-
June 14th, 2015, 12:38
#1
عضو جدید
مصاحبه با هکر ایرانی : امیر حسین صیرفی ، مدیر گروه امپرور
در اولین مصاحبه از سری مصاحبههای «هکرهای ایرانی» به سراغ ایمان رفتیم.کم پیش میاد کسی iM4n مدیر باسابقه و قدیمی گروه امپرور رو نشناسه.کسی که در پرونده ی کاریش نفوذ به سایت های بزرگ دنیا از جمله MSN،Yahoo و… را دارد.
مصاحبه زیر، حاصل گفتگوی دوستانهای است که گیگانیوز انجام داده است.
چی شد به مسائل امنیتی و به اصطلاح هک علاقمند شده اید ؟ و چند ساله تو این حوضه هستی؟
اتفاقی نبود ،طرف سالهای ۷۸-۷۹ بود که کلاس های شبکه میرفتم از قبل یه چیزایی در مورد نفوذگری در شبکه شنیده بودم ولی هیچ منبع آموزشی براش وجود نداشت حتی اساتید هم فقط اسمشو شنیده بودن و چیزی نمیدونستن ! خیلی با دردسر و سخت توی اینترنت دنبال مطلب میگشتم و سعی میکردم یاد بگیرم , دقیق بخوام بگم رسما از سال ۱۳۸۰ شروع شد.
به عنوان اولین سوال لطفا خودتو معرفی کن هر طور که صلاح میدونی؟
امیرحسین صیرفی هستم حدودا ۳۰ ساله
مدیر تیم Emperor که بیشتر منو به اسم مستعار ایمان یا iM4n میشناسین.
چی شد به مسائل امنیتی و به اصطلاح هک علاقمند شده اید ؟ و چند ساله تو این حوضه هستی؟
اتفاقی نبود ،طرف سالهای ۷۸-۷۹ بود که کلاس های شبکه میرفتم از قبل یه چیزایی در مورد نفوذگری در شبکه شنیده بودم ولی هیچ منبع آموزشی براش وجود نداشت حتی اساتید هم فقط اسمشو شنیده بودن و چیزی نمیدونستن ! خیلی با دردسر و سخت توی اینترنت دنبال مطلب میگشتم و سعی میکردم یاد بگیرم , دقیق بخوام بگم رسما از سال ۱۳۸۰ شروع شد.
میزان تحصیلات دانشگاهی و مدارک تو ضمینه کامپیوتر؟
من دانشگاه نرفتم اما ۶ تا مدرک شبکه و امنیت دارم مثلا MCSE و مدارک تخصصی امنیت
آخرین مدرکی که گرفتم مربوط به مدیریت یکی از محصولات امنیتی شرکت پاندا هست به اسم GateDefender Integra Administration که به جز این آخرین مدرک دریافتی من مال سال ۲۰۰۳ هست.
هنوزم در قالب تیم ورک کار میکنید ؟
کار امنیت جز در حالت Teamwork اصلا معنی نمیده چون هر کسی باید تخصص خودش رو داشته باشه و نمیشه یک نفر در همه ضمینه ها متخصص باشه در کار امنیت همیشه یک تیم وجود داره که تشکیل شده از افرادی با تخصصهای متفاوت.
یه توضیح از فعالیت هایی که در تیم صورت میگیره و تخصص های افراد میدین ؟
من توی چند تیم فعالیت میکنم و فقط دوجا مدیر تیم هستم،توجه داشته باشید میتونم بگم دیگه از واژه هک-هکر و این قبیل اسم ها استفاده نمیکنیم به جاش از واژه PenTest و Pentester استفاده میشه. تیمی که شرح میدم یک تیم شرکتی هست.
هر وقت سفارش کاری رو میگیریم مدیر پروژه که معمولا سعی میکنم خودم نباشم کلیات پروژه رو مورد سنجش قرار میده و طبق اطلاعاتی که به مدیر تیم میده _که معمولا من هستم_ افراد انتخاب میشن به اصطلاح تیم ارنج میشه و بعد از زمان بندی پروژه شروع میشه.
از تخصص ها معمولا دو یا سه نفر متخصص web application security با گرایش های مختلف داریم البته اکثر اعضای تیم آشنایی بالایی با این قسمت دارن چون اکثر پروژه هامون وبی هست.
دو نفر متخصص شبکه مثلا سیسکو کار و یک نفر هم آشنا به تجهیزات سخت افزاری , امنیت شبکه , دو نفر متخصص Application Security و چند برنامه نویس که بیشتر پروژه ای باهاشون همکاری داریم.
فعالیت هامون مختلفه خیلی وقتها برای یک پروژه همه درگیر هستند ولی برای زمانی که پروژه های کوچیک دستمون هست و بقیه افراد توش همکاری ندارن روی مطالب یا چیزای مختلف کار تحقیقاتی انجام میدن
ما بیشتر پروژه های تست نفوذپذیری انجام میدیم در کنارش پروژه های تحقیقاتی زیادی هم در دست اقدام داریم،خودم به شخصه از اولش هم علاقه ای به Defensive Security نداشتم و تا حالا پروژه امن سازی انجام ندادم.
اگه بخوای از بین دیفیس های که انجام شده دوتاشو از بقیه جدا کنی اونا چه سایت های هستن؟
فکر کنم دیفیس سایت Backbox به علت پیچیده بودنش و اینکه مجبور شدم یه روش جدید پیدا کنم برای بایپس سرورش خیلی جالب بود برای خودم که خاطره شد , به غیر از این سایت های معروف زیادی بود مثل چند تا سایت از msn.com و یا یک سری از subdomain های یاهو البته راستشو بخوای چند سالیه که زیاد به دیفیس و این چیزا نمیپردازیم و بیشتر از سایت Zone-h برای آمار گرفتن استفاده میکنیم مثلا وقتی یه پروژه وب سایت میگیریم اونجا میشه چک کرد قبلا دیفیس شده یا نه ! شدن یا نشدنش تاثیر داره توی نحوه انجام پروژه.
مهمترین باگ کشف شده توسط تیم شما چه بوده است؟
توی تیم Emperor ما بیشتر روی وب کار کردیم و میکنیم و اصولا باگ های معمولی رو توی CMS ها پیدا میکنیم ولی از اونجایی که همگی مخالف انتشار باگ و اکسپلویت هستیم چیزی رو گزارش نمیکنیم, فکر کنم آخرین چیزی که ریپورت کرده باشم مربوط به یک CMS نه چندان معروف مربوط به کشور چک باشه به اسم phpRS که خیلی اتفاقی چند مدل باگ توش پیدا و ریپورت کردم.
چه مقدار سود از این فعالیت کسب کردی تا الان؟منظور مادی است!
مدت زیادی نیست که کلا به درآمدزایی افتاده کارمون طی این یکسال اخیر بالای ۱۵ میلیون تومن به صورت انفرادی , کلا بخوام حساب کنم مبلغ خیلی زیادی نمیشه اما با این مبلغ اختلاف زیادی داره. الان هم که کارمند یک شرکت هستم و سر ماه حقوق میگیرم…
به نظره شما اگر این زمان و هزینه را صرف کاری دیگر میکردید الان در شرایط بهتری قرار نداشتید؟
ما برای پول به این کار علاقمند نشدیم همگی کارمون و رشته تحصیلیمون چیزای دیگه ای بود مثلا من کارم واردات مواد پلیمری و صنعتی بود ولی خوب الان وضعیتمون خوبه شکر خدا , جدا نمیدونم اگر یه شاخه دیگه کار میکردم الان وضعیتم چطور بود چون اصلا بهش فکر نکردم.
مهمترین ویژگی ای که یک هکر رو متمایز میکنه از سایر افراد مثل برنامه نویس و.. و بهش یک شخصیت بالا کاری در ضمینه کامپیوتر میده چیه ؟نگرش؟علم؟
یک هکر فقط و فقط طرز فکر و نوع نگاهش به محیط پیرامون فرق داره , یک هکر باید چیزایی رو بینه و درک کنه که مردم عادی نمیتونن درک کنن و یا ساده از کنارش رد میشن! این بحث علمی نیست بیشتر روانشناسیه خیلی علاقمندم یک کتاب در مورد شخصیت و رفتارشناسی هکرها بنویسم اما اصلا وقت نمیکنم چون نیاز به مشاوره با یک روانشناس داره شاید یکم پیرتر شدم حتما این کارو بکنم.
از تیم ها و انجمن های در حال حاضر کدوم رو توصیه میکنید ؟شبگرد که بیشتر پاتوق ما پیرمرداست و انجمن های تخصصی سیمرغ.
سخنی با افرادی که میخواهند وارد این حوضه شوندو از کجا شروع کنند؟
خبرهای بدی براشون دارم چون دنیای امنیت داره کاملا زیر و رو میشه , زمان ما به اندازه الان مطلب آموزشی و فیلم و مقاله و تحقیقات وجود نداشت یعنی وجود داشت اما به گستردگی الان نبود و خلاصه خیلی از موارد رو مجبور بودیم با سعی و خطا یاد بگیریم یا شاید کشف کنیم اما الان به اندازه کافی بابت هر موضوعی مطلب و فیلم و txt هست کافیه زبان انگلیسی و سرچ کردن یاد بگیرن بماند که طبق اصول یاد گرفتن مهمترین چیزیه که باید بگم. الان نسل جدیدی از به اصطلاح هکرها بوجود اومدن که شاید توی ضمینه web application کارشون خوب باشه اما هنوز OSI 7 Layer رو نمیدونن چیه ! این یعنی داشتن یک تخصص خاص بدون داشتن پیش نیاز ها که موقع انجام پروژه یا مثلا موقع استخدام حتما به مشکل میخورن.
و اما خبر بدی که دارم اینه که تولید علم در مورد امنیت داره از حالت Public به Underground تبدیل میشه. مثلا تا چند سال دیگه که web2 جایگزین وب فعلی شد و کلا شبکه ها رو به امن تر شدن رفت روش های قدیمی دیگه به تاریخ میپوندن و اون موقع شما یا تولید کننده دانش امنیت هستی یا اینکه یک مرده به حساب میای , دقیقا باید بگم دیگه حتی یک متن آموزشی پیدا نخواهد شد چون تیم هایی که از الان مثلا روی وب۲ کار میکنن تا حالا چیزی منتشر نکردن و نمیکنن البته هزینه تحقیقات هم به شدت بالاست و انتشار این اطلاعات اصلا به صرفه نیست! پس برای اون دسته از علاقمندانی که تازه وارد این عرصه شدن یا فعالیت دارن باید بگم جهت تولید علم به سمت زیرزمینه !
وضعیت امنیت مملکت تو چه حاله و استقبال مسولین چطور؟
با این چند اتفاق ناگواری که برای ایران افتاده مسئولین بیش از پیش به فکر امنیت افتادن اما هنوز هم به نظرم کافی نیست, روند امن سازی در کشور رو روبه رشد میبینم ولی همیشه نوشدارو پس ار مرگ سهراب بوده تو ایران. قضیه امنیت چیزی نیست که جدی گرفته نشه چون اگر زیر ساخت های یک مملکت رو هدف قرار بده صدمات واقعا جبران ناپذیری در پی داره برای مثال ویروس استاکس نت با اینکه خسارت زیادی به برنامه هسته ای وارد کرد اما میتونست اتفاق خیلی ناگوارتری رو باعث بشه , یا برای مثال نفوذ به وب سایت های سازمان بورس و اوراق بهادار یا حمله به سرورهای شرکت نفت ! باید دید مسئولین برای این قبیل حملات سازمان یافته چه برنامه هایی دارن. استفاده از افراد متخصص میتونه کمک خیلی زیادی بهشون بکنه.
به عنوان سوال آخر هم هر صحبتی که دوست دارید و در سوالات نبوده بفرمایید؟
امنیت سایبری دو بخش داره Offensive و Defensive یعنی تهاجمی و تدافعی , کار کردن در هر دو این ضمینه ها نیازمند سالها مطالعه و کسب تجربه هست و در هر صورت رشته پول سازی هم هست یعنی متخصصین امنیت همه جای دنیا از درآمد های بالایی برخوردار هستن اما میخوام بگم امنیت یک چاقوی دوطرفه هست خیلی خیلی در استفاده از این چاقو باید محتاط بود که خدای نکرده باعث به دردسر افتادن خودتون و عده دیگه ای نشین , خوشبختانه با برخورد های صورت گرفته از نهاد های امنیتی و انتظامی الان وضعیت بهتری رو میبینیم اما همچنان هستند افرادی که بی توجه به عواقب کارشون نسبت به خراب کاری در شبکه ها اقدام میکنن, شاید باورتون نشه اما افراد خیلی باسوادی با این طرز فکر که کسی پیگیر کاراشون نیست دست به کارهای ناجور زدن و الان هم در زندان مدت محکومیتشون رو طی میکنن.
دکمه تشکر فکر کنم کار می کنه
تشکر یادتون نره
ویرایش توسط un3.ir : June 14th, 2015 در ساعت 12:55
-
تعداد تشکر ها ازun3.ir به دلیل پست مفید
-
June 14th, 2015 12:38
# ADS
-
June 14th, 2015, 12:48
#2
عضو انجمن
پاسخ : مصاحبه با هکر ایرانی : امیر حسین صیرفی ، مدیر گروه امپرور
میشه یه تصویر از مدرک mcse ایشان بزارید و بگید کجا این مدرک رو گرفتن؟
-
-
June 14th, 2015, 12:54
#3
عضو جدید
پاسخ : مصاحبه با هکر ایرانی : امیر حسین صیرفی ، مدیر گروه امپرور
سلام دوست من
شرمنده ندارم بزارم و نمی دونم از کجا مدرکشو گرفته.
-