Тексти

Творці «Дії» обіцяють мільйон хакерам, які знайдуть вразливості в додатку. А так можна? Можна! Послугами «білих» хакерів давно користуються Facebook, SpaceX та інші компанії. Пояснюємо, як це працює, разом із Redwerk

Автори:
Яна Собецька, Євген Спірін
Дата:

Ferrum Alien / «Бабель»

Цього літа Міністерство цифрової трансформації запустило другий етап bug bounty. Він ще триває. Організація обіцяє винагороди «білим» хакерам, які зможуть знайти вразливості в додатку «Дія». Грошовий фонд — мільйон гривень. Це звичайна практика, коли державні організації та приватні компанії користуються послугами «білих» хакерів. Bug bounty роками організовують Facebook, Google, Uber, SpaceX. Проте в Україні такі програми поки що не надто популярні. «Бабель» разом із Redwerk пояснюють, що таке «білий» хакінг і наскільки він поширений в Україні та світі.

За останні пів року світ зіткнувся з цілою низкою зламів і витоків даних. У червні хакери виставили на продаж дані 700 мільйонів користувачів LinkedIn — це 92% від усієї аудиторії платформи. Потім — зламали Electronic Arts і отримали доступ до 780 гігабайтів даних, зокрема до вихідного коду, який використовується в іграх FIFA, Battlefield і Madden. У серпні зловмисники викрали дані понад 40 мільйонів клієнтів американської компанії Т-Mobile. А минулого місяця — отримали доступ до ігрової платформи Twitch. У руках хакерів опинилися вихідний код і дані про заробіток стримерів.

Усе це далеко не збіг обставин. Щороку кількість кіберзлочинів збільшується. Збитки від них зростають. Якщо у 2018 році вони становили $1,5 трильйона, то у 2020-му — понад $3 трильйони. Американські дослідники прогнозують, що з 2025 року кіберзлочинність щороку завдаватиме понад $10,5 трильйона збитків.

Ferrum Alien / «Бабель»

Компанії все більше замислюються над тим, як захистити свій продукт від кібератак. Розробити повністю захищену від зламу програму — складно. У Redwerk, українському агентстві з розробки програмного забезпечення, кажуть, що майже кожен продукт, який потрапляє на тестування, має вразливості. Це означає, що навіть невеликим компаніям потрібні спеціалісти, які зможуть виявляти слабкі місця в захисті ще до офіційного релізу.

Таких фахівців називають пентестерами, а ще — «білими» або «етичними» хакерами. На відміну від кіберзлочинців вони зламують системи не для того, аби вкрасти та продати дані, а намагаються зробити їх більш захищеними.

У світі заведено ділити хакерів за кольорами капелюхів, які вони «носять». Є три основні категорії. «Чорні» хакери, або black hat, тобто «чорний капелюх». Вони — основне зло. Це ті хакери, які використовують свої навички для того, щоб отримувати прибуток якимись незаконними методами: злам комп’ютерних систем, крадіжка інформації, кібершпіонаж. «Сірі» хакери, або grey hat — це ентузіасти, які не намагаються навмисне комусь нашкодити, але й не дотримуються суворого етичного кодексу чи моралі. «Білі» хакери більш відомі у світі як «етичні» хакери. Вони працюють аудиторами та консультантами з кібербезпеки, а також активно виступають за правовий світ.

Максим Залива, спеціаліст із кібербезпеки компанії Redwerk

«Білі» хакери працюють консультантами з кібербезпеки в аудиторських та ІТ-компаніях. Або беруть участь у спеціальних bug bounty як фрілансери. Такі програми працюють на бартерній основі. Розробники пропонують винагороду хакерам, які зможуть знайти небезпечні вразливості в їхній програмі. Що складніший баг, то більша винагорода. Тому хакери намагаються знайти якомога серйозніші помилки.

Перші bug bounty виникли наприкінці минулого століття. Ще у 1983 році американська компанія Hunter & Ready запропонувала всім охочим протестувати на вразливості свою операційну систему VRTX. Тим, хто зможе виявити найгіршіі помилки, обіцяли Volkswagen Beetle або $1 000. Акцію рекламували у ЗМІ під слоганом Get a bug if you find a bug («Отримай «жука» якщо знайдеш баг»).

Через 12 років практика стала офіційною. У 1995 році Netscape Communications змагалася за першість з Microsoft і випустила нову версію Netscape Navigator — першого браузера, доступного звичайним користувачам. Бета-версія містила багато багів. Один з інженерів — Джарретт Рідлінгхафер — помітив, що його колеги навіть у вільний час шукають помилки та розповідають на форумах, що з ними можна зробити. Джаррет запропонував керівництву платити за таку роботу. Netscape Communications запустила bug bounty. Загальний грошовий фонд становив $50 тисяч.

Після цього практику почали переймати інші компанії. У 2002 році це зробила iDefense — організація, яка виявляла кіберзагрози в сервісах інших компаній. У 2004 Mozilla Community — за допомогою bug bounty тестували браузер Mozilla Firefox. Обидві компанії обіцяли учасникам до $500. У 2010 році програму співпраці з «етичними» хакерами запустили в Google. Вона була настільки успішною, що згодом bug bounty почали організовувати інші відомі компанії — Microsoft, Facebook, Netflix, Uber і навіть Pornhub.

Виникли спеціальні платформи, де замовники можуть зустрічатися з «білими» хакерами напряму. Найвідомішу — HackerOne — у 2012 році створили хакери Джоберт Абма та Міхіль Прінс із Нідерландів. За останні 9 років на ній зареєструвалися понад мільйон спеціалістів з комп’ютерної безпеки. Лише за останній рік хакери платформи заробили понад $ 40 мільйонів. Існують і менші платформи — наприклад, Yes we hack, Bugcrowd, Hackerproof.

Ferrum Alien / «Бабель»

На них можна знайти переважно американські та європейські компанії, але є й українські. На HackerOne є PrivatBank і Grammarly. PrivatBank обіцяє «білим» хакерам до $1 000 за вразливість. Grammarly — $500 за простий баг і до $25 тисяч за «критично важливий».

У 2020 році за допомогою власного сервісу bug bounty запустила Prozorro. Максимальна винагорода — 28 тисяч гривень. Подібну програму організувало й Міністерство цифрової трансформації. Зараз триває другий етап. Творці «Дії» пропонують хакерам $200—250 за мінімальну вразливість і $4 100—4 500 за критичну. Загальний грошовий фонд — мільйон гривень ($35 тисяч).

Українські bug bounty не надто прибуткові, проте досвідчені хакери можуть отримувати чималі прибутки. Лише у 2020 році дев’ять хакерів Hacker One заробили по мільйону доларів.

Однак досягти успіху як фрілансер непросто. Виявити складні баги, які добре оплачуються, вдається не завжди. Прибуток таких спеціалістів нестабільний. До того ж «білим» хакерам потрібно пильнувати, щоб їхня діяльність була законною.

Не можна просто знайти помилку в коді, а потім звернутися до компанії за винагородою. Якщо в умовах bug bounty йдеться про те, що компанія готова платити лише за вразливості у протоколі, потрібно шукати саме їх. У багатьох країнах за несанкціонований злам комп’ютерних систем можна отримати штраф або навіть потрапити до в’язниці. Україна не виняток. За це відповідають одразу кілька статей Кримінального кодексу: 361, 361—1 і 361—2.

Ferrum Alien / «Бабель»

Найкращий варіант — влаштуватися у відділ пентестингу. Такі відділи створюють не лише великі ІТ-компанії, але й менші організації, які активно розвиваються. Наприклад, Redwerk.

У Redwerk одночасно можуть розробляти як систему голосування для Європарламенту, так і «розумний» green-tech додаток.

Робота в такій компанії захищає від проблем із законом, адже в умовах контракту чітко прописано, що може робити тестувальник. А ще — дозволяє постійно розвиватися та вдосконалювати свої навички, працюючи над різноманітними проєктами.

Фахівець отримує стабільну заробітну плату, яка не залежить від того, скільки він знайшов багів, і користується корпоративними перевагами на кшталт безкоштовних ланчів, абонементу до спортзалу, медичного страхування.

У Redwerk те, що ти хакер, не заважає тобі їздити на літній корпоратив до Туреччини разом з усією командою.

На тлі пандемії коронавірусу, коли дедалі більше бізнесів переходять в онлайн, попит на фахівців з кібербезпеки зростає. У жовтні 2018 року на сайті одного з найпопулярніших українських ІТ-порталів DOU було лише 29 «безпекових» вакансій, у жовтні 2021-го — 83. У майбутньому тенденція лише посилюватиметься. За даними MarketsandMarkets, зараз глобальний ринок пентестингу оцінюють у $1,6 мільярда. Через 5 років ця сума зросте до $3 мільярдів.

Консалтингові агентства, які надають послуги аудиту, провідні ІТ-компанії та менші організації активно шукають спеціалістів, які зможуть захистити їхній продукт від зламу. Деякі компанії переконані, що найкращими фахівцями з кібербезпеки стають люди, які в минулому були «чорними» або «сірими» хакерами.

В ідеальному світі хороший «білий» хакер має з’явитися з «чорного». Спочатку треба на реальних прикладах навчитися щось зламувати, а вже потім — переосмислити себе і піти в «білий» хакінг.

Максим Залива, спеціаліст із кібербезпеки компанії Redwerk

Вони вважають, що саме колишні хакери найкраще знають, як зробити, щоб продукт не зламали, і готові пропонувати їм роботу.

Інші ставляться до них насторожено та намагаються не винаймати «чорних» і «сірих» хакерів, аби не зашкодити своїй репутації. Однак насправді освоїти професію «білого» хакера можна законно, як і будь-яку іншу професію в ІТ.

Як стати «білим» хакером (поради від спеціаліста з кібербезпеки компанії Redwerk Максима Заливи):

У Redwerk діє гнучка система компенсації навчання для всіх спеціалістів.

Якщо ви хочете спробувати себе в ролі «білого» хакера і не тільки, у Redwerk є багато вакансій.

Ferrum Alien / «Бабель»