Россиянам предложили зарабатывать на легальном хакерстве. Как это работает

Из-за бегства из России тысяч IT-специалистов и ухода крупных зарубежных компаний, в том числе из сферы кибербезопасности, в стране образовались дефицит кадров и угроза ослабления «цифровой обороны». Минцифры предложило справиться с этим, поддержав белых хакеров, находившихся раньше где-то на периферии в роли фрилансеров. Для этого придётся создать отечественные платформы для поиска уязвимостей и выплаты вознаграждений энтузиастам. Как изменится роль белых хакеров в подсанкционной России, как зарабатывают на «взломах» и насколько это легально — в материале «Секрета». Кто такие белые хакеры и почему их не ищет киберполиция В массовом сознании понятие «хакер» часто ассоциируется с какими-то полуподвальными помещениями со множеством компьютеров, за которыми сидят злые и коварные люди в балаклавах — именно так рисуют хакеров на различных фотостоках. В реальности это люди, неотличимые от прочих «айтишников-удалёнщиков». Но вот между собой они действительно различаются — методами и целями работы. Хакеры-киберпреступники — это те, кто обратил свои навыки в сфере информационных технологий для получения выгоды за счёт обмана, шантажа и вреда другим интернет-пользователям и компаниям. Киберпреступники создают и распространяют вирусы всех мастей, взламывают аккаунты, крадут персональную информацию и деньги, а также ищут уязвимости в корпоративных сетях, с помощью которых можно застопорить работу предприятий и вымогать деньги за разблокировку. Но поиском уязвимостей можно заниматься и в благих целях. Этичные, или белые, хакеры за вознаграждение или из чистого энтузиазма помогают компаниям находить и устранять бреши в их защите и продуктах для пользователей. При этом белые хакеры стараются не наносить вреда своим взломом: например, они не будут проверять устойчивость к DDoS-атакам в разгар рабочего дня или использовать найденную уязвимость для блокировки систем и IT-продуктов. Хакеров-плохишей также называют black hats — «чёрные шляпы», в то время как этичные хакеры носят название white hats — «белые шляпы». Пресловутые балаклавы грабителей тут ни при чём — термин пришёл в эту сферу из вестернов, где хорошие парни носили светлые ковбойские шляпы, а плохие — чёрные. Цветовая дифференциация шляп Кроме белых и чёрных, нередко встречаются серые хакеры — gray hats. Они взламывают системы без преступных намерений, но далеко не всегда при этом действуют по запросу компаний. При этом, если им в руки попадутся данные, которые можно продать или выгодно использовать, они не преминут это сделать. Белые хакеры без официального объявления компании об участии в программе вознаграждения искать уязвимости не полезут — даже если взломщик никак не использовал попавшую ему в руки информацию и не принёс значительного вреда корпоративной сети, компании, которые не просили о таком виде услуг, вполне могут подать на него в суд. Внутри хакерского сообщества есть и другие цветовые маркеры. Например, «зелёными шляпами» называют хакеров-новичков, которые активно учатся практиковать хакинг на специальных ресурсах, но пока не обладают опытом и навыками для самостоятельного плавания. «Синими шляпами» называют тех, кто разово решил взломать кого-то из мести и не интересуется хакингом за пределами этой задачи. А «красные шляпы» сделали своей целью поиск и наказание чёрных хакеров. Как стать белым хакером Белыми хакерами обычно становятся люди с образованием в сфере компьютерных наук и информационной безопасности. Нередко они учатся хакингу самостоятельно по открыто публикуемым на профильных ресурсах методичкам и по отчётам о выявленных уязвимостях. Что почитать Существуют даже книги, обучающие этичному хакингу. Среди них: - Jon Erickson, Hacking: The Art of Exploitation; - Patrick Engebretson, The Basics of Hacking and Penetration Testing; - Peter Kim, The Hacker Playbook; - Georgia Weidman, In Penetration Testing; - James Corley, Hands-On Ethical Hacking and Network Defense. Но с учётом того, как быстро меняется ландшафт в сфере информационных технологий, любая книга и методичка на эту тему устаревают раньше, чем дописываются. Чтобы отвечать современным вызовам, гораздо важнее постоянно заниматься собственными исследованиями, обмениваться опытом и изучать чужие кейсы. Вместе с тем не все компании согласны иметь дело с дилетантами на постоянной основе. Для того чтобы стать тестировщиком в крупной компании, занимающейся кибербезопасностью, свои умения нужно подтвердить. Отвечая запросам рынка на различных профессиональных и образовательных ресурсах, таких как HackerOne, SkillFactory, Coursera и других как грибы появлялись специализированные курсы, которые предлагали научить этичному хакингу с нуля. С подобными курсами за спиной и практическими навыками уже можно попробовать свои силы не только в свободном плавании. Что такое программа Bug Bounty: компании-участники формируют свои правила, в которых обычно указаны срок программы и денежное вознаграждение в зависимости от типа найденной уязвимости. После того как независимый исследователь нашёл уязвимость, он должен сформировать отчёт по прописанным в программе условиям и сдать его на проверку через платформу. Далее проходит валидация, и, если компания признаёт уязвимость, исследователю перечисляют средства. На платформе публикуется много программ с разной стоимостью уязвимостей, и у багхантера всегда есть выбор. Нередки случаи, когда ребят приглашают в штат пентестерами те компании, для которых эти уязвимости были найдены. Тестирование уязвимостей — на порядок менее сложная работа, чем защита от возможных угроз. Чтобы взломать сеть, достаточно знать одну работающую методику и одну уязвимость, а чтобы её защитить — все возможные способы взлома, которыми её могут протестировать на прочность. Именно поэтому задачи по поиску багов компании нередко предпочитают отдавать на аутсорс энтузиастам — выплатить разовое вознаграждение за одну найденную уязвимость дешевле, чем постоянно держать на зарплате специалиста, который в случае правильно выстроенной защиты брешь может и не найти. Несмотря на существующее мнение, что в вольные белые хакеры идут недоучки, которым не хватает мастерства, чтобы официально работать в кибербезопасности, на деле такой закономерности нет. Неверным было бы и считать, что белыми хакерами становятся те, кто по своим способностям не дотягивает до чёрных. В целом же набор инструментов и методов, которые используют пентестеры, чёрные и белые хакеры, схож. Это публичные и платные хакерские утилиты и программы для пентеста, которые работают как «продукты двойного назначения» — и для взлома, и для поиска уязвимостей с целью улучшения безопасности. Киберпреступники, правда, зачастую оказываются в более выгодном положении за счёт выхода на чёрные рынки, где можно купить новые и ещё неизвестные защитникам программы и методики взлома. Но рано или поздно выявляют и их. Иногда уязвимость находится почти случайно, а иногда хакеры всерую берутся исследовать защиту интересующих систем и проверять наличие брешей. Найдя уязвимость, рекомендуется сразу сообщить о ней владельцу продукта, сайта или сети, не публикуя эту информацию в открытый доступ до тех пор, пока ошибка не будет исправлена. При этом неэтичным считается требовать деньги в первом же письме, особенно если какое-либо вознаграждение за поиск уязвимости в официальных материалах компании не фигурирует. А вот обсудить премию, когда владелец убедится в реальности обнаруженной угрозы, вполне реально — многие идут навстречу и поощряют энтузиастов за помощь. Где ищут заказы Долгое время одним из самых популярных и востребованных ресурсов у белых хакеров всего мира, в том числе из России, была международная платформа HackerOne. На ней представлены программы Bug Bounty от многих крупных IT-компаний. Российские игроки, в том числе «Яндекс», «Лаборатория Касперского», VK и Тинькофф банк предлагали вознаграждения именно через этот агрегатор. Для компаний такие программы — это шанс избежать многомиллионных затрат и репутационного ущерба в случае реального взлома. Однако с началом военных действий на Украине HackerOne, чей головной офис базируется в Сан-Франциско, отказалась выплачивать заслуженные вознаграждения хакерам из России и Белоруссии, мотивируя это санкциями. Их награды платформа пообещала придержать или перечислять Детскому фонду ООН (ЮНИСЕФ). А 25 марта компания объявила о приостановке возможности участия в программе Bug Bounty для российской «Лаборатории Касперского» на неопределённый срок. Как пояснила компания в своём твиттере, страница вознаграждения «Лаборатории Касперского» стала недоступна для исследователей, а существующие средства и обсуждения зарегистрированных уязвимостей оказались заморожены. С уходом крупнейшей посреднической площадки перед вольными пентестерами из России и Белоруссии остро встал вопрос о том, как продолжать работу в условиях санкций. Есть альтернативные западные площадки, но с ними точно так же есть сложности в проведении транзакций в подсанкционные страны. Так что исследователям российских систем остаётся вручную искать программы вознаграждений непосредственно от компаний. Ситуация осложнилась и для владельцев корпоративных сетей, ведь многие игроки из сферы кибербезопасности также покинули российский рынок, а IT-специалисты массово начали эмигрировать из страны. В итоге умельцев, способных закрывать дыры и искать бреши в информационных защитах, стало сильно меньше, а оставшиеся потеряли удобный способ связи с потенциальными заказчиками. Чтобы как-то мотивировать российских айтишников оставаться и работать на родине, правительство задумалось об их господдержке. Позднее Минцифры заявило о готовности поддержать также белых хакеров и распространить на них те льготы, которые ранее ввели для IT-специалистов. Кроме того, министерство предложило ввести прямую финансовую поддержку и субсидировать программы Bug Bounty и проведение пентестов для крупных компаний, которые будут пользоваться услугами белых хакеров. Между тем российские IT-компании уже готовятся импортозаместить ушедший HackerOne. В 2022 году в России планируется запуск сразу трёх платформ Bug Bounty: от компаний кибербезопасности «Киберполигон», BI.ZONE и Positive Technologies (PT). Для этичного хакера проще и надёжнее всего браться за поиск уязвимостей только в том случае, если компания участвует в программе Bug Bounty. При этом надо внимательно читать условия. Часто компании в своих программах публикуют благодарности конкретным исследователям, что может быть приятным дополнением к деньгам, но иногда благодарностью дело и ограничивается. Кроме того, берясь за ту или иную работу, надо понимать, что кто-то из коллег может успеть справиться с ней раньше. Как пояснил представитель Positive Technologies Ярослав Бабин, чаще всего на таких платформах реализуется принцип «кто первый, тот и прав», хотя иногда компании делят вознаграждения между исследователями, одновременно обнаружившими уязвимость. Пока остаётся неопределённость и с тем, как будет (и будет ли) организована поддержка подобных программ от Минцифры. Однако участники рынка сходятся во мнении, что проявление государством интереса к этой индустрии — хороший сигнал. А что по деньгам? Уровень заработка белого хакера зависит не только от того, сколько времени он готов тратить на свои занятия, но и от удачи. По отзывам тех, кто работает в этой индустрии, вполне реально заработать $500 за пять минут работы, но до этого можно потратить часы на поиск перспективной для взлома системы, выгодной программы и собственно уязвимости. В среднем заработок таких специалистов колеблется от $3000 до $50 000 в месяц, если заниматься этим целенаправленно и выбирать самые «лакомые» заказы. По данным платформы HackerOne, в 2021 году в среднем за уязвимость малой опасности выплачивали $150, за среднюю — $500, а за критическую уязвимость — $3000. Но иногда удаётся сорвать джекпот. Например, в феврале 2022 года за найденную ошибку в блокчейн-системе Ethereum, позволявшую создавать бесконечное количество токенов, хакеру выплатили рекордное вознаграждение, эквивалентное $2 млн. Аналогичную сумму в 2021 году выплатил за обнаруженную уязвимость проект протокола Polygon. Проведённое в 2018 году масштабное исследование HackerOne показало , что деньги — далеко не главная мотивация этических хакеров. Она заняла лишь четвёртое место по популярности причин работы взломщиков, а для большинства хакеров важнее возможность изучения технологий и хитростей работы, возможность решать интересные задачи и получать удовольствие. При этом зарабатывают такие хакеры в среднем в 2,7 раза больше, чем их коллеги-программисты, и, по словам представителя «Лаборатории Касперского», спрос на них от кризисов не зависит. В конечном итоге белое хакерство может стать довольно выгодным хобби или даже основной профессией. Но сейчас всё будет сильно зависеть от того, в какую сторону перестроится рынок и останется ли у российских энтузиастов возможность участвовать в программах Bug Bounty от зарубежных IT-компаний. Так что даже при увеличенном вознаграждении заработки на этом поприще могут сдвинуться и в большую, и в меньшую сторону. А пока специалисты по IT-безопасности остаются в России редкими и ценными кадрами. Коллаж: «Секрет фирмы», freepik.com