走进渗透测试师：Ethan Robish

Sierra Ward & Ethan Robish //
Ethan 引言：Sierra 提出了采访我的想法，我觉得这很棒。看了 Rick 和 Gail 前几天录制的视频后，我也觉得这会很有趣。
我们的视频录制尝试失败了，音频录制也基本失败。最终得到的音频就像是通过这些设备说话一样：

所以，以下是我们的对话文字记录。

S: 嗨 Ethan，你好吗？
E: 嗨，我很好。你呢，Sierra？
S: 很好！BHIS 从 2008 年成立，你差不多从一开始就加入了吧？
E: 是的，差不多。
S: 你是怎么认识 John 并在一开始就加入的？
E: BHIS 总部在黑山地区，我在黑山中心的 Rapid City 上学。学校公告板上有一页实习广告，是我妈妈注意到并指给我的。广告上写着“你喜欢搞破坏吗？无限畅饮 Mountain Dew！”我打了广告上的电话，John 接了，他说六个月没人打电话了，他以为广告早就没了。但我就这样联系上了。他在电话里问了我几个问题，然后决定见面。他住的地方离我大约一小时车程，我们约了时间，他带我去吃了寿司——那是我第一次吃寿司。
S: 不错！
E: 那就是我的面试，他雇我当实习生，那时我还在上大学。
S: 酷。我很喜欢你妈妈看到广告帮你找到“第一份工作”的故事。
E: （笑）是啊，她也喜欢提这个。
S: 那时你在学什么专业？
E: 我开始学计算机工程，但后来转到了计算机科学，并以此毕业。
S: 为什么转专业？
E: 有几个原因。我发现自己更喜欢编程，因为编程能带来更直接的成就感，而硬件和电子需要更多折腾。
S: 有道理。那你开始和 John 工作时，对渗透测试了解多少？
E: 一点也不了解。我第一次打电话时，John 描述了他的工作，我记得问他：“这合法吗？你们有权限做这种事吗？”我觉得他喜欢我问这个问题。但在认识 John 之前，我不知道这种工作存在。
S: 太棒了。2008 年感觉并不久远，但八年时间让公众对黑客和计算机知识的了解发生了巨大变化。
E: 确实。最近几年新闻上到处都是，媒体喜欢报道。
S: 因为这东西既吓人又没人懂，是完美的新闻素材。
E: 对，我能理解为什么新闻喜欢。
S: 所以你当时是 John 的实习生。那时只有 John 一个人吗？还是有其他人在 BHIS 工作？
E: 我觉得有其他人来来去去，也是实习生。BHIS 一开始像个黑盒，至少对我来说是这样。两年里我只见过 John 两次。我们通过邮件联系，我很快学会了简洁。我会发长篇邮件汇报进展并寻求反馈，他回信时——如果幸运的话——是一句话，有时只有几个词。
S: “很好！继续！”
E: （笑）
S: 我刚开始时也是这样。John 把你扔进去，你自己学会游泳。
E: 回到你的问题。我偶尔在邮件里看到其他人被抄送，但 John 从没说过“你要和这个人合作”或“我有另一个人，希望你们一起工作”。我就像活在自己的小世界里。后来暑假时，我全职在 BHIS 实习。
S: 你开始工作时是大几？
E: 大一。
S: 所以你一上学就开始和他工作了？
E: 是的，全职实习是在大三和大四之间的暑假，那时我见到 John 的次数多了。
S: 那有帮助。
E: 是的。
S: 毕业后你还是实习生吗？还是转全职了？
E: 毕业后我去西雅图待了一个夏天，在另一家公司实习，之后立即被 BHIS 聘为全职。
S: 太好了。和刚开始相比，现在在 BHIS 工作是什么感觉？
E: 感觉像看着孩子长大；养孩子。我自己没孩子，但一开始总是活在当下，然后他们不断成长，最终长大成人。也许很久没见的人回来说：“天啊，你的孩子长这么大了！”但父母只觉得“这就是我的孩子”。
S: 很难看出变化。
E: 是的，除非我退一步看。刚开始时，还有一个全职员工 Tim Tomes，他比我早几个月入职。我们一起工作，BHIS 的人基本都是远程的，一开始全是远程。我们通过邮件和在线聊天合作，但工作一年后我才真正见到 Tim。这有点奇怪。除了 John，我一年没见到我唯一的同事。
S: 确实不同。你喜欢在家工作吗？怎么描述在家工作的体验？
E: 肯定有优缺点。办公室工作有好处，但我不想再全职回办公室了。我喜欢在家工作，有自己的空间和节奏，思考时不受太多人打扰。
S: 办公室更有趣，但可能乐趣多，工作少。
E: 是的。
S: 工作时，你能描述一下典型的一周或一天吗？不过多细节，你主要做什么？有什么例行公事？
E: 我觉得自从开始就没有典型的一周（笑），但我会尽量总结。如我所说，BHIS 和我的角色都变化很大。我还在做测试，但最近更多转向开发。我起床、吃早餐、准备、开机登录。我尽量不早上第一件事查邮件，否则会陷入黑洞，半天过去都不知道做了什么！
S: （笑）
E: 所以我通常前一天晚上想好要完成什么，先做这些再打开邮件洪水。
S: 好计划。你觉得这样效率更高吗？没人能多任务，我们只是在切换小任务，没真正完成什么。但你说你尝试每天从一个专注项目开始。
E: 是的，这是我近来的方法。说到多任务，我以前以为我能多任务（笑），但如我们所说不奏效。我终于学会了。
S: 我也在学，不要开无数网页标签，只做一件事。你通常的工作时间是？
E: 变化很大，我不擅长早起。我通常是夜猫子，也不喜欢闹钟叫醒。除非有特定事，否则我自然醒。公司内有会议和约要管理，但除此之外我们自己定时间。如果下午有事，我可以去做，晚上再回来完成工作。
S: 我喜欢这种灵活性。你提到参与研发团队，是怎么开始做这个的？
E: 我觉得是我想做的。我很喜欢渗透测试和开发。在 BHIS 和实习中学到，我在这两者间切换时表现最好。不一定是多任务，但如果我能做一段时间（比如几个月或半年）再切换，会帮助我以新热情投入，避免陷入同一件事。
S: 避免倦怠或过载。开发似乎来自你的渗透测试经验？准确吗？
E: 是的，我肯定知道什么对渗透测试工具有用，以及开发重点在哪里最有用。
S: 所以你既喜欢攻击方式，又开发工具，这很棒。
E: 这是我喜欢的，很高兴别人也觉得好。
S: 我觉得很有道理。和其他测试师聊过，你们喜欢工作的多样性和变化，即使做纯渗透测试，每个项目需求不同，从不 routine。研发中最不喜欢的部分是？
E: 对每个程序员来说，最不喜欢的是调试。最喜欢的是调试后解决问题，找到错误原因。
S: 内啡肽飙升！
E: 渗透测试也一样。反复攻击应用或网络很挫败，但一旦找到漏洞进入，感觉很好。
S: 如果不难，就不好玩了。
E: 确实有道理。
S: 对想进入渗透测试领域的人，你有什么建议？找随机海报？
E: （笑）是的，留意机会。这总是好建议。但如果想脱颖而出，最好的是尝试 things。获取经验。加入本地小组，接触社区，是好经验。吸收安全思维。或参加 CTF（夺旗赛）；这些很好。即使没有，网上也有很多可黑客测试站点或程序，专门教安全概念。所以尝试它们。通过实际做学得最多。做的时候想为什么不行，等弄懂怎么工作和为什么时，你已经做了研究，理解问题，能复制它。读博客说“有道理”是一回事，实际复制是另一回事。你会学得更多，掌握细节。
S: 好建议。从渗透测试师角度，对公司或 IT 员工，他们怎么做能让公司 less vulnerable to attacks from pen testers and real bad guys?
E: 我发现最成功或最安全的公司共同点是真正关心安全。公司 mindset 是安全优先。很多公司让 IT 人员兼职做安全，可能出于预算和技能限制。但要真正 thrive，需要 dedicated staff，公司其他人不应 adversarial view security people as making lives harder.
S: “所以我们需要你的密码 40 字符长。”
E: （笑）他们应 try to understand security importance – cultivate why it matters. 如之前提到，媒体 constant streaming 有帮助，给公司 incentive to make security important.
S: 如果我 running a hospital, seeing $17,000 ransomware catastrophe 肯定让我 more aware. 有时我们嘲笑媒体，但它 definitely helps bring to public forefront. 还有其他想说的吗？我觉得我们很好地了解了你的经验和 job.
E: 还有一个问题，“你最喜欢 BHIS 工作的什么？”我想回答。
S: 哦，说吧！
E: 我最喜欢这里的人一起工作。远程工作难，互动不如办公室多，不如面对面。但我喜欢我们聚会时——通常一年一次安全会议，或有时一起测试——那是我最喜欢的部分。和志同道合的人在一起，关心安全，说完全技术的东西，家人朋友觉得是胡言乱语，但他们懂并回应。BHIS 有一些很棒的人。
S: 我超爱！你说志同道合好，但我觉得我在很多行业工作过，志同道合的人也可能不合拍。BHIS 特别的是，不止工作共同，我们聚会时超 fun——我不是渗透测试师，但我觉得 John 做得很好，把人聚在一起合拍工作，除了你们的技术技能。
E: 是的。
S: 谢谢和我聊天 Ethan，太棒了。我觉得学到了很多关于你，希望听众也一样。谢谢时间。
E: 好的，保重。
S: 再见。

准备好学更多？
通过 Antisyphon 的实惠课程提升技能！
Pay-Forward-What-You-Can 培训
提供直播/虚拟和点播选项。