Кем стать: команда HAPI — о работе экспертов по кибербезопасности

Криптовалютная индустрия практически ежедневно сталкивается с различными инцидентами, из-за которых злоумышленники получают не только конфиденциальные данные, но и средства пользователей. Защитой торговых платформ и сохранностью активов, а также отслеживанием уже похищенных монет занимаются эксперты по кибербезопасности. 

В свежем материале для рубрики «Кем стать» ForkLog поговорил о специфике этичного хакинга и самых крутых хакатонах в индустрии с сотрудниками украинской аналитической компании HAPI: COO Евгением Пшеничкиным, CCO Марком Лецюком и CTO департамента HAPI Labs Денисом.

ForkLog: Денис, в вашей команде ты единственный безопасник со стажем и опытом работы вне крипторынка. Расскажи, как ты попал в сферу кибербезопасности? 

Денис: Эту специальность я выбрал случайным образом. Все началось с момента, когда я увидел компьютер на работе у бабушки. Первый личный ПК — ZX Spectrum — появился у меня в 8-9 классе, я пытался программировать на Basic. 

Когда пришло время поступать в вуз, действовал по ситуации: все шли на программирование, а я выбрал защиту информации, но ни капли не пожалел. Потому что теперь я и программер, и сисадмин, и швец, и жнец.

Свой профессиональный путь я начинал в 2004 году с поступлением в Харьковский национальный университет радиоэлектроники на специальность «Защита информации с ограниченным доступом и автоматизация ее обработки». Когда я называю тему своего диплома, все пугаются: «Использование новых методов скалярного умножения при реализации электронно-цифровой подписи ECDSA».

В 2009 окончил вуз. Первое место работы — Лисичанский нефтеперерабатывающий завод, я был специалистом второй категории в отделе защиты информации и отвечал за безопасность внутренней сети. Там я проработал четыре года.

Потом пришел в сеть заправок Glusco на должность директора департамента информационных технологий, но в принципе вся защита информации тоже была на мне. А потом Юра предложил попробовать себя в крипте. Так в 2021 году я оказался в HAPI.

ForkLog: Какие специалисты востребованы в отрасли?

Денис: Кибербезопасность — очень широкий профиль. Востребованы все, начиная от адекватных системных администраторов сетей и заканчивая тестировщиками программного обеспечения. 

Евгений: Пентестеры, аудиторы программного кода и IT-инфраструктуры, специалисты в криптографии.

ForkLog: Какие новые специальности появились в кибербезе на стыке со сферой блокчейна и криптовалют?

Марк: В первую очередь, это аудиторы смарт-контрактов, ончейн-аналитики и расследователи. Последние оперативно реагируют на инцидент и стараются минимизировать убытки пострадавших от взлома проектов и пользователей, связываясь с биржами и коллегами из других кибербез-компаний, а также взаимодействуя с киберполицией и подобными органами в других юрисдикциях.

Евгений: Сюда же отнесем автоматизированные специальности — трейсеров, которые разматывают цепочки транзакций.

ForkLog: Насколько востребованы специалисты в сфере кибербеза? Каков порог вхождения?

Денис: Отучиться было непросто — из 90 человек, которые попали со мной на первый курс, выпустились только 30. Как и в любой профессии, без опыта на первую работу попасть тяжело. 

Евгений: Мы в HAPI проводили эксперимент: взяли троих студентов по специальности «Защита информации» из НАУ, чтобы они у нас вышли хотя бы на middle-уровень. С двумя по разным причинам пришлось попрощаться, но один парень остался. Он перешел в сферу тестирования и сейчас проявляет интерес к аудиту смарт-контрактов.

Я не считаю, что в этот рынок могут войти только узкие специалисты. Люди, обучавшиеся в сфере информационных технологий и по связанным отраслям, могут спокойно пробовать себя в этой специальности. Главное — желание обучаться, слушать и слышать. 

Марк: При этом соискатель должности в криптовалютной ИБ-компании должен хотя бы базово понимать, как работают блокчейн и криптовалюта и какие приоритеты в отрасли. Даже опытному специалисту без этих знаний в профильной команде будет сложно.

ForkLog: Какие навыки и компетенции требуются от новичка?

Марк: Познания в области безопасности в целом и криптографии в частности. Для участия в разработке софта обязательно программирование. Приветствуется математический склад ума и аналитическое мышление. Поскольку в криптовалюте быстро меняются нарративы и тренды, придется постоянно учиться новому.

Евгений: По сути, блокчейн — это Big Data, поэтому отличным навыком будет умение работать с большими объемами информации, правильно интерпретировать ее и проверять.

Денис: Еще нужно иметь немножко лени, чтобы уметь создавать скрипты для автоматизации рабочих процессов.

ForkLog: Должен ли соискатель обладать опытом в белом хакинге?

Марк: Один из эдвайзеров HAPI, с которым начиналась история компании, — белый хакер. Он до сих пор сохраняет анонимность и многие из команды его лично не знают. Хотя человек уже отошел от дел и наша команда полностью публична, мы все равно получаем от него ряд нарративов. 

Евгений: С этого HAPI и начиналась. Был объявлен хакатон по безопасности, и этот белый хакер его выиграл. Этичный хакинг — одна из составляющих хорошего специалиста по кибербезопасности. Чтобы с кем-то бороться, нужно понимать, как он мыслит.

ForkLog: Какие курсы можете посоветовать для вхождения в профессию и повышения квалификации? 

Денис: Одна из самых классных и при этом самых тяжелых сертификаций — Offensive Security Certified Professional. Месяц занимает обучение: тебе предоставляют учебник на 800 страниц, видеоматериалы и лабораторию с несколькими подсетями и множеством разнообразных машин. В течение месяца их нужно ломать, набивать себе очки, чтобы получить доступ к экзаменации. 

На сам экзамен отводится ровно 48 часов, этим временем ты распоряжаешься самостоятельно. Дается пять машин, из них нужно взломать как минимум три, подготовить отчет и после этого получить сертификат. 

Есть простые курсы, но без сертификатов, типа Hack the bot.

Марк: Тренинг по повышению квалификации Cybrary. Также есть серия лекций на Coursera по этичному хакингу. В сфере криптовалют курсы проводит, в частности, Chainalysis на базе собственного терминала и баз данных. Там тоже по итогам выдается сертификат.

Евгений: Также существуют классические сертификаты от Cisco и Microsoft, но они более узконаправленные.

ForkLog: Из чего состоят тестовые задания для соискателей в HAPI?

Марк: Есть задачи по анализу уязвимости или по тестированию, были задания для расследователей, чтобы распутать инцидент средней сложности. 

Евгений: Мы также просили написать простейший смарт-контракт токена, закинуть его на тестовую версию DEX, а потом сделать его rug pull или провести схему Pump & Dump. 

Для нас важно, чтобы специалист не просто раскрутил адрес в блокчейне, безликий набор символов. Он должен установить, кому этот адрес принадлежит, с какой платформой ассоциируется, в каких инцидентах замечен. На основании того, как глубоко соискатель погружается в эту работу, мы оцениваем его исследовательские навыки и ассоциативное мышление — способен ли он понять логику работы мошенников и моделировать взломы.

ForkLog: Какова средняя зарплата специалиста в этой сфере?

Евгений: Новичок, который пытается себя попробовать в профессии, со старта может спокойно рассчитывать минимум на $500. Лично я через одно рукопожатие знаю людей, которые в сфере кибербезопасности могут зарабатывать и больше $100 000 в месяц. Как правило, это работа на крупные корпорации, где эта тема очень важна. Там зарплаты действительно могут выходить на заоблачные величины. 

В среднем в Украине при стандартной модели ценообразования, когда аудитор на потоке проводит анализ смарт-контрактов, его доход напрямую зависит от количества проделанной работы. У расследователей и ончейн-аналитиков в Восточной Европе средняя зарплата $3000–6000

Марк: По рынку США самые большие зарплаты раза в три выше. Например, Chainalysis платит своим аналитикам в агломерации Нью-Йорка $15 000 в месяц и более. И это не топы, не лиды, а обычные рядовые сотрудники. Точно такая же зарплата может быть в агломерации Сан-Франциско.

В условном Сиэтле, Чикаго, Остине или Майами $12 000 — потолок для специалиста средней руки. 

ForkLog: Знакомы ли вам случаи, когда киберпреступники переходили в сферу кибербезопасности?

Евгений: Это очень тонкая тема. Мы часто встречаем информацию, когда хакер взламывает биржу или мост, но использует это не для обогащения, а чтобы обратить внимание разработчиков на уязвимость в коде или инфраструктуре. 

Марк: Да, это классическая история белых хакеров. С другой стороны, если протокол не выставлял никаких программ Bug Bounty, то человек изначально идет на преступный шаг, а потом уже договаривается на возврат большей части суммы в обмен на прекращение преследования. 

Часто после кражи активов хакер просто не может их никуда вывести или обналичить, так как практически сразу его адрес во всех AML-сервисах помечается как высокорисковый. Единственный выход — миксер, но и оттуда деньги выходят не совсем чистыми. Поэтому потратить их сложно, даже если в ходе взлома он себя никак не выдал. 

Как пример, история Ильи Лихтенштейна и Хезер Морган, которые взломали биржу Bitfinex еще в 2016 году. Долгие годы злоумышленники скрывались, но как только биткоины двинулись с их кошельков, они оказались как на ладони.

Чаще всего взломы происходят в сетях биткоина и эфира, потому что там больше всего ликвидности. При этом их блокчейны асолютно прозрачны и легко парсятся. Поэтому нередки случаи, когда взломщики пытаются договориться с командой протокола.

Или противоположная история Авраама Айзенберга, который был известен в публичном пространстве как белый хакер, а позже оказалось, что он взломал DeFi-платформу Mango Markets посредством манипулирования ценой оракула. Сейчас он под следствием в США. 

ForkLog: Практикует ли ваша компания Bug Bounty? Насколько эта программа популярна у крупных технологических компаний?

Марк: У HAPI нет Bug Bounty в классическом понимании. Но есть платформа Scamfari, с помощью которой любой человек может зарепортить инцидент или кейс, связанный со злоумышленниками в сфере блокчейна и криптовалют.

Сейчас мы обсуждаем возможность выплаты вознаграждений тем пользователям, которые оперативно сообщают нам об эксклюзивном хаке или эксплойте, о котором еще не известно команде взломанного протокола. Такой механизм позволил бы нам работать на опережение.

Помимо этого есть квесты по поиску багов и уязвимостей от Layer3, Linea Voyage и другие. HAPI в качестве инфстрастурктурного партнера принимала участие в подобном тестировании L2-протокола Linea от ConsenSys и L2-протокола Aurora, использующего блокчейн NEAR и EVM. 

Сейчас многие платформы заманивают людей ретродропами, чтобы они использовали их продукт на новом блокчейне. Наплыв пользователей многократно повышает нагрузку на сеть и делает очевидными имеющиеся баги. За это пользователи потом получают дропы, которые соизмеримы хорошим выплатам за Bug Bounty. 

ForkLog: Принимали ли сотрудники HAPI участие в каких-либо профильных хакатонах?

Марк: Мы уже упоминали хакатон 2021 года от Hacken и зарубежных партнеров, когда наш сотрудник взломал сайт ивента. Потом мы же помогали его восстанавливать. Тогда HAPI получила гран-при и началось долгое сотрудничество с Hacken. 

Когда наша компания стала большой и более известной, мы для повышения квалификации участвовали в хакатонах от Solana, NEAR, Not Another Virtual Hackathon (NAVH) от ConsenSys и Kyiv Tech Summit 2022, который посещал Виталик Бутерин. 

Сейчас изредка мы можем отправить на такие мероприятия наших коллег от имени вымышленного проекта, чтобы посмотреть, насколько судьи могут оценить новый неизвестный бренд на рынке. Это также позволяет нам тестировать свежие идеи. 

Евгений: Из-за загрузки часто посещать хакатоны не всегда получается. Сейчас мы рассматриваем их по большей части как hiring-инструмент, чтобы присмотреть потенциально интересных ребят, команды и идеи, которые мы могли бы интегрировать в своих внутренних продуктах.

У HAPI есть идея организовать собственный хакатон в первом квартале 2024 года. 

ForkLog: Какими вы видите перспективы развития специальности эксперта по кибербезопасности?

Марк: Кто владеет информацией — тот владеет миром. Поэтому защита данных, а к тому же в блокчейне, где хранятся еще и активы пользователей, эта тема будет еще долго актуальна. Сейчас ИБ-компании уже растут как грибы, конкуренция огромная. Но спрос на них есть, в первую очередь со стороны проектов, которые взламываются практически каждый день. 

Евгений: Я выскажу непопулярную точку зрения, что в ближайшие пять лет эта сфера будет максимально автоматизироваться и замещаться ИИ. Уже сейчас алгоритмы способны считывать инфу с изображения, расшифровывать и интерпретировать ее. Даже мы на платформе Scamfari переходим на программные модули, которые анализируют поступающую информацию и проверяет ее на достоверность, хотя раньше это делали люди. 

Человеческий фактор сохранится, пока глобальную нейронную сеть нужно будет обучать. 

Марк: Каждому ИИ-алгоритму требуется качественный ментор, поэтому потребность в ончейн-аналитиках будет расти. Я менее скептичен, но я тоже понимаю что все движется в сторону автоматизации. Машины захватят мир, а Сара Коннор уже старая, чтобы его спасать.

Беседовала Лена Джесс.

Ранее в рубрике «Кем стать» мы писали, как найти свою первую работу на криптовалютном рынке, а также поговорили с профессионалами в сфере ончейн-аналитики, блокчейн-юриспруденции, программировании смарт-контрактов и трейдинга.