Студент ИТ-колледжа получил похвалу от Oracle за обнаружение уязвимостей

Oracle похвалила Ле Ми Куинь, старшекурсника колледжа информационной безопасности из Ханоя, за обнаружение четырех основных уязвимостей в крупнейшей в мире компании по управлению базами данных.

«Привет всем, меня зовут Куинь. Я старший специалист в Академии методов криптографии в Ханое, занимаюсь исследованием безопасности и занимаюсь изучением уязвимостей в платформе Java».

Так Куинь представила себя на вебинаре по безопасности в октябре прошлого года.

За последние пять лет 23-летней девушке пришлось повторять это вступление во время многих лекций, поскольку мало кто думал, что девушка в возрасте чуть более 20 лет сможет обнаружить до четырех уязвимостей с высокой степенью серьезности менее чем за год, превратив ее в любимца. спикер на различных мероприятиях по информационной безопасности.

Четыре распространенных уязвимости и воздействия (CVE), общий термин для уязвимостей безопасности, найденный Куинь, - это CVE-2020-14625, CVE-2020-14825, CVE-2020-2883 и CVE-2020-2798. Из них три уязвимости оцениваются экспертами Oracle WebLogic Server по степени серьезности в 9,8 балла из 10. Другие рейтингом 7.2.

Серверное приложение Oracle WebLogic используется десятками тысяч компаний по всему миру, принося миллиарды долларов дохода американскому технологическому гиганту. Если эти уязвимости не будут обнаружены на ранней стадии, они могут быть использованы хакерами и привести к непредсказуемым последствиям.

Поскольку Oracle ежеквартально публикует список уязвимостей и исправлений для своих продуктов, имя старшеклассника в прошлом году всплывало трижды.

Попадание на крючок случайно

Чтобы обнаружить ее самое первое CVE за две недели, Куинь потребовалось четыре года обучения и два месяца исследований.

Но она признала, что вошла в эту индустрию не из-за своей страсти или с конкретной целью, а просто нашла это «крутым».

«Я решила изучать информационные технологии, так как у меня всегда был любопытный ум, а в программе есть вариант обучения за рубежом», - вспоминает она.

Удивительно, но студентка первого курса колледжа, которая любит литературу и умеет играть на пианино, закончила учебу с хорошими результатами и получила стажировку за границей. Но когда она достигла своей первоначальной цели, Куинь поняла, что ей действительно нравится информационная безопасность, и позже решила продолжить работу в этой области.

В конце второго курса Куинь училась и искала мудрости у старших студентов колледжа, а позже получила стажировку в центре информационной безопасности государственной телекоммуникационной фирмы Vietnam Posts and Telecommunications Group (VNPT).

Когда в конце 2019 года она обнаружила первую уязвимость Oracle, она закричала от радости, но позже беспокоилась, что кто-то, возможно, обнаружил дефект перед ней.

По словам Куинь, это эмоции, которые она никогда не забудет, так как ее страсть принесла результаты и получила признание.

Мечтаю отправиться за границу

Чтобы найти уязвимость, специалисты по информационной безопасности, такие как Куинь, тратят месяцы на изучение проблемы и анализ обнаруженных уязвимостей. Так что сидеть перед компьютером по несколько десятков часов в день - не странное дело для этой девушки.

Несмотря на то, что найти проблему уже сложно, доказать, что это угроза, еще сложнее, поскольку сложнее всего написать коды для взлома системы.

«Точно так же, как говорят, что старый замок плохо защищает вещи. Нам также нужно показать, как злоумышленник потенциально может взломать замок», - объяснил Куинь.

Она сказала, что ИТ-инженер «должен действительно разбираться в программном обеспечении и уязвимостях», чтобы обнаружить CVE.

Все обнаруженные ею уязвимости относятся к Oracle WebLogic, написанному с использованием языка программирования Java.

Сосредоточившись и специализируясь на проблемах, связанных с сериализацией в Java, большинство уязвимостей, обнаруженных Quynh, связаны с этим механизмом. Некоторые ошибки можно найти за неделю, а на обнаружение некоторых может уйти до месяца.

После обнаружения может потребоваться несколько месяцев, чтобы придумать патч для исправления CVE, с решениями, необходимыми как можно скорее, чтобы минимизировать влияние на клиентов.

Куин заявила, что хочет стать влиятельным лицом в мировой индустрии информационной безопасности.

«Я хочу обнаруживать еще более серьезные уязвимости и стать профессиональным исследователем информационной безопасности. Я надеюсь, что однажды смогу выступить перед конференцией по безопасности мирового уровня».

Куинь каждый день по восемь часов работает в центре информационной безопасности VNPT, а по вечерам работает над дипломным проектом.

Несмотря на свой плотный график, она стремится вести более сбалансированный образ жизни на работе и вне ее.

«Я всегда стараюсь сохранять позитивный настрой и управлять своими задачами, при этом высыпаюсь и у меня есть свободное время, чтобы пообщаться с друзьями по выходным».

По словам Куина, поскольку процесс обнаружения и исправления уязвимостей не дает немедленных результатов, для исследователя информационной безопасности важно проявлять настойчивость.

Источник: VnExpress

• Вьетнам разрешил иностранным студентам и иностранным членам семьи въезжать во Вьетнам

• Первый вьетнамский студент получил международную премию в области микроэлектроники

• Российские власти поблагодарили вьетнамского студента за спасение 2 детей из замёрзшей реки