Тексты

Создатели «Дії» обещают миллион хакерам, которые найдут уязвимости в приложении. А так можно? Можно! Услугами «белых» хакеров давно пользуются Facebook, SpaceX и другие компании. Объясняем, как это работает вместе с Redwerk

Авторы:
Яна Собецкая, Евгений Спирин
Дата:

Ferrum Alien / «Бабель»

Этим летом Министерство цифровой трансформации запустило второй этап bug bounty. Он еще не окончен. Организация обещает вознаграждения «белым» хакерам, которые смогут найти уязвимость в приложении «Дія». Денежный фонд — миллион гривен. Это обычная практика, когда государственные организации и частные компании пользуются услугами «белых» хакеров. Bug bounty годами организуют Facebook, Google, Uber, SpaceX. Однако в Украине такие программы пока не очень популярны. «Бабель» вместе с Redwerk объясняют, что такое «белый» хакинг и насколько он распространен в Украине и мире.

За последние полгода мир столкнулся с рядом взломов и утечек данных. В июне хакеры выставили на продажу данные 700 миллионов пользователей LinkedIn — это 92% всей аудитории платформы. Затем взломали Electronic Arts и получили доступ к 780 гигабайтам данных, в том числе к исходному коду, который используется в играх FIFA, Battlefield и Madden. В августе злоумышленники украли данные более 40 миллионов клиентов американской компании Т-Mobile. А в прошлом месяце получили доступ к игровой платформе Twitch. В руках хакеров оказались исходный код и данные о заработке стримеров.

Все это не просто стечение обстоятельств. С каждым годом количество киберпреступлений увеличивается. Ущерб от них возрастает. Если в 2018 году он составлял $1,5 триллиона, то в 2020-м — больше трех. Американские исследователи прогнозируют, что с 2025 года киберпреступность будет ежегодно причинять ущерб на более чем $10,5 триллиона.

Ferrum Alien / «Бабель»

Компании все больше задумываются о том, как защитить свой продукт от кибератак. Разработать полностью защищенную от взлома программу сложно. В Redwerk, украинском агентстве по разработке программного обеспечения, говорят, что почти у каждого продукта, который попадает на тестирование, есть уязвимость. Это значит, что даже небольшим компаниям нужны специалисты, которые смогут выявлять слабые места в защите до официального релиза.

Таких специалистов называют пентестерами, а еще — «белыми» или «этичными» хакерами. В отличие от киберпреступников они взламывают системы не для того, чтобы украсть и продать данные, а пытаются сделать их более защищенными.

В мире принято делить хакеров по цвету шляп, которые они «носят». Есть три основных категории. «Черные» хакеры, или black hat, то есть «черная шляпа». Они — основное зло. Это те хакеры, которые используют свои навыки для того, чтобы получать прибыль незаконными методами: взлом компьютерных систем, кража информации, кибершпионаж. «Серые» хакеры, или grey hat — это энтузиасты, которые не пытаются умышленно кому-то навредить, но и не придерживаются строгого нравственного кодекса или морали. «Белые» хакеры более известны в мире как «этичные» хакеры. Они работают аудиторами и консультантами по кибербезопасности и активно выступают за правовой мир.

Максим Залива, специалист по кибербезопасности компании Redwerk

«Белые» хакеры работают консультантами по кибербезопасности в аудиторских и ИТ-компаниях. Или участвуют в специальных bug bounty как фрилансеры. Такие приложения работают на бартерной основе. Разработчики предлагают вознаграждение хакерам, которые смогут найти опасные уязвимости в их программе. Чем сложнее баг, тем больше вознаграждение. Поэтому хакеры пытаются найти самые серьезные ошибки.

Первые bug bounty появились в конце прошлого столетия. Еще в 1983 году американская компания Hunter&Ready предложила всем желающим протестировать на уязвимости свою операционную систему VRTX. Тем, кто сможет обнаружить самые серьезные ошибки, обещали Volkswagen Beetle или $1 000. Акцию рекламировали в СМИ под слоганом Get a bug if you find a bug («Получи «жука», если найдешь баг» ).

Спустя 12 лет практика стала официальной. В 1995 году Netscape Communications соперничала за первенство с Microsoft и выпустила новую версию Netscape Navigator — первого браузера, доступного обычным пользователям. Бета-версия содержала много багов. Один из инженеров — Джарретт Ридлингхафер — заметил, что его коллеги даже в свободное время ищут ошибки и на форумах рассказывают, что с ними можно сделать. Джаррет предложил руководству платить за такую работу. Netscape Communications запустила bug bounty. Общий денежный фонд составил $50 тысяч.

После этого практику начали перенимать другие компании. В 2002 году это сделала iDefense — организация, которая искала киберугрозы в сервисах других компаний. В 2004 году Mozilla Community — с помощью bug bounty тестировали браузер Mozilla Firefox. Обе компании обещали участникам до $500. В 2010 году программу сотрудничества с «этичными» хакерами запустили в Google. Она была настолько успешной, что впоследствии bug bounty начали организовывать другие известные компании — Microsoft, Facebook, Netflix, Uber и даже Pornhub.

Появились особые платформы, где заказчики могут встречаться с «белыми» хакерами напрямую. Самую известную — HackerOne — в 2012 году создали хакеры Джоберт Абма и Михиль Принс из Нидерландов. За последние 9 лет там зарегистрировались более миллиона специалистов по компьютерной безопасности. Только за последний год хакеры платформы заработали свыше $40 миллионов. Есть платформы и поменьше — например, Yes we hack, Bugcrowd, Hackerproof.

Ferrum Alien / «Бабель»

Там можно найти в основном американские и европейские компании, но есть и украинские. На HackerOne есть PrivatBank и Grammarly. PrivatBank обещает «белым» хакерам до $1 000 за уязвимость. Grammarly — $500 за простой баг и до $25 тысяч за «критически важный».

В 2020 году с помощью собственного сервиса bug bounty запустила Prozorro. Максимальное вознаграждение — 28 тысяч гривен. Подобную программу организовало и Министерство цифровой трансформации. Сейчас идет второй этап. Создатели «Дії» предлагают хакерам $200—250 за минимальную уязвимость, и $4 100—4 500 за критическую. Общий денежный фонд — миллион гривен ($35 тысяч).

Украинские bug bounty не очень прибыльные, но опытные хакеры могут получать гораздо больше. Только в 2020 году девять хакеров Hacker One заработали по миллиону долларов.

Правда, добиться успеха как фрилансер непросто. Обнаружить сложные хорошо оплачиваемые баги получается не всегда. Прибыль таких специалистов нестабильна. К тому же «белым» хакерам нужно тщательно следить, чтобы их деятельность была законной.

Нельзя просто найти ошибку в коде, а затем обратиться в компанию за вознаграждением. Если в условиях bug bounty говорится, что компания готова платить только за уязвимости в протоколе, нужно искать именно их. Во многих странах за несанкционированный взлом компьютерных систем можно получить штраф или даже попасть в тюрьму. Украина не исключение. За это отвечают сразу несколько статей Уголовного кодекса: 361, 361—1 и 361—2.

Ferrum Alien / «Бабель»

Лучший вариант — устроиться в отдел пентестинга. Такие отделы создают не только крупные ИТ-корпорации, но и компании поменьше. К примеру, Redwerk.

В Redwerk одновременно могут разрабатывать как систему голосования для Европарламента, так и «умное» green-tech приложение.

Работа в такой компании защищает от проблем с законом, поскольку в условиях контракта четко прописано, что может делать тестировщик. А еще — позволяет постоянно развиваться и совершенствовать свои навыки, работая над разными проектами.

Специалист получает стабильную зарплату, которая не зависит от того, сколько он нашел багов, и пользуется корпоративными преимуществами вроде бесплатных ланчей, абонемента в спортзал или медицинского страхования.

В Redwerk то, что ты хакер, не мешает ездить на летний корпоратив в Турцию вместе со всей командой.

На фоне пандемии коронавируса, когда все больше бизнесов переходят в онлайн, спрос на специалистов по кибербезопасности растет. В октябре 2018 года на сайте одного из самых популярных украинских ИТ-порталов DOU было всего 29 вакансий в сфере безопасности, в октябре 2021-го — 83. В будущем тенденция будет только усиливаться. По данным MarketsandMarkets, сейчас глобальный рынок пентестинга оценивают в $1,6 миллиарда. Через 5 лет эта сумма возрастет до $3 миллиардов.

Консалтинговые агентства, предоставляющие услуги аудита, ведущие ИТ-компании и организации поменьше активно ищут специалистов, которые смогут защитить их продукт от взлома. Некоторые компании убеждены, что лучшими специалистами по кибербезопасности становятся люди, которые в прошлом были «черными» или «серыми» хакерами.

В идеальном мире хороший «белый» хакер должен появиться из «черного». Сначала нужно на реальных примерах научиться что-либо взламывать, а уже потом переосмыслить себя и пойти в «белый» хакинг.

Максим Залива, специалист по кибербезопасности компании Redwerk

Они считают, что именно бывшие хакеры лучше знают, как сделать, чтобы продукт не взломали, и готовы предлагать им работу.

Другие относятся к ним настороженно и стараются не нанимать «черных» и «серых» хакеров, чтобы не навредить своей репутации. Однако освоить профессию «белого» хакера можно законно, как любую другую профессию в ИТ.

Как стать «белым» хакером (советы от специалиста по кибербезопасности компании Redwerk Максима Заливы):

В Redwerk действует гибкая система компенсации обучения всем специалистам.

Если вы хотите попробовать себя в роли «белого» хакера и не только, в Redwerk есть много вакансий.

Ferrum Alien / «Бабель»