Marek Šottl – Hackitect #1: Hands-on Architect

Marek Šottl profesionálně začínal jako Test Automation Engineer v Air Bank – tedy málem. Na poslední chvíli se náplň práce změnila na Security specialistu a odtud už jedno vedlo k druhému. Marek je držitel řady certifikátů v cyber security, vývojář a architekt bezpečnostních systémů, ale zároveň také etický hacker a penetrační tester. Když může, tak i konzultuje a přednáší. Takovou kombinaci zaměření je nejen náročné zvládnout, ale i výstižně pojmenovat. Marek sám sebe popisuje slovem HACKITECT s podtitulkem „hands-on architect“. V následující minisérii vám přiblížíme, co si pod tímto pojmem představit, jaké jsou Markovy současné projekty a jak se dívá na úkol HR v cyber security.

Marku, na úvod obligátní otázka: Jak se z tebe stal cyber security engineer?

Kolik že dílů bude mít ten rozhovor? (smích) Na střední škole jsem byl nadšenec do PC her a měl jsem velké plány, chtěl jsem vyvíjet 3D hry. Šel jsem tedy do Brna studovat Computer Science na Mendelově univerzitě. Dostal jsem se na více vysokých škol včetně VUT v Brně a chvíli jsem si myslel, že zvládnu vystudovat všechno najednou. Brzo jsem ale vystřízlivěl a vybral jsem si podle oboru – na Mendelce měli specializaci na aplikovanou grafiku. Naučil jsem se pořádně programovat a psát objekty, což mě hodně bavilo a hodně mi to otevřelo hlavu. Stal se ze mě software engineer.

Po škole jsem měl nastoupit jako Test Automation Engineer do Air Bank, ale než jsem to stihl, pozici mi zrušili a nabídli mi místo ní práci Security specialisty. Dá se asi říct, že to byla životní výhybka.

A proměna do nové role asi neproběhla přes noc.

To rozhodně ne. V té době mě zajímal George Hotz (geohot.com) a jeho jailbreak iPhone (2009). Nějak to se mnou rezonovalo. Chtěl jsem vidět i na druhou stranu barikády kybernetické bezpečnosti. Vzal jsem to poctivě a zakousnul jsem se do prvního certifikátu, což byl Certified Ethical Hacker. Trvalo mi asi rok, než jsem se doma ve volných chvílích připravil – napsal jsem si vlastní laboratoře, ve kterých jsem si sám testoval zranitelné aplikace, zkoušel jsem si na nich různé nástroje a louskal do toho knížku za knížkou. Bavíme se o roce 2012, takže ještě neexistovaly kvalitní kurzy na Udemy a jiných online platformách, po kterých bych sáhl a měl přípravu trochu pohodlnější. Nakonec jsem si týden před zkouškou vzal volno, abych dostal do hlavy opravdu maximum.

Když se na to dívám dneska, můžu říct, že mi během kariéry pak hodně pomohly i zkušenosti ze zahraničí. Patřím mezi šťastlivce, kteří měli možnost pracovat v Jihoafrické republice, Číně, Německu nebo Španělsku. A věřím, že to je teprve začátek.

Byla s novým certifikátem potom tvoje práce snadnější?

Byla, ale ne díky samotné zkoušce, spíš díky té dlouhé přípravě. Když se podíváte na Indii – tam jede typický security engineer certifikace ve velkém, je schopný jich dát třeba i 10 ročně. V takovém množství se ale ztrácí přidaná hodnota. 99 % věcí, které bych u sebe označil za kariérní úspěch, jsem zvládl díky tomu, co jsem zkoušel sám navíc, doma. Experimenty ve vlastních labech, chyby a opravy. V práci jsem na to neměl čas. Logicky, banka ani žádná jiná rozumná společnost nebude chtít platit člověka, který si bude v pracovní době dělat rešerši.

I když by to třeba bylo v jejich zájmu…

Ani velké firmy nemají peníze na všechno. Stává se mi docela běžně i teď, že narazím na skvělý nápad, který by nás posunul, ale musely by se do toho investovat nejen peníze, ale i čas a lidi: „Mám tady krásný open source na skenování Terraform kódu.“ Než to stihnu doříct, už naskakují otázky – kdo ho bude spravovat, kdo ho bude udržovat, kam ho zařadíme do procesu? Když to zrovna není priorita, musí se to hodit na hromádku s nápady do budoucna.

Pracuješ tedy in-house, nebo i na volné noze?

Vytvořil jsem si vlastní pracovní model. Možná to zní šíleně, ale mám několik prací, na IČO i HPP. Na HPP pracuju jako cloud inženýr v Revolgy, kde máme takzvanou „remote-first“ kulturu. Před rokem a půl jsem si ale najal kouče, který mi pomohl najít v diáři místo i na všechny moje ostatní zájmy. Na IČO tedy dělám konzultace, pentesting, cloud assessment nebo tréninky – například spolupracuju se školou, kde učím bezpečný vývoj aplikací. Občas si vezmu volno, občas si něco napracuju dopředu. Nikdy se nenudím a jako bonus mám dobrý pocit z práce, která není monotónní.

Kybernetická bezpečnost je rozsáhlá oblast. Kam by ses zařadil?

To je pravda, je obrovská. Dá se rozdělit na tři hlavní proudy nebo anglicky „streamy“, kde jeden je defenzivní, druhý ofenzivní a třetí konzultantský nebo architekturní. Podle toho, jaký stream si daný security engineer vybere, bude získávat i příslušné certifikáty. Já jsem osobně přecházel z automatizace testování do ofenzivního streamu. V rámci jednotlivých releasů nového softwaru jsme potřebovali testovat bezpečnost. Často jsme dělali pentesty s externími dodavateli, kteří něco našli a dali nám to na re-test a na opravu. Spolupracoval jsem hodně úzce s vývojáři, byl jsem součást jejich sprintů.

Teď už se ale nespecializuji jenom na ofenzivní testování. Nikdy jsem nechtěl, aby se na mě lidi dívali jenom jako na penetračního testera. Jedna HR slečna mi kdysi pomohla si uvědomit, že obecné vnímání je „tester jako tester“ a podle toho vypadá i nabízená odměna. Pentester toho ale musí mít v malíčku hodně – Windows Internals, Linux kernel, musí umět programovat nebo alespoň kódovat, musí rozumět webovým aplikacím a spoustu dalšího.

Mám pocit, že se blížíme k Hackitectovi.

Protože nejsem striktně ani pentester, ani architekt, ani jen konzultant, dal jsem dohromady hybridní slovo „Hackitect“, které vlastně obsahuje dvě věci: hacking architect a hands-on architect. Hands-on architect (tak, jako to myslím já) znamená, že buduju automatizační systémy, které boří jiné systémy. Moje systémy pracují v cloudu a provádějí source code review, dynamickou analýzu aplikací a pak chaos testing (což je DevOps princip, který používá Netflix). Programuju, konfiguruju, ale taky rád pomáhám s osvětou jako lektor. Myslím, že nejsem zdaleka jediný, kdo si nevystačí s jednou nálepku. A věřím, že to ani není žádoucí.

„I never liked it when they tried to put me in a box or corporate charts. Don’t let it happen to you either. Everyone has to find the right way to use and define their talent. And the hours on the clock when you start your work and finish it are when all corpo-roles are long gone.”

 

V dalším díle rozhovoru se ptáme Marka na certifikáty, které by poradil začínajícím bezpečnostním inženýrům, a na jeho celkový pohled na situaci HR v cyber security.

 

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Scroll to top