За останні пів року світ зіткнувся з цілою низкою зламів і витоків даних. У червні хакери виставили на продаж дані 700 мільйонів користувачів LinkedIn — це 92% від усієї аудиторії платформи. Потім — зламали Electronic Arts і отримали доступ до 780 гігабайтів даних, зокрема до вихідного коду, який використовується в іграх FIFA, Battlefield і Madden. У серпні зловмисники викрали дані понад 40 мільйонів клієнтів американської компанії Т-Mobile. А минулого місяця — отримали доступ до ігрової платформи Twitch. У руках хакерів опинилися вихідний код і дані про заробіток стримерів.
Усе це далеко не збіг обставин. Щороку кількість кіберзлочинів збільшується. Збитки від них зростають. Якщо у 2018 році вони становили $1,5 трильйона, то у 2020-му — понад $3 трильйони. Американські дослідники прогнозують, що з 2025 року кіберзлочинність щороку завдаватиме понад $10,5 трильйона збитків.
Компанії все більше замислюються над тим, як захистити свій продукт від кібератак. Розробити повністю захищену від зламу програму — складно. У Redwerk, українському агентстві з розробки програмного забезпечення, кажуть, що майже кожен продукт, який потрапляє на тестування, має вразливості. Це означає, що навіть невеликим компаніям потрібні спеціалісти, які зможуть виявляти слабкі місця в захисті ще до офіційного релізу.
Таких фахівців називають пентестерами, а ще — «білими» або «етичними» хакерами. На відміну від кіберзлочинців вони зламують системи не для того, аби вкрасти та продати дані, а намагаються зробити їх більш захищеними.
«Білі» хакери працюють консультантами з кібербезпеки в аудиторських та ІТ-компаніях. Або беруть участь у спеціальних bug bounty як фрілансери. Такі програми працюють на бартерній основі. Розробники пропонують винагороду хакерам, які зможуть знайти небезпечні вразливості в їхній програмі. Що складніший баг, то більша винагорода. Тому хакери намагаються знайти якомога серйозніші помилки.
Перші bug bounty виникли наприкінці минулого століття. Ще у 1983 році американська компанія Hunter & Ready запропонувала всім охочим протестувати на вразливості свою операційну систему VRTX. Тим, хто зможе виявити найгіршіі помилки, обіцяли Volkswagen Beetle або $1 000. Акцію рекламували у ЗМІ під слоганом Get a bug if you find a bug («Отримай «жука» якщо знайдеш баг»).
Через 12 років практика стала офіційною. У 1995 році Netscape Communications змагалася за першість з Microsoft і випустила нову версію Netscape Navigator — першого браузера, доступного звичайним користувачам. Бета-версія містила багато багів. Один з інженерів — Джарретт Рідлінгхафер — помітив, що його колеги навіть у вільний час шукають помилки та розповідають на форумах, що з ними можна зробити. Джаррет запропонував керівництву платити за таку роботу. Netscape Communications запустила bug bounty. Загальний грошовий фонд становив $50 тисяч.
Після цього практику почали переймати інші компанії. У 2002 році це зробила iDefense — організація, яка виявляла кіберзагрози в сервісах інших компаній. У 2004 Mozilla Community — за допомогою bug bounty тестували браузер Mozilla Firefox. Обидві компанії обіцяли учасникам до $500. У 2010 році програму співпраці з «етичними» хакерами запустили в Google. Вона була настільки успішною, що згодом bug bounty почали організовувати інші відомі компанії — Microsoft, Facebook, Netflix, Uber і навіть Pornhub.
Виникли спеціальні платформи, де замовники можуть зустрічатися з «білими» хакерами напряму. Найвідомішу — HackerOne — у 2012 році створили хакери Джоберт Абма та Міхіль Прінс із Нідерландів. За останні 9 років на ній зареєструвалися понад мільйон спеціалістів з комп’ютерної безпеки. Лише за останній рік хакери платформи заробили понад $ 40 мільйонів. Існують і менші платформи — наприклад, Yes we hack, Bugcrowd, Hackerproof.
На них можна знайти переважно американські та європейські компанії, але є й українські. На HackerOne є PrivatBank і Grammarly. PrivatBank обіцяє «білим» хакерам до $1 000 за вразливість. Grammarly — $500 за простий баг і до $25 тисяч за «критично важливий».
У 2020 році за допомогою власного сервісу bug bounty запустила Prozorro. Максимальна винагорода — 28 тисяч гривень. Подібну програму організувало й Міністерство цифрової трансформації. Зараз триває другий етап. Творці «Дії» пропонують хакерам $200—250 за мінімальну вразливість і $4 100—4 500 за критичну. Загальний грошовий фонд — мільйон гривень ($35 тисяч).
Українські bug bounty не надто прибуткові, проте досвідчені хакери можуть отримувати чималі прибутки. Лише у 2020 році дев’ять хакерів Hacker One заробили по мільйону доларів.
Однак досягти успіху як фрілансер непросто. Виявити складні баги, які добре оплачуються, вдається не завжди. Прибуток таких спеціалістів нестабільний. До того ж «білим» хакерам потрібно пильнувати, щоб їхня діяльність була законною.
Не можна просто знайти помилку в коді, а потім звернутися до компанії за винагородою. Якщо в умовах bug bounty йдеться про те, що компанія готова платити лише за вразливості у протоколі, потрібно шукати саме їх. У багатьох країнах за несанкціонований злам комп’ютерних систем можна отримати штраф або навіть потрапити до в’язниці. Україна не виняток. За це відповідають одразу кілька статей Кримінального кодексу: 361, 361—1 і 361—2.
Найкращий варіант — влаштуватися у відділ пентестингу. Такі відділи створюють не лише великі ІТ-компанії, але й менші організації, які активно розвиваються. Наприклад, Redwerk.
Робота в такій компанії захищає від проблем із законом, адже в умовах контракту чітко прописано, що може робити тестувальник. А ще — дозволяє постійно розвиватися та вдосконалювати свої навички, працюючи над різноманітними проєктами.
Фахівець отримує стабільну заробітну плату, яка не залежить від того, скільки він знайшов багів, і користується корпоративними перевагами на кшталт безкоштовних ланчів, абонементу до спортзалу, медичного страхування.
На тлі пандемії коронавірусу, коли дедалі більше бізнесів переходять в онлайн, попит на фахівців з кібербезпеки зростає. У жовтні 2018 року на сайті одного з найпопулярніших українських ІТ-порталів DOU було лише 29 «безпекових» вакансій, у жовтні 2021-го — 83. У майбутньому тенденція лише посилюватиметься. За даними MarketsandMarkets, зараз глобальний ринок пентестингу оцінюють у $1,6 мільярда. Через 5 років ця сума зросте до $3 мільярдів.
Консалтингові агентства, які надають послуги аудиту, провідні ІТ-компанії та менші організації активно шукають спеціалістів, які зможуть захистити їхній продукт від зламу. Деякі компанії переконані, що найкращими фахівцями з кібербезпеки стають люди, які в минулому були «чорними» або «сірими» хакерами.
Вони вважають, що саме колишні хакери найкраще знають, як зробити, щоб продукт не зламали, і готові пропонувати їм роботу.
Інші ставляться до них насторожено та намагаються не винаймати «чорних» і «сірих» хакерів, аби не зашкодити своїй репутації. Однак насправді освоїти професію «білого» хакера можна законно, як і будь-яку іншу професію в ІТ.
Як стати «білим» хакером (поради від спеціаліста з кібербезпеки компанії Redwerk Максима Заливи):
- Програмістом ставати не обов’язково. Але для кожного напряму потрібна окрема підготовка. Для web потрібно знати мови, які використовують для розробки сайтів. Розуміти, як передається інформація в інтернеті. Щоб перевіряти мобільні додатки, потрібно знати мови програмування, якими вони створюються. Їх можна вивчити навіть самостійно.
- Усім пентестерам треба знати основи мереж та інформаційної безпеки, мови програмування — хоча б базово, щоб вміти читати документацію і розуміти код.
- Аби стати спеціалістом серйозного рівня, потрібно знати англійську мову, пройти сертифікаційні програми, які готують фахівців міжнародного рівня. Наприклад, Ethical Hacker від EC-Council.
Якщо ви хочете спробувати себе в ролі «білого» хакера і не тільки, у Redwerk є багато вакансій.