【FreeBuf字幕组】HackerOne优秀白帽黑客采访:从白帽到安全公司CEO – 作者:willhuang

人物介绍

Michael Gianarakis(@mgianarakis),澳大利亚安全公司Assetnote CEO,2007年毕业于澳大利亚昆士兰科技大学,历任德勤 (Deloitte)安全弹性高级分析师、Securus Global项目经理、Trustwave实验室Spiderlabs亚太区总监,拥有WEB渗透测试专家Certified Web Application Penetration Tester(GWAPT)和信息系统审计专家Certified Information Systems Auditor认证。

Michael早期专注于Web应用安全研究,曾帮助各种行业和平台解决了许多安全问题,近年来他把兴趣放到了移动安全领域,并在DEF CON、Hack in the Box 、YOW! 、Hotcon、Rootco、Black Hat等多个安全会议上有过演讲分享。 Michael还是澳大利亚本地安全社区SecTalks的创始人。Michael经常带领Assetnote公司团队参加HackerOne的各种线下漏洞众测比赛,一直都有优秀的漏洞发现。

观看视频

采访实录

“你当时是如何接触到安全技术的?”

我一直对计算机专业相关的东西比较感兴趣。真正从事安全行业的早期起步是大学毕业后,从渗透测试工程师做起的,而且干了好长时间,只是没有参与漏洞众测,直到我在Assetnote公司遇到了我的合伙人,是他慢慢的让我入行了漏洞众测。现在作为CEO,每天面对更多的是表格邮件等管理层的繁琐事宜,所以,参与漏洞众测成为了我学习技术和另外的一种放松方式,与全职工作不同的是,这只需要你带着兴趣参与测试,变换角度看待问题,保持技术敏感性。

“发现漏洞时是什么感受?”

可以从两方面来描述,如果你花时间去测试某个目标,但一直都徒劳无获 虽然你感觉其中会有问题,但就是没啥发现,这也是一种奇妙的感受。但如果你以不同寻常的方式,从中发现了一些漏洞,让人惊讶,虽然简单,但漏洞危害却很大,只是你无意间的发现,这又是另外一种奇妙的感受。这就有点像从感觉上来说,你认为目标是有漏洞的,经过不懈努力和反复测试,终有所获愿望成真,所以这是一种努力过后,有成就感的事,就像在这种线下漏洞测试比赛中,我们看到别人能大有发现,自己也能感同身受,因为好的漏洞发现,都是让人难掩兴奋之情的。

“你理解的黑客精神是什么?” 

黑客就是以创新或非凡的角度,去看待问题并解决问题的人,我理解的黑客精神,更多的是一种心态层面的,而不仅是技术层面的,这种精神是一种看待事物,面对事物的态度,就像我比较喜欢参与这种线下比赛一样,目的在于可以看到别人,去看待问题发现漏洞的方式方法,以及他们如何入手测试目标系统,所以从别人的想法和技术中,就能学习到很多东西,这是我非常看重的,而且也是区分优秀漏洞测试者和普通测试者的途径,所以我理解的黑客精神更多是一种心态层面的。

“你选择通过HackerOne参与漏洞测试的原因?”  

我喜欢在HackerOne上参与测试,它的项目多样且非常有意思,确实是一个优秀的第三方平台,对我们白帽非常友好且帮助很多。就比如上一场比赛中,我与HackerOne的一位员工有过一次谈话,我说我对移动安全非常有兴趣,他就给我了一些非常中肯的方向性建议,所以HackerOne员工很好,平台很好,项目很棒,这是其优秀所在。

“有需要感谢的人吗?”   

当然得感谢此次比赛的邀请方hackerone,以及承办方Uber,还有我们澳洲的Assetnote公司团队,和他们一起组团参赛非常有意思,我自己也从中收获很多。

“你觉得HackerOne的线下赛有何变化?”    

HackerOne的线下赛已逐渐发展成为更加专注于支持白帽群体去发现好漏洞,并从中体现重要价值的一种模式了,总体来说线下赛的合作性,确实能起到一种持续促进作用,并且也乐趣多多,反正我每次参赛的感受就是,一次比一次好整体都在不断优化,让我们来测试漏洞的同时,也能感受到很多乐趣,比如其中加入的一些社交活动,就很特别比上一次好多了 还有其中举办的,各种形式多样的派对。观光旅游,等其它大家可以一起交流的活动都是非常有意思有意义的。

“你收到值得珍藏的漏洞奖励物是什么?”    

每次参赛,都会获得一些T恤衫还有连帽衫,但都风格各异,要说喜欢的奖励物有点不好说,不过我真的喜欢T恤衫的,经常穿都不用买新的了,都是参赛获得的。非常好看好穿,设计款式和风格,也很时尚前卫,确实很帅气,所以我很喜欢穿。

“用漏洞赏金购买过什么好物?”     

当然是对Assetnote公司的运营管理了,可以这么理解,我们利用获得赏金的宣传来让Assetnote公司让更多人知晓,因为Assetnote公司想要突破就需要和很多有能力的公司竞争,而这其中获得赏金的技术就是一项重要展现指标。我们不断的去收获赏金就是一种很好的证明,如果我们能持续有更多新的漏洞发现,这就是我们的一个副产品,既能赚取漏洞赏金,又能为公司宣传起到导向作用。

“对新手白帽有什么建议?”     

想到就去动手做。这一块现如今有很多现成的网络资源,像我当时入门的时候根本不像现在,那会还没有漏洞众测的说法,网络也不像现在这么发达,现在网上有现成教程,各种技术分享,所以大家只需要去随便找到学习就好,并且就是现在参与漏洞众测完全是合法行为,遵守规则和测试范围,保持动力就好,而且还能测试到各种各样形式各异的全球各地目标,会大有收获。另外一点就是白帽社区非常强大,要积极融入参与,特别是漏洞众测领域相关的,反正我在其中接触到的每个人都非常乐于分享,乐于助人,只要你参与其中总能有所收获和感受。像我就参与了一些社区活动可以和大家一起协作讨论,学习一些新的知识技术。所以,立马动手,不要闭门造车,多与人交流讨论,也要多分享。

*本课程翻译自Youtube精选系列教程,喜欢的点一波关注(每周更新)!

来源:freebuf.com 2020-07-21 17:20:42 by: willhuang

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论