Читаем Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности полностью

Когда я впервые встретил Чарли, он отчаянно пытался получить хорошо оплачиваемую работу, связанную с поиском ошибок. В то время очень немногие люди зарабатывали на жизнь таким образом. Большинство людей, как доктор Миллер, вообще не получали зарплату. Было очень мало программ Bug bounty, предлагаемых вендорами публично, как сегодня. Единственные, кто получал большие деньги за новые уязвимости нулевого дня, были злонамеренные хакеры, часто спонсируемые плохими парнями и преступными группами. Иногда хакер «в белой шляпе» мог продать найденные ошибки законным компаниям, а затем перепродать их по самой высокой цене вендорам, чтобы они могли изучить ошибку и исправить ее. Это продолжается и сегодня.

Но доктор Миллер пытался попасть в Apple, Microsoft или другую компанию, где его энтузиазм и опыт были бы оценены по достоинству. По большей части этого не произошло, по крайней мере так, как он изначально надеялся. Но в итоге он получил работу в Twitter и Uber. Попутно Чарли выдвинул на первый план необходимость в том, чтобы профессиональные искатели ошибок получали возмещение за свои усилия. Он был если не ведущим инициатором, то как минимум очень важной частью этого процесса. Он даже начал кампанию «больше никаких бесплатных патчей». Сегодня почти у каждого крупного разработчика ПО есть платная программа для поиска ошибок, и хорошие искатели ошибок могут найти постоянную, хорошо оплачиваемую, законную работу.

Я спросил доктора Миллера о разочаровании тех дней, когда ему приходилось выполнять работу консультанта, вместо того чтобы найти постоянную работу, соответствующую его опыту и таланту. Он рассказал: «В итоге я стал консультантом-путешественником, а это неплохо для начала карьеры. Это помогает узнать множество компаний, их деятельность и культуру. Мне заплатили за поиск ошибки только один раз, в 2007 году. Это была ошибка, которую я нашел за пределами Pwn2Own. Я быстро обнаружил, что мне нравится выступать на конференциях даже больше, чем получать деньги. Для меня было важнее говорить об этом, делиться с людьми, чем молча зарабатывать».

Если вы посещали какие-либо из его презентаций или конференций, то знаете, что доктор Миллер любит веселить, развлекать и обучать аудиторию. Он сказал мне: «Как только я нахожу где-нибудь пять ошибок, то теряю интерес и двигаюсь дальше». Попутно он обнаружил другие уязвимости безопасности в таких областях, как Near Field Communication (NFC). Он также опубликовал три книги (https://www.amazon.com/Charlie-Miller/e/B0085NZ1PS/), которые охватывают взлом Mac, iOS и фаззинг.

Я закончил свое интервью с доктором Миллером последним вопросом: думает ли он, что автомобили станут достаточно безопасными в ближайшее время? Он ответил: «Автомобили ничем не отличаются от компьютеров, а мы до сих пор не знаем, как их полностью защитить. Автомобили больше похожи на атакуемые сети, поскольку содержат много компьютеров. Дело автомобилей – это особые вопросы физической безопасности. Ставки высоки. Я не могу уберечь вас от столкновений, но могу смягчить удары многими способами. Вы можете возиться с развлекательной системой, но, если мы сделаем все правильно, вам не придется разбираться с тормозами и другими крайне важными системами».

Верный своим ранним скрытным корням в АНБ, он не сказал мне, над чем работает в Uber, но я думаю, что компания и ее пользователи окажутся только в плюсе.

Более подробную информацию о докторе Чарли Миллере вы можете найти на следующих ресурсах:

• доктор Чарли Миллер в Twitter: https://twitter.com/0xcharlie;

• книги доктора Чарли Миллера: https://www.amazon.com/CharlieMiller/e/B0085NZ1PS/;

• доклад Adventures in Automotive Networks and Control Units: http://illmatics.com/car_hacking.pdf;

• доклад Car Hacking: For Poories: http://illmatics.com/car_hacking_poories.pdf;

• доклад A Survey of Remote Automotive Attack Surfaces: http://illmatics.com/remote%20attack%20surfaces.pdf;

• доклад Remote Exploitation of an Unaltered Passenger Vehicle: http://illmatics.com/Remote%2 °Car%20Hacking.pdf;

• доклад CAN Message Injection: http://illmatics.com/can%2message%20injection.pdf.

Я был тем, кто ненавидел политику и стратегию. Мне не нужны были документы. Они лишь замедляют работу. По крайней мере, я так думал.