audytu, którzy biorą pod uwagę to jak powinny wyglądać różnego rodzaju procedury w organizacji, w korporacji. Ale i to jest ważne, że niestety w bezpieczeństwie nie da się zrobić takich jasnych granic pomiędzy jednym, a drugim i dlatego na samym początku wspomniałem, że jest to podział logiczny, bo różnego rodzaju role, które wpadają w te domeny możemy równie dobrze posegregować w inny sposób i wtedy pojawiają nam się gdzieś indziej, bo dla przykładu w APPSECu również mamy ludzi, którzy tworzą w jakimś wydaniu pewnego rodzaju compliance, więc niestety nie da się tutaj dać takich prostych granic pomiędzy jednym, a drugim, a trzecim. Natomiast na pewno ułatwia to rozumowanie pod tym kątem, jeżeli myślimy co jest naszym celem. Wiadomo, jeżeli zajmujemy się bezpieczeństwem aplikacji to naszym celem jest bezpieczeństwo aplikacji i zapewnianie tego bezpieczeństwa, co można realizować przez różnego rodzaju praktyki. Z kolei, jeżeli zajmujemy się i chcemy iść w ścieżkę rozwoju Networkową Network Security, to będziemy mieć trochę inne obowiązki. Bardziej będziemy się skupiać na flethantingu dla przykładu, a jeżeli idziemy w Corporate Security to już będziemy też spełniać pewne inne obowiązki i skupiać się na trochę czymś innym niż w tych pozostałych dwóch domenach, więc raczej ten podział logiczny pomaga nam myśleć o celach i przez to o dalszym rozwoju wewnątrz danej ścieżki, ale niestety nie ma takich jasnych domen. Nie jest to takie łatwe, jak mogłoby się wydawać.

OK. Dobra. To mamy jakiś podział z grubsza powiedzmy zrobiony, ale tak jak wspomniałeś, to przenikają się te światy trochę. Chciałbym teraz zahaczyć o zestaw skilli jaki jest potrzebny, żeby w ogóle zacząć tą przygodę z Security. Co tutaj będzie takie najbardziej przydatne? Czy właśnie znajomość sieci, czy znajomość programowania, czy też może jeżeli mówimy o Corporate Security to pewnie by się przydała jakaś znajomość prawa tak samo, tak? Więc tutaj na co najlepiej byłoby się w tym podstawowym momencie rozpoczęcia przygody skupić, żeby móc sobie jak najszerzej na początku już te drzwi otworzyć?

Andrzej: Tutaj dobrze byłoby wyjść od pierwszego pytania, czyli czy chcemy realizować taką rolę stricte technicznie operacyjną, ale stricte technicznie czy nie? Jeżeli nie chcemy realizować roli stricte technicznej to raczej lepiej byłoby iść właśnie w corpsek i tutaj pod kątem właśnie różnego rodzaju audytów. Na przykład pod kątem ISO 27001. Zawsze tutaj się mylę, jak mówię pełnymi tysiącami, więc 27001 i pokrewnych. Wtedy po prostu jest to ścieżka takiego typowego audytora, co ma swoją wartość i na rynku, i generalnie w samych organizacjach. To nie chcę tutaj bagatelizować takiej roli, bo ona wprowadza wartość. Natomiast, jeżeli chcemy pójść w ścieżkę techniczną to tutaj już mmm trzeba byłoby się zastanowić, co w danym momencie dla nas brzmi ciekawiej? Jeżeli ciekawiej dla nas brzmi psucie Web aplikacji lub generalnie jakiegoś software’u, bo to mogą być znowu aplikacje desktopowe czy mobilne to dobrze byłoby umieć programować. Nie jest to wymagane, ale dobrze byłoby umieć przynajmniej podstawy. A sieci? Sieci w takim wypadku można przesunąć trochę dalej i oczywiście dobrze byłoby też mieć pojęcie o sieciach, ale można się tego nauczyć później. Natomiast jeżeli odwrócimy i pomyślimy sobie: Kurczę, tak widzę cały czas tę rolę o analitykach SOC, podoba mi się szukanie igły w stogu siana. Chciałbym zostać takim analitykiem i szukać tych zagrożeń wewnątrz sieci to w takim wypadku najpierw należałoby spriorytetyzować naukę o sieciach, a dopiero potem w dalszym etapie jakieś liznąć podstawy programowania. Natomiast jedno i drugie, bo i programowanie, i sieci na pewno są mocno przydatne i w pewnym momencie kariery, jeżeli nie zostaną opanowane, to po prostu zaczną być blogerem. Zaczną nas blokować przed dalszym progresem, więc na koniec dnia, jeżeli chcemy spełniać się technicznie to i tak będziemy musieli w pewnym momencie posiąść umiejętność i programowania i tego, jak działają sieci, bo trudno jest testować bezpieczeństwo czegoś, czego nie do końca rozumiemy, jak działa pod spodem. Tutaj mam na myśli aplikacji, ale tak samo sieci trudno jest testować bezpieczeństwo sieci lub monitorować sieć, jeżeli nie wiemy do końca jak działają sieci komputerowe, więc ta wiedza na koniec dnia i tak będzie musiała być w pewnym momencie uzupełniona. Raczej pytanie jest od czego wykonać ten pierwszy krok niż co jest wystarczające, bo jedno i drugie jest podstawą, fundamentem, który trzeba w pewnym momencie zbudować.

Czyli trzeba na początku po prostu odpowiedzieć sobie na, że tak to powiem bardzo ważne pytanie. Tak dokładnie to ujmując: Co chcę w życiu robić i zacząć podążać tą ścieżką. Faktycznie trzeba się zdecydować na coś, bo trudno, żeby ten skill set od razu mieć jakiś nie wiadomo jaki, ale tak dobrze, że tutaj powiedziałeś, że co się bardziej przyda, w którym wypadku. Natomiast, jak się do tych wszystkich twardych umiejętności, które powinien posiadać taki jego mość, który będzie się Securtity zajmował jak się do tego mają power skillsy, czyli czy te umiejętności miękkie? Czy to nadal w tym świecie Security jeszcze jest tak? Jest miejsce na takie osoby, wiesz mocno introwertyczne, które gdzieś siedzą w piwnicy w kapturze i coś tam same dłubią? Pewnie takie osoby wiesz jeszcze na pewno są to ja chyba najbardziej jeszcze właśnie w tym świecie, ale nie wiem może jestem w błędzie, bo wydaje mi się, że to Security to jest taka działka troszkę chyba elitarna, nawet jeśli chodzi już o takie mocne zaawansowanie i poznanie tych technik czy to właśnie programowania czy samego działania sieci. Nie wiem jakie tutaj jest Twoje zdanie na ten temat.

Andrzej: Powiem tak. Na pewno, żeby coś psuć, żeby widzieć błędy, to trzeba to dobrze rozumieć, więc na pewno w momencie, kiedy mówimy o tym topce, tym powiedzmy jednym procencie u samej góry to są najwyższej klasy specjaliści, którzy nie tylko świetnie rozumieją to co badają, ale też są świetni Security więc są w stanie widzieć błędy. Natomiast jeżeli mówimy o ogóle, to ja nie lubię takiego elitaryzowania cyberbezpieczeństwa, że jest to jakieś apogeum, bo w rzeczywistości najczęściej to tak po prostu nie wygląda. A mam doświadczenie i jako programista i jako bezpiecznik, więc mam pewne porównanie i wygląda to po prostu podobnie u programistów, którzy też jak są już na tych seniorskich stanowiskach, to też po prostu świetnie pływają jak ryba w wodzie w tym czym się zajmują. Przy czym bardzo często zdaję sobie sprawę z różnych problemów bezpieczeństwa, ale na koniec dnia liczy się sypnięty ficzer, a nie to, czy produkt jest bezpieczny, ale to na bok, bo to była taka mała dygresja. Odpowiadając na ogólne pytanie, czy te Power Skillsy, Soft Skillsy są tutaj ważne? Zdecydowanie są. Chciałbym jeszcze nadmienić, że nie powinno się, to jest moja prywatna rada. Nie powinno się zasłaniać introwertyzmem, swojej niechęci do nauczenia się soft skili. Ja jestem introwertykiem, a w momencie, kiedy rozmawiam z biznesem druga strona raczej mnie za introwertyka nie weźmie, bo introwertyzm to nie do końca polega na tym, że człowiek nie potrafi się wysłowić tylko na tym, że w momencie, kiedy na przykład sobie teraz nagrywamy ten podcast to ja będę musiał potem po prostu odpocząć, bo będę zmęczony, a ekstrawertyk nie byłby zmęczony. Ekstrawertyk jest zmęczony, jak musi sam ze sobą siedzieć, więc ja jak jadę na przykład na urlop, co jest trochę zabawne, ale już po 2,3,4 dnia jestem po prostu zmęczony przebywaniem z ludźmi, więc muszę mieć taki jeden dzień, gdzie po prostu wtedy się wyciszam.

Chowasz się do jaskini.

Andrzej: Dokładnie. Mniej mówię i zajmuję się sam sobą, więc nie chcę, żeby ludzie się zasłaniali tym introwertyzmem, bo z mojej perspektywy jest to mega ważne, dlatego, że jeżeli ktoś działa albo chce działać jako bezpiecznik, to prędzej czy później dojdzie do momentu, w którym zda sobie sprawę, że biznes go nie za bardzo słucha. Programiści bardzo często mają ten sam problem, że biznes po prostu nie słucha. Ja jestem specjalistą, jestem ekspertem, ja wypowiadam swoje eksperckie zdanie, natomiast nie do końca jestem słuchany. Czyli nie mam tej możliwości wpływu na decyzję. Właśnie ta możliwość wpływu bierze się właśnie z umiejętności miękkich, z przekonywania drugiej strony do swoich racji. Druga strona musi Cię widzieć jako faktycznego partnera w dyskusji, a nie tylko jako osobę operacyjną, która ma przyjść i wykopać ten dół przysłowiowo. Nie. Muszą Cię widzieć jako partnera do dyskusji, a żeby druga strona widziała Cię jako partnera do dyskusji to niestety, ale musisz się nauczyć umiejętności miękkich. Musisz się nauczyć mówić językiem biznesu i można by powiedzieć nagrodą za tą naukę, za to wyrzeczenie które należy wykonać wbrew sobie nagrodą za to jest to że po prostu zaczynasz być bardziej efektywny w organizacji, zaczynasz lepiej przekonywać ludzi do swojego punktu widzenia i masz większy wpływ na faktyczne zmiany, czyli w uproszczeniu, bo często takie coś ma miejsce, jeżeli jesteś na przykład Pen testerem, to myślę, że każdy ten Pen tester zdaje sobie doskonale sprawę z sytuacji, w której przychodzi, testuje apkę czy kawałek sieci. Po roku przychodzi i nagle się okazuje, że w zasadzie znajduje to samo, bo nikt nic nie wyprowadził. Nikt nic nie wyprowadził, dlatego, że być może nie zawsze, ale być może problemem było to, że właśnie jako osoba operacyjna nie do końca miałeś lub miałaś siłę przebicia, a żeby mieć tą siłę przebicia to niestety trzeba się nauczyć tych umiejętności miękkich i ja zauważyłem, że w swojej karierze poszedłem mocno do przodu właśnie w momencie, kiedy podciągnąłem swoje umiejętności miękkie. I tutaj znowu nie trzeba. Nie chcę, żeby słuchacze się martwili. Ja też byłem w takim punkcie, w którym wiedziałem najlepiej i w ogóle nikt mnie nie słucha, a ja tutaj prawię mądrości. Każdy dochodzi do tego punktu i potem trzeba zdać sobie sprawę: Aha, a co robią Ci ludzie, których jednak się słucha? A oni mają umiejętności miękkie. To chyba też muszę się tego nauczyć.

Może się to przydać. To dobrze, że, że o tym wspomniałeś i że tak też trochę czasu na to poświęciłeś. Ja też zresztą jestem daleki od takiego wiesz twardego podziału na introwertyk, ekstrawertyk, bo to też tak nie funkcjonuje, bo każdy ma różne. To nie jest zerojedynkowe, chociaż tu jesteśmy w podcaście o IT, ale to człowiek jak najbardziej zero jedynkowy nie jest i można mieć trochę więcej cech takich albo tych, które po prostu dominują, ale OK. Nawet tak mi się nasunęło teraz podczas tej rozmowy jak o tym wspomniałeś, że też tych ładnych parę naście czy już chyba dziesiąt lat temu, jak przeczytałem ,,Sztuka podstępu” Kevina Mitnicka to tych technicznych rzeczy, które się tam przewinęły przez tą książkę to było niewiele, a bardziej właśnie coś ta socjotechnika i te umiejętności miękkie tam dominowały. Oczywiście nie ujmując ta techniczna wiedza też oczywiście u niego pewnie tam była. Także rozumiem, że Power Skills jak najbardziej na propsie. Polecasz, tak?

Andrzej: Polecam. Polecam w 100 procentach i jeżeli ktoś ma wybierać albo powiem inaczej, gdybym ja wybierał, gdybym ja miał wybierać pomiędzy hard skilami technicznymi, a soft skilami to raczej skłaniałabym się ku soft skillom. Bardzo dobrze jest mieć umiejętności techniczne, bo też to niezbyt dobrze jest, jeżeli ktoś rozmawia o czymś, o czym za bardzo nie ma pojęcia. Natomiast w pewnym momencie umiejętności techniczne zaczynają mieć dużo mniejszy zwrot niż umiejętności miękkie, więc umiejętności techniczne owszem do pewnego poziomu. Powiedzmy takiego mocnego praktyka takiego, Journey mena, ale w pewnym momencie należy zdać sobie sprawę, że jednak te umiejętności techniczne, a ja sobie przynajmniej tak zdałem sprawę, że te umiejętności techniczne nie do końca doprowadzą mnie tam, gdzie chciałbym dojść i jednak trzeba zainwestować w te umiejętności soft po prostu. Niestety nie da się od tego uciec. Oczywiście ja wiem, że są wyjątki, ale nie ma co się kierować wyjątkami. Oczywiście są wyjątki od tej reguły, ale lepiej sobie nie układać gdzieś tam przyszłości i wizji swojej rzeczywistości opierając się na wyjątkach, bo to są wyjątki.

Zgadza się, czyli tu jeszcze tak zamykając ten wątek Power Skillsów, czy tam Soft Skillsów sam przetestowałeś i można u siebie ten warsztat tych umiejętności rozwijać, poszerzać i to działa. OK. Tak?

Andrzej: Jak najbardziej da się i polecam.

Tu przewinęło się już kilka razy takie hasło, które jest chyba najbardziej sexi, jeśli chodzi o Security w ogóle, czyli Pen testing. Nie wiem czy już hajp na to minął czy nie? Ale jeszcze tam ze 2 lata temu to każdy chciał być chyba Pen testerem. Mógłbyś tutaj troszkę powiedzieć więcej czym to w ogóle jest ten pen testing?

Andrzej: Jasne, czym jest Pen testera? Testy penetracyjne to generalnie jest jeden z rodzajów oceny bezpieczeństwa systemu IT. Najczęściej jest to mylone z oceną podatności. Niemniej jednak są to dwa różne sposoby, w jaki możemy oceniać bezpieczeństwo systemu IT i przynajmniej w tym, w czym ja się specjalizuję, a ja zapomniałem wspomnieć, ale specjalizuję się generalnie w bezpieczeństwie aplikanci szeroko pojętym to przynajmniej w mojej działce to właśnie ocena podatności, a nie testy penetracyjne grają główne skrzypce. Pen testy są czymś dalszym, czymś szerszym, czymś, co ma już jakiś określony cel co jest w nazwie. Chcemy spenetrować dany system IT. Oczywiście mają też swoje jakieś konkretne cele operacyjne i strategiczne, więc trochę tu spłaszczam, dlatego też, że nagrałem osobne w ogóle całe, pełne dwa odcinki o i ocenie podatności i o testach penetracyjnych, więc jeżeli ktoś jest.

OK. Doślemy do ich.

Andrzej: Dokładnie, jeżeli ktoś jest zainteresowany już takim mięsem to dobrze, żeby sobie przesłuchał te odcinki. Natomiast tutaj powiem, że po prostu ten test jest czymś trochę szerszym. Jest trochę szerszym spojrzeniem, ale równie głębokie, a może nawet głębszym niż ocena podatności, więc w zasadzie i jest szerszy i głębszy. Cel jest trochę inny, bo chcemy spenetrować dany system. A jak już mówimy właśnie o tej penetracji, czyli takim typowym właśnie hakowaniu, wejściu do systemu i eskalacji wchodzenia do kolejnych systemów to kurczę. Trzeba przyznać, że brzmi to bardziej seksownie niż po prostu ocena podatności, gdzie znajdujemy jakąś podatność. Mówimy: Kurczę, jest tu jakiś XSS i fajnie. To wiadomo dużo, dużo, dużo ciekawiej brzmi ten aspekt takiego hakowania. Pen testy to jest takie prawdziwe hakowanie. Może trochę nie aż takie jak Red Teaming, ale jeżeli mówimy tylko o komputerach, tylko o systemach IT to tutaj jest takie prawdziwe hakowanie i stąd wydaje mi się, że był taki i chyba dalej jest taki dość mocny hajp właśnie na testy penetracyjne, na bycie Pen testerem. W chwili obecnej to się trochę zmienia, bo ten hajp przysuwa się trochę właśnie w kierunku Red Teamingu, co według mnie jest nie do końca nie chcę tutaj powiedzieć, czy to jest jakieś dobre czy złe. Natomiast jest nie do końca optymalne dlatego że Red Teaming, bycie Red Teaminerem jest jeszcze bardziej zaawansowane niż bycie Pen testerem, więc nie da się zacząć od zera i skończyć jako Red Teamer nie wiem, powiedzmy w pół roku albo w rok, albo nawet 1,5 czy 2. To jest pewna progresja. Wskakujemy w bezpieczeństwo i za parę lat idąc dalej schodami, odkrywając tą mapę, w końcu wskakujemy w pozycje Red Teamera, jeżeli to była nasza ścieżka, jeżeli to był nasz cel. Natomiast Pen testami jest trochę łatwiej, bo po prostu ogólny zakres tego co mamy robić jest trochę bardziej okrojony. Natomiast tak jest na to hajp, bo po prostu faktycznie hakujemy komputery tutaj nie jak Kevin Mitnick. Chociaż trochę jak Kevin Mitnick, bo ludzi też hakujemy, jakieś proste kampanie fishingowe jak najbardziej wchodzą w grę w pen testach.

OK. A jak tutaj ma się, bo rozumiem, że jeszcze tak zamykając ten wątek oceny podatności i tych pen testów czy ocena podatności, jeżeli mamy taką zrobioną może być tym pierwszym krokiem do właśnie wykonania pen testów, czy jak to?  Jeszcze korzysta się z tego, czy nie?

Andrzej: Wiesz co nawet powinna być pierwszym krokiem i owszem, korzysta się. Powinna być pierwszym krokiem i dlatego mówię, że jest takim podstawowym narzędziem, ponieważ zależy po prostu od kontekstu, ale można nawet po prostu na tym kroku się zatrzymać. Natomiast powinna być pierwszym krokiem, dlatego, że na początku chcemy poznać same podatności systemu, a dopiero potem, jak już kilka razy przejedziemy, przeoramy ten system i już wywleczemy na światło dzienne te proste właśnie podatności implementacyjne typu crossover scripting to dopiero wtedy chcemy zrobić faktyczny Pen test, bo wtedy już nie mamy tych nisko wiszących owoców i chcemy się dowiedzieć Ok. Czy jak wyeliminowaliśmy te nisko wiszące owoce, to czy pomimo tego da się zhakować ten system czy nie? I dlatego to jest taka progresja właśnie z oceny podatności, potem w pen testy, a potem jeszcze w Red Teaming. Nie każda organizacja tam trafi i dobrym właśnie punktem wyjściowym jest sama ocena podatności. Często gęsto można nawet po prostu na niej zakończyć, bo nie każdy potrzebuje Pen testy. Tak samo jak nie każdy potrzebuje ćwiczeń Red Teamingowych, więc zgadza się Damianie i jest to świetny punkt startowy, który można potem popchać dalej i eskalować już. Eskalować może nieodpowiednie słowo, ale przechodzić właśnie do pen testów i często właśnie tak się dzieje na rynku.

OK. Dobrze. To jeszcze. To chyba pamiętam takie hasło w Twoim podcaście tak rzuciłeś, ale nie jestem pewny czy bo to już jakiś czas temu słuchałem i nie wiem, gdzie to usłyszałem. Albo właśnie u Ciebie w podcaście albo jak rozmawiałeś u Tomka. Właśnie czy, jeśli chodzi o to testowanie, czy powinno się testować na produkcji czy na jakichś serwerach de mono? Chyba ta produkcja teoretycznie powinna być tym miejscem, gdzie się przeprowadza testy, czyli nie w jakichś sterylnych warunkach, tylko tam, gdzie właśnie dzieje się wszystko, tak? Jak to wygląda?

Andrzej: To się łączy z samym rodzajem. Ocena podatności raczej nie musi być na produkcji, dlatego, że niejako to co chcemy przetestować to jest ten byt. Ta powiedzmy aplikacja albo zespół aplikacji pod kątem podatności chcemy wykryć w nich podatności, ale w pen testach już nie interesują nas same podatności tylko interesuje nas, jak wszystkie kawałki systemu IT ze sobą współpracują, czyli jakieś problemy na poziomie infrastruktury, które połączone z jakąś podatnością w aplikacji pozwalają nam na eskalację w pen testach, jak najbardziej nam również na tym zależy i w takim wypadku, jeżeli nie testujemy na produkcji albo kopii produkcji jeden do jeden to tak naprawdę nie jesteśmy w stanie powiedzieć, czy produkcja jest bezpieczna, bo jeżeli ja przetestowałem, przeprowadziłem pen test na środowisku testowym to ja nie jestem w stanie powiedzieć, że środowisko produkcyjne jest w 100 procentach bezpieczne, bo ja testowałem zupełnie co innego. Natomiast jeżeli ja testowałem pod kątem podatności, robiłem ocenę podatności aplikacji to ja jestem w stanie powiedzieć, że tak, ta aplikacja ona nie będzie miała tej podatności, nieważne czy w środowisku produkcyjnym czy w środowisku testowym, bo podatność wynika z kodu. Oczywiście trochę upraszczam, bo zdarzają się takie przypadki krańcowe, jakiejś podatności, która może wynikać z infrastruktury idealnej, być wykryta w ocenie podatności i znowu tutaj to jest bardziej spektrum. Tu nie ma takich jasnych granic, ale te można powiedzieć definicje one wynikają z różnych cech różnicujących, o których mówiłem w tych swoich odcinkach podcastów i na podstawie tych cech można sobie wyłonić to co nam się konkretnie przyda, co my wykonujemy, co chcemy wykonać w zależności od tego, jaki cel chcemy osiągnąć. Ale upraszczając, mówiąc tak bez wchodzenia w jakieś ezoteryczne przykłady, upraszczając – Pen testy powinny się dziać na produkcji albo kopii środowiska jeden do jeden produkcyjnego. Natomiast ocena podatności spokojnie może się dziać na środowisku testowym. Wszystko będzie OK. Najczęściej jedyne, co może się ewentualnie zmienić to pewna krytyczność podatności, ale to można w prosty sposób integrować i po prostu zawsze dawać najwyższą krytyczną podatności. Tu mam na myśli na przykład taki edge case, gdzie mamy podatność Server-side request forgery (SSRF) i ona w zależności od tego, w jakiej infrastrukturze będzie, czyli tam w jaką infrastrukturę wsadzimy sobie aplikację ta podatność jest bardziej krytyczna lub mniej krytyczna. To już zależy bardziej od tego właśnie co jest w infrastrukturze, ale jeżeli sobie zawsze wyznaczymy tą samą, krytyczną dla tej klasy podatności to nie ma problemu, więc w zasadzie tyle. Czy masz jeszcze jakieś pytanie tutaj?

Wiesz co nie. Tutaj myślę, że wszystko zostało wyjaśnione, a wręcz mózg powoli zaczyna parować. A jeszcze już tak domykając ten wątek pen testów, powiedzmy tego hakowania tak biorąc to w cudzysłów – Jak można sobie to trenować w zaciszu domowym? Bo rozumiem, że próba wybijania się na jakiejś czy inaczej. Czy nauka pen testów może się odbywać tylko w ramach organizacji, czy też można sobie stworzyć jakiś taki plac zabaw swój, w którym można by się tutaj pobawić i coś próbować działać? Jak po prostu? Czy można może jeszcze inaczej to zadam to pytanie, czy można zdobyć doświadczenie będąc właśnie kimś, kto nie ma jakiegoś doświadczenia komercyjnego, czyli czy samemu można powiedzmy ten swój skill set w tym temacie jakoś rozwijać? I jeśli tak, jeśli masz takie jakieś informacje, gdzie to co byś tu mógł podpowiedzieć?

Andrzej: Jak najbardziej można budować ten skill set samemu i nawet powiem, że dzisiaj jest łatwiej niż kiedykolwiek było. Natomiast jeszcze mała uwaga na marginesie. Tam wcześniej tak lekko może wspomniałeś, nie poszedłeś w tym kierunku, ale wyłapałem, zapaliła mi się lampka, odradzam uczenia się pen testów na testowaniu systemów, które nie należą do Ciebie. To już nie są lata 90, żeby takie zabawy uszły na sucho. Można sobie niepotrzebnie napaćkać w papierach, więc nie polecam robić takich rzeczy.

Śliski temat.

Andrzej: Dokładnie. To lepiej nie. Tym bardziej, że są miejsca, w których można testować, o których zaraz powiem. Ja miałem kilka takich sytuacjach jak byłem nastolatkiem, że gdzieś tam pen testowałem czyjeś systemy i o mały włos nie narobiłem sobie niepotrzebnych kłopotów z prawem mając 14-15 lat. Więc generalnie nie polecam, ja miałem sporo szczęścia. Nie każdy będzie miał tyle szczęścia. Co więcej czasy się trochę zmieniły i prawdopodobnie w chwili obecnej już by mi to nie uszło na sucho. Prawdopodobnie w chwili obecnej miałbym jakieś ciąganie po sądach i inne niepotrzebne rzeczy, więc lepiej nie testować czyiś systemów bez zgody, a taką zgodę nie ma. Po co nawet ubiegać z prostej przyczyny, bo można to wszystko załatwić w zaciszu domowym. Najpierw sobie podzielmy w ogóle tak naprawdę czym się zajmuje pen tester. Jeżeli sobie znowu wykonamy taki podział logiczny, to jako Pen tester/pen testerka będziesz testować system IT. Z czego się składa system IT? Z jakiś kawałków infrastruktury i z jakiś usług. Te usługi to mogą być albo web aplikacje, albo aplikacje jakieś natywne, które pełnią rolę serwera, czyli na przykład tutaj APATCH to jest taka aplikacja natywna, która jest serwerem i serwuje content http, serwuje web aplikacje. Może to robić sam, może to robić z wykorzystaniem jakichś dodatkowych silników czy to PHP, czy Ruby, etc., więc tu mamy taką aplikację desktopową i następnie mamy web aplikacje, która była by uruchomiona na takim przykładowo APATCH-u z dodatkowo jakimś middlewarem pomiędzy, więc mamy Web aplikacje i mamy na koniec dnia kawałki infrastruktury, czyli jakieś rutery, jakieś switche, które tworzą jakieś vilaine, które generalnie segmentują nam sieci i dzielą ją na mniejsze lub większe kawałki, które mają większe lub mniejsze uprawnienia. I jako pen tester Twoim zadaniem najczęściej jest po prostu ocena bezpieczeństwa tych różnych kawałków, które możesz znaleźć w infrastrukturze. Może nawet nie tyle ocena bezpieczeństwa, tylko próba zhakowania tego systemu, dostania się głębiej, dostania się tam, gdzie nie powinnełeś się dostać albo inni nie powinni się tam dostać. Twoim zadaniem jest dostanie się tam, ale inni nie powinni się tam dostać, więc tu mamy można powiedzieć 2 kawałki albo aplikacje, albo sieć i jeżeli mówimy o aplikacjach, to jest dużo łatwiej, bo taką aplikację czy to Web aplikację czy desktopową, czy jakiś serwer to możemy sobie sami postawić u siebie tez większego problemu i po prostu zacząć ją testować. A jeżeli mówimy o infrastrukturze to mamy trochę większy problem z prostej przyczyny, bo musielibyśmy po prostu się bawić w te wszystkie konfigurowanie tych Wilanów. To się też da zrobić w chwili obecnej, gdzie mamy takie zabawki jak jakieś klastry kubernetesowe, gdzie mamy chmurę, gdzie jesteśmy w stanie po prostu to zrobić. To oczywiście nie jest do końca za darmo, ale nawet jeżeli chcielibyśmy zrobić tak po taniości, to możemy skorzystać z wirtualnych maszyn na naszym hoście, więc technicznie jesteśmy w stanie się sobie to zrobić taki plac zabaw, ale tak naprawdę nawet nie musimy tego robić, bo ktoś już zrobił to za nas. Są różnego rodzaju strony takie jak na przykład Hack The Box czy Try Hack Me, które już za nas stworzyły tego rodzaju challenge, różnego rodzaju czy to właśnie wirtualne maszyny, czy jakieś sieci, do których albo możemy się wpiąć za pomocą vip’na i stajemy się częścią sieci. Możemy się w niej bawić albo ściągamy taką wirtualną maszynę, uruchamiamy u siebie i ona nam tworzy jakiś host, który my mamy zaatakować. Czy on ma web aplikacje, czy on ma jakieś po prostu trefne usługi, które trzeba „pwnąć” metasploitem, to już zależy od maszyny. Natomiast dobrym właśnie takim świetnym punktem startowym jest Try Hack Me czy Hack The Box, czy Vulnhub czy generalnie tego typu strony. Jak już się wejdzie na jedną, drugą, trzecią to potem się włączy masa innych, więc to nie są jedyne tego typu strony. Jest ich więcej, więc można jak najbardziej testować. Może nie testować, ale budować swój skill set w swoim zaciszu domowym. Ja tutaj polecam, jeżeli ktoś chce się w takie coś bawić, startuje i chce się w takie coś bawić i sobie myśli: Kurczę, bezpieczeństwo to jest. To raz polecam zabawę właśnie na tych stronach, których podałem, ale dwa mocno też polecam dokumentowanie swojej podróży czy to na blogu, czy to w jakiś notatkach, czy w socialach. Generalnie dokumentacje tego co się robi, bo to po prostu może Ci potem pomóc w udowodnieniu swojego skill setu potencjalnemu pracodawcy, więc jeżeli myślisz o karierze w cyberbezpieczeństwie, ale jeszcze nie jesteś na tym poziomie, żeby po prostu wystartować bez problemu, to dobrze jest pobawić się tymi narzędziami, o których wcześniej mówiłem i jednocześnie dokumentować tą swoją podróż po to, żeby mieć artefakt w postaci jakiegoś bloga, którym można się potem po prostu pochwalić, co poświadczy o zdobytych umiejętnościach.

Słuchaj jakbyś mógł przypomnieć mi jeszcze te 3 stronki, które padły tutaj, czyli Hack The Box, Try Hack Me i ta 3 to była jaka?

Andrzej: Vulnhub Tutaj nie mam problemu. Ja Ci potem podeślę jeszcze linki do tych stron, żeby wleciały do notatek i pewnie jeszcze mi się coś przypomni jak będę je zbierał, więc słuchaczom polecam po prostu zajrzeć do notatek do tego odcinka.

 OK. Dobra. Zamykamy pen testy, Wszystko już mamy zabezpieczone, potestowane. Przechodzimy do tematu, który już trochę był też anonsowany, czyli Bug Bunty. Powiedz mi czy jest jakieś jedno miejsce w sieci, które zbiera sobie te wszystkie Bug Bunty i co to w ogóle jest to Bug Bunty? Gdzie szukać jakichś właśnie tych programów, które mogą pozwolić zmonetyzować te swoje zdobyte umiejętności?

Andrzej: Jasne. Jeszcze na samym początku zaznaczę, że jak przed chwilą rozmawialiśmy o pen testach i gdzie można się uczyć umiejętności, gdzie można szlifować swój skill set to Bug Bunty jest dużym kawałkiem, na którym również można szlifować swój skill set. Co więcej, można nawet na tym zarobić. To nie jest taki pewny zarobek w tym sensie, że nikomu nie polecam rzucać pracy i wchodzić w Bug Bunty na 100%. Natomiast jeżeli ktoś myśli o zbudowaniu swojego skill setu to Bug Bunty może być dobrym poligonem doświadczalnym i teraz przechodząc do Twoich pytań odnośnie Bug Bunty to, gdzie można zacząć? Jakie są takie największe Bug Bunty, platformy Bug Bunty? Największą na pewno jest Hacker One. Hacker One i Bugcrowd to są 2 największe. One też są najwcześniejszymi platformami Bug Bunty. Ja teraz nie jestem pewien. Ręki sobie nie dam uciąć, ale wydaje mi się, że Bugcrowd chyba wystartował w 2013 roku i Hacker One chyba też. Może rok wcześniej, może rok później. Nie jestem pewien, ale obie te platformy wystartowały mniej więcej w tym samym czasie, ale Hacker One ma ewidentnie dużo większą trakcję niż Bugcrowd. Dodatkowo są inne platformy bardziej niszowe na przykład Integrity. Tutaj, o ile dobrze kojarzę, to Integrity jest ciekawe dlatego, że ma dużo programów Bug Bunty i dużo firm, które uczestniczą, które biorą udział właśnie w tych Bug Bunty i na platformie Integrity – jest z Europy. Natomiast Hacker One i Bugcrowd one są bardziej takie ogólnoświatowe. Tam są takie największe firmy. Każdy je zna typu tam Shopify czy Airbnb czy tego rodzaju firmy i teraz na czym to polega?  To polega na tym, że Bug Bunty te firmy, te platformy, wygospodarowały sobie taką niszę. Tak jak wcześniej mówiłem o tym, jak ja szukałem podatności, pisałem exploity to mieliśmy tego pośrednika, ale ten pośrednik działał tak naprawdę w bardzo wąskim obszarze właśnie tych podatności, raczej w aplikacjach czy to serwerach, czy desktopowych. Raczej nie działał w web aplikacjach z prostego powodu. Ich za bardzo web aplikacje nie interesowały, bo web aplikacje mają to do siebie, że najczęściej są sasami. Może nie najczęściej, ale jeżeli ktoś mówi o aplikacji, to często gęsto ma raczej na myśli jakiegoś sasa, z którego korzysta. A do takich rzeczy nie będą pisać regułek, więc nie za bardzo mieli jak to monetyzować i tutaj weszły pojawiły się platformy Bug Bounty, które pomyślały: Kurczę, to ja zagospodaruję tę niższę, czyli będę robił mniej więcej to samo, czyli koordynował cały przebieg tego zgłaszania podatności, podstawowej weryfikacji podatności i będę dostarczał tą informację do oryginalnego vendora, do mojego klienta, czyli dla przykładu, jeżeli mamy Airbnb, to Airbnb zgłasza się do HakerOne. mówi, że fajnie. Chcielibyśmy mieć program Bug Bounty. Chcielibyśmy, żeby zewnętrzni badacze bezpieczeństwa mogli szukać podatności i nawet pisać exploity dla naszych systemów, żeby po prostu badali bezpieczeństwo naszych systemów, ale jednocześnie nie chcemy zajmować się tym podstawowym triażem. Nie chcemy zajmować się chociażby jakimś wypłatami. Chcemy po prostu to autoryzować i tutaj takie HakerOne wchodzi całe na biało i mówi: „Dobra. To my się zajmiemy tym kawałkiem. My się zajmiemy kontaktowaniem z researcherem, my się zajmiemy tymi wypłatami”. Oczywiście to jest protokswane, ale my zajmiemy się taką papierkową robotą, tą żmudną robotą, a Wy w zamian za to, za jakąś tam opłatą będziecie mieć te informacje o podatnościach, które potem będziecie mogli sobie wyłapać, więc i firmy, i te duże firmy, które korzystają z platform Bug Bounty na tym korzystają, bo obniżają sobie koszt prowadzenia takiego Bug Bounty same i zewnętrzni badacze bezpieczeństwa na tym korzystają, ponieważ w tym momencie są w stanie zgłaszać te podatności niejako do tych oryginalnych firm poprzez platformy typu właśnie Hacker One czy Bugcrowd, więc każdy na tym korzysta i bardzo często oczywiście to ta korzyść dla badacza jest typowo finansowa, więc dostaje za to pieniądze. Oczywiście w zależności od podatności i w zależności od tego, jaki mamy Impact tej podatności są to różne wypłaty, ale można na tym zarabiać naprawdę duże pieniądze, jeżeli jest się w ścisłej czołówce. Jeżeli jest się w ścisłej czołówce, to można zarabiać na tym nawet miliony dolarów. Natomiast oczywiście to co powiedziałem na samym początku nie chciałbym nikogo tutaj nęcić taką marchewką, bo być w ścisłej czołówce nie jest łatwo. Więc raczej milionów na tym nie zarobimy, ale jeżeli podchodzimy do tego tylko po to, żeby się uczyć, czyli mieć niejako ten poligon doświadczalny to to jest świetna sprawa, bo wchodząc na przykład na taki HakerOne, wchodząc na listing tych programów Bug Bounty, wybierając sobie jakiś program. Dla przykładu niech będzie ten z Airbnb mamy tam zasady, co możemy testować, czyli mamy pewien zakres web aplikacji, zakres hostów, zakres IP, który możemy testować i potem możemy po prostu zacząć testować. Zacząć faktycznie oceniać bezpieczeństwo czy nawet pen testować w zależności od programu te systemy, jeżeli nam się coś uda. Jeżeli uda nam się popchnąć coś dalej znaleźć podatność, da się wyexplitować, to możemy za to dostać co najmniej podziękowanie czy wpis dla przykładu, że zna ktoś taki i taki znalazł podatność u nas często gęsto takie halo fejm, ale nie tylko to, bo często po prostu można na tym zarobić, czyli dostaniemy jakieś paręset dolarów, parę 1000$, więc można połączyć pożyteczne z przyjemnym. Dlatego, że bawiąc się w taki Bug Bounty, a jednocześnie robiąc to co wcześniej mówiłem, czyli dokumentującą tą swoją podróż nie tylko możemy coś zarobić, ale jeszcze tworzymy cały czas ten artefakt, który poświadcza o naszych umiejętnościach, czyli: A znaleźliśmy tą podatność, a żeby ją znaleźć, to podeszliśmy tak i tak. A potem chcieliśmy to popchnąć dalej, ale coś nie zadziałało, a potem waliliśmy głową w ścianę przez 3 dni i nagle wiesz przyszło do głowy, że możemy zrobić coś takiego i udało nam się to wyexpolitować i teraz pokazując ten cały proces myślowy niejako ta druga strona potencjalny później pracodawca widzi, że mamy potencjał na dobrego pracownika.

OK. A jak wygląda tutaj kwestia tego progu wejścia, żeby rozpocząć tą przygodę z Bug Bounty, z poszukiwaniem? Czy tam używając takiego tego standardowego podziału, jeśli chodzi o doświadczenie to junior powiedzmy jakiś ma tam co szukać? Jesteśmy w zupełnie innym czasie niż Ty rozpoczynałeś tą swoją przygodę. To jest już zupełnie inny poziom i świadomości tego Seeber Security, inny poziom już zabezpieczeń tworzenia aplikacji, ale tak samo większa konkurencja, jeśli chodzi o ilość, które tym tematem się zajmują. Czyli czy osoba, która wchodzi w ten świat, dopiero się zaczyna uczyć, czy jeżeli wejdzie na takie Bug Bounty, to czy się nie odbije od ściany tak na początek czy może się zdarzyć, że nawet takie osoby bardzo, bardzo takie początkujące już będą w stanie coś tam znaleźć?

Andrzej: Wiesz co jeszcze taka mała uwaga, żeby słuchacz dobrze zrozumiał. Bezpieczeństwo to jest odbijanie się od ściany i walenie dalej w tą ścianę głową, aż, dopóki się jej nie przebije. Niestety tak to wygląda, więc często gęsto po prostu trzeba walić głową w ścianę. Nie można się zniechęcać, dlatego też wcześniej chyba zauważyłeś, że bezpiecznicy mają trochę takie swoje wybujałe ego, bo do bezpieczeństwa idą ludzie, którzy mają ten charakter takiego walenia głową w ścianę, aż nie przebiją muru i tacy ludzie najczęściej mają trochę wybujałe ego. Ja tutaj to nie jest zarzut. Ja też ma wybujałe ego. Staram się to hamować, ale wychodzi mi czasami lepiej, czasami gorzej, więc to nie jest zarzut w niczyją stronę. Po prostu obserwacja, że tak to w bezpieczeństwie wygląda i spoko. Natomiast trzeba zdawać sobie sprawę, że trzeba walić tą głową w ścianę i nie można się zniechęcać po pierwszej, drugiej, trzeciej, a nawet 99-tej porażce. Trzeba po prostu wstać i iść dalej. Jeżeli nam się podoba bezpieczeństwo, widzimy się w tym, mamy fan z tego co robimy, to prędzej czy później. Można inaczej. Skill set wtedy jest tylko kwestią czasu i jednym zajmie trochę mniej, innym zajmie trochę więcej. Nie ma znaczenia. Jeżeli lubimy to co robimy to będzie fajnie i teraz przechodząc tak gładko do tego, czy w takim wypadku początkujący w ogóle mają co szukać Bug Bounty? Wiesz co owszem, zgadzam się z tym, że krajobraz wygląda trochę inaczej niż jeszcze kilka lat temu. Na pewno wygląda inaczej niż wtedy, kiedy ja zaczynałem, ale też musisz brać pod uwagę to jest taki kontrargument, że software’u też jest więcej. Software buduje się szybciej, ficzery na produkcję wlatują szybciej niż kiedyś. Więc nawet jeżeli dana aplikacja, dany serwis niech już będzie z tego Airbnb był testowany tydzień temu, to on w tym tygodniu będzie miał już dodany nowy kod, będzie miał dodatkowe stany, które trzeba przetestować pod kątem bezpieczeństwa, więc nie jest do końca tak, że należałoby się zniechęcać, że: A kurczę. Tak tu dużo ludzi to testowało, to na pewno ja nic nie znajdę. Pewnie w pierwszym, w drugim, w trzecim, w czwartym podejściu tak będzie, bo to jest normalne, ale jak najbardziej osoba początkująca, nawet z relatywnie niskim skill setem, czyli powiedzmy jakąś podstawową wiedzą na temat podatności z OWASP TOP 10 z jakąś podstawową wiedzą na temat jak szukać takich podatności, jak je wyłapywać i jak eksploatować nawet taka osoba jest w stanie wejść w Bug Bounty i zacząć znajdować te podstawowe problemy dlatego, że po prostu te Software, te serwisy, które cały czas wchodzą w zakres różnego rodzaju Bug Bounty, z różnych programów od różnych firm one cały czas się zmieniają, one mają setki. W topowych firmach to są setki i setki deployów dziennie na produkcję. To nie ma bata, żeby oni wszystko znaleźli i nie ma bata, żeby nawet inni ludzie, którzy biorą udział w Bug Bounty też mogli wszystko przetestować. Oczywiście na początku mamy pewien, nazwijmy to disadvantage kontra tych ludzi, którzy biorą udział w Bug Bounty już od wielu lat, dlatego, że oni mają dużo automatyzacji, które są w stanie szybciej wyłapać pewne problemy, ale nie ma się. Po pierwsze, nie ma się tym, co zniechęcać, a w ogóle najlepiej o tym nie myśleć. Gra nie jest fair, ale to wcale nie oznacza, że nie można wejść i zarobić trochę punktów. Jak najbardziej można i polecam wejść, i popróbować samej/samemu, bo jak najbardziej ten próg wejścia wcale nie jest tak wysoko, jak może się wydawać.

OK. Dobra. Tak jeszcze mnie naszedł jeden wątek. Czy albo na ile przydają się umiejętności już takie mocno techniczne, ale właśnie związane powiedzmy z elektroniką? Czy to jeszcze jest ten moment, gdzie takie twarde włamywanie się do jakichś systemów poprzez kabelki, podpinanie się powiedzmy nie wiem czy do nie wiem, może Ty tu być więcej wiedział nawet na ten temat. Ja nie chcę tu jakiś wiesz tworzyć niestworzonych rzeczy, ale czy to jeszcze coś takiego ma miejsce czy to już tylko i wyłącznie po tej ciemnej stronie mocy już takie rzeczy się powiedzmy dzieją?

Andrzej: Nie, jak najbardziej ma miejsce. W zasadzie wzrost, to się nazywa tak ładnie hardware Hawking, wzrost całej tej domeny można było bardzo ładnie zaobserwować jak na dłoni, w zasadzie przez minioną dekadę, czyli lata 2010-2020, gdzie na początku tej dekady w zasadzie jeszcze o tym się w ogóle nie słyszało publicznie. To było bardziej takie zajawkowe, na jakiś Defconach, a parę lat później to już był to tak zwany Stunt Hacking – wyczynowy hacking, gdzie ludzie tacy jak Charlie Miller i Chris Walasek hakowali po prostu samochody. To już jest typowy Hardware hacking, więc jak najbardziej nie tylko nie można, można się za to zabiera i można w to iść. Powiem właśnie więcej. Jest to świetny obszar do zagospodarowania, bo do nas wszystko zawsze przychodzi z pewnym opóźnieniem i to co gdzieś tam na Zachodzie już jest czymś takim bardziej normalnym to u nas często gęsto dopiero będzie i u nas jeszcze tego tak naprawdę jakoś mocno nie widać, a nawet jak są jakieś takie prelekcje czy ludzie, którzy się zajmują bezpieczeństwem właśnie hardware’owym to jest ich bardzo mało, więc jeżeli ktoś się interesuje elektroniką, ma o tym pojęcie to jest to świetny obszar, który można sobie zagospodarować i być w nim nie jako jednym z nielicznych ekspertów i nawet jeżeli nie ekspertów, to specjalistów w kraju. Tym bardziej jeszcze biorąc pod uwagę to, że Internet of Things (IoT) cały czas tylko rośnie ten film, więc raczej jest to kolorowy Teaming.

Te sprzęty, które do nas przychodzą to bezpieczeństwo chyba nie jest tam priorytetem.

Andrzej: Często gęsto nie. Często gęsto niestety nie jest priorytetem. Można powiedzieć, że to nie jest jakiś super mój kawałek, w którym ja się obracam, ale jeżeli mówimy o tych kawałkach Software’owych w hardware, czyli dla przykładu jakie aplikacje tam są deployowane, jak one są pisane. To często gęsto tam można stosować triki takie, jakie stosowało się w desktopach w latach 90. Czyli dla przykładu, jak mamy jakieś memory corruption to prosty stack overflow, Przepraszam stack based Buffer Overflow, czyli przepełnienie bufora. Wystarczy nadpisać po prostu adres powrotny funkcji i cyk. Aplikacja Ci wraca. Nie ma problemu, wykonuje Twój kod z pamięci, nie ma żadnego DEPa czy NX bita. To to samo. Nie ma żadnego ASLRa. Nie ma generalnie nic. Można robić wszystko, jak się chce, więc z drugiej, z jeszcze innej strony można popatrzeć na to, że w hardwarze, w hakowaniu hardware’u to dalej mamy zabawę jak w latach 90, więc jest to super fan. Na desktopach to już nie jest taki fan. Jeżeli ktoś chciałby się bawić w hakowanie na przykład przeglądarek, to to jest ciężka orka, która w chwili obecnej to już jest bardziej gra zespołowa niż dla pojedynczych graczy, a hardware haking dalej można grać spokojnie w Single player.

OK. Ja wiesz tak jeszcze z taką łezką w oku sobie przypominam te czasy, jak ja wiem koniec lat 90 jaki fan mi dawało, chociażby wiesz wgranie przy restarcie komputera, żeby w biosie jakieś moje logo się pojawiało, a niejednokrotnie się to odbywało też w ten sposób, że kość właśnie biosu się przypinało z jednego komputera do drugiego na żywo, na pacjencie, który był uruchomiony, więc to ten dreszczyk emocji i ten skok adrenaliny, który temu towarzyszył, to to są takie niezapomniane chwile do tej pory, więc podejrzewam, że tu faktycznie może też to dawać spory fan, bo to jest chyba taka największa rzecz w tym wszystkim.

Andrzej: Zgadza się. Ten fan jest tutaj obowiązkowy. Ja myślę, że to nie jest tylko granicą do Security, generalnie do technologii. Jakby nie było tech i w szczególności IT niejako wymaga trzymania ręki na pulsie cały czas. Być może nie trzeba cały czas czytać najnowszych książek, być ekspertem ze wszystkich tematów, ale rękę na pulsie trzeba cały czas trzymać i jeżeli ktoś nie ma z tego fanu, jeżeli po prostu nie ma do tego zamiłowania to prędzej czy później przestanie to robić i ja nie widzę w tym nic złego, tylko po prostu trzeba sobie zdać z tego sprawę, co tutaj jest konkretnie celem. Oczywiście, że potrzebujemy ludzi, którzy po prostu traktują to jako pracę. Spoko. Natomiast na pewno łatwiej się rozwijać, jeżeli ten fan jest i ja każdemu polecam znaleźć w ogóle tak szerzej, tak trochę życiowo polecam znaleźć coś co daje Ci fan i jak będzie Ci to dawało fan to potem zastanowić się jak można to zmonetyzować lub połączyć z czymś co pozwoli na monetyzacji. Nie zawsze jest tak łatwo, że da się monetyzować i zarabiać na tym, co sprawia nam przyjemność. Czasami trzeba połączyć to z czymś innym, ale życie jest po to, żeby odnaleźć jak połączyć te dwie rzeczy.

OK. To zaczęliśmy od technologii, kończymy na wątkach filozoficznych tutaj. Dobrze. Wiesz co większość tematów wydaje mi się, że mamy omówionych. Jeszcze jeden taki mi pozostał, który chciałem zahaczyć, bo to już nasza rozmowa ponad grubo godzinę trwa, ale jak wygląda comunnity właśnie, jeśli chodzi o ten wątek bezpieczeństwa? Czy jest taka tutaj wola i chęć do dzielenia się wiedzą, czy trzeba się napocić, żeby znaleźć jakieś informacje?

Andrzej: Wiesz co od paru lat zaczyna się to zmieniać i ją tą zmianę wypatruję w tym, że po prostu bezpieczeństwo jako dziedzin trochę się demokratyzuje. Tak to brzydko ujmę, bo nie do końca oddaję to, co chcę wyrazić. Natomiast po prostu wchodzi więcej osób, które nie zajmowały się komputerami albo bezpieczeństwem od tam 12 roku życia i jak mamy więcej takich osób to zmienia się trochę spojrzenie, zmienia się też nastawienie i to jest pozytywne, dlatego, że jeszcze wcześniej, czyli powiedzmy, nie wiem dekadę temu to kurczę to dzielenie się wiedzą, to comunnity było mocno posegmentowane. Ono dalej jest mocno posegmentowane, ale już trochę mniej i przez segmentację mam na myśli, że jeżeli byłeś w jakimś konkretnym kółku to OK. To to była ta wola komunikacji, wymiany wiedzy, pomagania sobie, ale jak tylko należałeś do innego plemienia to plemiona po prostu strzelały do siebie i ja zawsze mam w głowie ten obraz z konferencji Security właśnie jeszcze lata temu, gdzie się szło i po prostu wchodziłeś do jednego kółka i jedno kółko wzajemnej adoracji. Wiesz, jechało po drugie, doszedłeś gdzieś indziej i tamci jechali po tamtych. Każdy po sobie jechał. Było takiego mało, mało takiego ducha filmu, takiego braterstwa, że kurczę, wszyscy jesteśmy w tej samej działce, wszyscy gramy do tak naprawdę jednej bramki. Ciasto jest wystarczające dla wszystkich, więc po co się tutaj kłócimy o jakieś niepotrzebne pierdoły? Trochę się to zmienia na szczęście. Bardzo mi się podoba, że to się zmienia i jest coraz lepiej. Natomiast jeszcze parę lat temu nie było tak fajnie, jak jest teraz.

A może to jest tutaj wiesz jakaś analogia do wzrostu też właśnie tych soft skills, o których żeśmy mówili 2 tej branży tak samo zresztą jak w całym IT, więc może to gdzieś tutaj jest na rzeczy, że idzie to w jakąś lepszą stronę teraz?

Andrzej: Jest taka możliwość właśnie, że po prostu ludzie trochę nabrali większej ogłady i znowu ja też nie chcę, żeby to brzmiało, że ja tam mówię: A inni i narzekam. Ja też nabrałem większej ogłady i ja też tutaj nie jestem czysty jak kryształ, więc nabrałem większej ogłady, więc tak na pewno wynika to stąd w jakiejś części, w jakiejś innej części może wynikać to stąd, że ludzie też albo pracowali, albo wyjechali za granicę, a potem wrócili. I wiesz, trochę inny jest mindset na Zachodzie w takiej współpracy, jak się współpracuje w wzdłuż firmy i jak się współpracuje z innymi zewnątrz firmy. Po prostu to trochę inaczej wygląda i potem jak się nauczysz takich innych frameworków, to potem wracasz i raz, że lepiej dostrzegasz pewne ułomności, które mamy u nas w kraju, a dwa, że masz taki trochę niedosyt i chcesz trochę zmienić sytuację, żeby było trochę lepiej, więc.

Coś oddolnie zadziałać.

Andrzej: Dokładnie i oczywiście ja tutaj mówię na swoim przykładzie. U mnie to tak wyglądało i oczywiście sam wiek. Człowiek wiesz inaczej się zachowuje jak ma 20 lat to wiesz uważasz, że pozjadałeś wszystkie rozumy i w ogóle jesteś najmądrzejszy, a inaczej jak masz 30. To wtedy już wiesz, że może coś tam wiesz, ale na pewno nie pozjadałeś wszystkich rozumów i na pewno nie wiesz wszystkiego.

Wiesz, ja właśnie przekroczyłem 2 miesiące temu czy 1,5 miesiąca temu tą magiczną barierę już jeszcze więcej wiem, że mniej wiem, bo już po czterdziestce jestem, a w zasadzie przed pięćdziesiątką. Teraz już powinienem mówić, więc trochę tak jest, jak to mówisz, że z tym doświadczeniem człowiek zdobywa też większego dystansu do siebie, ale więcej tak samo wybacza innym i tak samo więcej jest tej takiej potrzeby, chęci dzielenia się tym, co się zdobyło, tym co się wie. To już jest trochę tej ogłady w człowieku jest więcej, a jeśli chodzi o Ciebie, to że chcesz się dzielić wiedzą to jak najbardziej chociażby ten występ tutaj wiesz na łamach tego podcastu jest najlepszym dowodem na to, że tak właśnie jest. Także dzięki Ci za to. Wspomniałeś o tym, o czym ja właśnie tak unikałem tego tematu, ale dobrze, że o tym wspomniałeś, że kiepsko jest już testować czyjeś systemy bez zgody, a wręcz wbrew tej zgodzie Natomiast czy dostęp do tej wiedzy takiej ogólnej nie jest jeszcze trochę tak ograniczony? Czy to nie jest tak, że właśnie w takich miejscach powiedzmy owianych złą sławą jak darknet czy to nie jest tak, że tam tej wiedzy można troszkę więcej liznąć trochę? Nie wiem też jakby to dobrze ująć, ale nie chcę też tu wiesz jakoś stawiać na piedestale tej wiedzy jakiejś takiej może nie do końca poprawnej politycznie tak to powiem, ale czy tam też warto sobie gdzieś poszukać, jeśli wie się czego szukać?

Andrzej: Wiesz co, jeżeli mówimy o takim skill secie, umiejętnościach to darknet tak naprawdę niczego nie zaoferuje, czego nie mógłbyś znaleźć po prostu w internecie. Bądźmy szczerzy. W darknecie możesz znaleźć jakieś nazwijmy to owoce pracy pewnych grup przestępczych, różnego rodzaju owoce pracy. Na jedne owoce pracy lepiej w ogóle nie patrzeć, na inne w zasadzie na żadne lepiej nie patrzeć, bo to zawsze jest. Ja tam się na prawie nie znam, ale lepiej nie patrzyć na jakieś rzeczy, które nie należą do Ciebie, więc każdy musi sobie sam tam podjąć decyzję, czy chce nurkować w darknet czy nie. Decyzja osobista. Natomiast na pewno nie znajdzie tam żadnego świętego Graala. Pod kątem technicznym nie ma tam nic czego nie da się znaleźć w Internecie, jeżeli chodzi o same umiejętności. Oczywiście z pewnym gdzieś tam wyjątkiem, bo jeżeli ktoś się specjalizuje w Fret Intelligence, w zbieraniu informacji na różne tematy zagrożeń, ale nie tylko to wiadomo, że trzeba zanurkować w darknecie, bo może po prostu te.

Informacje źródeł.

Andrzej: Dokładnie. Natomiast znowu, jeżeli wrócimy do samych umiejętności technicznych, to nic się tam nie znajdzie, czego się nie da znaleźć w internecie, bo też nie za bardzo byłby powód, dlaczego można było można coś tam znaleźć, bo nawet jeżeli znajdzie się jakiś efekt pracy typu dla przykładu znajdziesz informacje o jakiejś podatności, która jest w jakimś wersji oprogramowania ale o której vendor nie wie, czyli tak zwany Out Day, podatność typu zero Day to tak naprawdę znalazło się tylko efekt pracy ale nie znalazłeś tego jak do niej dojść. To jak do niej dojść, czyli jaka to jest podatność, jak takich podatności się szuka, jak Ty ją możesz znaleźć? To wszystko w Internecie jest, a wydaje mi się, że to jest tutaj wartością, a nie sam efekt tej pracy. Chyba że z jakichś powodów nie chcę wnikać z jakich, ale z jakiś powodów potrzebujesz tego typu informacji, bo są Ci one po prostu do czegoś tam potrzebne. To wtedy wiadomo, że w darknecie będzie łatwiej je znaleźć.

OK. Dobra. Słuchaj Andrzej, dziękuję Ci bardzo za tą rozmowę. Także powoli lądujemy, że tak to określę, czyli chciałbym Cię jeszcze poprosić o to, abyś podał, chociaż nie wiem, czy to tutaj może po prostu jak jakieś materiały uzupełniające będziesz miał to nie wiem, czy teraz chcesz coś podać jeszcze coś, o czym nie wspomniałeś, czy po prostu w notce coś dorzucimy?

Andrzej: Wiesz co wydaje mi się, że w notce i tak to wynotujemy. Ja od siebie dodam, że polecam swój podcast, jeżeli ktoś chce wchodzić w bezpieczeństwo. Raczej skupiłam się na takim bezpieczeństwie, który obraca się wokół bezpieczeństwa aplikacji. Może trochę szerzej wyjdę za jakiś czas, natomiast na chwilę obecną skupiam się na tym obszarze i w tym samym temacie mam też newsletter. Również będzie link apsek.pl, gdzie wysyłam informacje na temat bezpieczeństwa informacji średnio, może nie średnio, bo średnio to wyszło pewnie raz na 2 tygodnie, ale staram się wysyłać co tydzień jakieś ciekawe wątki, co tam ciekawego w apseku piszczy, ale to wszystko rozumiem będzie w notatkach, więc tam sobie linki każdy zobaczy.

OK. Wiesz z jednym z wątków, które też przyświeca tutaj temu podcastowi to jest takie uczłowieczanie informatyków, że tak określę tą naszą grupę. Jakie masz pasje takie spoza IT?

Andrzej: To ja może tutaj nie jestem najlepszym przykładem. Nie, oczywiście taki mały żarcik. Ja mam pasję poza IT. Jeżeli mielibyśmy wybrać coś, co jest totalnie rozłączne to dla przykładu uprawiam trójbój siłowy. Nie uprawiam go jakoś profesjonalnie. Jest to typowe podejście amatorskie, więc po prostu sobie dźwigam, robię siady, martwe ciągi i ławkę. To jest na pewno jedna z moich pasji długoletnia, bo już robię to od wielu lat i coś tam podnieść potrafię. Poza tym interesuję się i to jest trochę połączone z tym, że mam własną firmę. Interesuję się biznesem szeroko pojętym. Po prostu sam biznes mnie interesuje. Już nawet nie chodzi w kontekście mojej działalności, ale biznes jako ogólnie działanie, jako pewna domena różnych umiejętności. Jest to dla mnie dość interesujące, ale kurczę, jeżeli mielibyśmy wychodzić dalej to jakiś takich pasji typu co robisz w wolnym czasie to za dużo tutaj nie wylistuję, dlatego może nie jestem najlepszym przykładem. Na pewno właśnie trenuję. Robię jeszcze kilka innych rzeczy, ale to nie nazwałbym ich pasjami i w dużej mierze moją pasją stety, niestety, ale jest IT i dlatego spędzam tak dużo czasu w samym IT, bo naprawdę po prostu lubię temat i powiem więcej. Jeżeli mówimy o konkretnie cyberbezpieczeństwie to ja już mówiłem to chyba w kilku podcastach, ale ja miałem w swojej przyszłości, w sytuacji, w której zarabiałem na życie nie wykonując, nie mając nic wspólnego z cyberbezpieczeństwem, zarabiałem po prostu programując. Od 9 do 17 pisałem kodzik, PHP-ap i Ruby Rails, więc miałem taki okres, a i tak cały czas wracałem do tego Security po godzinach, więc ja wiem, że nawet gdyby była taka sytuacja, że kurczę ten biznes to okazuje się, że jestem tak dobry jak Jeff Bezos, tak go wyskalowałem, że po prostu już w ogóle nie muszę pracować to ja i tak bym nie siedział z palemką na plaży, bo bym się zanudził na śmierć, tylko ja dalej bym sobie siedział i siedział w techu i siedział w cyberbezpieczeństwie, bo po prostu to lubię. To jest temat, którym się zajmuję większą połowę swojego życia. Już większa połowa, jeżeli coś takiego istnieje.

Niemniej wątek siłowni, o którym wspomniałeś też pewnie trochę czasu zajmuję, więc tak, ten punkt tutaj jesteś człowiekiem. Nie jesteś robotem, zaliczamy. OK. Powiedz mi Andrzej, gdzie można Cię znaleźć, jakby ktoś chciał Cię szukać? Wspomniałeś już o podcaście. Gdzieś w socialach występujesz?

Andrzej: Wiesz co występuję w kilku socialach. Najmocniej cisnę w chwili obecnej Linkedlina i polecam dodać mnie do znajomych. Tylko tutaj zaznaczam, jak będziecie dodawać mnie do znajomych to nie klikajcie follow, bo wtedy ja będę musiał wejść i dodać Was do znajomych tylko po prostu kliknijcie tam taką nie wiem to chyba 3 kropeczki się rozwija i po prostu dodajcie kontakt, żebyśmy po prostu byli połączeni w dwie strony, a nie tylko w jedną stronę. Mam Twittera, ale nie jestem jakoś super aktywny na Twitterze. Bardziej korzystam znowu jako odbiór informacji. Być może się to w przyszłości zmieni, ale na chwilę obecną raczej tylko odbiór informacji głównie właśnie z cyberbezpieczeństwa, żeby trzymać tą rękę na pulsie. Mam Instagrama, który jest nieżywy. To się zmieni, ale najpewniej dopiero w 2023, więc nie ma tam po co tam na razie wchodzić i mam w zasadzie 2 blogi. Mam taką HQ headquarter swój, czyli dyjak.me, który na chwilę obecną nie jest blogiem. Jest po prostu stronką taką, gdzie są linki do innych moich materiałów i mam blog firmowy blog bezpiecznykod.pl, na którym wrzucam transkrypcje ze swoich podcastów, które dla niektórych ludzi są dużo przydatniejsze niż sama audycja. Ja sam ze swojego doświadczenia wiem mówiłem, że słucham dużo podcastów. Jak mam jakiś bardzo ciekawy podcast, z którego chcę wyciągnąć jakieś faktyczne takie rzeczy, które chciałbym zapamiętać, które chciałbym utrwalić to staram się znaleźć go w transkrypcji i nie tylko przesłuchać, ale też przeczytać więc jako że sam tak robię to pomyślałem, że innym ludziom też ułatwię robotę, więc powoli sobie uzupełniam poprzednie odcinki o transkrypcje i wrzucam to na tego bloga firmowego. I w zasadzie na chwilę obecną to by było tyle. Wiesz, co jeszcze planuję uderzyć mocniej w YouTube, ale to dopiero w przyszłości i jak już uderzę w nie mocniej, to pewnie i tak gdzieś tam się zobaczymy, więc nie ma co na razie o tym wspominać.

OK. Andrzej, dziękuję Ci bardzo za to, że przyjąłeś zaproszenie do tego podcastu. Za to, że podzieliłeś się swoją wiedzą, że udowodniłeś, że warto się tym Security interesować, warto pracować nad swoimi zdolnościami i umiejętnościami nie tylko tymi technicznymi, twardymi, ale tak samo rozwijać tą miękką, swoją miękką stronę umiejętności. Dzięki za dzisiejszy odcinek.

Andrzej: Damianie to ja Tobie dziękuję za możliwość wystąpienia w Twoim podcaście. Mam nadzieję, że Twoi słuchacze wyniosą z naszej rozmowy sporo wartości i czegoś się nauczą i jakieś wątki, które gdzieś tam zaświtają im w głowie, poruszą jakiś odpowiedni sznurek i zadzwoni dzwoneczek, że coś tam się zmieni na lepsze.

OK. Super. Andrzej zamykając jeszcze rozmowę naszą, nasz cały podcast, żeby tradycji stało się zadość poproszę Cię abyś opowiedział jakiś suchar albo anegdotę z Twojego życia w branża IT.

Andrzej: To jest taka anegdotka. Ona się trochę łączy nawet z tym Bug Bounty, o którym dzisiaj rozmawialiśmy. To może nie jest zabawne, raczej coś do przemyślenia. Kiedyś brałem udział w takiej rekrutacji, w firmie, która zajmuje się bezpieczeństwem. Cyberbezpieczeństwem konkretnie. Oni mówią testami penetracyjnymi, ale wiadomo po prostu testują aplikacje pod kątem bezpieczeństwa i z mojej strony padło pytanie, czy nie będzie problemu bawić się w Bug Bounty w momencie, kiedy zacząłbym u nich pracować? I z tej drugiej strony był taki trochę taki grymas, że trochę byłby problem z tym Bug Bounty, bo oni widzą Bug Bounty trochę jako nie wiem jakąś konkurencję, że po prostu widzą jako konkurencję. Dla mnie to było takie zastanawiające, bo nie do końca rozumiem w jaki sposób Bug Bounty może być konkurencją dla firmy, która zajmuje się bezpieczeństwem. To są jednak trochę inne usługi. A 2 podejrzewam, że po prostu chodziło o to, żeby gdzieś tam nie mieć dodatkowego punktu, dodatkowej jakiejś dźwigni, więc podsumowując tą krótką jakąś anegdotkę albo lekcję z życia, ja polecam Tobie skupić się na swoich prywatnych sprawach i generalnie nie trzeba rozmawiać z potencjalnym, a nawet obecnym szefem o swoich prywatnych sprawach czy bawisz się w Bug Bounty czy nie. To jest tylko i wyłącznie Twój interes. Nie ma się co też kryć, jeżeli chcesz porozmawiać, ale nie jest to wymagane, bo na koniec dnia każdy ma swoje życie i o ile nie grasz na jakąś szkodę swojego pracodawcy czy innych osób, to generalnie też masz prawo sobie coś tam na boku dziubać i wszyscy powinni być zadowoleni. Ja w chwili obecnej mam styczność z współpracą, z ludźmi od strony właśnie takiej osoby, która zatrudnia, która po prostu zleca jakieś zlecenie komuś i nigdy nie będę najmniejszego problemu, że ktoś się bawi w Bug Bounty albo innego typu programy, gdzie można zgłaszać podatności. Może to robić publicznie. Może to robić prywatnie jak chce, to nie jest mój interes, bo my tutaj biznes mamy taki, że ja zlecam Tobie jedno. Jak to wykonujesz to tak naprawdę jak spędza, kto wolny czas, to jest jego tylko jego i tylko jego wyłącznie sprawa. Więc anegdotka jest tutaj taka, żeby może nie zawsze należałoby się chwalić wszystkim, co się robi, bo może to zostać źle odebrane.

OK, co robimy po godzinach zostaje po godzinach.

Andrzej: Dokładnie.

OK.

Linki


Andrzej w sieci:
https://bezpiecznykod.pl/
https://dyjak.me/
https://www.linkedin.com/in/andrzejdyjak/

Szkolenie OTWA Andrzeja:
http://bezpiecznykod.pl/ofensywa

linki z podcastu:
https://www.vulnhub.com/
https://www.hackthebox.com/
https://tryhackme.com/
https://www.hackerone.com/
https://www.bugcrowd.com/
https://owasp.org/Top10/

FP na FB
https://www.facebook.com/ITiTyPodcast/
Niezmiennie zapraszam do kontaktu na LinkedIn:
https://www.linkedin.com/in/damian-ruci%C5%84ski/

Jeśli podoba Ci się to co robię dołącz do Wiktora Doktóra i Tomasza Milera i wesprzyj mnie np. na platformie Patronite:
https://patronite.pl/IT_i_Ty/description

Zapraszam Damian Ruciński
https://itity.pl/subskrybuj/

Zawartość:
Intro (00:00)
Rozgrzewka (02:06)
Początki w IT (05:53)
Dlaczego security? (08:48)
Co to jest to całe security? (12:48)
Co można robić w tym security? (16:50)
Co trzeba umieć, żeby zacząć się bawić w bezpieczeństwo? (23:37)
Powerskils w security? (28:11)
Pentester – kto to taki? (37:51)
Ocena podatności vs pentesting (42:05)
Czy testować na produkcji? (43:50)
Gdzie trenować/uczyć się? (47:46)
Bug Bounty (56:11)
Jaki jest próg wejścia w Bug Bounty? (64:11)
Hardware Hacking (69:49)
Jak wygląda bezpieczne community? (76:43)
Czy darknet ma coś do zaoferowania? (82:23)
Materiały uzupełniające (85:56)
Pasje spoza IT (87:08)
Andrzej w sieci (90:03)
Podziękowania i anegdota (92:41)
Outro (97:00)

Muzyka użyta w podcaście: „90’s Rock Style” by monkeyman535 z serwisu freesound.org
Dobrego 😃
Damian