Хакинг как профессия: интервью с Омаром Ганиевым (Матфак’2012)

Еще в школе я интересовался компьютерной безопасностью и программированием, но такого предмета не было, и я даже не знал, что есть такая профессия. Когда пришло время поступать, родители нацеливали меня на математику. Они обосновывали это тем, что математика — это точно надёжная специальность, и владея ею, можно освоить разные профессии. Я планировал поступать на ВМК, но попал к репетитору из Второй школы, который убеждал меня, что надо идти на математику. Он был очень рад тому, что появился супер факультет математики в Вышке. Когда я поступал, я прошел  и на мехмат, но забрал документы. В приёмной комиссии надо мной смеялись, когда я сказал, что буду поступать на матфак, несмотря на то, что имею проходной балл в МГУ. Тогда ещё никто не знал о нашем факультете. В итоге я поступил в НИУ ВШЭ  с  мыслью о том, что мог бы по окончании вуза заняться наукой, а если не ей, то программированием. 

Вспомнил фразу Сергея Константиновича Ландо на Дне открытых дверей матфака. Он сказал, что не существует прикладной математики, потому что это всё равно просто математика. Его слова я интерпретирую так: если хорошо учить все то, что дают на матфаке, то человек будет хорошо знать и то, что называют прикладной математикой. 
Я думаю, даже если не получится всё хорошо выучить, всегда можно взять какие-то курсы с других факультетов. После моего выпуска таких возможностей на матфаке стало особенно много: например, есть майноры и курсы в ШАД. Надо вовремя понять, какая будет специализация, чтобы можно было в эту сторону начать двигаться, это ключевое. 

Будучи студентом, я продолжал заниматься компьютерной безопасностью, для меня это было хобби. На самом деле, я много тратил на него времени, поэтому не очень много занимался математикой. В какой-то момент стало понятно, что я довольно сильно отстал от тех сокурсников, которые углубленно занимались математикой и нацеливались на академическую карьеру. 

Ближе к концу бакалавриата я осознал, что есть такая профессия — пентестер.  Это человек, который взламывает компьютерные системы легально с целью найти в них слабые места и исправить их. Я понял, что это как раз то, чем я занимаюсь. Тогда в России только появились вакансии пентестера. В 2011 году их стало много, а я как раз поступил на 4-й курс. Я устроился на работу, когда писал диплом, и у меня не было занятий в 4-м модуле. 

В основном -  по инерции, но это все равно было очень полезно, несмотря на то, что напрямую мне не нужно доказывать никакие математические теоремы и даже использовать их в работе. В магистратуре я открыл для себя такую научную область, как математическая логика и теоретическая информатика. В меру возможностей я ею позанимался и узнал много интересного,  в том числе связанного с моей профессией. Только в магистратуре я вдруг понял какие-то фундаментальные вещи про программирование и безопасность, которые ранее не изучал.

Я закончил магистратуру и продолжил работу. В том же году мы с коллегами ушли из большого системного интегратора  в свою небольшую компанию, я там был условно младший партнер. Несколько лет я работал в различных стартапах. Затем стал частным консультантом и создал свою компанию. Таким образом, я поработал в большой компании и в двух небольших. Вот уже 5 лет как я  уволился с последнего места работы и работаю на себя.

Сложностей у меня не было, так как для меня тестирование на проникновение всегда было хобби еще до массового появления вакансий на рынке. Когда я только увлекся этим, те,  кто занимался информационной безопасностью, занимался этим либо ради нелегальной наживы, либо ради интереса, как энтузиасты. Я относился ко второй категории.

Ради интереса я участвовал во всяких соревнованиях и олимпиадах по хакингу, занимал какие-то места. Это служило доказательством моей компетенции, поэтому я легко смог найти работу. Помог и матфак: я не раз от сокурсников слышал, что многие работодатели, если видят, что ты учишься на факультете математики, то не смотрят на уровень твоих знаний и умений, а просто предполагают, что ты умный и во всем можешь разобраться, даже в непрофильных областях.

В соревнованиях по компьютерной безопасности в формате Capture the Flag. Суть заключается в том, что организаторы заготавливают набор уязвимых программ, а  участники должны их взломать и добыть “флаг”, например, найти какую то криптографическую ошибку и расшифровать её. Знания алгоритмов и криптографии, полученные на матфаке, помогают мне решать такие задачки.  

Какие-то курсы мне нравились, только потому что я ими усердно занимался и не упускал нить. Материал магистерских курсов запомнился получше, так как это было позже, и я нашел в образовательной программе те вещи, которые объяснили мне некоторые  штуки из информатики. Например, почему в общем случае нельзя доказать, что в программе нет уязвимостей.

В бакалавриате я писал диплом по функциональному анализу у Алексея Юльевича Пирковского, а в магистратуре — по логике у Валентина Борисовича Шехтмана. Мне и многим моим сокурсникам запомнились Юрий Михайлович Бурман и Осип Владимирович Шварцман, не только  как  преподаватели, но и как педагоги с хорошим чувством юмора, безотносительно самого предмета. 

Я уволился из одной компании и хотел заняться техническими исследованиями. Во время работы у меня не было времени на это: обычно нам дают задание взломать какую-то программу, и на это есть 2-3 недели. Разрабатывать новые техники взлома за это время не получается. В итоге оказалось, что пока я нигде не работал, ко мне просто стали обращаться по сарафанному радио, через знакомых компании за услугой, так как  меня им рекомендовали. Я понял, что могу не устраиваться на работу и получать заказы. То есть все вышло сам собой, а потом с ростом загрузки я стал привлекать других людей, в том числе на зарплату, юридически это оформил, в общем,  получилась компания. 

У многих в индустрии синдром самозванца, и я тоже не считаю свои достижения очень значимыми. Расскажу о тех, которые другие считают значимыми и обращают на них внимание. Я до сих пор участвую в соревнования в составе сильнейшей команда в России (More Smoked Leet Chicken), в которой состоят люди из разных компаний и вузов и уже даже стран. Сейчас это похоже на профессиональный спорт, в котором есть студенческие и местечковые соревнования, а есть мировые финалы, которые становятся всё сложнее и сложнее. Мы выигрывали различные чемпионаты мира в Европе, Китае, Южной Корее и в других странах. За счет победы на таких соревнованиях я обрел некоторую известность на рынке. Кроме того, потому что я проводил исследования и делал доклады на конференциях, но, наверное, в соревновательной сфере у меня больше всего каких-то регалий. 

Есть такие прикладные знания об уязвимостях и атаках,  навыки использования конкретных инструментов — их достаточно легко приобрести. Но есть и достаточно фундаментальные знания и навыки, связанные с программированием, с тем, как устроен компьютер и компьютерные сети, как построены современные приложения, веб-сервисы. Также важно умение читать и писать  код. В целом, всё это фундаментальные программистские навыки, которые легко конвертируются в какой-то более высокий  уровень знания компьютерной безопасности. 

Если студент на 3 курсе понимает, что у неё/него не получится сделать академическую карьеру, то разумно взять курсы с других факультетов. Если она/он в целом учится не очень хорошо, то стоит получше выучить те курсы, которые являются “пререквизитами” к каким то айтишным или финансовым штукам или другим прикладным специальностям. Например, для машинного обучения это математический анализ, линейная алгебра, статистика, теорвер.