За последние полгода мир столкнулся с рядом взломов и утечек данных. В июне хакеры выставили на продажу данные 700 миллионов пользователей LinkedIn — это 92% всей аудитории платформы. Затем взломали Electronic Arts и получили доступ к 780 гигабайтам данных, в том числе к исходному коду, который используется в играх FIFA, Battlefield и Madden. В августе злоумышленники украли данные более 40 миллионов клиентов американской компании Т-Mobile. А в прошлом месяце получили доступ к игровой платформе Twitch. В руках хакеров оказались исходный код и данные о заработке стримеров.
Все это не просто стечение обстоятельств. С каждым годом количество киберпреступлений увеличивается. Ущерб от них возрастает. Если в 2018 году он составлял $1,5 триллиона, то в 2020-м — больше трех. Американские исследователи прогнозируют, что с 2025 года киберпреступность будет ежегодно причинять ущерб на более чем $10,5 триллиона.
Компании все больше задумываются о том, как защитить свой продукт от кибератак. Разработать полностью защищенную от взлома программу сложно. В Redwerk, украинском агентстве по разработке программного обеспечения, говорят, что почти у каждого продукта, который попадает на тестирование, есть уязвимость. Это значит, что даже небольшим компаниям нужны специалисты, которые смогут выявлять слабые места в защите до официального релиза.
Таких специалистов называют пентестерами, а еще — «белыми» или «этичными» хакерами. В отличие от киберпреступников они взламывают системы не для того, чтобы украсть и продать данные, а пытаются сделать их более защищенными.
«Белые» хакеры работают консультантами по кибербезопасности в аудиторских и ИТ-компаниях. Или участвуют в специальных bug bounty как фрилансеры. Такие приложения работают на бартерной основе. Разработчики предлагают вознаграждение хакерам, которые смогут найти опасные уязвимости в их программе. Чем сложнее баг, тем больше вознаграждение. Поэтому хакеры пытаются найти самые серьезные ошибки.
Первые bug bounty появились в конце прошлого столетия. Еще в 1983 году американская компания Hunter&Ready предложила всем желающим протестировать на уязвимости свою операционную систему VRTX. Тем, кто сможет обнаружить самые серьезные ошибки, обещали Volkswagen Beetle или $1 000. Акцию рекламировали в СМИ под слоганом Get a bug if you find a bug («Получи «жука», если найдешь баг» ).
Спустя 12 лет практика стала официальной. В 1995 году Netscape Communications соперничала за первенство с Microsoft и выпустила новую версию Netscape Navigator — первого браузера, доступного обычным пользователям. Бета-версия содержала много багов. Один из инженеров — Джарретт Ридлингхафер — заметил, что его коллеги даже в свободное время ищут ошибки и на форумах рассказывают, что с ними можно сделать. Джаррет предложил руководству платить за такую работу. Netscape Communications запустила bug bounty. Общий денежный фонд составил $50 тысяч.
После этого практику начали перенимать другие компании. В 2002 году это сделала iDefense — организация, которая искала киберугрозы в сервисах других компаний. В 2004 году Mozilla Community — с помощью bug bounty тестировали браузер Mozilla Firefox. Обе компании обещали участникам до $500. В 2010 году программу сотрудничества с «этичными» хакерами запустили в Google. Она была настолько успешной, что впоследствии bug bounty начали организовывать другие известные компании — Microsoft, Facebook, Netflix, Uber и даже Pornhub.
Появились особые платформы, где заказчики могут встречаться с «белыми» хакерами напрямую. Самую известную — HackerOne — в 2012 году создали хакеры Джоберт Абма и Михиль Принс из Нидерландов. За последние 9 лет там зарегистрировались более миллиона специалистов по компьютерной безопасности. Только за последний год хакеры платформы заработали свыше $40 миллионов. Есть платформы и поменьше — например, Yes we hack, Bugcrowd, Hackerproof.
Там можно найти в основном американские и европейские компании, но есть и украинские. На HackerOne есть PrivatBank и Grammarly. PrivatBank обещает «белым» хакерам до $1 000 за уязвимость. Grammarly — $500 за простой баг и до $25 тысяч за «критически важный».
В 2020 году с помощью собственного сервиса bug bounty запустила Prozorro. Максимальное вознаграждение — 28 тысяч гривен. Подобную программу организовало и Министерство цифровой трансформации. Сейчас идет второй этап. Создатели «Дії» предлагают хакерам $200—250 за минимальную уязвимость, и $4 100—4 500 за критическую. Общий денежный фонд — миллион гривен ($35 тысяч).
Украинские bug bounty не очень прибыльные, но опытные хакеры могут получать гораздо больше. Только в 2020 году девять хакеров Hacker One заработали по миллиону долларов.
Правда, добиться успеха как фрилансер непросто. Обнаружить сложные хорошо оплачиваемые баги получается не всегда. Прибыль таких специалистов нестабильна. К тому же «белым» хакерам нужно тщательно следить, чтобы их деятельность была законной.
Нельзя просто найти ошибку в коде, а затем обратиться в компанию за вознаграждением. Если в условиях bug bounty говорится, что компания готова платить только за уязвимости в протоколе, нужно искать именно их. Во многих странах за несанкционированный взлом компьютерных систем можно получить штраф или даже попасть в тюрьму. Украина не исключение. За это отвечают сразу несколько статей Уголовного кодекса: 361, 361—1 и 361—2.
Лучший вариант — устроиться в отдел пентестинга. Такие отделы создают не только крупные ИТ-корпорации, но и компании поменьше. К примеру, Redwerk.
Работа в такой компании защищает от проблем с законом, поскольку в условиях контракта четко прописано, что может делать тестировщик. А еще — позволяет постоянно развиваться и совершенствовать свои навыки, работая над разными проектами.
Специалист получает стабильную зарплату, которая не зависит от того, сколько он нашел багов, и пользуется корпоративными преимуществами вроде бесплатных ланчей, абонемента в спортзал или медицинского страхования.
На фоне пандемии коронавируса, когда все больше бизнесов переходят в онлайн, спрос на специалистов по кибербезопасности растет. В октябре 2018 года на сайте одного из самых популярных украинских ИТ-порталов DOU было всего 29 вакансий в сфере безопасности, в октябре 2021-го — 83. В будущем тенденция будет только усиливаться. По данным MarketsandMarkets, сейчас глобальный рынок пентестинга оценивают в $1,6 миллиарда. Через 5 лет эта сумма возрастет до $3 миллиардов.
Консалтинговые агентства, предоставляющие услуги аудита, ведущие ИТ-компании и организации поменьше активно ищут специалистов, которые смогут защитить их продукт от взлома. Некоторые компании убеждены, что лучшими специалистами по кибербезопасности становятся люди, которые в прошлом были «черными» или «серыми» хакерами.
Они считают, что именно бывшие хакеры лучше знают, как сделать, чтобы продукт не взломали, и готовы предлагать им работу.
Другие относятся к ним настороженно и стараются не нанимать «черных» и «серых» хакеров, чтобы не навредить своей репутации. Однако освоить профессию «белого» хакера можно законно, как любую другую профессию в ИТ.
Как стать «белым» хакером (советы от специалиста по кибербезопасности компании Redwerk Максима Заливы):
- Программистом становиться не обязательно. Но для каждого направления требуется отдельная подготовка. Для web нужно знать языки, которые используют для разработки веб-сайтов. Понимать, как передается информация в интернете. Чтобы проверять мобильные приложения, необходимо знать языки программирования, на которых они создаются. Их можно выучить самому.
- Всем пентестерам нужно знать основы сетей и информационной безопасности, языки программирования — хотя бы базово, чтобы уметь читать документацию и понимать код.
- Чтобы стать серьезным специалистом, нужно знать английский язык, пройти сертификационные программы, которые готовят специалистов международного уровня. Например, Ethical Hacker от EC-Council.
Если вы хотите попробовать себя в роли «белого» хакера и не только, в Redwerk есть много вакансий.