Россиянам предложили зарабатывать на легальном хакерстве. Как это работает
Из-за бегства из России тысяч IT-специалистов и ухода крупных зарубежных компаний, в том числе из сферы кибербезопасности, в стране образовались дефицит кадров и угроза ослабления «цифровой обороны». Минцифры предложило справиться с этим, поддержав белых хакеров, находившихся раньше где-то на периферии в роли фрилансеров. Для этого придётся создать отечественные платформы для поиска уязвимостей и выплаты вознаграждений энтузиастам. Как изменится роль белых хакеров в подсанкционной России, как зарабатывают на «взломах» и насколько это легально — в материале «Секрета».
Кто такие белые хакеры и почему их не ищет киберполиция
В массовом сознании понятие «хакер» часто ассоциируется с какими-то полуподвальными помещениями со множеством компьютеров, за которыми сидят злые и коварные люди в балаклавах — именно так рисуют хакеров на различных фотостоках. В реальности это люди, неотличимые от прочих «айтишников-удалёнщиков». Но вот между собой они действительно различаются — методами и целями работы.
Хакеры-киберпреступники — это те, кто обратил свои навыки в сфере информационных технологий для получения выгоды за счёт обмана, шантажа и вреда другим интернет-пользователям и компаниям. Киберпреступники создают и распространяют вирусы всех мастей, взламывают аккаунты, крадут персональную информацию и деньги, а также ищут уязвимости в корпоративных сетях, с помощью которых можно застопорить работу предприятий и вымогать деньги за разблокировку.
Но поиском уязвимостей можно заниматься и в благих целях. Этичные, или белые, хакеры за вознаграждение или из чистого энтузиазма помогают компаниям находить и устранять бреши в их защите и продуктах для пользователей. При этом белые хакеры стараются не наносить вреда своим взломом: например, они не будут проверять устойчивость к DDoS-атакам в разгар рабочего дня или использовать найденную уязвимость для блокировки систем и IT-продуктов.
Хакеров-плохишей также называют black hats — «чёрные шляпы», в то время как этичные хакеры носят название white hats — «белые шляпы». Пресловутые балаклавы грабителей тут ни при чём — термин пришёл в эту сферу из вестернов, где хорошие парни носили светлые ковбойские шляпы, а плохие — чёрные.
Кроме белых и чёрных, нередко встречаются серые хакеры — gray hats. Они взламывают системы без преступных намерений, но далеко не всегда при этом действуют по запросу компаний. При этом, если им в руки попадутся данные, которые можно продать или выгодно использовать, они не преминут это сделать. Белые хакеры без официального объявления компании об участии в программе вознаграждения искать уязвимости не полезут — даже если взломщик никак не использовал попавшую ему в руки информацию и не принёс значительного вреда корпоративной сети, компании, которые не просили о таком виде услуг, вполне могут подать на него в суд.
Внутри хакерского сообщества есть и другие цветовые маркеры. Например, «зелёными шляпами» называют хакеров-новичков, которые активно учатся практиковать хакинг на специальных ресурсах, но пока не обладают опытом и навыками для самостоятельного плавания. «Синими шляпами» называют тех, кто разово решил взломать кого-то из мести и не интересуется хакингом за пределами этой задачи. А «красные шляпы» сделали своей целью поиск и наказание чёрных хакеров.
Как стать белым хакером
Белыми хакерами обычно становятся люди с образованием в сфере компьютерных наук и информационной безопасности. Нередко они учатся хакингу самостоятельно по открыто публикуемым на профильных ресурсах методичкам и по отчётам о выявленных уязвимостях.
Существуют даже книги, обучающие этичному хакингу. Среди них:
- Jon Erickson, Hacking: The Art of Exploitation;
- Patrick Engebretson, The Basics of Hacking and Penetration Testing;
- Peter Kim, The Hacker Playbook;
- Georgia Weidman, In Penetration Testing;
- James Corley, Hands-On Ethical Hacking and Network Defense.
Но с учётом того, как быстро меняется ландшафт в сфере информационных технологий, любая книга и методичка на эту тему устаревают раньше, чем дописываются. Чтобы отвечать современным вызовам, гораздо важнее постоянно заниматься собственными исследованиями, обмениваться опытом и изучать чужие кейсы.
Какого-то специализированного образования для белых хакеров нет. Как правило, это самоучки или продвинутые эксперты в области Computer Science или Cybersecurity. У каждого своя история. В основном белые хакеры — это люди, интересующиеся технологиями, разработкой, анализом программного кода. Кто-то мог попробовать себя на тёмной стороне, но понял, что у него нет желания нарушать закон, всю жизнь бояться и прятаться. По сути, белый или этичный хакер и есть специалист по кибербезопасности. Формальное отличие в том, что специалист по кибербезопасности в классическом понимании проектирует защитную инфраструктуру и защитные технологии, в том время как белый хакер пытается найти в этих системах уязвимости в этических и законных целях.
Вместе с тем не все компании согласны иметь дело с дилетантами на постоянной основе. Для того чтобы стать тестировщиком в крупной компании, занимающейся кибербезопасностью, свои умения нужно подтвердить. Отвечая запросам рынка на различных профессиональных и образовательных ресурсах, таких как HackerOne, SkillFactory, Coursera и других как грибы появлялись специализированные курсы, которые предлагали научить этичному хакингу с нуля.
С подобными курсами за спиной и практическими навыками уже можно попробовать свои силы не только в свободном плавании.
(Для компаний) нет профессии «белый хакер», есть «специалист по тестированию на проникновение», или «пентестер». Без профессионального образования крайне сложно попасть на эти ставки, ведь для этого нужны как минимум знания основ кибербезопасности, умение работать с инструментами для проведения пентестов, знание векторов атак. Также необходимо постоянно развиваться и подтверждать навыки в международных центрах сертификации.
Конечно, чтобы участвовать в программах, не нужны международные сертификаты, но скорость нахождения уязвимостей тесно связана с прокачкой знаний и опыта. Платформы Bug Bounty (вознаграждения за поиск уязвимостей. — Прим. ред.) — это отличный инструмент для тренировки и дополнительная строчка в резюме, если уязвимость была найдена.
Что такое программа Bug Bounty: компании-участники формируют свои правила, в которых обычно указаны срок программы и денежное вознаграждение в зависимости от типа найденной уязвимости. После того как независимый исследователь нашёл уязвимость, он должен сформировать отчёт по прописанным в программе условиям и сдать его на проверку через платформу. Далее проходит валидация, и, если компания признаёт уязвимость, исследователю перечисляют средства. На платформе публикуется много программ с разной стоимостью уязвимостей, и у багхантера всегда есть выбор. Нередки случаи, когда ребят приглашают в штат пентестерами те компании, для которых эти уязвимости были найдены.
Тестирование уязвимостей — на порядок менее сложная работа, чем защита от возможных угроз. Чтобы взломать сеть, достаточно знать одну работающую методику и одну уязвимость, а чтобы её защитить — все возможные способы взлома, которыми её могут протестировать на прочность.
Именно поэтому задачи по поиску багов компании нередко предпочитают отдавать на аутсорс энтузиастам — выплатить разовое вознаграждение за одну найденную уязвимость дешевле, чем постоянно держать на зарплате специалиста, который в случае правильно выстроенной защиты брешь может и не найти.
У нас в пентесте работают специалисты, которые могут оценивать безопасность существующих продуктов и процесса их разработки, исследовать пререлизные версии продуктов по заказу разработчика, проводят тестирование на проникновение, например в сеть заказчика и т. д. Работа в большой компании позволяет обратиться к коллегам, специализирующимся на узких областях, собрать команду под конкретный проект.
При этом держать личный штат белых хакеров внутри какой-то организации нужно далеко не всем крупным компаниям. Чаще всего такими ресурсами и компетенциями обладают вендоры, специализирующиеся на информационной безопасности. Классический белый хакер, если можно так сказать, скорее одиночка.
Несмотря на существующее мнение, что в вольные белые хакеры идут недоучки, которым не хватает мастерства, чтобы официально работать в кибербезопасности, на деле такой закономерности нет. Неверным было бы и считать, что белыми хакерами становятся те, кто по своим способностям не дотягивает до чёрных.
Различия между чёрными и белыми хакерами лишь в том, какую сторону выбрал человек. Мы не можем утверждать, кто «круче» или «слабее». Просто белый хакер выбрал легальный, этический путь реализации своих способностей. В сфере кибербезопасности работает множество высококлассных экспертов, они помогают совершенствовать системы безопасности, гарантировать защищённость различных решений.
Независимыми исследователями нередко выступают люди с профильным образованием в сфере кибербезопасности. Многие ребята, которые трудоустроены, также являются участниками программ Bug Bounty. Конечно, у каждого исследователя за плечами разный опыт. Это своего рода тестирование на проникновение, где можно принять участие, пройдя регистрацию на платформе. Компании видят ценность: это простой способ для построения процесса непрерывного поиска уязвимостей и свежий взгляд на защищённость без увеличения штата сотрудников.
В целом же набор инструментов и методов, которые используют пентестеры, чёрные и белые хакеры, схож. Это публичные и платные хакерские утилиты и программы для пентеста, которые работают как «продукты двойного назначения» — и для взлома, и для поиска уязвимостей с целью улучшения безопасности. Киберпреступники, правда, зачастую оказываются в более выгодном положении за счёт выхода на чёрные рынки, где можно купить новые и ещё неизвестные защитникам программы и методики взлома. Но рано или поздно выявляют и их.
Иногда уязвимость находится почти случайно, а иногда хакеры всерую берутся исследовать защиту интересующих систем и проверять наличие брешей. Найдя уязвимость, рекомендуется сразу сообщить о ней владельцу продукта, сайта или сети, не публикуя эту информацию в открытый доступ до тех пор, пока ошибка не будет исправлена.
При этом неэтичным считается требовать деньги в первом же письме, особенно если какое-либо вознаграждение за поиск уязвимости в официальных материалах компании не фигурирует. А вот обсудить премию, когда владелец убедится в реальности обнаруженной угрозы, вполне реально — многие идут навстречу и поощряют энтузиастов за помощь.
Где ищут заказы
Долгое время одним из самых популярных и востребованных ресурсов у белых хакеров всего мира, в том числе из России, была международная платформа HackerOne. На ней представлены программы Bug Bounty от многих крупных IT-компаний.
Российские игроки, в том числе «Яндекс», «Лаборатория Касперского», VK и Тинькофф банк предлагали вознаграждения именно через этот агрегатор. Для компаний такие программы — это шанс избежать многомиллионных затрат и репутационного ущерба в случае реального взлома.
Однако с началом военных действий на Украине HackerOne, чей головной офис базируется в Сан-Франциско, отказалась выплачивать заслуженные вознаграждения хакерам из России и Белоруссии, мотивируя это санкциями. Их награды платформа пообещала придержать или перечислять Детскому фонду ООН (ЮНИСЕФ).
А 25 марта компания объявила о приостановке возможности участия в программе Bug Bounty для российской «Лаборатории Касперского» на неопределённый срок. Как пояснила компания в своём твиттере, страница вознаграждения «Лаборатории Касперского» стала недоступна для исследователей, а существующие средства и обсуждения зарегистрированных уязвимостей оказались заморожены.
С уходом крупнейшей посреднической площадки перед вольными пентестерами из России и Белоруссии остро встал вопрос о том, как продолжать работу в условиях санкций. Есть альтернативные западные площадки, но с ними точно так же есть сложности в проведении транзакций в подсанкционные страны. Так что исследователям российских систем остаётся вручную искать программы вознаграждений непосредственно от компаний.
Ситуация осложнилась и для владельцев корпоративных сетей, ведь многие игроки из сферы кибербезопасности также покинули российский рынок, а IT-специалисты массово начали эмигрировать из страны. В итоге умельцев, способных закрывать дыры и искать бреши в информационных защитах, стало сильно меньше, а оставшиеся потеряли удобный способ связи с потенциальными заказчиками.
Чтобы как-то мотивировать российских айтишников оставаться и работать на родине, правительство задумалось об их господдержке. Позднее Минцифры заявило о готовности поддержать также белых хакеров и распространить на них те льготы, которые ранее ввели для IT-специалистов. Кроме того, министерство предложило ввести прямую финансовую поддержку и субсидировать программы Bug Bounty и проведение пентестов для крупных компаний, которые будут пользоваться услугами белых хакеров.
Между тем российские IT-компании уже готовятся импортозаместить ушедший HackerOne. В 2022 году в России планируется запуск сразу трёх платформ Bug Bounty: от компаний кибербезопасности «Киберполигон», BI.ZONE и Positive Technologies (PT).
Рынок информационной безопасности в России быстро меняется: «плохие» хакеры становятся профессиональнее, поэтому бизнесу нужно уметь соответствовать их навыкам, с точки зрения защиты. Если раньше свои программы вознаграждений объявляли 1-2 компании в год, то в последнее время их все больше. И эта тенденция будет только расти. В основном, это IT-компании, e-commerce, банки, финтех и т.п.
Для исследователя не так важно, кому принадлежит платформа. В приоритете — клиенты, которые разместили свою программу, количество целей для поиска уязвимостей и удобство получения вознаграждений. Если при разработке и построении бизнеса учитывать эти три фактора, то вполне можно рассчитывать на позитивный результат.
Услуги пентестеров были востребованы всегда. Число найденных в рамках программ Bug Bounty уязвимостей ежегодно растёт в среднем на 34%, по данным международных организаций. Только в России в начале 2022 года мы насчитывали около 15 компаний, открывших программы Bug Bounty.
Со стороны независимых исследователей спрос есть. Мы рассчитываем, что уже на первых этапах сможем привлечь на платформу не менее 200 багхантеров, заинтересованных в участии в программах.
Для этичного хакера проще и надёжнее всего браться за поиск уязвимостей только в том случае, если компания участвует в программе Bug Bounty. При этом надо внимательно читать условия.
Часто компании в своих программах публикуют благодарности конкретным исследователям, что может быть приятным дополнением к деньгам, но иногда благодарностью дело и ограничивается.
Кроме того, берясь за ту или иную работу, надо понимать, что кто-то из коллег может успеть справиться с ней раньше. Как пояснил представитель Positive Technologies Ярослав Бабин, чаще всего на таких платформах реализуется принцип «кто первый, тот и прав», хотя иногда компании делят вознаграждения между исследователями, одновременно обнаружившими уязвимость.
Пока остаётся неопределённость и с тем, как будет (и будет ли) организована поддержка подобных программ от Минцифры. Однако участники рынка сходятся во мнении, что проявление государством интереса к этой индустрии — хороший сигнал.
А что по деньгам?
Уровень заработка белого хакера зависит не только от того, сколько времени он готов тратить на свои занятия, но и от удачи. По отзывам тех, кто работает в этой индустрии, вполне реально заработать $500 за пять минут работы, но до этого можно потратить часы на поиск перспективной для взлома системы, выгодной программы и собственно уязвимости.
В среднем заработок таких специалистов колеблется от $3000 до $50 000 в месяц, если заниматься этим целенаправленно и выбирать самые «лакомые» заказы. По данным платформы HackerOne, в 2021 году в среднем за уязвимость малой опасности выплачивали $150, за среднюю — $500, а за критическую уязвимость — $3000.
Но иногда удаётся сорвать джекпот. Например, в феврале 2022 года за найденную ошибку в блокчейн-системе Ethereum, позволявшую создавать бесконечное количество токенов, хакеру выплатили рекордное вознаграждение, эквивалентное $2 млн. Аналогичную сумму в 2021 году выплатил за обнаруженную уязвимость проект протокола Polygon.
Проведённое в 2018 году масштабное исследование HackerOne показало, что деньги — далеко не главная мотивация этических хакеров. Она заняла лишь четвёртое место по популярности причин работы взломщиков, а для большинства хакеров важнее возможность изучения технологий и хитростей работы, возможность решать интересные задачи и получать удовольствие. При этом зарабатывают такие хакеры в среднем в 2,7 раза больше, чем их коллеги-программисты, и, по словам представителя «Лаборатории Касперского», спрос на них от кризисов не зависит.
В конечном итоге белое хакерство может стать довольно выгодным хобби или даже основной профессией. Но сейчас всё будет сильно зависеть от того, в какую сторону перестроится рынок и останется ли у российских энтузиастов возможность участвовать в программах Bug Bounty от зарубежных IT-компаний.
Так что даже при увеличенном вознаграждении заработки на этом поприще могут сдвинуться и в большую, и в меньшую сторону. А пока специалисты по IT-безопасности остаются в России редкими и ценными кадрами.
Коллаж: «Секрет фирмы», freepik.com