认识一位测试员：Ethan Robish

Sierra Ward & Ethan Robish //
Ethan 引言：Sierra 提出了采访我的想法，我觉得这很棒。在看了 Rick 和 Gail 前几天制作的视频后，我认为这会很有趣。
我们的视频录制尝试失败了，音频录制也大多失败。我们得到的音频类似于通过这些东西说话：

所以，您将看到我们对话的文字记录。

S: 嗨 Ethan，你好吗？
E: 嗨，我很好。你呢，Sierra？
S: 很好！BHIS 从 2008 年就成立了，你从一开始就加入了，对吧？
E: 是的，差不多。
S: 你是怎么认识 John 并在一开始就参与进来的？
E: 你知道，BHIS 总部在黑山。我在黑山中心的一个叫 Rapid City 的城市上学，学校公告板上贴着一张实习广告。实际上是我妈妈注意到并指给我看的。广告上写着类似“你喜欢搞破坏吗？无限畅饮 Mountain Dew！”的话。我打了传单上的电话，John 接了，他说大概六个月没人给他打电话了，他甚至以为传单已经不在了。但我就这样加入了。他在电话里问了我几个问题，然后决定见我。他住的地方离我大约一小时车程，我们约了时间，他带我去吃了寿司。那是我第一次吃寿司。
S: 不错！
E: 那就是我们的面试，他雇我当实习生，当时我还在上大学。
S: 酷。我很喜欢你妈妈看到广告并帮你找到“第一份工作”的故事。
E: （笑）是的，她也喜欢提这个。
S: 你当时在学校学什么？
E: 我开始学计算机工程，但转到了计算机科学，最后以这个专业毕业。
S: 为什么转专业？
E: 有几个原因。我发现自己更喜欢编程，主要是因为它比摆弄硬件和电子设备有更直接的成就感。
S: 好的，有道理。那么，当你开始和 John 工作时，你对渗透测试了解多少？
E: 不，一点也不了解。当我第一次打电话给 John 时，他描述了他的工作，我记得问他：“这合法吗？你有权限做这种事吗？”我觉得他喜欢我问这个问题。但在遇到 John 之前，我不知道这种工作存在。
S: 太棒了。2008 年似乎并不久远，但八年时间让公众对黑客和计算机知识的了解发生了巨大变化。
E: 确实。最近几年，新闻上到处都是；媒体喜欢报道。
S: 这是那种既可怕又没人懂的东西，所以是完美的新闻素材。
E: 没错，我能理解为什么新闻喜欢它。
S: 那么，你当时是 John 的实习生。那时只有 John 一个人吗？还是有其他人在 BHIS 工作？
E: 我觉得还有其他来来往往的人，也是实习生。所以 BHIS 一开始像个黑盒子，至少对我来说是这样。我在两年里见了 John 大约两次。我通过邮件和他联系，很快就学会了简洁。我会发长篇邮件告诉他我做了什么并请求反馈，他回信——如果幸运的话——是一句话，但有时只有几个词。
S: “好！继续！”
E: （笑）
S: 是的，我刚开始时也是这样。John 把你扔进去，你学会游泳。
E: 回到你的问题。我随机在邮件中看到抄送其他人，但 John 从未告诉我“嘿，你要和这个人一起工作”或“嘿，我有另一个人，我想让你和他们合作”。我只是待在自己的小世界里。然后在暑假期间，我全职在 BHIS 实习。
S: 你开始时是几年级？
E: 我刚上大一。
S: 所以你一上学就开始和他工作了？
E: 是的，全职实习是在我大三和大四之间的暑假，那时我经常见到 John 本人。
S: 那有帮助。
E: 是的。
S: 毕业后，你还是实习生吗？还是转全职了？
E: 毕业后，我去了西雅图一个夏天，在另一家公司实习，之后立即被 BHIS 聘为全职员工。
S: 很好。和你开始时相比，现在在 BHIS 工作是什么感觉？
E: 感觉就像看着孩子成长；抚养孩子。我自己没做过，但一开始总是活在当下，然后他们不断成长，最终变老，也许很久没见的人回来说“天啊，你的孩子长这么大了！”，但父母只是说“这就是我的孩子”。
S: 很难看出差异。
E: 是的，除非我真正退后一步看。一开始我被雇用时，还有另一个全职员工，Tim Tomes，他比我早几个月被雇用。我们一起工作，BHIS 几乎每个人都是远程的，一开始绝对是远程的。我们通过邮件和在线聊天合作，但工作一年后我才真正见到 Tim。那有点奇怪。除了 John，我一年没见到我唯一的同事。
S: 确实不同。那么你喜欢在家工作吗？你怎么描述在家工作的经历？
E: 肯定有起有落。在办公室工作有一些好处。但话说回来，我不认为我会再全职回办公室工作。我真的很享受能够在家工作，有自己的空间和节奏，思考时没有太多人打扰。
S: 在办公室工作更有趣。但可能乐趣更多，工作少一点。
E: 是的。
S: 那么当你工作时，你能描述一个典型的周或日吗？不过多细节，你通常做什么工作或你的例行公事是什么？
E: 我不认为我从开始以来有过典型的一周（笑），但我会尽力总结。如我所说，事情变化很大，无论是在 BHIS 还是我的角色。我仍然做测试，但最近更多转向开发。所以我起床，吃早餐，准备好，启动电脑登录。我尽量避免早上第一件事查邮件，否则那对我来说是个黑洞，不知不觉半天就过去了，我不知道我做了什么！
S: （笑）
E: 所以我通常前一天晚上想好需要完成什么，在打开邮件洪水之前先做那件事。
S: 好计划。你觉得你更好——没人能多任务，我们只是在迷你任务间切换，没真正完成任何事——但你说你尝试有一个专注的项目，以它开始一天并工作。
E: 是的，这是我最近的方法。你谈到多任务，我过去以为我能多任务（笑），如我们提到的，效果不好。我终于学会了。
S: 是的，我越来越学到，不要打开无数网页标签，只做一件事。那么你通常的工作时间是什么？
E: 变化很大，我不擅长早起。我通常是夜猫子。我也不喜欢被闹钟吵醒。所以除非有特定事需要早起，我尝试自然醒。公司内有会议和预约需要管理，但除此之外我们自定时间。如果我下午有事，我可以去做，然后晚上回来完成工作。
S: 我喜欢灵活性。那么，你提到你参与研发团队的开发。你是怎么开始做这个的？
E: 我觉得只是我想做的。我真的很喜欢做渗透测试，也很喜欢做开发。在 BHIS 和实习中学到的是，当我能切换两者时，我表现最好。不一定是多任务，但如果我能做一段时间，比如几个月或半年，然后切换到另一个，它帮助我以新的热情投入，不会因做同样事而陷入困境。
S: 是的，不会精疲力尽或超负荷。而且似乎开发来自你的渗透测试经验？你会说这准确吗？
E: 是的，我肯定有洞察力，知道什么作为渗透测试工具有用，以及将开发努力集中在什么上最有用。
S: 所以你喜欢做这两件事真的很棒——你可以保持对攻击方式和信息安全动态的了解，并回去进一步开发。
E: 嗯，这是我喜欢的，所以我很高兴别人认为我喜欢做两者是好事。
S: 我觉得很有道理。从和其他测试员交谈中，这是你们真正喜欢工作的原因之一，它总是不同和变化，即使对只做渗透测试的人来说，每个工作即使在同一行业也有不同需求；从不太常规。你会说研发中最不喜欢的部分是什么？
E: 我觉得对每个程序员来说，最不喜欢的部分是调试。可能最喜欢的部分是调试后，你实际解决了问题并找出错误。
S: 巨大的内啡肽冲击！
E: 渗透测试也一样。反复敲打应用程序或网络真的很令人沮丧，但一旦找到漏洞并潜入，感觉很好。
S: 是的，如果不难，就不会有趣。
E: 确实，这很有道理。
S: 那么对于刚想进入这个领域，渗透测试领域的人，你有什么建议？找随机海报？
E: （笑）是的，留意机会。这是普遍的好建议。但我觉得如果他们想脱颖而出，可能最好的事是出去尝试事物。获得经验。如果这意味着找到本地小组参与，以接触社区脉搏，那是好经验。你只是吸收安全心态。或者参加 CTF（夺旗）比赛；那些很好。即使没有这些，网上有各种可黑客测试站点或测试程序，专门教你安全概念。所以尝试它们。通过实际做，你会学到最多。当你做时，你试图找出为什么这不行，当你弄明白如何工作和为什么工作时，你已经做了所有研究，理解问题，并能实际做和复制它。读博客文章说“哦有道理”是一回事，但实际经历并自己复制是完全不同的事。你会学到更多，并掌握细节。
S: 听起来像很好的建议。那么对于进入行业的人。但从你作为渗透测试员的视角，对于运营公司或公司 IT 人员的人，他们能做什么让公司少受渗透测试员和真实坏人的攻击？
E: 好的，是的，我发现最成功或最安全的公司，它们共同点是它们真正关心安全。公司的心态是，安全是优先事项。许多公司尝试双重职责，交给 IT 人员， essentially 让他们兼职做安全。那可能由于预算和没有可用技能集是必要的。但要真正茁壮成长，你需要一些专职员工，并需要公司其他部分不认为他们是对抗的。公司其他部分不应将安全人员视为只是让生活更难的。
S: “所以我们需要你的密码 40 字符长。”
E: （笑）他们应尝试理解安全的重要性——尝试培养为什么安全重要。如我们早先提到的，媒体不断公开传播，我认为那有帮助。 plus，它给公司激励使安全重要。
S: 嗯，如果我运营 say, 医院，看到医院有 17,000 美元勒索软件灾难，那肯定让我更意识到。有时我们喜欢嘲笑媒体，但它肯定帮助将之带到公众前沿。那么还有别的你想提到或谈论的吗？我觉得我们很好地瞥见了你的经验和 job。
E: 列表上还有一个问题，“你真正喜欢在 BHIS 工作的什么？”我想试试那个。
S: 哦，做，做！
E: 我在这里工作最喜欢的部分只是我们一起工作的人。远程工作很难。你不像在办公室工作那样与同事互动。而且，它不如面对面互动。但我真正喜欢的是当我们聚在一起——我们通常每年在安全会议聚一次，或有时一群人一起测试——那是我最喜欢的部分。只是和志同道合的人在一起，关心安全，你可以突然说完全技术性的事，朋友和家人会认为你在胡说，但他们实际理解并回应。那是我最喜欢的部分。BHIS 有一些真正伟大的人。
S: 我 pretty much 爱它！你说有志同道合的人很好，但我觉得我自己在许多不同行业工作过，你可以有志同道合的人仍然不合拍，BHIS 真正特别的一件事是，不止有工作共同，我觉得——我不是渗透测试员，所以没有你的工作共同——但当我们聚在一起时我们都玩得很开心，我觉得 John 做得很好，把合拍和合作好的人聚在一起， on top of 有我们的，或你们的技术技能共同。
E: 是的。
S: 嗯谢谢和我谈话 Ethan，太棒了。我觉得我学到了很多关于你的事，我希望每个听的人感觉一样。所以谢谢时间。
E: 好的，保重。
S: 再见。