Nasze starania zaczynają być dostrzegane. Pomimo bardzo niedługiego stażu, zaczęliśmy być na językach osób z branży. Oto przykładowy zrzut ze strony lolifox.cc – z tej okazji publikujemy mini-wywiad z redaktorem naczelnym, Tomaszem Klimem.
Czy wspierasz przestępców?
Nie, nie wspieram i nie zamierzam. Przy każdym bardziej drażliwym artykule jest wyraźna klauzula na ten temat, czasem nawet podwójnie. Z drugiej strony, nie pałam do nich jakąś szczególną nienawiścią, jaką chwali się na Youtube np. Adam Haertlé z konkurencyjnej Zaufanej Trzeciej Strony. Robią to co robią, na własne ryzyko i własną odpowiedzialność – a jeśli zostaną złapani, poniosą tego konsekwencje. Ich życie i ich problem. Natomiast osobiście staram się też trzymać od takich ludzi z daleka, a zarabiam na życie w 100% legalny sposób.
Przede wszystkim uważam natomiast, że wiedza powinna być wolna, niezależnie od konsekwencji w „płaszczyźnie ludzkiej”. Jestem zdecydowanym zwolennikiem Zasady Kerckhoffsa – i również kierowania się podobną filozofią „w realu”, a nie tylko w IT i kryptografii. Czyli np. jestem zwolennikiem pełnej jawności procedur stosowanych w policji czy innych służbach (niejawne powinny pozostać tylko sprawy typu dane osobowe funkcjonariuszy, a procedury powinny być tak konstruowane, aby działały pomimo bycia jawnymi).
Co zamierzasz publikować na Payload, a czego nie?
To co będę uważał za posuwające Payload w założonym kierunku biznesowym i/lub zwyczajnie ciekawe. A przy tym dopuszczalne przez prawo. Przy czym zamierzam się trzymać minimalnej koniecznej zgodności z polskim prawem – nie zamierzam być „grzeczny” na wyrost.
Na pewno nie zamierzam bezpośrednio publikować lub linkować wątków na stronach typu lolifox.cc, nie dlatego że się czegoś boję, ale po prostu roi się tam od pornografii i to w wyjątkowo obrzydliwym wydaniu. Mogę opublikować namiary do konkretnych materiałów, co do których nastąpił już akt rozpowszechnienia w innych miejscach, ew. zostały spełnione inne minimalne wymogi prawne – a których nie chce lub boi się publikować konkurencja – ale nie będę na Payload linkował obrzydliwego porno. Sorry, trzymajmy jakiś choćby minimalny poziom, niezależnie od tego jak kto akurat zarabia na życie.
Chciałbym zaistnieć jako autor na Payload, co mam zrobić?
Świetnie się składa, bo akurat szukam autorów. Zobacz https://payload.pl/praca/.
Odnieś się do „brak atakowania powiązanych celów w jego przypadku pracodawca Allegro” z wklejonej dyskusji
Mam pewne zatargi z kilkoma osobami z Grupy Allegro – i o ile wypowiadałem się w różnych miejscach nt. nieuczciwych zagrywek osób z tamtejszej kadry menedżerskiej czy innych sprawach związanych stricte z zatrudnieniem, o tyle mam zasadę, że nie zdradzam tajemnic produktów, nad którymi pracowałem. Jest to wyjątek od ogólnej zasady, że wiedza powinna być wolna.
Z drugiej strony, jeśli znajdzie się ktoś inny, kto będzie chciał gościnnie opublikować na łamach Payload dobry merytorycznie tekst, który będzie się wpisywał w założenia biznesowe Payload, jednocześnie obnażając jakieś słabe strony Allegro lub dowolnej innej firmy – nie będę miał problemu z publikacją. Jedyne kryteria to minimalna zgodność z prawem, jakość merytoryczna tekstu i wspomniane wpisywanie się w założenia biznesowe (czyli przede wszystkim bycie na temat).
Odnieś się do „przykład bardzo nietrafionego modelu ryzyka” z wklejonej dyskusji
To kwestia punktu widzenia. Po prostu interesują mnie te aspekty ryzyka, które mogą choćby potencjalnie przełożyć się na sprzedaż moich produktów (Sherlock, Raptor Funkcjonariusz, Harry Funkcjonariusz Mobilny) i usług z nimi związanych (customizacja, pisanie payloadów pod konkretne zamówienie – również do produktów Hak5 i ich klonów).
Jaki właściwie jest zamysł na działalność Payload?
W Polsce istnieją już dwie mainstreamowe strony o bezpieczeństwie IT (Niebezpiecznik, Zaufana Trzecia Strona) i trzecia aspirująca (Sekurak). Każdego roku pojawiają się kolejni pretendenci (np. w tym roku jest to Kapitan Hack z bardzo ciekawymi materiałami o atakowaniu infrastruktury Active Directory) i dość szybko kończą działalność udowadniając po raz kolejny i kolejny, że na rynku nie ma już więcej miejsca dla nowych graczy w tej samej formule – tj. pisać sobie hobbystycznie można, ale dyżurnym kandydatem do wywiadów w telewizji będzie zawsze Piotr Konieczny, a w rezerwie Adam Haertlé. Podobnie z konferencjami, sprzedażą szkoleń, książek czy innymi formami zarabiania na tym pisaniu.
Payload w założeniu jest kierowany do całkiem innej niszy: osób zajmujących się bezpieczeństwem ofensywnym (a nie defensywnym). Np. jako członkowie Red Teamów, prywatni detektywi, czy chociażby programiści legalnie z polskiego punktu widzenia sprzedający swoje usługi poza polską jurysdykcję. Celem strategicznym jest przyciąganie w ten sposób (bezpośrednio lub pośrednio) osób, które z racji pełnionej funkcji są w stanie zarekomendować zakup, lub zadecydować o zakupie, w/w produktów i usług.
Skąd się wziąłeś w branży i dlaczego akurat bezpieczeństwo IT?
Mam Zespół Aspergera. Od dziecka bardzo łatwo przychodziło mi opanowywanie skomplikowanej wiedzy specjalistycznej i elastyczne operowanie tą wiedzą, a zarazem miałem trudności z komunikacją werbalną – nie tyle na poziomie merytorycznym, ile raczej emocjonalnym i relacyjnym. Obrazowo mówiąc, dobierałem słowa raczej jak dorosły w korpo, niż jak typowe dziecko w podstawówce, co raczej nie przysparzało mi sympatii rówieśników.
Bezpieczeństwem zainteresowałem się pod koniec lat 90-tych, realizując potem bardzo różne projekty z tego zakresu właściwie przez całą karierę zawodową. Dość szybko też zauważyłem, że właśnie bezpieczeństwo IT doskonale wpasowuje się w moje mocne i słabe strony, a wiele konkretnych tematów mnie po prostu „kręci” (z powodów czysto technicznych – nie czuję i nigdy nie czułem w sobie żadnego powołania do „walki ze złem”, „naprawiania świata” itp. i ogólnie styk z „płaszczyzną ludzką” bezpieczeństwa był dla mnie drugorzędny, za to np. zawsze wolałem programowanie w C od programowania aplikacji webowych).
Od mniej więcej 10 lat firmy IT trawi rak metodyk zwinnych (Agile, Scrum) – owszem, może i pozwalają one lepiej skalować prace nad produktem, mając dziesiątki lub setki programistów podzielonych na wiele zespołów, jednak ceną za tą możliwość jest stopniowe wypieranie z takich firm (i w ogóle z rynku) osób m.in. takich jak ja. Mając tego świadomość, od 2013, jako własna firma, konsekwentnie buduję portfolio produktów i usług, mniej lub bardziej wprost związanych z bezpieczeństwem, które w zamyśle poza samym zarabianiem pieniędzy mają pozwolić na pracę w pełni dopasowaną do moich indywidualnych potrzeb, a nie wizji kolejnego pracodawcy.