Дагестанец Омар Ганиев (на фото в центре) вошел в тройку финалистов конкурса компании «Яндекс» по поиску уязвимостей в Яндекс.Браузере, который можно назвать неофициальным чемпионатом России среди хакеров. 22-летний программист, живущий в Москве, занял второе место.

Конкурс был объявлен «Яндексом» в октябре прошлого года, чтобы обнаружить недостатки в системе хранения пользовательских данных браузера. Основными критериями по отбору победителей были количество и критичность выявленных уязвимостей. Сильнейшими были признаны руководитель службы тестирования компании Mail.Ru Group Владимир Дубровин — 1 место и приз 500 тысяч рублей, Омар Ганиев — 2 место и приз 300 тысяч рублей, программист из Татарстана Рустам Салихов — 3 место и приз 150 тысяч рублей.

Ганиев рассказал «НД», как он пришел в сферу информационной безопасности и когда в Дагестане станет востребован труд хакера.

— Как вы пришли в эту профессию?

— Начал ещё в школе. Учился к тому времени уже в Москве, информатики нормальной не было. Одноклассник научил верстать простые сайты, и я задумался над тем, как их можно взломать, стал искать и читать информацию на эту тему, искал уязвимости на различных сайтах и в приложениях. Изредка участвовал в хакерских соревнованиях, олимпиадах, конкурсах, с 2011 года начал соревноваться активно, потому что понял, что это отличная тренировка.

Рынок информационной безопасности рос, и в 2011–2012 годах в России появилось много новых вакансий для хакеров. В 2012 я устроился работать пентестером. Пентестеры — это люди, которые занимаются тестированием на проникновение. Суть в том, чтобы моделировать деятельность злоумышленников и попытаться взломать инфраструктуру компании, похитить конфиденциальные данные, украсть деньги, нанести ущерб. По результатам работ заказчик получает отчёт о том, как его могли бы взломать преступники, и как этого избежать.

— В каких еще соревнованиях участвовали кроме конкурса «Яндекса»?

— На самом деле зачастую в медийном пространстве широко освещаются и раскручиваются не самые технически сложные конкурсы. Для меня лично наиболее высокие достижения — это попадание в топ различных международных командных соревнований в составе небольшой команды. Но освещаются обычно другие победы — например, занимал 3 и 2 место на двухэтапном конкурсе от Symantec и КРОК. В очном финале в индивидуальном зачете соревновалось 32 человека. Также выигрывал различные соревнования, приуроченные к конференции Positive Hack Days и другие индивидуальные олимпиады. К сожалению, на зарубежные очные соревнования ездить пока ленился, хотя нашу команду «RDot.Org», своего рода сообщество по интересам, регулярно приглашают. Самые престижные соревнования проходят каждый год летом в Лас-Вегасе в рамках многотысячных конференций Defcon и BlackHat.

— Кем вы работаете?

— Я окончил факультет математики НИУ «Высшая школа экономики» в Москве, работаю в должности эксперта в компании IncSecurity, которая занимается информационной безопасностью своих клиентов. Среди них банки, торговые сети, страховые компании, перевозчики, платёжные системы, интернет-магазины, технологические компании и т.д.

— Вы приезжали в Махачкалу, чтобы помочь организовать студенческую олимпиаду для хакеров. Что из этого вышло?

— Да, это была командная олимпиада на базе ДГУНХ, организованная АРСИБ (Ассоциация руководителей служб информационной безопасности). Это уже всероссийское движение, во многих регионах проводятся такие ежегодные студенческие соревнования, их называют CTF (Capture the Flag, «захвати флаг», англ. — командные соревнования по умению атаковать и защищать компьютерные системы).

Победителем DagCTF среди студентов стала команда из ДГТУ. Я готовился к сценарию, что ребята ничего не смогут решить, и придётся подсказывать с самого начала, но всё прошло достаточно бодро. Уровень оказался не хуже, чем во многих других городах, где также впервые проводились подобные соревнования.

— Насколько в Дагестане востребованы представители вашей специальности?

— Информационная безопасность приходит вслед за технологиями, поэтому, конечно, сейчас говорить о большом спросе не приходится. Но те, кто займёт эту нишу заранее, получат преимущество в будущем, когда рынок созреет. Сейчас в Дагестане есть крупные проекты по внедрению средств защиты информации, но это обычно проекты в крупных госкомпаниях, таких как Газпром, и работы выполняют московские системные интеграторы. Зато в Дагестане есть ряд студий веб-разработки, и немалое количество небольших корпоративных и государственных веб-сайтов, но бюджет на безопасность у них, конечно, небольшой.