USD 64.49 ЕВРО 71.96

Калеб Сима: «Нужно знать. как думают хакеры»

Аналитика

Нужно знать. как думают хакеры

Калеб Сима увлекся информационной безопасностью в 13 лет и начал заниматься ею профессионально в шестнадцать. Можно сказать, что он занимается своим делом большую часть жизни. В 2000 году он создал свою фирму, которая называлась SpyDynamics и занималась исследованием веб-приложений на предмет безопасности. К 2007 году у них было более 150 работников и 1400 клиентов. Компания была настолько успешной, что HP ее заметили и предложили слияние. Так он стал главным технологом HP.

— Удивительно, насколько часто оказывается, что те люди, которые чего-то
добились в жизни, начали увлекаться этим в очень раннем возрасте!

— Да, это главное – когда ты точно знаешь, кем ты хочешь быть и чем
заниматься, ты изучаешь свое дело играючи. Для тебя это хобби, тебе интересно,
поэтому часто ты знаешь о своем предмете больше, чем другие, для которых это
работа. Я делаю это, потому что мне это нравится, для меня это не работа.

Если человек приходит домой после работы, и делает что-то, что ему нравится,
он начинает это делать профессионально. А если вдруг ему еще и предлагают
деньги за это, он становится хорошим профессионалом в своем деле, поскольку
делает это уже весь день.

— Скажите, есть ли перспективы у данного вида услуг в формате «услуга
как сервис»?

— Конечно, есть, более того, компании уже оказывают такие услуги!
Например, у нас есть услуга Security-as-a-Service, мы можем взять на
веб-анализ и сканирование систем клиентов. Многие компании нуждаются в
постоянном сканировании своих приложений, и это очень важно. Веб-приложения
постоянно меняются, и у каждой компании не одно веб-приложение, а сотни, в HP –
тысячи приложений. И все надо протестировать, поэтому возможность сканировать
веб-приложения постоянно очень нужна, а вручную это невозможно делать. Нужно
держать целую базу и контролировать ее. Поэтому мы решили сделать это как
сервис – у нас есть «железо», у нас есть софт, и у нас есть ресурсы, которые
могут постоянно сканировать приложения. Иными словами, вы нам платите, говорите
нам адреса доменов, и мы начинаем сканировать ваши адреса. И мы делаем это
постоянно. Наши приложения позволяют делать это быстро и выдавать результат
заказчику.

— Как российские компании могут воспользоваться вашими
разработками?

— Ну, во-первых, они могут обратиться в HP на предмет покупки программ, цены
очень гибкие в зависимости от нужд компаний. Нужно обратиться в российское
представительство HP, они уже направят вас в нужны отдел, в зависимости от
того, какой софт вам нужен. Это очень просто,

— По-вашему, какие проблемы могут возникнуть у компаний, которые
начинают использовать услугу SaaS  сегодня в России?

— Прежде всего, проблемы одинаковые у всех, не только в России. Сегодня все
компании начинают этим заниматься и испытывают те же проблемы.

И главная проблема это – прозрачность. Вернее, ее отсутствие. Клиент дает
компании информацию, которую та как-то обрабатывает и выдает обратно клиенту.
Как она обрабатывает эту информацию и что она с ней делает вне поля зрения
клиента, не известно.  Вся эта работа скрыта от глаз клиента. Поэтому
возникает вопрос, что вы делаете с моей информацией. Как вы ее храните, не
отдаете ли кому на сторону?

Это вопрос контроля, который ты теряешь, передавая информацию третьим лицам.
Поэтому главный вопрос услуги SaaS – потеря контроля. Это основная проблема, с
которой столкнутся все компании, предлагающие подобные услуги. Все упрется в
доверие клиента. Тут все очень просто в теории, но когда мы переходим к
конкретике и начинаем говорить о конфиденциальной информации, мы сразу
упираемся в нежелание ею делиться.

— Расскажите нам немного о вашем опыте хакера, вы сами это
делали?

— Меня очень часто об этом спрашивают. Я начал этим заниматься в 13 лет. И в
этом возрасте ты, конечно, активно экспериментируешь. И если ты продолжишь этим
заниматься, это может привести тебя к большим проблемам. Но мне очень повезло,
я начал работать над тестированием защиты веб-приложений тоже очень рано – уже
к шестнадцати годам, тогда одна компания попросила меня протестировать их
системы и заплатили мне за это. И когда я впервые получил деньги за такую
работу, я подумал, может, есть другие компании, которые тоже заплатят за это?
То есть, я делал это вполне легально и давал советы по защите. Но как говорят,
чтобы уметь защититься от воров, надо самому быть хорошим вором, чтобы знать,
как они думают. Чтобы защититься от хакеров, надо быть хакером и знать, как у
них устроены мозги. А иначе грош тебе цена, как специалисту по информационной
безопасности веб-приложений.

Мы беседовали с Калебом на конференции «Программные миры HP».

Желающие могут посмотреть фотогалерею конференции
«Программные миры HP
на нашем сайте.

 

 

Беседовал Иван ВЕРЕТЕНОВ