Interviu cu @inhibitor181 – Bug Bounty Hunter

Ai putea sa ne spui cateva lucruri despre tine ca sa te cunoastem mai bine? Cu ce te ocupi?

Salutare! Numele meu este Cosmin, am 30 de ani, m-am nascut si locuit in Bucuresti si din 2014 locuiesc in Germania. Am lucrat in Romania si in Germania ca programator, in total cam 7-8 ani, si cam de 2 ani jumatate am fost interesat de zona de cyber security, in special de bug bounty. De la mijlocul lui 2018 sunt full-time bug bounty hunter.

Cum ai intrat in zona asta de cyber security, ce te-a atras? Rush-ul dat de gasirea unei probleme, banii… sau altceva?

Din totdeauna am vrut sa fiu propriul meu sef, sa lucrez pe cont propriu si zona de cyber security m-a atras dar nu am avut si nici cautat in mod serios sa lucrez ca security analyst (a fost mult mai accesibil sa devin programator). Apoi am aflat de existenta platformelor Hackerone si BugCrowd, am vazut cateva rapoarte care au fost platite foarte bine si m-am gandit ca si eu pot ajunge sa fac asta la un moment dat. Eram si cam plictisit de monotonia din programare asa ca incet incet am intrat in bug bounty hunting si cu cat invatam mai mult cu atat ma atragea mai mult. Efectiv imi place sa incerc sa distrug munca altuia cu scopul de a o face mai sigura in viitor pentru toata lumea.  

Cat timp petreci in general pentru gasirea unei vulnerabilutatii de nivel mediu. Am auzit de persoane care lucreaza uneori si 1-2 saptamani pe o singura zona dintr-o aplicatie. Nu ajungi intr-o stare proasta, obsesiva poate incercand sa gasesti o problema care poate nu exista?

In ziua de azi sunt foarte increzator ca pot gasi o problema de nivel mediu intr-o zi intr-o aplicatie deja considerata destul de sigura si are o arie de atac decenta (nu ma intelegeti gresit, la inceput imi trebuia o saptamana sau chiar mai mult sa gasesc ceva de nivel mediu). Dar, dupa ce ma concentrez pe o zona restransa din aplicatie incercand sa gasesc o vulnerabilitate cu un impact puternic totul se schimba. Pot pierde intradevar foarte multe zile fara sa gasesc nimic. Cand se intampla asta sunt demoralizat, dar incep sa ma concentrez pe o alta zona, iar dupa catava zile sau saptamani revin cu un alt mindset inapoi la zona initiala. Ma ajuta foarte mult strategia asta, dar difera de la persona la persoana.

Cum poti sa ajungi sa fii invitat la evenimentele hackerone?

Nu stiu exact care sunt criteriile care sunt luate in considerare si in ce masura. Singura resursa pe care o pot impartasii este acest video facut de Stök cu Luke Tucker (Content & Community @Hacker0x01) in care se raspunde la aceasta intrebare: https://www.youtube.com/watch?v=ilX7luRV3Rw.

Care crezi ca e cel mai important lucru care te ajuta sa gasesti probleme critice? Partea de recon, tool-urile, insistenta…?

Experienta, insitenta si intelegerea unei aplicatii. Din punctul meu de vedere, este foarte important sa iti faci planuri de lunga durata, sa citesti documentatia si sa intelegi aplicatia. Apoi sa insisti pana nu mai poti. Reconul este si el foarte foarte important, dar scopul lui este sa iti arate drumuri mai necalcate sau uitate. Daca nu stii cum sa exploatezi rezultatele reconului degeaba ai cele mai mai bune tooluri pentru asta. Desigur ca si eu folosesc multe tooluri pt recon sau pentru automatizarea taskurilor care imi iau mult timp, dar in final mentalitatea este cel mai importat “tool”.

Ai niste sfaturi pentru cei care vor sa se apuce de cyber security? Niste resurse utile, oameni pe care sa ii urmareasca?

Nu pot sa zic ca am un director de resurse foarte utile sau o lista de oameni pe care sa o pot da mai departe. Pot totusi sa recomand :


Poti sa ne spui cateva lucruri despre bug-ul descoperit la H1-65 in Singapore (cel de la Dropbox)?

Nu am permisiunea sa dau detalii publice legate de ceea ce a fost gasit la acel event 🙁

RADU: Putin context aici. Din informatiile care sunt publice pe Hackerone sau pe canalului lui STOK, Cosmin a castigat in Singapore 2 premii (distinctii) din partea Hackerone: The Exaled (most reputation earned) si The Assasin (highest signal) primind si suma de $33.000 pentru bug-urile gasite.

Multi tineri cred ca odata cu automatizarea si AI vor fi tot mai putine joburi in IT si va scadea nevoie pentru programatori / IT-isti. Care e parerea ta?

Nu cred ca se poate intampla asa ceva prea curand… Poate viitoarele generatii vor avea de lupta cu asta, dar chiar si asa daca va fi intradevar un AI pur probabil ca “vizunea” lui va fi extrem de diferita cu ceea ce a fost construit de oameni pana acum si va fi foarte greu de integrat ceea ce a facut un AI cu ceea de a facut mintea umana.

Cum reusesti sa echilibrezi munca si nevoia de a avea un venit cu viata personala? Ai anumite reguli cand vine vorba de munca si orele alocate?

In general nu ma fortez decat sunt aproape de a gasii ceva cu adevarat special, nu lucrez seara (oricum sunt deja obosit) si in weekend nu lucrez niciodata daca sotia are si ea liber si este acasa. Incerc sa lucrez in acelasi timp cu ea, deci se poate spune ca am un program normal de lucru. Este important sa faci din cand in cand pauze, eventual sa te duci afara sa iei o gura de aer si sa te intorci cu minte limpede. 

Pe Cosmin il gasiti pe twitter @inhibitor181.

PS: Nu uitati sa cititi si interviu cu Alex Birsan (Information Security Analyst): https://bit.ly/2Uxdeo2

Lasă un răspuns