Interviu cu Alex Birsan – Information Security Analyst (white hat hacker)

Zilele trecute, in timp ce cautam niste informatii despre bug bounty-ul Google am dat peste un articol scris de Alex Birsan. In acel articol Alex explica modul in care a reusit sa castige 15.600 de dolari gasind 3 buguri de securitate pe Google Issue Tracker (gasiti un link spre acel articol mai jos). Dupa ce am terminat de citit i-am gasit si profilul de pe Hackerone si am zis ca trebuie sa il contactez si sa facem un scurt interviu pentru ca e foarte tare ce face.

Ai putea sa ne spui cateva lucruri despre tine ca sa te cunoastem mai bine? Cu ce te ocupi?

Salut! Ma numesc Alex, am 23 de ani, sunt din Iasi, si sunt un „bug bounty hunter”. Asta inseamna ca imi petrec majoritatea timpului cautand probleme de securitate in sistemele unor companii si primesc recompense pentru vulnerabilitatile gasite. Companiile rezolva bug-urile, iar eu sunt platit in functie de gravitatea acestora. Toata lumea castiga 🙂

Cum ai intrat in zona asta de cyber security, ce te-a atras? Rush-ul dat de gasirea unei probleme, banii… sau altceva?

Am fost atras de cyber security de cand ma stiu, mintea mea pare sa fie facuta pentru asta. Cred ca imi place modul in care fiecare task, fiecare provocare e ca un puzzle. Majoritatea nu au rezolvare deloc, dar procesul de gandire prin care trec ma tine antrenat si interesat de fiecare data.

Imi place zona de bug bounty in special pentru ca bariera de intrare este fix zero. Oricine poate participa fara vreo certificare, facultate, scoala sau gradinita terminata, iar plata este bazata in general pe calitatea rezultatelor, si nu pe anii de experienta sau pe tara in care locuiesti.

Cat timp petreci in general pentru gasirea unei vulnerabilutatii de nivel mediu. Am auzit de persoane care lucreaza uneori si 1-2 saptamani pe o singura zona dintr-o aplicatie. Nu ajungi intr-o stare proasta, obsesiva poate incercand sa gasesti o problema care poate nu exista?

De obicei incerc sa imi selectez tintele astfel incat sa gasesc cate o vulnerabilitate de nivel mediu odata la 3-5 ore. Majoritatea timpului am succes, dar cateodata se intampla sa treaca si cateva saptamani fara sa gasesc nimic.

Uneori fac asta chiar voluntar. Daca mi-a mers bine o perioada, aleg sa trec pe tinte mai grele, dar cu recompense mai mari, cum ar fi Google. Acolo scanner-ele automate sunt absolut inutile, si familiarizarea cu modul de functionare al sistemului este cheia succesului. Ajungi sa petreci multe ore doar luand notite despre cum functioneaza un feature in spate, si mult mai putin timp testand ipoteze care te ajuta la gasirea bug-urilor. Insa atunci cand chiar gasesti ceva, recompensa poate ajunge la $30.000.

Citeste si: How I hacked Google’s bug tracking system itself for $15,600 in bounties

E adevarat ca la inceput de drum tinzi sa petreci foarte mult timp acoperind foarte putin teren, incercand sa scoti vulnerabilitati inexistente din endpoint-uri care „par interesante”. Insa acest fenomen se diminueaza odata cu acumularea de experienta, si ajungi sa ai un fel de intuitie care iti spune cand ar trebui sa te opresti si sa treci mai departe.

Cand vine vorba de cadrul legal, e nevoie sa anunti o companie ca vei cauta probleme de securitate in aplicatia/situl lor daca nu au un program de bug bounty? Cum procedezi pentru a nu avea probleme cu legea?

Nu testez site-uri daca nu au un „responsible disclosure policy”, „bug bounty program”, sau daca nu exista un acord in prealabil intre mine si compania proprietara.

Legea romaneasca este extrem de vaga in legatura cu testarea securitatii „pro bono”, dar odata ce site-ul publica o politica referitare la „responsible disclosure”, aceasta reprezinta de obicei autorizarea necesara pentru a testa site-ul in mod legal.

Din pacate numarul de site-uri romanesti cu o astfel de politica este aproape zero. Shout-out pentru fostii colegi de la Bitdefender, din cate stiu ei sunt inca singura companie romaneasca cu un program de bug bounty: https://www.bitdefender.ro/site/view/bug-bounty.html

Ai niste sfaturi pentru cei care vor sa se apuce de cyber security? Niste resurse utile, oameni pe care sa ii urmareasca?

Pentru cyber security in general skill-urile de baza sunt in mare aceleasi ca si pentru software engineering: cunostinte bune de computer science si gandire logica. Cunostintele specifice difera destul de mult in functie de nisa in care vrei sa lucrezi. Pentru bug bounty in special:

Blogurile hunterilor experimentati sunt cele mai bune resurse pentru a „fura” meseria, in special cele care descriu procesul de gandire care a dus la gasirea unui bug. Aici e o lista foarte buna cu postari, categorizata dupa tipul de vulnerabilitate si recompensa: https://pentester.land/list-of-bug-bounty-writeups.html (apare si un blog post de-al meu acolo).

Mai exista si Hacktivity de pe Hackerone, unde apar uneori rapoarte complete in care poti vedea toata interactiunea dintre researcher si echipa companiei. https://hackerone.com/hacktivity

Multi tineri cred ca odata cu automatizarea si AI vor fi tot mai putine joburi in IT si va scadea nevoie pentru programatori / IT-isti. Care e parerea ta?

Eu cred ca va creste in continuare nevoia de joburi in IT. Sistemele automate au si ele nevoie de mentenanta si dezvoltare. AI nu a ajuns inca „acolo”, si nu prevad ca va ajunge in viitorul apropiat.

Cum reusesti sa echilibrezi munca si nevoia de a avea un venit cu viata personala? Ai anumite reguli cand vine vorba de munca si orele alocate?

Incerc sa profit la maxim de orele de „flow”, de productivitate maxima pentru bug hunting, deoarece rezultatele sunt bazate doar pe bug-urile gasite, si nu pe cat timp am petrecut lucrand. Apoi, daca este cazul, completez ziua cu diverse task-uri mai sigure (de exemplu, platite pe ora). Astfel, ajung foarte rar sa am nevoie de mai mult de 3-5 ore pe munca pe zi.

Mersi Alex si mult succes in continuare!

5 comentarii

Lasă un răspuns la Butnaru Razvan Anulează răspunsul