Interview mit Bukhanter Artyom Moskau. Er hackte Steam und erhielt die größte Auszeichnung in der Geschichte von Valve



    Artem Moskovsky ist ein Baghunter, ein Pentester und ein Sicherheitsbeamter, der sofort die beschämende Frage stellen will: "Wie viel verdienen Sie?" .

    Wir korrespondierten mehrere Tage miteinander, und Artem erzählte, wie er angefangen hat, sich selbstständig zu machen, welche Fähigkeiten dazu erforderlich sind und ob er mit so viel Talent auf die dunkle Seite zieht.



    Im Jahr 2006, als ich neun Jahre alt war, hatte ich meinen ersten PC und beschloss unwissentlich, dass ich die IT abliefere. Bis zur 10. Klasse konzentrierte man sich auf die Programmierung. Als dann die ersten Erfolge in Infosek aufkamen, entschied ich, dass die Sicherheit interessanter ist.

    Es begann mit einem Banal: Es war notwendig, im Clan Jedi Academy eine Site für den Clan zu erstellen. Dann fiel die Wahl auf den guten alten uCoz, aber die Idee, Websites cool zu machen, blieb bestehen. Ich habe mir die Kurse "Spezialist" in PHP angeschaut. Zur gleichen Zeit hielt er sich in Anti-Chat- und anderen thematischen Foren auf und las Artikel über typische Schwachstellen. Es war einfach interessant.

    Die Jahre vergingen, und ich war immer noch auf der Suche nach mir und dies führte mich zu einer Anzeige. Dann habe ich ein großes Werbenetzwerk für die Verkehrsschlichtung verwendet. Nun, wie man es benutzt - die Statistiken wurden leider aktualisiert und vom Mangel an Leads abgeraten. Soweit ich mich erinnere, hat der Blick auf die Datumsparameter in der Anforderung nach Statistiken gefangen. Ein paar grazile Bewegungen mit den Fingern der Hände und ein modales Fenster erscheint im Browserfenster - es war XSS. Ich schrieb in Unterstützung und eine Stunde später zeigte mein Kontostand auf der Website bereits 300 $. Dann in der 10. Klasse, nachdem ich das erste „ernsthafte“ Geld verdient hatte, dachte ich - ja, das ist mein Thema. Mit dieser Motivation habe ich im nächsten Monat zehnmal so viel getan, dass die Websites im Anzeigennetzwerk sicherer wurden.

    Jetzt lebe ich in Odessa, ich studiere an der Polytechnischen Hochschule in Odessa, Spezialgebiet "Informatik". Aber meine Aktivitäten im Internet an der Universität sind es nicht wert, gebunden zu werden. Er hat es nicht besonders beeinflusst. Seit fast drei Jahren arbeite ich als Vollzeit-Pentester. Aber für ein gutes Leben wäre die Jagd ausreichend.

    - Sie haben dann nicht das Dach von seiner kühlen geblasen? Wie Scheißarbeit, Arbeit - ich mache das hier.

    - Es ist nicht kaputt gegangen, aber eine gewisse Verschiebung ist eingetreten. Fühlte mich unabhängig vom System.

    - Warum hast du studiert und gearbeitet? Dies ist ein System und nicht sehr effektiv.

    - Es ist eine Sache, Teil des Systems zu sein, und eine andere Sache, von ihr abhängig zu sein. Uni und Arbeit ist ein einfacher Weg, Gleichgesinnte und Freunde zu finden.

    Ich arbeite vier Tage die Woche Vollzeit. Ich bin nur auf der Suche nach Verletzlichkeit, wenn ich in einer Stimmung bin. Aber wenn Sie für ein Jahr zählen, dann kommt es auf Fehler an, um viel mehr zu verdienen.

    - Schlafen Sie mit Angeboten nach Ihren Geschichten ein?

    Ja, Angebote kommen. Letzterer befand sich in einem guten internationalen Unternehmen in der Position des Application Security Expert.
    Im Jahr 2018 fand Artem Schwachstellen in Steam. Er förderte die SQL-Injektion in der Datenbank auf der Seite für Partner und fand die Möglichkeit, die Schlüssel für jedes Spiel herunterzuladen.

    Details über den Prozess, den er hier schrieb .

    „Für das Spiel Portal 2 wurde eine Datei mit 36.000 Schlüsseln generiert. Wow.
    Nur ein Satz stellte die Anzahl der Tasten fest. Und die Gesamtmenge beträgt im Moment mehr als 430.000. Beim Durchlaufen der Keyid-Werte konnte ein potenzieller Angreifer alle von den Steam-Spielentwicklern generierten Schlüssel herunterladen. “

    „ Nach 5 Stunden wurde die Sicherheitsanfälligkeit behoben, der Status wurde jedoch nach 8 Stunden auf triaged (akzeptiert) gesetzt schwierige 3 Stunden, für die es meinem Gehirn gelang, die Stufen von der Ablehnung bis zur Akzeptanz zu überleben.

    Da die Sicherheitsanfälligkeit nicht als akzeptiert eingestuft wurde, dachte ich, dass die Wende zu meinem Bericht noch nicht erreicht war. Aber der Fehler wurde behoben, was bedeutet, dass er vor mir hätte gemeldet werden können.

    Wenn Sie jetzt das gesamte Geld für Schwachstellen von Valve zählen, erhalten Sie 55 Tausend. Ich denke in etwas zu investieren, habe mich aber noch nicht entschieden.

    „Wie heißt dein Beruf eigentlich?“

    Baghunting. Es gibt Probleme, wenn Sie versuchen, Personen, die nicht aus der IT-Abteilung stammen, zu erklären, was Sie tun. Das Wort "Hacker" ist ihnen am nächsten. Ich kann das nicht gerne sagen, denn in meinen Augen haben Schulkinder dieses Wort vulgarisiert, die drohten, Ihren VC zu hacken oder per IP zu berechnen. Daher wird meine übliche Antwort "Nun, wie ein Hacker" von einem unbeholfenen Blick auf den Boden begleitet.

    - Welche Fertigkeiten sind dafür nötig?

    Verstehen, wie Dinge funktionieren. Das Ergebnis des vorherigen Beispiels besteht darin, zu verstehen, welche Schwachstellen in ihren Implementierungen auftreten können. Ich mag es, wenn verschiedene Technologien zum Einsatz kommen müssen. Dies ist sehr cool und verbreitet Ihren Horizont in der Breite. Nach einer Weile tauchen Erfahrung und Intuition auf, und Sie sind bereits in der Lage, die Bedrohungen für die untersuchte Anwendung zu modellieren.

    Ich benutze fast immer Python, weil es leicht und schön ist. Wenn Sie jedoch eine Art Ausgabe im Web benötigen, greife ich zu PHP. Jetzt zum Beispiel einige Aufgaben für die Intelligenz automatisieren. Die Webschnittstelle wird lokal auf PHP ausgeführt - Aufgaben werden ausgegeben und verwaltet, und die Aufgaben selbst werden an Python gesendet, die "Agenten", die auf einigen VDSs gehostet werden.

    Manchmal, wenn ich in Eile und nicht in Sicherheit schreibe, kann ich mir erlauben, die Injektionen in diesem „Produkt“ abzuschrauben, aber dies ist nicht mehr als Selbstgenuss.

    - Wählst du lange ein Ziel?

    Ich liebe es, Schwachstellen in dem zu finden, was ich selbst benutze. Es gibt ein Gefühl der Herausforderung, eine Motivation erscheint. Manchmal weißt du sogar, dass sie dich dafür nicht bezahlen, sie antworten vielleicht nicht einmal, aber es ist einfach interessant.

    Wenn Sie ein öffentliches Programm auf X1 wählen, das seit Jahren für Fehler bezahlt hat, sollten Sie nicht auf XSS im Suchfeld hoffen. Gehen Sie entweder tiefer, wo die Mehrheit nicht reicht, oder denken Sie an einen Vektor, an den die Mehrheit nicht gedacht hat.
    Vor der Geschichte von Valve beschrieb Artem , wie er eine Schwachstelle in einem der Pools für den gemeinsamen Abbau von Kryptowährungen gefunden hatte - genau zu der Zeit, als alle auf die Blockchains und das Bitcoin-Wachstum stießen.

    Er fand einen Weg, um die Zwei-Faktor-Identifikation zu umgehen und jedes Konto in der Anwendung zu erfassen. Für den Bericht erhielt Artem ein Bitcoin - damals $ 18.000 - Es ist wahrscheinlich schmerzhafter, darüber nachzudenken, wie viel es Artem kostet, als die meisten von uns.

    Aktualisiert: Es gab einen Absatz mit einer Geschichte über ein großes und teures Unternehmen. Es musste entfernt werden, da nicht alle großen und teuren Unternehmen dankbar sind, wenn sie auf Schwachstellen aufmerksam machen.

    - Ist es schwer zu versagen?

    Ich würde es nicht als Fehlschläge bezeichnen. Versagen ist, wenn Sie sich ein Ziel setzen: Ich gehe zu Uber und finde RCE, sie zahlen Stomiliens. Meines Erachtens besteht das richtige Ziel darin, die Infrastruktur eines Unternehmens zu verstehen, die Funktionalität einer Webanwendung zu verstehen, wie ihre Teile miteinander interagieren, verschiedene Fälle zu prüfen. Dies ist eine machbare Aufgabe, die in Ihrem Einflussbereich liegt. Das Vorhandensein von Schwachstellen befindet sich bereits außerhalb dieser Zone. Um sich ein solches Ziel zu setzen, müssen Sie sich zunächst selbst verspotten.

    Wenn ich das Gefühl habe, dass ich keine Ahnung habe, wohin ich gehen soll, dann gebe ich mir normalerweise ein paar Tage Zeit, mich abzulenken und mich zu entspannen. Und dann entweder mit neuen Ideen zurückkommen oder zu einem anderen Ziel übergehen. Übrigens lohnt es sich nur, nach Fehlern zu suchen, wenn eine Stimmung vorhanden ist. Sich zu zwingen, ist nicht effektiv. Sowie in allem anderen.

    - Was halten Sie für effektiver, technischer oder sozialer Art?

    Was suchst du? Baghanter werden nicht für soziale Dienstleistungen bezahlt, vielleicht sogar bestraft. Wenden Sie in echten Angriffen beide an.

    - Soll ein guter Biber eine Hacker-Erfahrung haben?

    Nun, wenn die Hacker-Erfahrung nicht 2 Jahre bedingt ist, sondern die Fähigkeit, Injektionen zu drehen und XSS zu finden, dann ja. Gut, denke ich sollte.

    - Ihre Arbeit ist so etwas, wo es sich herausgestellt hat oder nicht. Oder kann es qualitativ und schlecht gemacht werden?

    - Wenn Sie pentest meinen, dann ja, Sie können es qualitativ tun, aber Sie können es nicht. Die Kriterien hängen von der Situation ab: von der Vorlage des Berichts und der Vollständigkeit der Empfehlungen bis zur Anzahl der Schwachstellen und ihrer Schwere.

    - Nehmen Sie Schutzmaßnahmen als Feinde oder als Kollegen wahr?

    - Als Kollegen. Ich selbst betrachte mich als sicher.

    - Fühlen Sie sich den normalen Entwicklern überlegen?

    Entwickler sind anders. Ich fühle mich definitiv denjenigen überlegen, die Benutzereingaben mit einer SQL-Abfrage verketten. Und wenn Sie die ganze Sphäre einnehmen, ist es schwer zu sagen, weil ich irgendwie der Schauspieler in beiden bin.

    Von Zeit zu Zeit denke ich darüber nach, eigene interessante Dienste und Werkzeuge im Bereich der Informationssicherheit zu entwickeln und zu entwickeln. Deshalb befinde ich mich oft im Prozess der „Schöpfung“. Bisher ist alles für mich, aber vielleicht sieht die Welt meine Kreationen.

    Was würde ich tun, wenn die Welt fantastisch werden würde und Sicherheit nicht mehr notwendig ist? Ich würde zwischen Uber und Yandex wählen.

    Aber im Ernst, meine Fähigkeiten reichen aus, um als durchschnittlicher Programmierer zu arbeiten. Im Allgemeinen sehe ich nicht die Schwierigkeit, einen Job in der IT zu finden. Wenn Sie bereits einen bestimmten Horizont haben, vertiefen Sie einfach Ihr Wissen über das, was am interessantesten ist.

    - Wenn Sie jetzt ein Trainingsprogramm für einen Hacker / Baghunter zusammenstellen würden, welche Themen würden es geben?

    Programmierung. Englisch ist alle gültigen Informationen in Englisch. Literatur - Lesen von Berichten aus X1. Anonymität Körperkultur - im Falle von Patena wenn schlecht mit Anonymität. Das Recht - wenn es mit der Körperkultur schlecht ist.

    - Ich habe gesehen, in den Kommentaren wurden Sie gefragt, warum Sie nicht zur dunklen Seite gehen. Wenn Sie es nicht auslachen, warum nicht?

    Ruhiger Schlaf und innere Harmonie sind wichtiger als jedes Geld.

    "Wenn Sie es tun würden, wären Sie ein guter Verbrecher?"

    Ja, ich würde es von den Reichen nehmen und es den Armen geben. Wenn ich jemals in der Hitze erwischt werde, dann habe ich höchstwahrscheinlich einfach den Erfolg des Unternehmens, der keinen offiziellen Fehler hat, schuldlos gemacht und nicht anonym darauf reagiert. Er reagiert schlecht auf Hilfe von außen. Wenn ich ein guter Verbrecher bin, werden Sie nichts davon wissen.

    Jetzt auch beliebt: