Лучшие белые хакеры зарабатывают в 2,7 раза больше средних программистов
Сообщество HackerOne, на котором зарегистрировано более 160 000 хакеров и которое выплатило им уже $23,5 млн за найденные уязвимости, опубликовало отчёт The 2018 Hacker Report. Это крупнейший в истории опрос этичных хакеров, в котором приняло участие 1698 респондентов. Вместе с результатами приведена интересная статистика.
Ключевые результаты:
- Награды за найденные баги обеспечивают достойную жизнь топовым хакерам. В среднем по всем странам мира разница в «зарплате» топового хакера и средней по медиане зарплатой программиста составляет 2,7 раза, но в разных странах ситуация отличается. Например, в Индии разница достигает 16х, в Аргентине — 15,6х, в Латвии — 5,2х, в США — 2,7х, по России статистики зарплат не нашлось.
- Деньги не являются самой главной мотивацией этических хакеров, это лишь четвёртая по популярности (13,1%) причина работы взломщиков. Для большего количества хакеров важнее возможность изучения технологий и хитростей работы (14,7%), возможность решать интересные задачи (14%) и получать удовольствие (14%). Хотя ещё в 2016 году деньги были причиной № 1.
- Индия (23,3%) и США (19,9%) — два мировых лидера по количеству зарегистрированных хакеров. За ними следуют Россия (6,3%), Пакистан (4%) и Великобритания (4%).
- Почти каждый четвёртый хакер не сообщал компании о найденной уязвимости, потому что компания не предоставила возможности (канала коммуникации), как сообщать об уязвимостях.
- Почти 58% всех специалистов по взлому — самоучки. Хотя 50% изучали информатику/программирование в университете, а 26,4% — в школе, но всего лишь 5% сказали, что эти занятия дали им хоть какие-то знания, полезные для хакинга. До сих пор информационная безопасность остаётся довольно редкой специальностью в вузах, но в Сети можно найти достаточно бесплатной информации для самообразования, в том числе полноценные учебники по взлому сайтов (учебник Web Hacking 101 раздают пользователям HackerOne бесплатно). Отличный способ самообразования — изучать отчёты о реальных взломах
- Примерно 37% участников опроса занимаются взломами как хобби в свободное время, но 12% получают минимум $20k в год от программ вознаграждения, а более 3% зарабатывают от $100k в год, чего вполне достаточно для нормальной жизни в любой стране мира. 1,1% зарабатывают более $350k в год — а такую зарплату практически невозможно получить на обычной программистской работе. Четверть хакеров сказали, что вознаграждения составляют для них минимум 50% дохода, а у 13,7% это 90-100% годового дохода.
Интервью с БЕЛЫМ ХАКЕРОМ / БЕЛЫЙ ХАКИНГ/ Заработок на BUG BOUNTY / Cybercryme / Ситхи и МИСТЕР РОБОТ
Как видим, россияне входят в число лидеров и за год заработали $1 296 018.
Типичный хакер — юный одарённый IT-профессионал до 35 лет. Почти половина всех хакеров не достигла ещё и 25 лет. У 75,1% опыт хакерства составляет всего лишь 1-5 лет.
⚠️ Белый хакер о взломе на заказ: кто, как и зачем ломает ваши сайты. Пентесты и хакерские атаки
46,7% хакеров работает профессионально по специальности (специалисты по ИБ или программисты), а 25,3% — студенты. Около 13% сказали, что занимаются взломами полный рабочий день, то есть более 40 часов в неделю.
Любопытная статистика по инструментам, которые используют хакеры. Преимущественно сейчас все специализируются на веб-платформе, то есть взломе веб-сайтов и веб-приложений. Так вот, самые популярные инструменты:
- Burp Suite, интегрированная платформа для выполнения тестов по безопасности веб-приложений, которая входит в комплект хакерской операционки Kali Linux — 29,3%
- Инструменты собственной разработки — 15,3%
- Веб-прокси/сканеры — 12,6%
- Сканеры сетевых уязвимостей — 11,8%
- Фаззеры — 9,9%
- Дебаггеры — 9,7%
- WebInspect — 5,4%
- Fiddler — 5,3%
- ChipWhisperer — 0,8%
Любимые векторы атаки — XSS (28,8%), SQL-инъекции (23,1%), фаззинг (5,5%) и брутфорс (4,5%).
Большинство предпочитают работать в одиночку, хотя многие публикуют результаты у себя в блоге, чтобы получить отзывы коллег, и читают их блоги.
- награды за уязвимости
- HackerOne
- Информационная безопасность
- Исследования и прогнозы в IT
- Учебный процесс в IT
- Карьера в IT-индустрии
Источник: habr.com
Кто такие «белые хакеры» и почему за ними идет охота
В 2022 году российские компании, в том числе объекты критической информационной инфраструктуры, преживали шквал кибератак. По данным блока кибербезопасности МТС, их число с февраля выросло в десятки раз.
Ежегодный мировой ущерб от киберпреступлений, по оценке американского Центра стратегических и международных исследований и компании McAfee, сейчас составляет около триллиона долларов. В компании Cybersecurity Ventures уверены, что речь идет уже о сумме примерно в 8 триллионов. То есть каждую секунду киберпреступления наносят ущерб на 255 тысяч долларов. Более того, к 2025 году общий ущерб превысит отметку 10 триллионов долларов. Если бы киберпреступники решили объединиться, их доходы всего через три года стали бы третьей экономикой в мире после США и Китая.
По данным «Сбера», с февраля хакеры похитили персональные данные 65 миллионов россиян и скомпрометировали не менее 13 миллионов банковских карт. Атаки хакеров могут привести не только к банальной краже денег со счетов или личных данных, но и к гораздо более серьезным последствиям. Например, в США в 2021 году из-за киберпреступников была нарушена поставка топлива сразу в 11 штатов, что привело к настоящей панике среди населения. А в 2022 году хакеры нанесли удар по испанским больницам и поликлиникам и вывели из строя их системы: врачи не могли оказывать помощь. В России жертвами хакеров в 2022 году стали крупнейшие СМИ, интернет-платформы ведущих ретейлеров и распространителей медиаконтента, государственные ресурсы.
Это послужило драйвером развития отрасли кибербезопасности: видя реальный ущерб от кибератак, компании стали увеличивать бюджеты на средства защиты и услуги проверки защищенности инфраструктур. По расчетам фонда «Центр стратегических разработок», в следующие пять лет российский рынок кибербезопасности вырастет в 2,5 раза — с 185,9 миллиарда до 469 миллиардов рублей. При этом рост спроса на продукцию российских компаний увеличится почти в четыре раза — cо 113 миллиардов рублей в 2021 году до 446 миллиардов рублей в 2026-м.
Ирина Безбогова, директор по персоналу блока кибербезопасности МТС
Среди прочего ситуация повлияла на востребованность услуг тестирования на проникновение (пентеста), программ поиска уязвимостей (bug bounty) и киберполигонов, которые позволяют проверить защищенность инфраструктуры или отдельных ее элементов в условиях, максимально приближенных к реальности, когда хакеры ведут атаку на компанию.
«Белые хакеры» — специалисты по кибербезопасности, которые тестируют защищенность компаний, по согласованию с заказчиком атакуя значимые сегменты инфраструктуры так, как это бы делали реальные киберпреступники. После этого компания получает отчет о слабых местах в защите и возможность закрыть все бреши и уязвимости.
Взломай меня, если сможешь
Если программы bug bounty в России только начинают развиваться, то услуга по тестированию на проникновение — пентест (от англ. penetration testing) — уже давно зарекомендовавший себя способ проверить, насколько компания устойчива к действиям киберпреступников. «Белые хакеры» пытаются обойти имеющиеся средства защиты самыми разными способами: используя уязвимости, если они есть, рассылая вредоносные письма на почтовые адреса компании, даже подбрасывая флешки с вирусами на столы сотрудников.
Как только «белые хакеры» достигают поставленной заказчиком цели, например, проникают в инфрастурктуру компании или получают доступ к конфиденциальной корпоративной информации, они формируют для заказчика отчет о том, как им это удалось, и рекомендации по повышению защищенности. Специалисты также помогают компании устранить бреши в защите.
Почему «белые хакеры» — это элита мира IT
Спрос на этичных хакеров, которые помогают бороться с киберпреступниками, растет с каждым годом. Однако все российские компании отмечают, что найти квалифицированных специалистов обычно очень сложно. Ведь «белые хакеры» — это специалисты именно в наступательной безопасности (offensive security), их работа требует опыта, постоянного обучения и развития в профессии. Они решают нестандартные задачи и должны нетривиально мыслить.
«Белые хакеры» — это алмазы рынка IT. Их мало, они высоко ценятся и могут сами выбирать работодателя. Поэтому когда компания выбирает поставщика услуг для анализа защищенности, ключевым показателем является уровень квалификации его команды.
Ирина Безбогова
директор по персоналу блока кибербезопасности МТС
Как МТС собирает команду «белых хакеров»
В 2022 году МТС создала подразделение, которое занимается разработкой инновационных продуктов в сфере информационной безопасности. Компания будет создавать решения, защищающие от хакеров не только ее собственные данные, но и любого бизнеса в России.
Для МТС сфера информационной безопасности давно знакома. Однако долгое время разработки в этой области чаще оставались внутри компании. Теперь, используя всю свою экспертизу и инфраструктуру, а также талант «белых хакеров», компания будет создавать прорывные продукты в сегменте кибербезопасности для сторонних пользователей. В компании амбициозно заявляют, что в течение трех лет новое подразделение займет существенную долю рынка и сформирует клиентскую базу из миллионов клиентов.
Команда блока кибербезопасности МТС в стадии агрессивного роста. До конца года три недели, и команда-генератор вырастет в два раза. В следующем году планы на найм еще больше. Кого мы нанимаем? Это звезды в области кибербезопасности, лучшие специалисты, и в том числе — самые талантливые пентестеры.
Мы предлагаем им интересные задачи, поэтому к нам идут люди с недюжинным интеллектом, смекалкой и способностью генерировать новые идеи: «а я попробую вот так проникнуть в инфраструктуру заказчика, а потом попробую так». То есть это не просто люди, которые умеют действовать нестандартно и находить новые оригинальные варианты решения задачи.
Ирина Безбогова
директор по персоналу блока кибербезопасности МТС
Интересно, что МТС предоставляет своим «белым хакерам» полную свободу: они сами решают, когда им работать, а когда отдыхать, ходить в офис или сидеть дома. Как объясняет Ирина Безбогова, многие технические специалисты и разработчики, включая «белых хакеров», живут в том ритме, в котором им удобно, и нет смысла их контролировать. Главное для таких специалистов — показывать результат.
Это важно для специалистов, чья профессия подразумевает и сильные технические навыки, и креативность, и умение мыслить на высоком уровне абстракции, составляя единую картину из разрозненных фрагментов. В университетах не учат профессии пентестера, в нее приходят люди с определенным складом характера — вдумчивые, склонные к постоянному профессиональному развитию и исследовательским любопытством. «Белый хакер» — едва ли не самая редкая специальность в ИТ, но МТС планирует собрать уникальную команду, которая станет флагманом российского рынка услуг по тестированию на проникновение.
Свидетельство о регистрации СМИ №03247 выдано 02 апреля 1999 г. Государственным комитетом Российской Федерации по печати.
Источник: tass.ru
«Получаю до $10 000 в месяц». Как «русские хакеры» взламывают PornHub и QIWI за деньги
Хакер Скворцов рассказал, как начинающему «белому взломщику» заработать первые деньги
Getty Images
Обнаружение уязвимостей в сайтах и мобильных приложениях известных компаний может приносить доход до $10 тыс. ежемесячно — об этом в интервью «Газете.Ru» рассказал «белый» хакер Глеб Скворцов, который занимается багхантингом с 2017 года. Последующая продажа найденных такими специалистами уязвимостей ведется на bug bounty площадках, а тех, кто работает на таких платформах, называют «белыми» хакерами или пентестерами. За пять лет своей деятельности Скворцов нашел более сотни брешей в различных соцсетях, а также известных интернет-сервисах вроде Slack, GitLab и даже PornHub. В интервью он рассказал, как стал хакером, за что платят багхантерам — и бывают ли в этой сфере мошенники.
– Когда вы начали занимать багхантингом и какую уязвимость нашли самой первой?
– Багхантингом я начал заниматься в 2017 году, когда мне было 18 лет. По сути тогда я толком не знал, что такое информационная безопасность и bug bounty (программа вознаграждения за обнаружение ошибок и уязвимостей — прим.ред.). Однако имел неплохие навыки в программировании и реверс-инжиниринге (разбор готового программного продукта на его составляющие – прим.ред.).
Так, однажды в одной из соцсетей я нашел уязвимость, которая позволяла размещать посты на странице любого пользователя от его имени, но без его ведома. Работала она просто: жертве можно было прислать ссылку, после перехода по ней срабатывал скрипт, и готово – на странице какого-нибудь блогера могло появиться сообщение с любым текстом, который захотел бы разместить атакующий. Таким текстом могла быть как шутка, так и, к примеру, реклама любого товара.
– Правильно я понимаю, что вы «продали» эту уязвимость разработчикам соцсети?
– Да, но случилось это не сразу. Точнее, я представления не имел, что могу получить деньги за свою находку. Я просто написал об ошибке в техподдержку соцсети, а в ответ получил предложение сообщить об уязвимости через программу bug bounty на платформе HackerOne (самая популярная в мире bug bounty-платформа – прим. ред.). Так я и сделал.
Вскоре мне заплатили за уязвимость $200. Для меня это была огромная сумма. Тогда я еще учился в колледже и жил в общежитии. После этого случая я начал понимать, что такое bug bounty, как на этом можно зарабатывать, как искать бреши и сообщать о них компаниям в соответствии с политикой о неразглашении. У меня сразу появилось желание развиваться в этой сфере.
– Сколько уязвимостей вы нашли и продали на сегодняшний день?
– Что это были за компании?
– Разные. В основном соцсети, интернет-сервисы вроде GitLab и Slack. Много уязвимостей удалось найти в платежном сервисе QIWI. Был даже случай с PornHub.
– PornHub? Простите, не могу не спросить, при каких обстоятельствах вы нашли уязвимость на этом сайте? Пришли как рядовой посетитель и подумали «дай-ка в коде поковыряюсь»?
— Все более прозаично. Выбрал в качестве цель из общего списка, опубликованного на платформе HackerOne, так же, как это делают все багхантеры, и пошел ломать.
– Можете рассказать, в чем заключалась суть этой уязвимости?
— Хоть эта уязвимость уже и закрыта, подробности я все еще разглашать не могу. Команда программы не давала разрешение на раскрытие ее содержания.
– Сколько вы за нее получили?
– Правильно я понимаю, что все уязвимости, которые вы обнаружили стоили около $200?
В каждой программе bug bounty определен диапазон денежных вознаграждений за найденные уязвимости. Разный тип уязвимостей оплачивается по-разному. Чем опаснее уязвимость и чем больше у нее влияния на продукт, тем больше получит исследователь за ее обнаружение. Как правило, минимальная выплата — $50, максимальная может доходить до сотен тысяч. Сотни тысяч я, конечно, не получал, но больше $3000 было точно.
– Сколько на bug bounty вы зарабатываете ежемесячно?
– Зависит от приложенных усилий и везения.
Если постараюсь, за месяц могу заработать больше $10 тыс., если поленюсь, может выйти и $100.
– Вы работаете где-нибудь на постоянной основе?
– Работаю в одной из ведущих российских компаний в сфере информационной безопасности и багхантинг для меня ― исследовательская работа, которой я занимаюсь в свободное от основной работы время: это интересно, это развивает меня как специалиста и, конечно же, приносит некоторый дополнительный доход, что тоже, согласитесь, неплохо. И когда я говорю о размере заработка на багхантинге, я имею ввиду сумму, которая, конечно же, не включает в себя зарплату.
– Как вас взяли на работу в ИБ-компанию? Вы же хакер!
— Да, хакер, но «белый». Я исследователь безопасности. Опыт таких специалистов, как я, очень востребован на стороне защиты: мы умеем посмотреть на системы любой организации и найти в них те бреши, которые вероятнее всего уже ищут те хакеры, которые нацелены на деструктив. Ну и да, позволю себе минутку тщеславия и скажу, что на работу меня взяли с большой охотой.
В резюме мне хватило всего одной строчки со ссылкой на мой профиль на HackerOne. Больше я ничего не стал указывать – и меня взяли. На собеседовании мой будущий руководитель еще пошутил над тем, какое у меня резюме информативное.
Так что иметь хороший рейтинг на bug bounty платформе в каком-то смысле лучше, чем иметь красный диплом. Диплом о высшем образовании у меня, конечно, есть. Но он не красный.
– Вы упомянули везение. Объясните, пожалуйста, на что оно влияет в багхантинге?
— Например, бывает так, что ты нашел уязвимость, отправил репорт и ждешь ответ от компании. Через несколько часов или дней видишь, что уязвимость, которую ты нашел, закрыта на HackerOne и помечена как Duplicate. Это значит, что одновременно с тобой уязвимость нашел и другой хакер. В таком случае награду получает тот, кто первым сообщил об уязвимости.
Бывает еще, что после репорта уязвимость получает статус Informative. Это значит, что компания решила не исправлять уязвимость, поскольку посчитала ее некритичной. В таком случае, разумеется, денег тоже не видать.
– А какой статус дает понять, что бумажник скоро потяжелеет?
— Все ждут заветный статус Triaged, после которого назначается выплата. Вознаграждение, как правило, поступает на банковский счет, PayPal или Bitcoin-кошелек (Coinbase) в тот же день.
В некоторых случаях команда программы bug bounty может перечислить награду после того, как устранит уязвимость, то есть через месяц, в среднем. Но были случаи, когда я получал выплату через несколько лет после репорта.
Уже даже забываешь о том, что где-то что-то нашел и зарепортил, а тут тебе на почту приходит уведомление о выплате. Это как найти деньги в зимней куртке в начале сезона. Однако это — редкость, обычно ожидание награды составляет до месяца.
– Скажите, какая уязвимость была для вас самой прибыльной?
– Однажды я вскрыл уязвимость, позволяющую обходить комиссию на переводы в одной из популярных платежных систем. Устранить ее можно было только в конкретном месте. То есть, нашел на одной странице – исправил на этой странице. После обновления сайта уязвимость появилась на другой странице – исправляй снова. Закрыть уязвимость одной правкой везде и навсегда было нельзя.
Соответственно, я начал такие места искать. В итоге в разное время отправил пять репортов по одной уязвимости, и компания выплатила мне вознаграждение за каждый.
Другие исследователи найти обнаруженную мною «брешь» не могли, так как информация по репортам была закрыта. Нащупывать же уязвимость вслепую, с нуля можно было несколько месяцев. Никто за такое не возьмется.
– Бывают ли между «белыми» хакерами и заказчиками конфликты? Есть ли в этой сфере аферисты и мошенники?
– Сфера bug bounty построена на доверии между компаниями и «белыми» хакерами. Возможно в это сложно поверить, но в данном случае доверие является фундаментом, который по прочности не уступает договорам с кучей печатей и подписями десятка важных людей.
Я это к тому, что в сфере bug bounty бывают конфликты, но очень редко. Бывают случаи, когда, например, уязвимость засветилась в СМИ после репорта, или владельцы программы bug bounty посмотрели логи и выяснили, что исследователь ее эксплуатировал. Тогда им отказывают в выплате вознаграждения.
Подчеркну, что такое поведение идет вразрез с этическими принципами настоящего исследователя.
– Мой скромный опыт общения c пентестерами не дает мне понять, почему они неохотно раскрывают свою личность. Можете рассказать о причинах скрытного поведения «белых» хакеров?
— Я бы не сказал, что это правило. Все зависит от человека. Чаще, даже наоборот – люди везде ездят, выступают, презентации показывают.
А вообще, когда начинаешь разбираться как все работает – к безопасности в интернете начинаешь относиться по-другому. Тут уже и в пароли символы добавляешь, и лишний раз думаешь, стоит ли на незнакомый сайт свои данные вводить. А такой тенденции, чтобы все скрывались, я не замечал.
– HackerOne перестал работать с российскими багхантерами. Что в связи с этим изменилось в вашей работе? Как вы переживаете, так сказать, отлучение от HackerOne?
– Альтернатив HackerOne пока не много, но они начали появляться, в том числе и в России. Например, уже есть платформа BugBounty.ru, весной стартовала The Standoff 365 Bug Bounty, а да конца года, по слухам, появится еще одна-две. Это однозначно вовремя подоспевшее подспорье для российских «белых» хакеров. Однако я бы не стал говорить, что эти платформы интересны только потому, что закрылся HackerOne.
Некоторые из российских платформ предлагают уникальные задачи. Например, на The Standoff 365 Bug Bounty можно не только искать уязвимости, но и предлагать способы их использования в так называемых недопустимых событиях, хакерских атаках. Мне кажется, почувствовать в себя в шкуре киберпреступника – это довольно необычный опыт.
– Уверен, после прочтения этого интервью кто-нибудь да захочет податься в пентестеры. Можете дать какие-нибудь советы для начинают «белых» хакеров?
– Начинающий исследователь на первых порах может попытаться проверять чужие открытые репорты в других bug bounty программах, а потом находить аналогичные уязвимости и так зарабатывать. Поначалу я действовал именно так.
Впрочем, когда новичок наберется опыта, ему это наверняка станет неинтересно. Появится желание самому искать новые векторы атак и открывать то, о чем еще никто не догадался. Это как переход на следующий уровень.
Источник: www.gazeta.ru
Чем занимается «белый хакер»? 10 вопросов о специалистах по поиску уязвимостей
Как показывают опросы, хакеры чаще всего ищут не выгоды и лёгких денег, а хотят испытать свои силы, решить головоломку в виде защиты какой-то компании. При этом далеко не всем хочется нарушать закон и рисковать. К счастью, в последние годы активно формируется сообщество белых хакеров, а спрос на их услуги растёт, особенно среди крупных компаний. В этой статье мы с помощью экспертов разберёмся, кто такие белые хакеры, при чём там шляпы, как стать белым хакером и зачем это может быть нужно.
Чем занимается белый хакер?
Белые или этичные хакеры помогают компаниям находить и устранять бреши в их защите. Такие хакеры действуют по запросам от компаний, которые можно найти на различных сайтах, например HackerOne или Bugcrowd.
Важно помнить, что взламывая компании, которые об этом не просили, можно попасть под суд, даже если вы никак не использовали их информацию. Тоже касается и взлома Wi-Fi.
Белые хакеры стараются не вызывать перебои в работе компании своей деятельностью — например, они не будут проверять устойчивость к DDoS-атакам в разгар рабочего дня.
Кто такие «white hat» и «black hat»?
Белых хакеров часто называют white hats (белые шляпы), а хакеров-злоумышленников — black hats (чёрные шляпы). Такие наименования появились из-за вестернов, где хорошие ребята носили белые шляпы, а плохие — чёрные.
Основная мотивация белых шляп — развитие своих навыков и использование их во благо компаний, на которые они работают. Основная мотивация чёрных шляп — получение выгоды несмотря ни на что.
Кроме белых и чёрных, часто встречаются gray hats — серые шляпы. Такие хакеры обычно не имеют преступных намерений при взломе, но могут взламывать продукты компаний, которые не публиковали запрос на проверку, а если им в руки попадутся данные, которые можно продать, могут воспользоваться этой возможностью.
Кто такие «blue hat», «green hat», «red hat»?
Если с чёрными, белыми и серыми шляпами всё в общем-то понятно, то цветные наименования — явление гораздо менее распространённое. Тем не менее, иногда они используются.
Blue hat — это по сути тот же white hat, но в терминологии Microsoft. Эта компания активно продвигает аудит продукта хакерами перед выпуском на рынок. Также они учредили Microsoft BlueHat Conference, которая посвящена белому хакингу и информационной безопасности. Попасть туда можно только по приглашению.
Интересно, что в некоторых кругах blue hats — это люди, которые из-за каких-то событий в жизни решили хакнуть кого-то из мести. При этом в остальном хакерское искусство их не интересует. Яркий пример — главный персонаж игры Watchdogs.
Green hat — хакеры-новички, у которых ещё недостаточно опыта и навыков, но которые при этом активно учатся и практикуют хакинг с помощью специальных ресурсов.
Red hat — хакер, основная цель которого — бороться с чёрными шляпами. Но если белые хакеры стараются предотвратить атаки и усилить защиту, красные шляпы хотят наказать хакеров-злоумышленников и обнаружив кого-то из них, могут развернуть против него полномасштабную атаку.
Где белые хакеры находят заказы?
Заказы от компаний в основном публикуются на специальных платформах, таких как HackerOne, Bugcrowd, SafeHats и Synack. Также программы bug bounty поддерживают крупные компании — Google, Instagram, Facebook, Apple, Paypal и многие другие.
Сколько зарабатывает белый хакер?
Заработок белых хакеров зависит от многих факторов, начиная от их навыков и заканчивая простой удачливостью. Для многих этичный хакинг — хобби или периодическая занятость, а не полноценная работа. Однако в опросе за 2019 год платформа HackerOne выяснила, что уже 7 человек, преимущественно занимаясь хакингом, заработали более $1 000 000, ещё 13 — $500 000, а ещё 146 — $100 000. BBC в своей статье пишет, что самые успешные белые шляпы — хакеры, которые могут получать более $350 000 (~25 600 000 руб.) в год, а в рамках bug bounty программ компании ежемесячно выплачивают до $50 000 (~3 600 000 руб.).
Как стать белым хакером?
В основном хакеры учатся самостоятельно по информации, которую находят в интернете, однако в последнее время стали появляться курсы этичного хакинга, например Hacker101 от HackerOne.
Также нередко белыми хакерами становятся люди с образованием в Computer Science и информационной безопасности.
Специалист по информационной безопасности = хакер?
Не совсем, ведь специалист по информационной безопасности в первую очередь проектирует защиту, а хакер, даже этичный, пытается найти в ней уязвимости.
Не стоит ставить знак равенства между хакерами, пусть и “белыми”, и специалистами по информационной безопасности. Это распространенный стереотип: если безопасность, то обязательно хакер. На самом деле в ИБ очень много направлений: это и специалисты по организации и методологии безопасности, в задачи которых входит ведение необходимой документации и поддержка ИТ-инфраструктуры в рамках законодательства, и аналитики, в обязанности которых хакерское мастерство совсем не входит
Екатерина Кошкарова , ведущий технический эксперт компании DBI
Кто круче, специалисты по информационной безопасности или хакеры?
Конечно, всё зависит от людей и от ситуации. У специалиста по информационной безопасности и у хакера разные задачи и разные сложности. Но в общем и целом защищаться от возможных угроз сложнее, чем искать уязвимости, ведь хакеру достаточно знать одну лазейку, чтобы достигнуть цели, а специалисту по информационной безопасности нужно создать систему, которая будет защищена от множества уязвимостей.
Чтобы быть хорошим специалистом по информационной безопасности, нужно знать все техники взлома, которыми тебя будут «тестировать». Чтобы взломать сеть, достаточно знать одну работающую методику.
Поэтому специалисты по безопасности проводят много времени в изучении хакерских техник и они, обычно, более профессиональны, чем люди их атакующие.
Что есть общее у всех людей — общий доступ к публичным хакерским утилитам, например, к бесплатному набору эксплойтов Metasploit или Kali Linux, или к платным утилитам, таким как, Core Impact. Это готовые наборы атакующих техник и все что нужно
— научиться из запускать. Для этого есть множество обучающих видео на youtube. И неважно — ты выполняешь роль red team или ты хакер — ты пользуешься одинаковыми утилитами и методиками.Что выгодно отличает преступника — он может купить на «черном» рынке совершенно новые методики взлома, которые неизвестны еще защитникам и оставаться внутри вашей сети незамеченным долгое время.
Это облегчает атакующему проникновение и ставит непростую задачу: как защититься от неизвестной атаки. Например, по информации компании Group-IB, преступная группировка Anunak была в среднем 42 дня в сети банка, до момента вывода денег.
И здесь у защитника есть преимущество: достаточно одной ошибки хакера и он будет замечен. Поэтому, чем больше различных техник защиты вы используете, тем меньше шансов у атакующего. Если техника защиты у вас всего одна – то, скорее всего, ее уже
обошли.
Денис Батранков , эксперт по информационной безопасности Palo Alto Networks
Как часто в уязвимостях виноваты разработчики?
Считается, что принцип Security by design должен быть положен в основу любой современной разработки. Об этом все говорят, но на практике применяется он редко. Причина банальная – конкурентная гонка разработчиков. Продукты нужно выводить на рынок как можно быстрее. В результате вендоры сначала выпускают ПО с целью скорее заработать, чтобы уже потом разобраться с безопасностью.
Яркий пример последнего времени – Zoom. Пока он был мало известен, разработчики не считали нужным разбираться с уязвимостями. Как только интерес общественности, а вместе с ней и хакеров, к нему вырос, сразу обнаружилось множество дыр. Разработчики были вынуждены на это экстренно реагировать и эти дыры подлатали. Могли ли они это сделать раньше? Да.
Но первоочередными были другие задачи – расширить функционал, «навести красоты», увеличить клиентскую базу. С точки зрения рынка это оказывается оправданно, так как пользователи не оценят «улучшена безопасность приложения», но оценят «мы сделали новые крутые смайлы».
Алексей Дрозд , начальник отдела информационной безопасности «СёрчИнформ»
Существует три вида уязвимостей: проектирования, реализации и конфигурации. Часто разработчики в принципе не в состоянии решить проблемы, заложенные еще на этапе дизайна. Например, протокол SMTP, по которому передается почта между почтовыми серверами, изначально был создан без подтверждения личности, поэтому до сих пор нас атакуют спамеры и мы получаем фишинговые письма. Просто потому, что любой человек может прислать письмо, подписавшись любым адресом, хоть адресом президента. Да, при реализации есть попытки от этого защититься, но проблема была еще в корне.
Конечно, и сами программисты вносят уязвимости. Здесь есть, пожалуй, две основных проблемы: огромные объемы кода и переиспользование чужого кода. При выпуске программного продукта код обычно тестируется на то, чтобы он работал при стандартных входных данных. И почти никогда не тестируется, когда входные данные специально изменяют, чтобы провести атаку.
Профессиональные компании вводят практики безопасного написания кода, которые называются SDLC, однако и они не идеальны. Например, Microsoft уже много лет практикует и пропагандирует безопасное написание кода, но, тем не менее, каждый месяц выпускает патчи к свеженайденным уязвимостям. В среднем в нашу лабораторию приходит 80 сообщений о новых уязвимостях в сутки в продуктах различных компаний.
Переиспользование чужого кода используется повсеместно: никто не пишет готовые алгоритмы и библиотеки с нуля. Все программисты покупают или берут уже готовые публичные библиотеки. Помните, как сильно ударила по миру уязвимость в библиотеке OpenSSL — ведь ее использовал весь мир для управления устройствами и для шифрования каналов управления и передачи данных.
И пришлось срочно выпускать патчи и обновляться. А обновлять сетевое оборудование и сайты в работающих средах — непростая затея. По статистике уязвимость Heartbleed была на 17% публичных вебсайтах.
И таких публичных и платных библиотек в любом продукте используется несколько десятков, например библиотеки управления внешними устройствами, внутренними, например, видеокартами, сетевыми адаптерами и др. И периодически в них находят уязвимости. А если смотреть на ситуацию с уявзимостями Интернета вещей — там даже пароли по умолчанию никто не меняет. Там вообще не нужны уязвимости — заходи кто хочешь, выключай и включай все приборы, что хочешь.
Сегодня бич информационной безопасности в организациях — контейнеры. Они позволяют очень быстро и эффективно разворачивать нужные бизнесу приложения, но уже можно сразу считать любой готовый контейнер уязвимым и во многих компания в срочном порядке начинают использовать продукты по защите Docker, Kubernetes и среды их исполнения, например OpenShift. И многие последние взломы и утечки персональных данных были вызваны именно использованием уязвимых контейнеров.
Денис Батранков , эксперт по информационной безопасности Palo Alto Networks
Если говорить о проблемах, связанных с виной не только разработчиков, но, кстати, и других сотрудников ИТ-департаментов, то хочется сказать о многочисленных уязвимостях баз данных. Да, никто не отменял многочисленные ошибки в проектировании систем, небезопасный код, но, по нашим наблюдениям, самое слабое звено — это база данных: избыточные права доступа к объектам, доступ администраторов БД к «чувствительным данным» (номерам карт, телефонов, емейлам), что скрывать, часто для подключения к продуктивным БД используются легко подбираемые пароли типа password1234. О рекомендациях вендоров-производителей БД помнит только каждый 5й айтишник. Человеческий фактор тоже никто не отменял: утечка данных может быть не только случайной, но и намеренной: все-таки до 90% всех баз данных, которые присутствуют на «чёрных» рынках, украдены сотрудниками компаний, а не хакерами. И да, к сожалению, представители ИТ-департаментов, которые видят все данные в БД и понимают их ценность, чаще всего эти данные и продают.
Екатерина Кошкарова , ведущий технический эксперт компании DBI
Какие инструменты используют белые хакеры?
«Белые» хакеры работают по принципу «мысли как преступник» чтобы при поиске уязвимостей, пентесте и т.п. понимать логику злоумышленников. Поэтому и методы они используют те же, что и «чёрные» хакеры.
С точки зрения используемых инструментов, также есть миграция, но здесь наоборот: от тёмной стороны к светлой. Дело в том, что «чёрным шляпам» невыгодно использовать «авторское» вредоносное ПО. Системам защиты его будет легче выявить по ряду признаков. Поэтому уже давно назрел тренд на использование «потенциально небезопасных» программ. Так их именуют антивирусные решения.
В результате инструменты в руках у обоих категорий хакеров по сути двойного назначения. Ими могут пользоваться не только хакеры, но и «белые шляпы», поэтому антивирусные программы такое ПО не блокируют, а предупреждают о рисках. Журнал «Хакер» дает небольшой перечень такого ПО: ScanSSH, Intercepter-NG, NLBrute, UBrute, RDP Brute, sqlmap, Netsparker, SQLi Dumper, Router Scan, Private Keeper, Havij, Metasploit, Armitage, DUBrute, Lamescan, Fast RDP Brute, njRAT, Acunetix.
К примеру, Intercepter-NG был создан русским программистом, и писал он про него как про ПО для пентеста. Он не прячется, ведет свой блог, сайт т.е. действует в легальном поле. Но некоторые эксперты считают такой софт хакерским и не без основания, так как он действительно может использоваться для решения их задач.
Алексей Дрозд , начальник отдела информационной безопасности «СёрчИнформ»
Топ-12 инструментов для пентеста на Kali Linux и не только
- фреймворк Metasploit, включающий в себя порядка 3,5 тысяч модулей для эксплуатации различных уязвимостей;
- веб-прокси Burp Suite, позволяющий перехватывать запросы к веб-сайтам и изменять их содержимое, что необходимо для проверки уязвимостей;
- инструмент Hashcat, с помощью которого можно восстановить пароли путем перебора возможных значений, используя хешированные либо зашифрованные данные.
Владимир Ротанов , консультант Центра информационной безопасности компании «Инфосистемы Джет»
Для проведения аудита информационной безопасности или тестирования на проникновения существует множество различных инструментов, предназначенных для проверки защищённости различных типов ресурсов, таких как WiFi-сети, локальные сети, базы данных, операционные системы, веб-сайты и др. Существуют целые сборки такого программного обеспечения, которые и используются «белыми» и «чёрными» хакерами. Примерами могут служить дистрибутивы Kali LInux, BlackArch, Commando VM. Кроме стандартного набора утилит, входящих в состав таких дистрибутивов, это могут быть общедоступные утилиты с github.com или иных ресурсов, а также самонаписанные скрипты, позволяющие автоматизировать какой-либо процесс, например, подбор паролей. Однако одного обладания набором утилит для полноценного тестирования мало, необходимо понимать принципы работы тестируемых систем.
Максим Симченко , руководитель направления особых исследований департамента информационной безопасности Московского кредитного банка
А вот какие результаты получили HackerOne в опросе 2019 года:
Как строится система информационной безопасности компании? Рассказывает эксперт
Владимир Федотов
Software Engineer EPAM
Специалист по компьютерной безопасности — это широкое понятие, включающее в себя большое количество ролей и обязанностей, но основная цель у всех одинаковая — это обеспечить конфиденциальность, целостность и доступность информации. Наглядным примером будет средневековый город, жители и производства которого является функциональной частью программного обеспечения.
Как хорошие защитники мы не хотим, чтобы нашу продукцию воровали, ломали и делали сообщение с другими городами недоступным. И что бы этого не допустить в штате есть целый арсенал специалистов. Думать о защите города необходимо на этапе проектирования, для этого есть Application Security специалисты, которые занимаются анализом архитектуры приложения и функциональных требований, находя угрозы и предлагая способы их устранения в самом начале. Очевидно, дешевле определить, что крепостную стену надо строить из камня на этапе требований, чем построить из дерева и затем переделывать. На этапе постройки города важно чтобы соблюдались регламенты и правила строительства, а никто из строителей (программистов) не использовал испорченные материалы, для этого существует Static Application Security Testing, который состоит из Security Code Review и автоматизированного поиска дефектов в коде.
Настройкой и интеграцией автоматизированных сканов занимается команда DevSecOps, в то время как обязанности по регулярному разбору репортов и обновлению правил поиска часто также ложатся на Application Security специалистов. Могут быть в городе и другие роли, например иногда очень сложно обойтись без человека, который занимается регулярным чтением распоряжений международных организаций и подготовкой городской документации для подтверждения того, что все требования удовлетворены.
Есть и аудиторы, которые путешествуют по странам и проверяют их соответствие требованиям. Под страной или государством следует понимать производителя программного обеспечения или ИТ-организацию, предоставляющею услуги.
И на уровне государства найдется работа для специалиста по компьютерной безопасности, кто-то должен защищать границы и не пускать злоумышленников в инфраструктуру, служба IT Security и Physical Security отлично справляются с этой работой. Кто-то должен руководить процессами по защите информации. Есть и специальные Red Team команды, задача которых вломиться на территорию государства по заказу его руководителей и получить контроль над критическими системами, зачастую для этого используются слабозащищенные города. Список далеко не полный и его продолжение я предлагаю вашей фантазии.
Вернемся к нашему городу, после того как он построен, застройщик приглашает команду Penetration testers или, говоря популярно, «этичных» хакеров, которые просят дать доступ к staging серверу с таким же городом и пытаются его сломать, имитирую действия злоумышленников или «чёрных» хакеров. В ход идут все доступные средства от попыток прикинуться жителем города и обмануть охранников, до вероломного переламывания стены.
Особое внимание уделяется всем входам и выходам из города, как к самым уязвимым местам. Список утилит и методологий используемых «этичными» и «чёрными» хакерами во многом схож, подробнее об общей методологии можно почитать тут. Гораздо интереснее посмотреть на разницу!
Так как Penetration testing команда приглашена командой разработчиков она имеет ряд преимуществ, например изначально ей могут быть предоставлены привилегии различных ролей в городе, а также перед тестированием могут быть отключены дополнительные средства защиты такие Web Application Firewall. Все это позволяет улучшить процесс тестирования, так как не отнимает время инженеров на обход дополнительных защит. «Чёрные» хакеры изначально находятся определенно в более тяжелой ситуации, так как лишены вышеперечисленных преимуществ и вынуждены проводить атаки «вслепую».
Но все трудности с лихвой компенсируется отсутствием ограничений по времени тестирования и необходимости атаковать именно приложение. Злоумышленник может покупать на чёрном рынке 0-day уязвимости в веб-серверах патчи для которых еще не опубликованы, он может использовать обман для получения credentials пользователей или банально купить информацию у легитимного пользователя. Также в арсенале злоумышленника есть ряд утилит, позволяющих закрепиться в системе на длительное время и оставаться незамеченным, что намного реже востребовано тестировщиками. Подводя итог, разница между тулсетами «этичного» и «чёрного» хакеров кроется в сути самих ролей, первый это высококлассный инженер, действующий в рамках соглашений, а второй преступник, которому не чужды все соответствующие методы.
Как бы хорошо ни старались специалисты по информационной безопасности, самым уязвимым местом любой системы остаются ее пользователи. Если губернатор велит открыть главные ворота и пускать всех, все механизмы защиты будут бесполезны.
Стоит отметить, что администраторы инфраструктуры, в том числе файрволлов, в данном случае тоже пользователи, просто другого программного обеспечения. Конечно же ошибки могут допускать и разработчики, глобально их можно разделить на два типа — это либо ошибка в логике программы, которая закралась на этапе требований или проектирования взаимосвязей между модулями, либо техническая ошибка, например в реализации механизмов защиты.
Список таких ошибок к счастью конечен. Наиболее часто встречающейся на моей практике было отсутствие валидации входных данных или эскейпинга выходных, приводящих к широкому списку проблем от банальных XSS до Remote Code Execution на продакшен серверах. Подробнее можно почитать по ссылке. На этом у меня все и пожалуйста, помните, что лучший специалист по компьютерной безопасности для своего приложения — это сам разработчик!
Источник: tproger.ru