Мэтт помогает управлять командой OpenToAll CTF, которая обеспечивает командно-ориентированный фокус на обучении событий CTF. Мэтт также управляет BSides Austin, координириует образовательную программу для Austin OWASP, помогает с LASCON и работает с Rapid7.

Как вы попали в тестирование безопасности?

В начале моей карьеры мне повезло работать в университете. В то время как я был представлен Usenet, а позднее нашел журна Phrack. Прочитав о безопасности, я стал одержим ею и с тех пор работаю в сфере безопасности.

Какой самый интересный эксплоит, уязвимость или находку, которую вы сделали?

Есть так много интересных эксплоитов. Тот, который был наиболее интересным, это слепая XXE. Потребовалось много работы и много удачи, чтобы обнаружить его. Прямо сейчас меня очень интересуют цепочки эксплойтов, т.е. как перейти от простого эксплоита, который не является большим открытием к серии эксплоитов, которые ведут к более высоким привилегиям.

Может быть трудно накопить знания и навыки, необходимые для того, чтобы стать хорошим хакером. Как вы научились этим навыкам?

Я думаю, что это более затратно по времени нежели сложно. Нет какой-то одной вещи, которой достаточно научиться и стать экспертом. Вы должны посвятить огромное количество времени и усилий для накопления экспертизы. Моя страсть к безопасности сослужила мне хорошую службу и заставила меня продолжать учиться. Я всегда читал о безопасности и обучался. Я думаю, что участие в CTF на ранней стадии через OpenToAll помогло узнать о большом количестве ресурсов.

Какие рекомендации вы могли бы дать другим, кто заинтересован в получении дополнительной информации о безопасности и взломе?

Я считаю, что вы всегда должны читать, слушать и следить за безопасностью. Имеется огромное количество информации. Главное ограничить поток информации, чтобы избежать выгорания.

Для новых людей, которые заинтересованы во взломе и пен-тесте я бы рекомендовал следующий путь:

1. Выбрать между безопасность сетей и веб-приложений. В конечном итоге, вы будете заниматься в двух направлениях, но в начале нужно выбрать одно.

2. Возьмите пару книг по теме и прочитайте.

3. Начните работать с игровых сайтов вроде root-me.org или ringzer0ctf.com. Так же есть много других сайтов, которые имеют большой спектр проблем. Выясните какие категории действительно привлекают вас.

4. Присоединитесь к команде CTF. Что-то вроде OpenToAll. Это фантастическое сообщество и возможность обучаться. Зарегистрироваться можно здесь https://opentoallctf.github.io/. Конечно, вы можете создать свою собственную команду.

5. Ломайте машины с Vulnhub

6. Начните работать с машинами на HackTheBox.

После того как вы взломаете 20-30 машин, вы должны сдать экзамен вроде OSCP.

Какие бы рекомендации вы дали людям, заинтересованным в развитии своих хакерских навыков?

1. Продолжайте учиться и не сдавайтесь. Это займет много времени. Ничего страшного.

2. Присоединитесь к группе безопасности в вашем городе или в интернете. Не забывайте о том, что вы можете начать один.

3. Есть много сообществ по теме. Найдите те, которые вам подходят.

4. Ходите на местные конференции. Я рекомендую более мелкие для начала, особенно любые BSides.

5. Тренируйтесь при любой возможности. Организуйте сами тренинг если не можете позволить себе.

6. Добровольно участвуйте в сообществе по безопасности или конференциях.

7. Найдите наставника или пару людей, которые могут дать вам советы, когда они вам нужны. Вы можете обратиться к своему сообществу для этого. Также подумайте о создании группы поддержки.