Пенестер профессия кто это

Опубликовано: 02.10.2024

Есть профессии, образ которых окутан стереотипами и загадками. И одна из них — пентестер (тестировщик, от англ. penetration testing — тестирование на проникновение ПО, оборудования). Пентестеры, или исследователи безопасности, не терпят сравнений с реальными киберпреступниками. Они всегда подчеркивают свою наиглавнейшую цель — найти уязвимости веб-сайтов, мобильных приложений, банкоматов, информационных и бизнес-систем раньше настоящих злоумышленников. Мы решили развеять мифы о профессии пентестера и поговорили с Максимом Костиковым, старшим специалистом группы исследований безопасности банковских систем Positive Technologies.

Максим, расскажи, кто такие пентестеры?

Пентестер, или white hat[1], — это специалист по анализу защищенности информационных систем, а пентест — исследование ПО или оборудования на наличие уязвимостей, с помощью которых киберпреступники могут их атаковать, влияя на работоспособность или заставляя выполнять нелегитимные команды: например, передавать злоумышленникам конфиденциальную информацию (учетные и персональные данные), размещать трояны или майнеры криптовалюты, развивать атаки на внутреннюю сеть компании, красть деньги.

Большинство людей представляют пентестера как человека, который сутками сидит в компьютере. Так что же он делает?

Если говорить о ПО, все начинается с тщательного изучения системы. Мы проводим огромное число взаимодействий с ней для выявления уязвимостей — ошибок и нестандартного поведения, то есть заложенных возможностей, которые не были описаны в документации. Из-за этого наша работа может показаться сложной и даже нудной. Но я скажу однозначно: это не так! Потому что мы видим результат своего труда — мы помогаем компаниям узнать свои слабые места раньше злоумышленников.

Зачем компании заказывают пентесты?

Компании приглашают нас не только для выявления уязвимостей, но и чтобы проанализировать работу своих центров реагирования на киберугрозы (security operation center, SOC), проверить, узнают ли специалисты по ИБ об атаках вовремя, корректно ли логируются события[2]. А компании, которые уже подвергались взлому, заказывают пентесты, чтобы понять причины удавшейся злоумышленникам атаки.

Каким компаниям нужны пентесты?

· Компании, которые стремятся обеспечить соответствие требованиям регуляторов или законодательства. Например, банки, в числе прочего, руководствуются и специальным положением Банка России, обязывающим проводить пентест не реже, чем раз в два года.

· Организации, которые заботятся о своей репутации и данных. Как правило, это те компании, которые работают с персональными данными и платежными средствами своих клиентов.

· Наученные горьким опытом компании, которые уже подвергались атакам злоумышленников.

· Производители ПО и оборудования, которые отдают нам на проверку свои продукты, чтобы выявить в них уязвимости нулевого дня (то есть ранее неизвестные уязвимости).

А зачем пентест вендорам ПО и оборудования. Для чего они запускают программы bug bounty?

Bug bounty — это программа, в рамках которой разработчики предлагают пентестерам протестировать свои продукты. Обычно за найденные и зарепорченные уязвимости участник программы получает материальное вознаграждение, но бывают и другие варианты вознаграждений: мерч, бонусы или скидки компании.

Причины существования bug bounty довольно просты. Важную роль играет доверие пользователей к производителю. Его внимание к безопасности положительно влияет на репутацию и даже может сказаться на конкретных финансовых показателях. Также bug bounty позволяет вендорам экономить деньги на собственном штате пентестеров.

Тем не менее, bug bounty не гарантирует стопроцентной защиты от взлома. Вспомним тот же Uber: несмотря на наличие bug bounty компания стала жертвой кибершантажа.

Расскажи, как проходит рабочий день пентестера?

Наша работа — это непрерывный поиск и анализ информации. Если встречается ранее неизвестная система, то необходимо ее изучить и предположить максимальное число возможных вариантов атаки.

Есть и обратная сторона медали, связанная с рутиной. Внимательно просмотреть более 20 тысяч строк кода, прочитать документацию о продукте на 200 страниц, посмотреть все 100 с лишним страниц в веб-приложении или часами разбирать обфусцированный (то есть усложненный для анализа) код — эти задачи требуют высокой концентрации в течение многих часов. Но результат оправдывает все потраченное время — мы находим уязвимости, оформляем CVE[1] на продукты.

Я больше склоняюсь к тому, что работа пентестера — это приключение. Что ни день, то новые технологии и продукты, которые написаны по-разному, и их надо изучить и проанализировать!

Как построен твой график?

Вариантов работы для пентестеров масса, все зависит от проекта. Может быть, сегодня ты отправишься в офис, чтобы удаленно проанализировать приложение онлайн-банкинга, или поедешь на выделенную площадку для исследования защищенности банкоматов, Wi-Fi-сетей, электростанции. Но не вся работа связана только с тестированием: бывают и поездки на переговоры, определение задач для пентеста, подготовка отчетов и презентаций.

Как тебе в голову приходят идеи возможных векторов атак?

Для успешного тестирования на проникновение необходимо четко представлять, как может работать система. После того, как появилось понимание о ее работе, можно начинать проверять варианты того, как она сработает — на этом этапе мы по поведению системы либо сокращаем, либо расширяем список возможных вариантов атак.

Как устроена работа в команде?

Продуктивно, стрессоустойчиво и весело. В нашей команде (а нас несколько десятков человек) каждый сфокусирован на том или ином стеке технологий и направлений: кто-то лучше разбирается в анализе белым ящиком (то есть анализе на основе исходных кодов приложения), кто-то — в реверс-инжиниринге (обратной разработке), кто-то — в атаках на сетевые протоколы или развитии атак внутри корпоративных сетей. Соответственно, у нас у всех разные подходы к анализу. Во время командных проектов мы помогаем друг другу, дополняя и расширяя области знаний и опыт друг друга. Если кто-то сталкивается со сложной задачей, то мы ее выполняем общими силами. Обычно такое случается, когда один проект включает сразу несколько направлений (например, когда нужно продемонстрировать атаку на банкомат или АСУ ТП из внутренней сети). Кроме того, нам часто помогают реверс-инженеры, чтобы проанализировать ПО, найденное во время пентеста.

Какие стереотипы про хакеров вызывают у тебя больше всего скепсиса?

Меня всегда забавляют хакеры в фильмах, которые взламывают что-то за пару секунд, да так взламывают, что их даже не замечают. На такие атаки требуются месяцы подготовки. И мрачный образ человека в худи — тот еще стереотип :)

Смешно выглядят моменты в фильмах, где преступник вводит пару команд и БАЦ! ― он уже взломал банк, вычислил кого-то по IP и т. п. Честно говоря, не могу припомнить правдивых фильмов про хакеров — возможно, я их просто не смотрел :)

Что привлекает в профессии пентестера? А что в ней вам мешает или огорчает?

Если начал заниматься пентестом, то остановиться почти невозможно. Это можно отнести и к плюсам, и к минусам профессии :) Единственное, что огорчает, это то, что в сутках 24 часа — не всегда успеваешь сделать все, что хотел за один день :)

Слышали, что в команду пентестеров соискатели проходят особенно жесткий отбор. Это в том числе связано, что исследователи безопасности должны обладать не только определенными техническими компетенциями, но и этическими принципами. Расскажите про ваш кодекс работы.

Помимо увлеченности своим делом, таланта и постоянной практики, мы обращаем внимание и на морально-нравственные качества: соблазн сделать быстрые деньги на преступных махинациях слишком велик, а человеку, хоть раз преступившему закон, путь в Positive Technologies закрыт — это наша принципиальная позиция.

Как понимаем, кто перед нами — «белый» или «черный»? У нас есть свой подход к верификации соискателей: мы смотрим на то, какими способами человек решает ту или иную задачу, каким инструментарием пользуется. Например, «черного» хакера сразу видно по тому, какими техническими средствами он проводит анализ защищенности веб-сайта, корпоративного приложения или сети.

Таблетки, покрытые пленочной оболочкой светло-желтого цвета, круглые, двояковыпуклые.

1 таб.
финастерид 5 мг

[PRING] лактозы моногидрат, крахмал кукурузный, повидон K30, карбоксиметилкрахмал натрия (тип А), натрия докузат, магния стеарат.

Состав пленочной оболочки: гипромеллоза 2910/5, макрогол 6000, тальк, титана диоксид, эмульсия симетикона SE4, краситель железа оксид желтый.

10 шт. - блистеры (3) - пачки картонные.
10 шт. - блистеры (6) - пачки картонные.
15 шт. - блистеры (2) - пачки картонные.
15 шт. - блистеры (4) - пачки картонные.
15 шт. - блистеры (6) - пачки картонные.

Финастерид - синтетическое 4-азастероидное соединение. Является специфическим конкурентным ингибитором 5α-редуктазы II типа - внутриклеточного фермента, который превращает тестостерон в активный андроген - дигидротестостерон (ДГТ). При доброкачественной гиперплазии предстательной железы (ДГПЖ) ее увеличение зависит от превращения тестостерона в ДГТ в простате. Финастерид высокоэффективно снижает концентрацию ДГТ как в плазме крови, так и в ткани предстательной железы. Подавление образования ДГТ сопровождается уменьшением размеров предстательной железы, увеличением максимальной скорости мочеиспускания и снижением выраженности симптомов, связанных с гиперплазией предстательной железы.

Финастерид не обладает сродством к рецепторам андрогенов.

Согласно результатам клинического исследования (PLESS), в котором участвовали пациенты с умеренно или значительно выраженными симптомами ДГПЖ и увеличением предстательной железы, финастерид снижал частоту возникновения острой задержки мочи с 7/100 до 3/100 за 4-летний период, а частоту необходимости в хирургическом вмешательстве (трансуретральной резекции простаты (ТУРП) или простатэктомии) — с 10/100 до 5/100. Эти изменения также ассоциировались с улучшением симптоматики ДГПЖ (снижение на 2 пункта по шкале симптомов quasi-AUA), устойчивым уменьшением объема предстательной железы приблизительно на 20% и стабильным увеличением скорости тока мочи.

Исследование MTOPS (Medical Therapy Of Prostate Symptoms) продолжительностью от 4 до 6 лет, в рамках которого 3047 мужчин с симптомами ДГПЖ были рандомизированы на группы, получающие: финастерид в дозе 5 мг/сут; доксазозин в дозе 4 мг/сут или 8 мг/сут; комбинацию финастерида в дозе 5 мг/сут и доксазозина в дозе 4 мг/сут или 8 мг/сут; или плацебо. Лечение приводило к значимому снижению риска клинического прогрессирования ДГПЖ, которое на фоне применения финастерида составило 34% (р=0.002), доксазозина - 39% (р<0.001) и комбинированной терапии - 67% (р<0.001) относительно плацебо. В большинстве случаев прогрессирование ДГПЖ (274 из 351) проявлялось усугублением симптоматики ДГПЖ на ≥4 балла по шкале IPSS (International Prostate Symptom Score), при этом среди пациентов, получавших финастерид, риск усугубления симптомов, оцениваемых балловым показателем, снижался на 30% (95%-й ДИ: 6-48%), среди получавших доксазозин - на 46% (95%-й ДИ: 25-60%), а среди получавших комбинированную терапию - на 64% (95%-й ДИ: 48-75%) относительно группы плацебо. Среди пациентов, получавших финастерид, риск возникновения острой задержки мочи был снижен на 67% (р=0.011), в группе получавших доксазозин - на 31% (р=0.296), а в группе получавших комбинированную терапию - на 79% (р=0.001) относительно группы плацебо. Значимое отличие от плацебо наблюдалось лишь в группах пациентов, получавших финастерид и комбинированную терапию.

C max финастерида в плазме крови достигается приблизительно через 2 ч после приема внутрь. Абсорбция финастерида из ЖКТ завершается через 6-8 ч после приема внутрь. Биодоступность финастерида при приеме внутрь составляет приблизительно 80% от внутривенной референсной дозы и не зависит от приема пищи.

Связывание с белками плазмы крови составляет приблизительно 93%. Плазменный клиренс составляет около 165 мл/мин, кажущийся V d - 76 л.

При длительной терапии наблюдается медленное накопление финастерида в небольших количествах. При ежедневном приеме финастерида внутрь в дозе 5 мг его минимальная C ss в плазме крови достигает 8-10 нг/мл и с течением времени остается стабильной.

У пациентов, получавших препарат в течение 7-10 дней, финастерид обнаруживался в спинномозговой жидкости. При приеме препарата в дозе 5 мг/сут финастерид в незначительных количествах обнаруживается в семенной жидкости.

Метаболизм и выведение

T 1/2 финастерида в среднем равен 6 ч. У мужчин после однократного приема внутрь дозы финастерида, меченного 14 С, 39% принятой дозы выводится почками в виде метаболитов (неизмененный финастерид практически не выводится почками); 57% - через кишечник. В данном исследовании были идентифицированы 2 метаболита финастерида, которые обладают незначительным ингибирующим действием в отношении 5α-редуктазы по сравнению с финастеридом.

Фармакокинетика в особых клинических случаях

В пожилом возрасте скорость выведения финастерида несколько снижается. С возрастом T 1/2 увеличивается: у мужчин 18-60 лет средний T 1/2 составляет 6 ч, а у мужчин старше 70 лет - 8 ч. Данные изменения не имеют клинической значимости, и, следовательно, снижения дозы препарата у мужчин пожилого возраста не требуется.

У пациентов с хронической почечной недостаточностью (КК от 9 до 55 мл/мин) распределение меченного 14 С финастерида при приеме однократной дозы не отличалось от такового у здоровых добровольцев. Связывание финастерида с белками плазмы крови также не отличалось у пациентов с нарушением функции почек.

При почечной недостаточности часть метаболитов финастерида, которая в норме экскретируется почками, выводится через кишечник. Это проявляется увеличением количества метаболитов финастерида в кале при соответствующем снижении их концентрации в моче. У пациентов с почечной недостаточностью, не нуждающихся в гемодиализе, коррекции дозы финастерида не требуется.

  • лечение ДГПЖ и профилактика урологических осложнений с целью:
    • снижения риска острой задержки мочи;
    • снижения риска необходимости проведения хирургических вмешательств, в т.ч. ТУРП и простатэктомии;

    Препарат принимают внутрь по 5 мг 1 раз/сут, независимо от приема пищи.

    Продолжительность терапии до оценки ее эффективности должна составлять не менее 6 мес, поэтому курс лечения должен быть достаточно длительным.

    Финастерид можно применять в виде монотерапии, а также в комбинации с доксазозином.

    Нет достаточных клинических данных о применении препарата у пациентов с печеночной недостаточностью .

    У пациентов с различными стадиями почечной недостаточности (при снижении КК до 9 мл/мин) коррекция дозы не требуется, поскольку специальные исследования не продемонстрировали каких-либо изменений фармакокинетического профиля финастерида.

    Пациентам пожилого возраста коррекция дозы не требуется, хотя фармакокинетические исследования указывают на то, что выведение финастерида у пациентов старше 70 лет несколько снижается.

    Нежелательные реакции, выявленные в ходе клинических исследований (исследование PLESS)

    Побочные реакции разделены по системно-органным классам в соответствии с классификацией MedDRA. Частота побочных реакций определялась соответственно следующей градации (классификация ВОЗ): очень часто (более 1/10); часто (от более 1/100 до менее 1/10); нечасто (от более 1/1000 до менее 1/100); редко (от более 1/10 000 до менее 1/1000); очень редко (от менее 1/10 000, включая отдельные сообщения).

    Нарушения психики: часто - снижение либидо.

    Со стороны кожи и подкожных тканей: нечасто - кожная сыпь.

    Со стороны половых органов и молочной железы: часто - нарушение сексуальной функции; нечасто - нарушение эякуляции, уменьшение объема эякулята, увеличение грудных желез, болезненность в области грудных желез.

    В рамках исследования MTOPS сравнивалось применения финастерида в дозе 5 мг/сут (n=768), доксазозина в дозе 4 мг/сут или 8 мг/сут (n=756), комбинированной терапии финастеридом в дозе 5 мг/сут и доксазозином в дозе 4 или 8 мг/сут (n=786), и плацебо (n=737). Согласно результатам данного исследования профиль безопасности и переносимости комбинированной терапии в целом совпадал с профилем ее отдельных компонентов. Частота нарушений эякуляции у пациентов, получающих комбинированную терапию, была сопоставимой с суммой частоты возникновения данного нежелательного явления на фоне двух видов монотерапии.

    Было проведено 7-летнее плацебо-контролируемое исследование РСРТ, в котором участвовали 18 882 здоровых мужчины. Доступные для анализа данные пункционной биопсии предстательной железы были получены в отношении 9060 субъектов, при этом рак предстательной железы был выявлен у 803 (18.4%) мужчин, получавших финастерид в суточной дозе 5 мг, и у 1147 (24.4%) мужчин, получавших плацебо. Согласно результатам пункционной биопсии рак предстательной железы с балловым показателем 710 по шкале Глисона был диагностирован у 280 (6.4%) мужчин из группы получавших финастерид в суточной дозе 5 мг, в то время как в группе плацебо рак с такой степенью дифференцировки был диагностирован у 237 (5.1%) пациентов. Результаты дополнительного анализа свидетельствовали о том, что увеличение распространенности низкодифференцированного рака предстательной железы, наблюдавшееся в группе пациентов, получавших финастерид в суточной дозе 5 мг, может быть объяснено системной ошибкой при оценке результатов, связанной с влиянием терапии финастеридом в дозе 5 мг 1 раз/сут на объем предстательной железы. Из общего числа случаев рака предстательной железы, диагностированных в данном исследовании, на момент постановки диагноза примерно 98% случаев были отнесены к локализованному раку (клиническая стадия T1 или T2). Клиническая значимость данных об опухолевом процессе со степенью дифференцировки 7-10 баллов по шкале Глисона неизвестна.

    Сведения, полученные на основании пострегистрационного опыта применения препарата

    Частота нежелательных реакций неизвестна, т.к. на основании полученных данных установить частоту и причинно-следственную связь с действием финастерида не всегда возможно, поскольку сообщения о данных реакциях поступали добровольно по популяции неизвестного размера.

    Со стороны иммунной системы: частота неизвестна - реакции гиперчувствительности, в т.ч. кожный зуд, крапивница, ангионевротический отек (включая отек губ, лица и гортани).

    Со стороны печени и желчевыводящих путей: частота неизвестна - повышение активности печеночных трансаминаз.

    Со стороны сердечно-сосудистой системы: частота неизвестна - ощущение сердцебиения.

    Нарушения психики: частота неизвестна - депрессия, снижение либидо, которое сохраняется после прекращения терапии.

    Со стороны половых органов и молочной железы: частота неизвестна - сексуальная дисфункция (эректильная дисфункция и нарушения эякуляции), которая сохраняется после прекращения лечения, болезненность яичек, мужское бесплодие и/или снижение качества семенной жидкости. После отмены финастерида качество семенной жидкости приходило в норму или улучшалось.

    При оценке результатов лабораторных исследований необходимо учитывать, что у пациентов, получающих лечение финастеридом, содержание ПСА в плазме крови снижается. У большинства пациентов в течение первых месяцев терапии отмечается быстрое снижение показателя ПСА с его последующей стабилизацией. Исходное значение ПСА, устанавливающееся после проведения терапии финастеридом, составляет примерно половину соответствующего показателя, отмечавшегося до начала лечения. Таким образом, у пациентов, получающих лечение финастеридом в течение 6 месяцев или более, значение ПСА следует удваивать в сравнении с нормальными значениями мужчин, не получавших лечения. Других различий в значениях стандартных лабораторных показателей между группами пациентов, получавших финастерид и плацебо, не наблюдалось.

    • повышенная чувствительность к финастериду и/или другим компонентам препарата;
    • наследственная непереносимость лактозы, дефицит лактазы или нарушение всасывания глюкозы/галактозы;
    • беременность и применение препарата у женщин с сохраненным репродуктивным потенциалом;
    • возраст до 18 лет.

    С осторожностью следует назначать препарат пациентам с большим объемом остаточной мочи и/или существенно сниженной скоростью мочеиспускания (пациенты должны регулярно наблюдаться врачом на предмет выявления обструктивной уропатии), пациентам с печеночной недостаточностью, а также пациентам пожилого возраста.

    Применение препарата Пенестер ® противопоказано при беременности и женщинам с сохраненным репродуктивным потенциалом. В связи со способностью ингибиторов 5α-редуктазы II типа подавлять превращение тестостерона в дигидротестостерон, данные средства, в т.ч. финастерид, при применении у беременных могут вызывать аномалии развития наружных половых органов у плода мужского пола.

    Финастерид не показан для применения у женщин.

    Данных об экскреции финастерида с грудным молоком нет.

    Небольшие количества финастерида были обнаружены в сперме пациентов, получавших финастерид в дозе 5 мг/сут. Хотя клинические данные о влиянии финастерида на плод мужского пола отсутствуют, женщинам с сохраненным репродуктивным потенциалом следует избегать контакта с семенной жидкостью мужчин, принимающих финастерид.

    Женщинам с сохраненным репродуктивным потенциалом и беременным следует избегать контакта с поврежденными таблетками финастерида, т.к. способность препарата подавлять превращение тестостерона в ДГТ может вызвать нарушение развития половых органов у плода мужского пола.

    Указания общего характера

    Во избежание обструктивных осложнений необходимо осуществлять тщательное наблюдение пациентов с большим объемом остаточной мочи и/или значительно затрудненным мочеиспусканием. Следует учитывать возможность возникновения необходимости в хирургическом вмешательстве.

    Влияние на содержание ПСА и диагностику рака предстательной железы

    До настоящего времени не доказаны клинические преимущества применения финастерида у пациентов с раком предстательной железы. В контролируемых клинических исследованиях у пациентов с ДГПЖ и повышенной концентрацией ПСА в плазме крови проводился мониторинг содержания ПСА и результатов исследований биопсии предстательной железы. Было установлено, что применение финастерида, по-видимому, не изменяет частоту выявления рака предстательной железы и не влияет на частоту его возникновения у пациентов, принимавших финастерид или плацебо.

    Перед началом лечения и периодически в процессе терапии финастеридом рекомендуется проводить ректальное исследование и применять другие методы диагностики рака предстательной железы. Определение ПСА в плазме крови также используется для выявления рака предстательной железы. В целом, исходная концентрация ПСА выше 10 нг/мл говорит о необходимости дальнейшего обследования пациента и проведения биопсии простаты. При определении концентрации ПСА в пределах 4-10 нг/мл необходимо дальнейшее обследование пациента. У мужчин с ДГПЖ нормальные значения ПСА не позволяют исключить рак предстательной железы, независимо от лечения финастеридом. Исходная концентрация ПСА ниже 4 нг/мл также не исключает рак предстательной железы.

    Финастерид вызывает уменьшение концентрации сывороточного ПСА приблизительно на 50% у пациентов с ДГПЖ, даже при наличии рака предстательной железы. Данный факт необходимо принимать во внимание при оценке содержания ПСА у пациентов с ДГПЖ, получающих лечение финастеридом, т.к. снижение концентрации ПСА не исключает наличия сопутствующего рака предстательной железы. Данное снижение ожидаемо при любом диапазоне значений концентрации ПСА, хотя оно может отличаться у конкретных пациентов. Анализ значений ПСА более чем у 3000 пациентов в 4-летнем двойном слепом плацебо-контролируемом исследовании PLESS подтвердил, что у пациентов, принимавших финастерид в течение 6 месяцев или более, значения ПСА должны быть удвоены для их сопоставления с нормальными значениями данного показателя у пациентов, не получающих лечения препаратом. Эта коррекция сохраняет чувствительность и специфичность анализа ПСА и возможность выявления рака предстательной железы. Любое сохраняющееся увеличение концентрации ПСА у пациентов, получающих лечение финастеридом, требует тщательного обследования для выяснения причины, которая может заключаться в несоблюдении режима приема препарата. Финастерид существенно не снижает процент свободного ПСА (отношение свободного ПСА к общему). Данный показатель остается постоянным даже под влиянием приема препарата. Если для диагностики рака предстательной железы используется процент свободного ПСА, коррекция значений данного показателя необязательна.

    Рак молочной железы у мужчин

    В ходе клинических исследований, а также в течение пострегистрационного периода у мужчин, принимающих финастерид, были отмечены случаи рака молочной железы. Врачи должны инструктировать своих пациентов о необходимости незамедлительно сообщать о любых изменениях ткани молочной железы, таких как появление уплотнений, боль, гинекомастия или выделения из сосков.

    Влияние на способность к управлению транспортными средствами и механизмами

    О неблагоприятном влиянии препарата на способность управлять транспортными средствами и работать с механизмами не сообщалось.

    Пациенты получали финастерид однократно в дозах до 400 мг, при многократном введении препарата в дозах до 80 мг/сут в течение 3 мес нежелательных реакций не наблюдалось.

    Передозировка финастерида не требует специального лечения.

    Клинически значимого взаимодействия с другими препаратами выявлено не было.

    Финастерид метаболизируется преимущественно с участием изофермента CYP3A4 системы цитохрома Р450, не оказывая существенного влияния на функцию этой системы. Хотя риск влияния финастерида на фармакокинетику других препаратов оценивается как невысокий, существует вероятность того, что ингибиторы или индукторы изофермента CYP3A4 системы цитохрома Р450 будут оказывать воздействие на плазменную концентрацию финастерида. Тем не менее, учитывая имеющиеся данные по безопасности, представляется маловероятным, что повышение концентрации финастерида, связанное с сопутствующим применением таких ингибиторов, будет иметь клиническое значение. Не было выявлено клинически значимого взаимодействия при комбинированном применении финастерида с пропранололом, дигоксином, глибенкламидом, варфарином, теофиллином и феназоном.

    Препарат следует хранить в недоступном для детей месте при температуре не выше 25°С. Срок годности - 3 года. Не применять по истечении срока годности, указанного на упаковке.

    Как стать пентестером с нуля, да и вообще, что включает в себя тестирование на проникновение? Какие инструменты следует освоить и в какой последовательности? Разобраться поможет дорожная карта от Tproger и HackerU:

    Как стать пентестером с нуля: дорожная карта

    Пентестинг — что нужно знать

    Тестирование на проникновение (penetration testing, pentesting) используется для своевременного обнаружения проблем и уязвимостей в IT-системах. Для этого применяются как ручные методы тестирования, так и автоматизированные инструменты.

    Пентестер имитирует действия злоумышленника, используя при этом возможные бреши в безопасности. Если защита слабая, специалист получает доступ к искомым данным и отчитывается о найденной уязвимости, чтобы та была устранена разработчиками.

    Навыки и инструменты пентестера

    Чтобы понять, как стать пентестером с нуля, предлагаем ознакомиться со схемой обучения с нуля. Дорожная карта включила в себя следующие пункты:

    • Основы
    • Кибер-инфраструктура для пентестинга
    • Повышение кроссплатформенных привилегий
    • Атаки на сетевую инфраструктуру
    • Реверс-инжиниринг и анализ вредоносных ПО
    • Подготовка к экзаменам CEH и OSCP

    Разберём их подробнее.

    Основы

    Фактически это введение в профессию, из которого вы должны узнать о взломе веб-приложений, атаках на операционные системы и сети, а также о внешней IT-инфраструктуре.

    Какой опыт здесь поможет? В качестве хорошего бэкграунда для исследования вредоносных программ подойдёт знание ассемблера. Если же вы смотрите в сторону веб-безопасности, то однозначно нужно начать с изучения веб-технологий:

    Знание Linux на уровне пентестера не ограничивается установкой «хакерского» дистрибутива Kali. Управление сервисами, пользователями, правами, сетью и менеджеры пакетов — вот фундамент, который позволит понять, как UNIX-подобные операционные системы работают изнутри.

    То же касается и Windows Server. Вам помогут знания о механизмах управления сетью устройств и сетевым оборудованием. Это касается работы с Active Directory, сетевыми протоколам DNS, DHCP и ARP, а также их настройки.

    Отдельным блоком следует выделить корпоративные сети Cisco, их архитектуру. Хороший пентестер может быстро разобраться в настройке оборудования Cisco, маршрутизации, VLAN и Trunk портов, мониторить трафик и управлять корпоративной сетью.

    Кибер-инфраструктура для пентестинга

    На должности пентестера вам предстоит сканировать сети и анализировать сетевой трафик. В этом поможет Wireshark — популярный инструмент для захвата и анализа сетевого трафика, который часто используется как в обучении, так и в реальных задачах. Также вам предстоит мониторить и обрабатывать открытые источники по принципу open-source intelligence (OSINT), работать со взломом паролей, атаками на Wi-Fi и MITM. Именно на этом этапе вы познакомитесь с методом полного перебора или брутфорсом, а также соответствующими программами вроде John The Ripper.

    Повышение кроссплатформенных привилегий

    Несмотря на столь безобидное название, под повышением привилегий подразумевается использование уязвимости программы или операционной системы, вследствие которого злоумышленник получает доступ к информации, что обычно защищена от определённой категории пользователей. Такое действие позволяет киберпреступнику получить права на выполнение несанкционированных действий.

    Изменение привилегий делится на три основных типа:

    • вертикальное повышение — имитация пользователя уровнями выше;
    • горизонтальное повышение — имитация пользователя того же уровня;
    • понижение — имитация пользователя уровнями ниже.

    Чтобы стать пентестером, нужно понимать, как это работает с точки зрения злоумышленника. С этой целью вам предстоит научиться изменять свои привилегии в различных операционных системах, закрепляться в них, использовать эксплойты, переполнение буфера и заменять DLL-файлы на вредоносные библиотеки.

    Атаки на сетевую инфраструктуру

    Такие атаки делятся на активные и пассивные — тип напрямую зависит от вредоносного ПО. Для обеспечения защиты от атак на сетевую инфраструктуру используются:

    • VPN;
    • прокси-серверы;
    • файрволы;
    • системы сетевого мониторинга.

    Но это касается методов защиты конечных пользователей. В роли специалиста по пентестингу вам предстоит тестировать атаки через SMB Relay и Responder, использовать PowerShell как инструмент атак и анализа защищённости сети, проверять конфигурацию домена, захватывать и анализировать сетевой трафик.

    Реверс-инжиниринг и анализ вредоносных ПО

    Но настоящие специалисты по кибербезопасности идут ещё дальше. Они изучают и анализируют логику исполняемых файлов, исследуют результаты работы вредоносных ПО, проводят реверс-инжиниринг компилируемых исполняемых файлов и производят их отладку. Именно здесь вам пригодится язык ассемблера, C, а также отладчики OllyDbg, x64dbg и GDB.

    Подготовка к экзаменам CEH и OSCP

    Сдача экзаменов CEH и OSCP опциональна, но она позволит закрепить пройденный материал, получить соответствующие сертификаты и поставить жирную точку в обучении в ранге новичка, став специалистом. Вам следует понимать технические особенности формата обоих экзаменов и выстроить эффективный план подготовки.

    Дополнительные инструменты

    Комплексные:

    • OWASP ZAP — опенсорсный кроссплатформенный инструмент для автоматического поиска уязвимостей веб-приложений в процессе разработки и тестирования;
    • Burp Suite — набор взаимосвязанных компонентов для комплексного аудита безопасности;
    • Metasploit — открытая платформа для создания эксплойтов под различные ОС.

    Брутфорсеры:

    • THC-Hydra — многофункциональный брутфорс паролей;
    • RainbowCrack — популярный взломщик хешей;
    • John the Ripper — кроссплатформенный инструмент с тремя типами перебора:полным, гибридным и по словарю.

    Сканеры сетей:

    • Nmap;
    • ZMap;
    • Masscan.

    Анализаторы трафика:

    • Wireshark;
    • tcpdump;
    • mitmproxy.

    Подборка ресурсов для изучения

    Книги

    Обложка книги «Hacking: The Art of Exploitation, 2nd Edition»

    Hacking: The Art of Exploitation, 2nd Edition

    Автор не учит применять известные эксплойты, а объясняет их работу и внутреннюю сущность. В начале читатель знакомится с основами программирования на С, ассемблере и языке командной оболочки, учится исследовать регистры процессора. Освоив материал, можно приступать к хакингу — перезаписывать память с помощью переполнения буфера, получать доступ к удалённому серверу, скрывая своё присутствие, и перехватывать соединения TCP. Изучив эти методы, можно взламывать зашифрованный трафик беспроводных сетей, успешно преодолевая системы защиты и обнаружения вторжений. Книга даёт полное представление о программировании, машинной архитектуре, сетевых соединениях и хакерских приёмах.

    Обложка книги «Основы веб-хакинга»

    Основы веб-хакинга

    Используя публично описанные уязвимости, книга «Основы веб-хакинга» объясняет распространенные веб-уязвимости и покажет вам, как начать искать уязвимости и получать за это деньги. Используя более 30 примеров, эта книга описывает такие темы, как:

    • HTML-инъекции;
    • межсайтовый скриптинг (XSS);
    • межсайтовая подмена запроса (CSRF);
    • открытые перенаправления;
    • удаленное исполнение кода (RCE);

    логика приложений и многое другое.

    Обложка книги «The Basics of Hacking and Penetration Testing: Ethical Hacking and Penetration Testing Made Easy»

    The Basics of Hacking and Penetration Testing: Ethical Hacking and Penetration Testing Made Easy

    Из книги вы узнаете, как правильно использовать и интерпретировать результаты современных хакерских инструментов, таких как Backtrack Linux, Google, Whois, Nmap, Nessus, Metasploit, Netcat, Netbus, etc. На протяжении всей книги используется один пример — конкретная цель для тестирования на проникновение. Это позволяет чётко видеть взаимосвязь инструментов и этапов. Каждая глава содержит практические примеры, которые научат вас интерпретировать результаты и использовать их. Написано автором, имеющим практический опыт работы в качестве пентестера.

    Подкасты

    Курсы

    Все перечисленные в роадмапе этапы включены в курс по кибербезопасности от HackerU. Пройдите путь обучения продолжительностью в 11 месяцев и пополните ряды «белых шляп», проводя тесты на проникновение, анализируя защищённость и находя дыры в безопасности информационных систем и приложений.

    Сомневаетесь? Тогда опробуйте программу на трёхдневном интенсиве «Pentesting: Level 0», где вы познакомитесь с типичными задачами Red Team, на практике разберётесь в типовых уязвимостях, проведёте взлом приложения с помощью эксплойта и многое другое.

    Заключение

    Хотите стать пентестером с нуля? Теперь вы знаете, как это сделать: вооружайтесь нашей дорожной картой, осваивайте полезные технологии, необходимые языки программирования, изучайте различные виды хакерских атак и полезные инструменты, читайте книги о взломе и тестировании на проникновение, слушайте тематические подкасты, становитесь сертифицированным специалистом и смело рассылайте резюме в интересующие вас компании.


    Началось все со знакомства с журналом «Хакер» в 2006 году, я тогда учился в седьмом классе. Читал и не очень понимал, что все значит и что происходит. После чтения всяких форумов и статей осознал, что надо учиться программированию, и начать я решил с Perl. Интернет тогда в моем городе был еще слабый (dial-up), скачал пару книг, сам интерпретатор и сел за дело.

    Сказать честно, освоить Perl тогда мне не удалось. Потом решил осваивать PHP, и что-то уже стало получаться. Так прошло несколько лет, я худо-бедно освоил PHP, MySQL и Linux.

    Ломать учился очень долго, освоить веб-хакинг мне помогли два фактора: знакомство c Андреем Петуховым и стажировка в команде ONsec. Андрей дал мне список книг для прочтения и практических задач. В команде ONsec было много проектов, следовательно, много практики, очень многому научился у этих крутых ребят.

    С чего начинать в первую очередь?

    Во-первых, нужно иметь базовое представление о TCP/IP, HTTP и ориентироваться в Linux. Очень рекомендую участвовать в CTF, они очень хорошо качают скилл, правда не все. Также можно заниматься bug bounty, помогает прокачать скиллы веб-эксплуатации.

    Что до книг и прочих справочных материалов, то мне в свое время помогли Web Application Hacker’s Handbook, The Tangled Web, The Browser Hacker’s Handbook, а также RFC по HTTP и документация к Burp Suite. Многое из этого еще вполне актуально.

    Поделись полезными ссылками

    Алексей Синцов

    Как ты учился тому, что умеешь?

    Обучение было долгим и, по сути, идет до сих пор. Началось все в школе в 1999 году, у меня только появился модем. На пиратском диске с дровами для модема и прочими полезными тулзами была секция «для хакера» с набором всяких тупых сканеров и сплоитов типа WinNuke (CVE-1999-0153). Это меня увлекло, я стал изучать, как работает WinNuke, как работает сетевой сканер, что такое эксплоит, атака и так далее. Это давало преимущества в Сети!

    Тогда же я купил свои первые выпуски журнала «Хакер». Хулиганский стиль издания и свободный язык со всяким сленгом школьникам вроде меня заходил отлично. Но главное — статьи заставляли искать инфу уже в интернете. Так я узнал, что такое трояны и какие они бывают, прочитал про типовые баги и про многое другое.

    Тема увлекала все сильнее и сильнее. Купил книжку «Атака на интернет», увидел, что авторы (П. В. Семьянов и И. Д. Медведовский) — из питерского Политеха. Решил пойти к ним учиться. Это, конечно, была наивная иллюзия о нашей системе образования и о том, чему будут учить. Но я все равно не пожалел потом — вуз хороший, и состав преподавателей там огонь! 🙂

    Тогда, собственно, и наметился путь моего обучения, и с тех пор это направление не менялось. Продолжаю точно так же искать новые баги, либо по аналогии со старыми, либо руководствуясь интуицией.

    В то время, правда, мы часто тренировались на реальных объектах в Сети, но урона мы не наносили и ничего не воровали, максимум делали «фановые» вещи для админов. Кстати, тогда админы ценили хороший дефейс (с бэкапом и инфой о баге), потому что это им помогало понять, где и что не так. Сейчас это, конечно, звучит дико…

    Однако это позволяло мне искать 0day в продуктах на Perl и PHP и исследовать прочие вещи в ИБ (бинарщину, сети и так далее). Например, в 2001-м мы офигели от Nmap и проектов типа Xprobe Федора Ярочкина и замутили собственный подход к пассивному маппингу ассетов (ОС) на Delphi.

    Я писал автосплоитер веб-багов на основе базы GIN Group и даже хотел вместе с ними сделать один проект, но не вышло. Уже поступив в универ в 2002 году, я использовал и знал многое, и это помогало мне в программировании и прочих делах. Хотя с криптографией было тяжело — математика все же не мое.

    С чего начинать в первую очередь?

    Основы ИТ. Сети, протоколы, компиляция, работа ОС (процессы, память и прочее). Зная основы, ты понимаешь, как в этих реалиях жить и где можно «проскочить».

    Далее нужен опыт. Опыт написания сплоитов, пентестов, зохака в общем и целом. Причем, на мой взгляд, важно именно не решение задачек по шаблону (хотя я уважаю CTF’еров, многие из них в разы умнее меня), а возможность искать свой путь, проходить первым. Попробовав на вкус эту «кровь», ты становишься реально в теме, а не теоретиком или аналитиком. 8)

    Какие есть варианты работы?

    В наше время вариантов море! Если говорить об ИБ, то программирование, incident response в Blue Team, мониторинг SOC. Есть профессии Threat Hunter, Security Engineer, Application Security Engineer. Можно быть пентестером по найму или работать в Red Team. А можно стать консультантом или разработчиком сплоитов на фрилансе. Работы много, очень много.

    Поделись полезными ссылками

    Не собираю ссылки, но могу посоветовать искать материалы на сайтах любых конференций с хакерским уклоном. Ну и фильтровать найденное уже самостоятельно. Если говорить про курсы, то могу посоветовать Corelan Team.

    Продолжение доступно только участникам

    Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

    Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее


    «Пентестер» — слово вообще-то не русское, заимствованное. Что приходит на ум людям не из ИТ, боюсь представить. Поэтому мы себя «на Руси» гордо зовём «специалисты по тестированию на проникновение». Что ещё за «проникновение» и зачем его нужно тестировать? В этой статье я постараюсь приоткрыть завесу тайны для непосвященных.

    В программном продукте любая ошибка – это потенциальная уязвимость. Уязвимость – это уже потенциальный риск. А риск – это вроде как плохо, и можно потерять деньги (вообще много всего можно потерять: данные клиентов, интеллектуальную собственность, репутацию, но всё это высчитывается в деньгах).

    И что вы думаете? «Большие дяди» решают не торопить программистов, свозить их на курсы безопасной разработки, дать время на доведение кода до совершенства и делают им массаж ступней? Конечно же, нет. «Большие дяди» решают эти риски «принять» (снизить, передать, застраховать и много других умных слов). В общем, программы крутятся – лавеха мутится. Хакеры немного воровали, и всё шло в стандартном потоке, но так было до поры до времени.

    Со временем объем данных стал значительно расти, наглость хакеров росла еще быстрее. Вред от взлома стал превышать допустимые пределы. Еще и пользователи начали осознавать ценность своих «ну очень важных» персональных данных, а потом подъехали «ребята» из политики, и завертелось (прослушка первых лиц, вывод из строя Иранской АЭС, фальсификации выборов, свобода слова, право на приватность, право на забвение и наконец «кибероружие»!).

    Важный момент для читателя: «бизнес», конечно, может говорить, что ему очень важна ваша приватность, данные никому не передадут и каждый бит информации будет охранять специально обученный человек, но по факту это мало кого волнует. Основные мотиваторы для обеспечения ИБ – это «бабки», или точнее:

    • требования регуляторов (иначе большие штрафы);
    • не дать хакерам украсть много (может довести до банкротства);
    • сохранить репутацию (чтобы доверчивые пользователи дальше несли денежки компании).

    Снова «умные дяди» собрались и решили: чтобы защищаться от злоумышленника, нужно думать, как злоумышленник. Не обязательно самим, можно формализовать этот процесс, нанять специально обученных людей «в пиджачках», и пусть себе взламывают, а на выходе будет новая бумажка, но уже «технический отчет»!

    Так вот, «пентестер» по-простому – это тот, кто имитирует работу реального злоумышленника, тем самым тестируя организацию на возможность проникновения (компрометации) и получения доступа к информационным активам (конфиденциальной информации).

    Как тестировать? Откуда? Куда проникать? Какие сведения получить? Какие ограничения? – всё это детали, которые заранее оговариваются.

    Со стороны кажется, что работенка легкая и высокооплачиваемая, плюс еще и рынок не насыщен специалистами, поэтому и формируется тренд, что многие школьники хотят стать «кул-хацкерами», сидя дома на диване и нажимая пару клавиш, взламывать ИТ-гигантов. Но так ли всё просто?

    Жизненный опыт

    Пентестер – это не просто тестировщик, лучше сюда не идти со школьной скамьи, не обладая опытом работы в качестве сотрудника обычной компании или компании вендора.

    Вы должны пройти школу жизни, примеры:

    • объяснить бухгалтеру, что принтер не работает, потому что провод не подключен к компьютеру;
    • объяснить финансовому директору в компании, что писать пароль на стикере у компьютера очень плохо;
    • установить на компьютер с 256Мб оперативной памяти программное обеспечение с минимальными требованиями на 4Gb;
    • настроить корпоративную сетку на домашних роутерах так, чтобы всё летало;
    • ждать согласования получения доступа к простой информационной системе пару месяцев;
    • разработать политику информационной безопасности за пару дней, скачав «рыбу» с интернета;
    • попросить бога, чтобы программа скомпилировалась и, ничего не изменив в коде, получить успех;
    • сделать работу быстрее запланированного в 2 раза, а вместо премии получить еще больше работы;
    • и т.д.

    Найти одну «дырку» в многотысячной компании обычно не составляет труда, но не имея жизненного опыта, будет трудно полноценно анализировать и взламывать другие системы, не понимая:

    • Как это было построено? (качественно, либо под веществами)
    • Почему именно так? (лень, бюджет, условия, кадры)
    • Что мог упустить разработчик/архитектор/сетевик?
    • Почему ни на ком не лежит ответственность за взлом системы? (а такое бывает)
    • Почему никто не хочет устранять вашу суперважную найденную уязвимость? (и такое бывает)
    • Почему критичную уязвимость не могут устранить за пару часов? (может, у людей просто закончился рабочий день и за переработки никто не платит)
    • Насколько легко устранить обнаруженную уязвимость? (может, там поддержка на просроченном аутсорсинге)
    • И т.д.

    Требования к пентестеру

    Требования к такому специалисту, конечно, отличаются от требований к космонавту, здесь физически выносливым быть не обязательно, можно вообще с дивана долго не вставать, но свои нюансы есть.

    Вот примерные должностные обязанности:

    • Проведение тестов на проникновение (pentest):
      • внешнее и внутреннее тестирование на проникновение;
      • анализ защищенности веб-приложений;
      • анализ защищенности беспроводных сетей;
      • тестирование на проникновение с использованием методов социотехнической инженерии;
      • Наличие высшего технического образования в области ИБ.
      • Знания по администрированию *nix и Windows-систем, web-серверов.
      • Знание сетевых протоколов (TCP/IP), защитных технологий (802.1x), а также основных уязвимостей сетевых протоколов (arp-spoofing, ntlm-relay).
      • Знание работы веб-протоколов и технологий (http, https, soap, ajax, json, rest. ), а также основных веб-уязвимостей (OWASP Top 10).
      • Знание рынка продуктов ИБ (производители, поставщики, конкуренты, тенденции развития, особенности спроса, потребности и ожидания заказчиков).
      • Понимание технологий защиты информации (WAF, VPN, VLAN, IPS/IDS, DLP, DPI и т.д).
      • Опыт работы с программами nmap, sqlmap, dirb, wireshark, burp suite, Metasploit, Responder, Bloodhound.
      • Опыт работы с ОС Kali Linux.
      • Знание методологий OWASP, PCI-DSS.
      • Опыт разработки на Python, PHP, Ruby, bash, Powershell, Java, C, Assembly.
      • Понимание основ reverse engineering.
      • Знание английского языка не ниже уровня Intermediate.
      • Знание китайского (скоро ждите).
      • Опыт реверс-инжиниринга и анализа вредоносного кода.
      • Опыт эксплуатации бинарных уязвимостей.
      • Наличие профессиональных сертификатов CEH, OSCP, OSCE и т.п.
      • Участие в профессиональных соревнованиях (CTF, hackathon, олимпиадах).
      • Участие в программах Bug Bounty.
      • Наличие своих CVE.
      • Выступление на профессиональных конференциях.

      Технический гений-социофоб в данном случае мало кого интересует, обычно здесь требуется коммуникабельный человек, умеющий:

      • объяснить заказчику, что тот на самом деле хочет и как это будет выглядеть;
      • грамотно изложить и защитить свои действия и рекомендации в письменной и устной форме;
      • в случае успеха создать «вау-эффект»;
      • в случае неуспеха создать «вау-эффект» (минусы пентеста – это плюсы ИБ);
      • быть стрессоустойчивым (бывает жарко, особенно при скрытых работах);
      • решать поставленные задачи в срок даже при перекрестных проектах.
      • быть в тренде (о, да, быть в тренде – это «ноша» всех ИТ-специалистов):
        • [Нельзя после работы просто так взять и не думать о работе].
        • Нужно постоянно развиваться.
        • Читать чатики в телеграмме, читать зарубежные блоги, читать новости, отслеживать Twitter, читать Habr, смотреть отчеты.
        • Изучать новые инструменты, отслеживать изменения в репозиториях.
        • Посещать конференции, выступать самому, писать статьи.
        • Обучать новых сотрудников.
        • Сертифицироваться.

        Философия пентеста

        Не нужно думать, что пентест покажет все проблемы, что полученный результат будет объективной оценкой вашей ИБ в компании (продукта).

        Пентест всего лишь показывает, какого результата команда конкретных специалистов в заданных условиях (время, место, модель злоумышленника, компетенции, разрешенные действия, законодательные ограничения, приоритеты, фаза Луны) может достичь, имитируя работу злоумышленника.

        Помните: пентестеры – это не реальные злоумышленники, которые могут комбинировать кражу, взлом, шантаж, подкуп сотрудников, подделку документов, своё влияние и другие общечеловеческие факторы, здесь всё согласуется по 100 раз, нагрузка контролируется и все в курсе.

        Пентест — это еще и удача. Сегодня ты успел извлечь пароль администратора из оперативной памяти и поднялся до администратора домена на всю корпоративную сеть, а завтра его уже там нет, и в отчет пойдет только непривилегированный (простой) доступ на каком-то древнем, никому не интересном сервере.

        Отличия от близких направлений

        Помимо «пентестеров», есть еще «редтимеры», «багхантеры», «исследователи», «аудиторы», просто специалисты по ИБ – всё это может быть один человек, а могут быть и разные люди, только частично пересекающиеся по компетенциям. Но попробуем немного «разжевать» эти термины:

        «Аудитор»

        Данному специалисту предоставляются все документы, схемы сети, конфигурации устройств, на основе чего делаются выводы и рекомендации для организации в соответствии с лучшими стандартами и опытом аудитора. За счет открытости сведений он дает наибольшее покрытие по всем процессам ИБ и целостный взгляд на всю инфраструктуру.

        Аудитор редко самостоятельно проверяет каждую настройку в организации, обычно сведения ему предоставляем сам заказчик, порой устаревшие или неверные.

        Необходимо объединять усилия аудиторов и пентестеров для проверки как бумажек с бизнес-процессами, так и их реализации на практике.

        «Исследователь»

        Пентестер в чистом виде – это не исследователь, у него просто нет на это время. Под исследователем я подразумеваю специалиста, который может поднять стенд, развернуть определенное программное обеспечение и исследовать только его вдоль и поперек несколько недель, а то и месяцев.

        А теперь представьте, вы нанимаете специалиста для тестирования вашей корпоративной инфраструктуры, а он весь срок сидел и исследовал ПО «для отправки валентинок», установленное на компе одного из сотрудников. Даже в случае успеха вам его результаты работы не сильно интересны.

        «Редтимер»

        Редтим – это совершенно другая философия тестирования. Подходит для компаний со зрелой ИБ, у которых уже проводились аудиты и пентесты, плюс все недостатки были устранены.

        Здесь наиболее приближённо к реальному злоумышленнику, и уже под проверку попадает служба ИБ организации и смежные с ней (SOC . ).

        Отличия от пентеста:

        • О проведении работ знает только несколько человек, остальные будут в реальном времени штатно реагировать на атаки.
        • Работы проводятся скрытно – можно атаковать с облачных хостеров в ночное время.
        • Покрытие тестами делать не нужно – можно идти по пути наименьшего сопротивления и найти пароль на github.com.
        • Более широкий диапазон воздействия – можно применять 0day, закрепляться в системе.
        • Работы проводятся длительный период (несколько месяцев, год), не требуют спешки – как раз здесь и можно позволить себе исследования инфраструктуры заказчика на поднятых у себя стендах для минимизации срабатывания защитных средств.

        «Багхантер»

        Сравнивать багхантера с пентестером некорректно – это как теплое с мягким, одно другому не мешает. Но для разделения могу сказать, что пентестер – это больше должность, работа подразумевает целый ряд формальных задач по договору с заказчиком по заявленной методологии и с формированием рекомендаций.

        Багхантеру достаточно найти дыру у кого-угодно (обычно из списка на площадке) и выслать доказательство наличия ошибки (предварительные условия, шаги).

        Еще раз, никаких предварительных договоров, никаких согласований – просто нашел уязвимость и отправил заказчику через площадку (примером площадки может служить cайт www.hackerone.com). Можно даже посмотреть, как только что Петя это сделал в организации «А», и повторить тут же в организации «B». Конкуренция тут высокая, и «низко висящие фрукты» попадаются всё реже. Лучше рассматривать как вид дополнительного заработка для пентестера.

        Специфика пентеста от компании-интегратора

        Данный раздел может показаться рекламным, но от фактов не уйдешь.

        Каждый пентест по-своему уникален (хотя методика и может быть шаблонной). Уникальным его делает множество факторов, но в основном это люди, команда специалистов, на стиль которых непременно влияет компания, где они работают.

        Так, например, одной компании важен только сам пентест, его результаты, они делают деньги только на этом. Вторая компания хочет создать конкретные недостатки во время пентеста, чтобы продать своё защитное решение. Третья делает акцент больше на нарушенных бизнес-процессах для поднятия целого пласта проблем и предложения мер по их решению.

        Работая в компании-интеграторе, расскажу об особенностях наших пентестов для внешних заказчиков. Специфика заключается в том, что:

        • Мы не заинтересованы провести пентест ради пентеста и растягивать его на несколько месяцев.
        • Работы проводятся в минимально необходимые сроки, и результаты нацелены на выявление реальной картины информационной безопасности заказчика.
        • Необходимо подсветить проблемные бизнес-процессы ИБ за счет тестирования ключевых точек инфраструктуры. Так, если на 20 из 20 компьютеров обнаружена устаревшая операционная система, то какой смысл демонстрировать еще 200? Полное покрытие часто не требуется, да и кто его вообще может гарантировать?
        • По результатам пентеста компания сразу может предложить провести аудит, выстроить бизнес-процессы, предложить защитные меры, внедрить их, сопровождать и мониторить. В России не так много компаний может похвастаться таким набором возможностей. Это удобно, когда весь пакет услуг может предоставить одна компания, имеющая огромный опыт в подобных проектах.

        Трудовые будни

        Представим, что вы уже работаете пентестером. Как будут выглядеть ваши трудовые будни?

        С понедельника по пятницу вы проводите «внешний пентест» Заказчика1 на пару с коллегой. Работы ведутся на основе личного опыта и по международным методикам, с учетом специфики заказчика. Вы запускаете сканеры, составляете карту, сверяетесь с чек-листами, переписываетесь с коллегой об обнаруженных уязвимостях.

        Параллельно другая команда начинает обзванивать сотрудников заказчика, представляясь службой безопасности, рассылать грозные письма с вредоносными вложениями, кто-то даже выезжает раскидать флешки и расклеить плакаты на территории заказчика.

        Это не соревнования, тут не всегда находятся интересные уязвимости, не всегда люди сообщают пароли по телефону и не всегда защитные средства настроены «дыряво», поэтому в отчет может пойти только перечень проведенных работ, но вы не волнуетесь, ведь каждый пентест учит вас чему-то новому и демонстрирует интересные человеческие факторы.

        Пару раз у заказчика после фаззинга входных данных деградирует работоспособность сервисов, и работы приостанавливаются. После корректировок ограничений они продолжаются. Всё в норме. Пишете отчет.

        Дальше вас распределяют на «внутренний пентест» Заказчика2 с командировкой в город N, кому-то из ваших коллег достается тестирование мобильного приложения. По приезду вас провожают в отдельный кабинет, предоставляют рабочее место. Вы спокойно подключаете сетевой кабель в ноутбук и проводите «внутренний пентест», согласно заявленному договору. Возможно, вы захватываете контроллер домена через 3 часа после начала работ через ms17-010 и остальные дни коллекционируете другие векторы. Возможно, вы всю неделю пытаетесь «играть» с «делегированием полномочий Kerberos» на паре полученных учетных записей. К вам непременно подходят сотрудники ИБ и спрашивают, что нашли. Уже через 15 минут вы ожидаете вопрос: «Ну что? Удалось что-то взломать?», хотя nmap даже «не прогрелся». В любом случае вам обычно есть чем удивить безопасников, и даже с учетной записью из принтера вы можете забрать бэкапы Exchange-сервера. Дальше отчеты, рассказы «о великом путешествии» коллегам, удивление заказчика, много рекомендаций и еще больше уточнений, но в итоге компания действительно начинает понимать, что безопасность – это процесс, а не разовые меры, и вам от проделанной работы становится приятно.

        Дальше вас распределяют на red team, вы едете с коллегой в машине, паркуетесь рядом с банком. Запускаете атаку на Wi-Fi с помощью ноутбука и специальной антенны. Вы не ГРУ, у вас нет корочки, можно реально «отхватить по шапке» от непредупрежденных охранников, поэтому антенна скрыта, и у вас есть легенда, что вы ожидаете друзей.

        Но вот wifi-handshake корпоративного Wi-Fi получен, и ваши коллеги в офисе уже сбрутили его и зашли через интернет в почтовый ящик топ-менеджера. Это успех. Дальше сбор информации, отчеты, презентации.

        Далее в будни вы пишете скрипты для оптимизации части вашей работы. Читаете новости и тестируете новые техники на стенде. Параллельно старые заказчики присылают вам вопросы по работам месячной давности.

        Несколько часов в субботу (переработки оплачиваются) запланировано нагрузочное тестирование у заказчика, вы «роняете» сайт через 10 минут после начала, и угадайте, что? Пишете отчет о результатах.

        Скоро будет интересный вам пентест АСУ ТП и поездка на конференцию по ИБ за счет компании. Вы роняете слезу счастья и вставляете кавычку в новую веб-форму.

        В завершение

        Тема пентестов уже не нова, о ней писали много и по-разному (можно почитать тут и тут),
        в вузах появляются соответствующие дисциплины, устраиваются соревнования, проводятся различные конференции, но кадровый «голод» с каждым годом увеличивается. Помимо этого, зрелость информационной безопасности многих компаний растет, появляется всё больше средств защиты информации, от специалистов требуется высокая и разносторонняя компетенция. Каждому специалисту ИТ (не говоря уже о специалистах ИБ) будет полезным хоть раз поучаствовать в реальном пентесте.

        И несмотря на зачатки автоматизации (пример тут), вряд ли что-то заменит живого компетентного человека в ближайший десяток лет.

        Читайте также: