«Белые» хакеры: как зарабатывать >$100 тыс. в год и приносить пользу

«Белые» хакеры зарабатывают больше $100 тыс. в год, однако им никто не угрожает тюрьмой за их деятельность. Их еще называют этичными хакерами или пентестерами. Таких экспертов нанимают корпорации и правительственные структуры, но нередко они сами отправляют компаниям информацию об обнаруженных уязвимостях и очень обижаются, если на их сообщения не обращают внимания. Месть «белых» хакеров бывает страшна. Не менее страшна, чем удавшаяся атака киберпреступников.

Когда бизнес обращается к «белым» хакерам, то обычно речь идет о тестах на проникновение. Компании нужны испытатели, которые сделают доклад об уровне уязвимости ее ИТ-системы, чтобы впоследствии слабые места были устранены. Существует мнение, что такого рода пентесты в идеале должны проводиться как минимум двумя испытателями – они будут обмениваться идеями друг с другом и проверка будет более качественной.

Впрочем, наем высококвалифицированных «белых» хакеров обойдется недешево. Так, в США пентестер зарабатывает около $116 тыс. в год (около $56 в час), подсчитали аналитики компании Semper Secure. В то же время хорошим способом для бизнеса привлечь сразу множество пентестеров остаются конкурсы. Скажем, корпорация Google проводила конкурс среди хакеров на поиск уязвимостей в браузере Chrome. Призовой фонд составил $1 млн. Microsoft тоже привлекает независимых программистов к аудиту безопасности информационных систем, выплачивая им немалые премии.

Слуга государев

Для разных государств «белые» хакеры – практически белые маги Гендальфы, которые помогают решить массу проблем с безопасностью. Ведь для любой страны важна не только забота о защищенности ИТ-структуры правительственных и силовых ведомств, но и безопасность частных компаний. Из-за атаки взломщиков могут пострадать и даже обанкротиться малые, средние или крупные компании, что пагубно отражается на экономике страны в целом.

Например, правительство Нидерландов некоторое время назад выпустило официальные рекомендации, которые должны поощрять «белых» хакеров отыскивать «дыры» в компьютерных системах. Государственный центр кибербезопасности призвал компании наладить тесный контакт с этичными хакерами — допустим, разработать для них форму обратной онлайн-связи, с помощью которой можно будет сообщать об уязвимостях.

В США в прошлом году было объявлено о формировании «киберотрядов» из «белых» хакеров для отражения атак из виртуального пространства. В России же в 2014 г. Совет Федерации разработал стратегию кибербезопасности, которая тоже предусматривает проведение регулярных проверок защищенности сайтов госструктур.

Игры разума

Надо признать, что без «белых» хакеров многие известные пользователям компании и их ресурсы давно прекратили бы свое существование. Обычные хакеры их бы взломали «с концами». Например, в феврале этого года популярная соцсеть Secret запустила программу по отлову багов. За это время стараниями 38 «белых» хакеров было устранено 42 неисправности в системе безопасности продукта.

Согласно программе по поиску брешей в Secret, хакеры получали вознаграждение за баги в зависимости от их критичности для системы. И тут мелочиться действительно глупо, потому что, в частности, некоторые уязвимости нарушают анонимность пользователей, которые в этой соцсети делятся своими секретами. Фактически «дыры» разрушают основу соцсети, и если ей воспользуются злоумышленники, то проект ждет крах.

Известны подобные случаи и в Российской практике. Например, пользователь Habrahabr обнаружил потенциальную уязвимость в криптографическом протоколе MTProto мессенджера Telegram Павла Дурова. Ее оперативно исправили, а пользователю пообещали награду. Или еще один случай — хакеры нашли XSS-уязвимость, которая позволяла работать из-под любой учетной записи «Вконтакте». Они сообщили о находке в техническую поддержку социальной сети и получили вознаграждение. Существуют примеры, когда компании приглашают на работу хакеров, нашедших уязвимости в их системах, призеров разнообразных хак-квестов.

Не грози белому хакеру

Когда компания не прислушивается к результатам аудита своей системы «белым» хакером, игнорирует его послания, то это часто оборачивается для нее катастрофическими последствиями. «Белый» хакер, конечно же, не преступает закон, однако он делает то, что очень сильно бьет по репутации бизнеса. «Белый» хакер знакомит со своей работой широкую публику, чтобы каждый мог самостоятельно сделать выводы относительно безопасности этого продукта.

Хакер может разместить на каком-нибудь форуме или блоге сообщение, в котором расскажет о существовании бреши и том, как ей воспользоваться. Ответственность за дальнейшие события он с себя снимает. В этом и состоит месть не услышанного бизнесом хакера, ведь тут же появляются пользователи, которые извлекают выгоду из пробоины в системе безопасности, пока ее не залатали.

В 2013 г. таким образом была разрушена концепция сервиса Snapchat – мобильного мессенджера, достоинство которого заключалось в том, что пользователи переписываются друг с другом анонимно, а сообщения автоматически удаляются спустя 10 секунд или раньше, в зависимости от того, чего хочет отправитель. Хакеры нашли уязвимость, с помощью которой можно было сопоставить псевдоним с реальным именем пользователя и его аккаунтами в соцсетях, а также сохранять сообщения локально. Почти полгода исследователи бага пытались безуспешно достучаться до Snapchat, пока не обнародовали информацию о нем.

Вместе с тем, голландская группировка под названием Doulci рассказала миру, как она взламывает облачный сервис iCloud, а именно функцию Activation Lock. Благодаря этому взломщики могли дистанционно снимать блокировку с потерянных iPhone и iPad, используя альтернативный сервер. Количество активированных таким способом устройств превысило 5 тыс. Позже появилось сообщение о еще 12 тыс. разблокированных устройствах.

Хакеры уведомляли Apple, но в ответ была тишина, и, по их словам, им пришлось сделать информацию об уязвимости публичной, чтобы уже через прессу привлечь внимание компании-разработчика к проблеме.

Артем Михайлов