Usia berapa Anda mulai meretas? Apakah Anda memiliki jenis bug favorit atau bug yang paling Anda banggakan?

Saya mulai belajar tentang peretasan di tahun-tahun universitas saya sekitar usia 23 tahun. Saya suka kerentanan sisi server seperti Server-Side Request Forgery (SSRF), Server Side Template Injection (SSTI) atau bug injeksi kode.

Bagaimana Anda belajar meretas?

Seperti kebanyakan peretas, saya otodidak.

Bagaimana Anda tetap up to date pada teknik hacking terbaru, alat dan jenis kerentanan?

Saya memang mengambil banyak sertifikasi seperti Offensive Security Certified Professional (OSCP), Offensive Security Certified Expert (OSCE), misalnya, dan saya membaca banyak blog, termasuk blog keamanan Cina, Korea Selatan dan Rusia (saya tidak ingin melewatkan informasi apa pun).

Apakah Anda ingat ketika Anda menemukan bug pertama Anda? Apa jenis bugnya? Bagaimana rasanya menemukannya?

Hadiah pertama saya di HackerOne adalah dari Zomato. Itu adalah injeksi SQL (SQLi) dalam cookie. Pada hari Sabtu, saya biasanya menghabiskan waktu melakukan aktivitas fisik, tetapi pada hari itu, saya sakit flu. Karena saya adalah orang yang tidak bisa duduk diam, saya memutuskan untuk mulai meretas (tidak disarankan!). Saya memutuskan untuk mencoba hal-hal aneh dan mulai mengaburkan kue bernama aneh. Saya terkejut bahwa itu benar-benar berhasil. Moral dari cerita ini adalah bahwa jika Anda tidak pernah mencoba, Anda tidak akan pernah tahu! Anda dapat menemukan laporan pertama saya di sini!

Apa yang memotivasi Anda untuk meretas selamanya?

Saya melihat hacking sebagai bentuk hobi. Plus, perasaan pencapaian ketika sebuah perusahaan membalas dengan pesan apresiatif atas pekerjaan yang kita lakukan tidak dapat ditemukan di tempat lain.

Bagaimana reaksi teman dan keluarga Anda ketika Anda pertama kali memberi tahu mereka bahwa Anda ingin menjadi peretas etis?

Sebenarnya, mereka semua berpikir itu adalah jalur karier yang keren. Hacking hari ini berbeda dari masa lalu di mana hacker secara tradisional digambarkan sebagai orang jahat yang hanya berusaha untuk menghancurkan sistem komputer dan menjatuhkan segala sesuatu yang menghalangi mereka. Saat ini, peretasan etis mendapatkan pengakuan sebagai pilihan karir yang layak yang merupakan ceruk dan diinginkan.

Apakah ada peretas yang Anda cari?

Jika ada, itu akan @filedescriptor karena laporannya selalu membutuhkan banyak bacaan untuk sepenuhnya memahami rantai serangan!

Saran apa yang akan Anda berikan kepada calon peretas?

Memiliki selera untuk pengetahuan atau lapar untuk lebih banyak pengetahuan. Setiap kali seseorang menemukan topik yang menarik, penting juga untuk menyelam lebih dalam dan melakukan pekerjaan mendalam (30 jam) untuk sepenuhnya memahami konsep sebelum melanjutkan.

Program apa yang paling Anda sukai untuk diretas? Atau, jenis cakupan program apa yang paling Anda sukai?

Saya tidak terlalu pandai recon. Itu sebabnya saya lebih suka program yang memiliki banyak fitur unik. Tentu saja, cakupan program yang lebih besar luar biasa bagi peretas. Cakupan program yang lebih besar berarti lebih banyak permukaan serangan dan tentu saja lebih banyak hadiah.

Apakah Anda mengharapkan adopsi bug bounty meningkat? Mengapa atau mengapa tidak?

Ya. Bug bounty semakin populer di industri keamanan cyber dan mereka berjalan seiring dengan pengujian penetrasi sebagai bentuk solusi pertahanan mendalam.

Berapa lama (rata-rata) Anda menghabiskan waktu Anda meretas sehari atau per minggu? Apakah Anda menganggap diri Anda seorang hacker penuh waktu atau paruh waktu? Jika Anda seorang hacker penuh waktu, apa saja pro dan kontra menjadi hacker penuh waktu?

Ketika saya meretas, saya meretas selama sekitar 2 jam sehari setelah bekerja. Pada akhir pekan, saya hanya meretas ketika saya memiliki tantangan di HackerOne. Saya memiliki pekerjaan penuh waktu sebagai insinyur keamanan.

Adakah pemikiran tentang cara menarik lebih banyak profesional muda ke profesi keamanan siber?

Saya pikir penting untuk memasarkan peretasan etis tidak hanya sebagai pekerjaan yang membayar dengan baik tetapi juga hobi yang bisa menyenangkan dan bermakna.

Apa harapan Anda untuk lanskap keamanan siber di Singapura?

Saya pikir Pemerintah Singapura tentu saja tetap up to date dengan industri seperti yang ditunjukkan dengan merangkul bug bounty bersama dengan proses kepatuhan / pentest yang biasa. Saya berharap lebih banyak siswa muda akan bergabung dengan industri kami dan menunjukkan bahwa orang Singapura juga dapat melakukannya!

Apakah menurut Anda keamanan bertenaga peretas (alias program bug bounty) menjadi konsep yang diterima secara luas di Singapura? Mengapa atau mengapa tidak?

pasti. Banyak perusahaan di Singapura sebenarnya berencana memiliki program bug bounty tetapi ada juga tantangan seperti anggaran, hukum dan ketakutan akan perubahan.

Apakah menurut Anda persepsi peretas berubah? Global? Dan bagaimana dengan di Singapura?

Ada persepsi positif tentang apa artinya menjadi peretas tidak hanya di Singapura tetapi juga secara global. Seperti yang disebutkan sebelumnya, saya selalu menerima respons positif ketika saya memberi tahu teman dan keluarga saya bahwa saya meretas sebagai karier. Sebelum platform bug bounty muncul, ini kemungkinan akan disukai. Saya pikir HackerOne telah melakukan pekerjaan luar biasa dalam menunjukkan kepada dunia bahwa tidak semua peretas itu jahat.

Apa pendapat Anda tentang inisiatif nasional Singapura yang baru-baru ini diumumkan untuk tahun 2020 untuk membangun bakat keamanan siber profesional di Singapura – seperti inisiatif SG Cyber Talent dan program SG Cyber Olympians?

Sekali lagi, pemerintah Singapura telah menyadari bahwa ada kekurangan bakat keamanan cyber yang terampil dan saya pikir ini adalah langkah besar untuk melatih talenta muda dalam pendekatan yang lebih struktural.