Классный журнал

Ильдар
Хужиахметов

Затык в задачке

Первыми, кому я сообщил о золотой медали на Международной олимпиаде по кибербезопасности, стали подписчики моего канала. Я знал, что многие из них в прямом смысле слова сидели и ждали оглашения результатов, поэтому, как только стало известно, я сразу написал в канал. И уже буквально за первую минуту на меня такая лавина поздравлений налетела, что я немножко даже растерялся. Я решил, что надо обязательно написать директору Ниязу Мансуровичу, поздравить, так сказать. Его реакция была бесценна на самом деле: он ответил «вау!». Просто «вау!», одним сообщением, без контекста. Но «вау» от человека с таким опытом — это очень крутое достижение. А вот мама узнала о победе из родительского чата, потому что тренерский состав быстрее меня сообщил об этом в мессенджере.

Не могу сказать, что победа стала для меня неожиданностью. Второй тур проходил прямо в день награждения, и я уже примерно понимал, на что можно рассчитывать. Перед оглашением я поспрашивал у ребят об их результатах, сравнил баллы других команд с нашими и понял, что если на серебро меня не вызовут, то это будет точно золото. Так и произошло. Еще был гран-при, но до него мне не хватило одной задачи, даже меньше чем одной. Я говорю об этом спокойно, потому что точно знаю, что сделал все от меня зависящее. Я расцениваю это как стимул: значит, есть куда расти, есть над чем еще трудиться. Но в целом это удивительное чувство, когда понимаешь, что то, чем ты занимался, не просто принесло результат, но и настолько высоко оценивается на международном уровне. Конечно, в моей жизни было много различных олимпиад и конкурсов, но все-таки международная арена — это всеобъемлющее событие.
 

А началось все несколько лет назад случайно: об информационной безо-пасности и о соревнованиях в этой сфере я узнал из контекстной рекламы. Мне было лет четырнадцать, я сидел в соцсетях, когда всплыло приглашение принять участие в прикольном соревновании. Я сразу зарегистрировался. Я тогда не решил ни одной задачи, но подумал: «Ну не может же быть такого, что прямо все там нерешаемо!» Я начал исследовать, нашел единомышленников, стал потихоньку развиваться в этом направлении. И уже спустя несколько месяцев поехал на свой первый очный финальный тур. Мой приятель из этой же среды вдохновил меня на поступление в очень крутой физико-математический лицей, я решил: «А почему бы нет?» — и поступил. То есть по факту именно эта маленькая случайность привела меня к очень большим и интересным приключениям в жизни.

Одно время у меня получалось совмещать школьные олимпиады и Bug Bounty, тестирование компаний на безопасность. Мне было шестнадцать, когда я узнал, что крупные российские IT-компании готовы платить белым хакерам за информацию об обнаруженных уязвимостях. Я подумал: «Почему бы их не совместить?» — и разместил свой первый отчет на платформе. За него я получил пятнадцать тысяч рублей. Дальше таких отчетов становилось уже больше, и совсем недавно за критическое событие для одной из компаний нам с товарищем заплатили по миллиону рублей. Деньги серьезные, но и работа серьезная, так как надо довести компанию от нуля до точки, в которой она не будет реализовывать свой бизнес, в которой ее операционная способность будет остановлена. Очень серьезная история, именно поэтому за такие испытания предлагается достаточно хорошее вознаграждение. Сейчас максимум, который мы имеем на рынке за подобную активность, — шестьдесят миллионов рублей. Эта сумма, конечно же, не взята из ниоткуда, она формируется из опыта предыдущих хакеров, которые пытались реализовать его, из общей защищенности компании и других факторов. При этом для успеха не обязательно выполнять задачу целиком — есть пример, когда в компании реализовали кусочек события и за этот фрагмент исследователю назначили выплату. Насколько я помню, с помощью фишинга он получил доступ к рабочей станции сотрудника, и затем его «выкинули» из инфраструктуры. Отчет о проделанных действиях он направил в компанию и получил несколько сотен тысяч рублей.

Когда не удается найти уязвимость, испытываешь двоякое чувство: с одной стороны, приятно от того, что у сервиса проделана реально хорошая работа по обеспечению безопасности. Но с другой — думаешь: если не удалось найти уязвимость, значит, возможно, ты смотришь не туда либо чего-то не замечаешь, — и в этом видишь огромный потенциал для дальнейшей работы. У меня была парочка отчетов, когда я понимал, что не могу увидеть всю картину происходящего, а только ее фрагмент, поэтому в дальнейшем, работал совместно с командой безопасности над тем, чтобы этот фрагмент как-то проявил себя. Или наоборот — но это не так страшно.

За годы увлечения информационной безопасностью я понял, что мой подход к вещам меняется, становится более основательным — этого требует сама отрасль. Дело в том, что кибербезопасность связана с фундаментальными вещами: безопасностью цифровых рубежей страны, безопасностью компаний, личной безопасностью, цифровой гигиеной. Это очень важно для общества, и я это прекрасно понимаю. Были случаи, когда я находил уязвимость в сервисе, которым пользуются миллионы людей. Когда вижу подобное, я понимаю, что такая уязвимость может принести серьезные убытки не только самой компании, но и людям, если попадет в нехорошие руки. Поэтому так называемые белые хакеры, которые помогают находить недочеты в системах, и правда делают очень хорошее и доброе дело. Более того, я знаю случаи, когда ребята находили действительно критические проблемы, но полученное вознаграждение просто направляли на благотворительность. Таким образом, они вдвойне вносили вклад в развитие общества, и это, на мой взгляд, очень хорошо показывает, ради чего на самом деле они этим занимаются. Меня в целом очень вдохновляют люди, которые заботятся о мире.

Вообще, если говорить о кибербезопасности как о профессии, то это, конечно, профиль будущего. Сейчас это не для всех очевидно, но в дальнейшем, с повсеместным развитием информационных систем, распространением искусственного интеллекта и технологий, кибербезопасность будет становиться все более актуальной сферой. Некоторые источники утверждают, что с приходом искусственного интеллекта информационная безопасность будет становиться более ненужной для человечества… Я вот так не считаю! Сейчас появляется отдельный класс исследователей, которые умеют по-своему работать с искусственным интеллектом и находить в нем уязвимости. Ни один ИИ не сможет на сто процентов заменить человека, и в целом, мне кажется, не стоит полностью полагаться на какой-нибудь условный ChatGPT. А зачем? Как минимум человек может сам поразмышлять о некоторых вещах, как максимум, опять-таки если мыслить с точки зрения рисков, — это небезопасно. То, о чем ты консультируешься с ИИ, вдруг может стать всеобщим достоянием, поэтому лучше самостоятельно регулировать этот процесс. Есть такое понятие, как zero trust, нулевое доверие, то есть предоставление информации только для выполнения задачи, — вот это, мне кажется, самый оптимальный вариант взаимодействия с ИИ.

Нахождение уязвимостей в рамках Bug Bounty не особо распространено среди моих сверстников. Гораздо больше ребят увлекаются CTF — это когда разработчик, создавая задание, сразу закладывает путь, проходя по которому участник получает так называемый флаг. В Bug Bounty такого нет. Ты работаешь с реальными системами, которые повсеместно используются. По понятным причинам никто туда ничего специального не закладывает ради того, чтобы в дальнейшем кто-то мог получить какой-то индикатор «решения»; здесь ты мыслишь только рисками. Под конкретный функционал (работа с файлами, сообщениями, фотографиями) существуют и возможные типы уязвимостей. И если ты понимаешь, что неправильная работа определенного компонента может привести к последствиям, это и станет индикатором понимания, что какой-то функционал уязвим. Это два разных принципа работы с системами, и поначалу мне было трудно перестроиться, так как по привычке я искал что-то готовое, но со временем все же научился.

Вообще, это, безусловно, интересно. В какой-то степени то, чем я занимаюсь, — это наука. В кибербезе, как и в любой другой научной сфере, если происходит какой-то затык в задачке, ты не можешь перестать думать об этом — продолжаешь решать эту задачу в своей голове, пока не находишь ответ. И это здорово. Наверное, в идеале надо научиться закрывать компьютер и целиком переключаться на что-то другое, но так не получается. Конечно, я стараюсь отдыхать, концентрироваться на других сферах своей жизни, пытаюсь научиться соблюдать баланс. Если появляется свободное время, я могу написать что-то для читателей, стараюсь поддерживать начинания других ребят, рассказывать о чем-то интересном, о мероприятиях, новостях. Еще мне нравится ходить на баскетбол. Сам пока не пробовал играть, у меня с мячиком всегда не очень хорошо было, но как зритель наблюдаю за этим с удовольствием. Наш татарский баскетбол — игры УНИКСа — действительно хорошо отвлекает от рутины и дает возможность расслабиться.
 

После международной олимпиады мне предлагали стажировку в одном из крупных банков, но я пока решил для себя, что учеба важнее. Сейчас у меня в планах закончить школу — помимо отечественной программы я учусь еще и на международном бакалавриате, — а там видно будет. Насчет поступления я не особо волнуюсь, потому что понимаю, что победы на олимпиадах спокойно дают мне право поступления без вступительных испытаний, и в дальнейшем, уверен, мне будет легче самореализоваться, это всего лишь вопрос времени. Главное — это правильно распорядиться этим временем. Один из моих друзей — и это очень классный факт, которым я горжусь, — в пятнадцать лет попал на стажировку в одну из крупнейших компаний информационной безопасности в России. Человек, который даже не окончил девять классов, уже работает в огромной компании и превосходит многие ожидания. Если подумать, для того чтобы заявить о себе, есть и другие возможности: совсем недавно, например, одна из компаний объявила о создании базы уязвимостей в иностранных сервисах и программном обеспечении. Успешность там — прямой путь к тому, чтобы о тебе начали говорить как о специалисте международного уровня. Так что, на мой взгляд, все осуществимо; главное, чтобы было желание.

Не хочется сейчас говорить о том, какие позиции я буду занимать через пять-десять лет, но то, что через пять-десять лет я буду стараться делать мир лучше, — это бесспорно.   


Опубликовано в журнале  "Русский пионер" №128. Все точки распространения в разделе "Журнальный киоск".