认识一位测试员：Ethan Robish

Sierra Ward & Ethan Robish //
Ethan 引言：Sierra 提出了采访我的想法，我觉得这很棒。看了 Rick 和 Gail 前几天录制的视频后，我觉得这会很有趣。
我们尝试录视频失败了，尝试录音频也基本失败了。我们得到的音频就像是通过这些设备说话：

所以，这里是我们对话的文字记录。

S: 嗨 Ethan，你好吗？
E: 嗨，我很好。Sierra，你呢？
S: 很好！BHIS 从 2008 年成立，你从一开始就加入了，对吧？
E: 是的，差不多。
S: 你是怎么认识 John 并加入公司的？
E: BHIS 总部在黑山地区。我在黑山中心的 Rapid City 上学时，看到学校公告板上有一页实习广告。其实是我妈妈注意到并指给我的。广告上写着类似“你喜欢搞破坏吗？无限畅饮 Mountain Dew！”的话。我打了广告上的电话，John 接了，他说六个月没人打电话了，他以为广告早就没了。但我就这样联系上了。他在电话里问了我几个问题，然后决定见面。他住的地方离我大约一小时车程，我们约了时间，他带我去吃了寿司——那是我第一次吃寿司。
S: 不错！
E: 那就是我的面试，他雇我当实习生，当时我还在上大学。
S: 酷。我喜欢你妈妈看到广告帮你找到“第一份工作”的故事。
E: （笑）是的，她也喜欢提这个。
S: 当时你在学什么专业？
E: 我开始学计算机工程，但后来转到了计算机科学，并以此毕业。
S: 为什么转专业？
E: 有几个原因。我更喜欢编程，因为相比摆弄硬件和电子设备，编程能更快获得成就感。
S: 有道理。开始和 John 工作时，你对渗透测试了解多少？
E: 一点也不了解。我第一次打电话给 John 时，他描述了他的工作，我记得问他：“这合法吗？你有权限做这些吗？”我觉得他喜欢我问这个问题。但在认识 John 之前，我不知道这种工作存在。
S: 太棒了。2008 年似乎并不久远，但八年过去，公众对黑客和计算机知识的了解变化很大。
E: 确实。最近几年新闻上到处都是，媒体喜欢报道。
S: 这是那种让人害怕、没人懂的东西，所以是完美的新闻素材。
E: 对，我理解为什么新闻喜欢。
S: 你当实习生时，只有 John 一个人吗？还是有其他人？
E: 我觉得有其他人来来去去，也是实习生。BHIS 开始时像个黑盒，至少对我而言。两年里我见了 John 大约两次。我们通过邮件沟通，我很快学会了简洁。我会发长篇邮件汇报进展并寻求反馈，他回信——如果幸运的话——是一句话，有时只有几个词。
S: “很好！继续！”
E: （笑）
S: 我刚开始时也一样。John 把你扔进去，你学会游泳。
E: 回到你的问题。我在邮件里随机看到其他人被抄送，但 John 从没说过“嘿，你要和这个人合作”或“我有另一个人，希望你们一起工作”。我就像在自己的小世界里。后来暑假时，我做了全职实习。
S: 你开始时是大几？
E: 大一。
S: 所以一上学就开始工作了？
E: 是的，全职实习是在大三和大四之间的暑假，那时我更多见到 John 本人。
S: 那有帮助。
E: 是的。
S: 毕业后你还是实习生吗？还是转全职了？
E: 毕业后我去西雅图度夏，在另一家公司实习，之后立即被 BHIS 聘为全职。
S: 很好。和开始时相比，现在在 BHIS 工作怎么样？
E: 感觉像看着孩子长大；养孩子。我自己没做过，但开始时总是在当下，然后他们不断成长，最终变老。也许久未见的人回来说“天啊，你的孩子长这么大了！”，但父母只觉得“这就是我的孩子”。
S: 很难看出变化。
E: 是的，除非我退后一步看。开始时，除了我还有一个全职员工，Tim Tomes，他比我早几个月入职。我们远程合作，BHIS 几乎所有人都是远程的，开始时绝对是。我们通过邮件和在线聊天合作，但工作一年后我才真正见到 Tim。这有点奇怪。除了 John，我一年没见到唯一的同事。
S: 确实不同。你喜欢在家工作吗？描述一下体验。
E: 肯定有优缺点。办公室工作有好处。但话说回来，我不想再全职回办公室了。我喜欢在家工作，有自己的空间和节奏，思考时不受太多人打扰。
S: 办公室更有趣，但可能乐趣多、工作少。
E: 是的。
S: 工作时，你能描述典型的一周或一天吗？不过多细节，你做什么工作或有什么例行公事？
E: 我觉得自从开始就没有典型周（笑），但我会尽量总结。如我所说，变化很大，BHIS 和我的角色都变了。我 still 做测试，但最近更多转向开发。我醒来、吃早餐、准备、启动电脑登录。我尽量避免早上先查邮件，否则那会是个黑洞，不知不觉半天就没了，不知道做了什么！
S: （笑）
E: 所以我通常前一天晚上想好要完成什么，在打开邮件洪水前先做那件事。
S: 好计划。你觉得你更好——没人能多任务，我们只是在迷你任务间切换，没真正完成什么——但你说你尝试以一个有重点的项目开始一天。
E: 是的，这是我近来的方法。谈到多任务，我曾以为我能多任务（笑），但如我们所说，效果不好。我终于学会了。
S: 是的，我越来越学会不打开无数网页标签，只做一件事。你通常的工作时间是什么？
E: 变化很大，我不擅长早起。我通常是夜猫子。也不喜欢被闹钟吵醒。所以除非有特定事要早起，我尽量自然醒。公司内有会议和约要管理，但除此之外我们自定时间。如果下午有事，我可以去做，然后晚上回来完成工作。
S: 我喜欢灵活性。你提到参与研发团队，你是怎么开始做这个的？
E: 我觉得只是我想做的。我真的很喜欢做渗透测试和开发。在 BHIS 和实习中学到，我能在两者间切换时表现最好。不一定是多任务，但如果我能做一件事一段时间，比如几个月或半年，然后切换到另一件，这帮助我以新热情投入，不会因做同样事而陷入困境。
S: 是的，避免倦怠或超载。开发似乎来自你的渗透测试经验？准确吗？
E: 是的，我肯定有洞察力，知道什么工具对渗透测试有用，以及开发努力应聚焦在哪里最有用。
S: 所以你喜欢做这两件事很棒——你能保持接触攻击方式和信息安全动态，然后回去开发更多。
E: 嗯，这是我偏好的，所以很高兴别人觉得我喜欢做两者是好事。
S: 我觉得很有道理。和其他测试员聊过，这是你们喜欢工作的原因之一：总是不同、总是变化，即使只做渗透测试，每个工作需求不同，从不太常规。研发中最不喜欢的部分是什么？
E: 我觉得对每个程序员，最不喜欢的是调试。最喜欢的可能是调试后真正解决问题、找出错误时。
S: 内啡肽飙升！
E: 渗透测试也一样。反复攻击应用或网络很挫败，但一旦找到漏洞钻进去，感觉很好。
S: 是的，如果不难就没趣了。
E: 确实，这话有道理。
S: 对想进入渗透测试领域的人，你有什么建议？找随机广告？
E: （笑）是的，留意机会。这是普遍好建议。但如果想脱颖而出，最好的是出去尝试事物。获取经验。如果意味着加入本地团体接触社区脉搏，那是好经验。你吸收安全心态。或参加 CTF（夺旗）比赛；那些很好。即使没有，网上有很多可黑客测试站点或测试程序，专门教你安全概念。所以尝试它们。通过实际做学得最多。做时你试图找出为什么不行，等到明白怎么工作和为什么工作，你已经做了所有研究，理解问题，能实际做并复制。读博客说“哦有道理”是一回事，但实际经历并自行复制完全不同。你会学得更多，掌握细节。
S: 好建议。对进入行业的人如此。但从渗透测试员角度，你对运营公司或 IT 员工有什么建议，让他们公司更少受渗透测试员或真坏蛋攻击？
E: 好的，我发现最成功或最安全的公司，共同点是他们真正关心安全。公司心态是安全优先。许多公司尝试双重职责，让 IT 人员兼职做安全。这可能因预算和技能不可用而必要。但要真正 thrive，你需要一些 dedicated 员工，并让公司其他部分不认为安全人员是对抗性的。公司其他部分不应视安全人员为让生活更难的。
S: “所以我们需要你的密码 40 字符长。”
E: （笑）他们应尝试理解安全重要性——培养为什么安全重要。如之前提到，媒体不断公开报道，我觉得有帮助。 plus，它给公司激励让安全重要。
S: 嗯，如果我运营 say, 医院，看到医院有 17,000 美元勒索软件灾难，肯定让我更 aware。有时我们喜欢嘲笑媒体，但它肯定帮助把安全带到公众前沿。还有什么想提或聊的吗？我觉得我们很好地 glimpse 了你的经验和 job。
E: 列表上还有一个问题，“你最喜欢 BHIS 工作的什么？”我想试试。
S: 哦，说吧！
E: 我最喜欢这里的是我们一起工作的人。远程工作难。你不像在办公室那样多与同事互动。它不像面对面互动。但我真的很喜欢我们聚在一起时——我们通常一年左右在安全会议聚一次，或有时一群人一起测试——那是我最喜欢的部分。和志同道合的人在一起，关心安全，你能突然说完全技术的东西，朋友家人会觉得你在胡言乱语，但他们 actually 理解并回应。那是我最喜欢的部分。BHIS 有一些很棒的人。
S: 我 pretty much 爱它！你说有志同道合的人很好，但我觉得我在许多行业工作过，有志同道合的人可能 still 不合拍，BHIS 特别的是，不止工作共同，我觉得——我不是渗透测试员，所以没有你的工作共同——但我们聚在一起时都很开心，我觉得 John 做得很好，把合拍、合作好的人聚在一起， on top of 有我们的，或你们的技术技能共同。
E: 是的。
S: well 谢谢和我聊，Ethan，太棒了。我觉得学了很多关于你，希望所有听众感觉一样。所以谢谢时间。
E: 好的，保重。
S: 再见。

准备好学更多？
通过 Antisyphon 的实惠课程提升技能！
Pay-Forward-What-You-Can 培训
可用直播/虚拟和点播