Американская платформа Bugcrowd подсчитала, что этичные хакеры, которые помогают компаниям искать баги и дыры в системах безопасности, зарабатывают до $500 тыс. в год. С этичными хакерами работают практически все крупнейшие технологические компании и финансовые учреждения, среди них Tesla, Amazon и Facebook. Российские компании готовы платить за найденную ошибку до $100 тыс.
Большинство этичных хакеров зарабатывают с помощью фриланса, размещая свои данные на специальных платформах. Но при этом сумма одного вознаграждения может быть настолько велика, что многие делают это поприще своей основной профессией. "ДП" решил выяснить, а нанимают ли "хакеров-фрилансеров" российские компании, и спросил об этом "ВКонтакте", Dr.Web, "Лабораторию Касперского" и Group IB, а также мы узнали, как они отбирают людей, которые будут защищать компанию от внешних угроз и утечек.
В мире черных и белых шляп
На сетевом сленге этичных хакеров часто называют "белыми шляпами", потому что, образно, они стоят на стороне добра и используют свои навыки для проверки безопасности компьютерных систем, в отличие "черных шляп" — обычных хакеров, которые занимаются взломом ради наживы. Этичных хакеров находят с помощью специальных зарубежных платформ, самые популярные из них — Bugcrowd, HackerOne, Synack и Cobalt.
"Пожалуй, таких людей было бы не совсем верно называть хакерами, они скорее тестировщики программного обеспечения, обладающие навыками разработчиков. Но такое название уже установилось. К тому же бывает, что в эту профессию переходят бывшие настоящие взломщики, — рассказывает глава агентства "Рустелеком" Юрий Брюквин. — В России отдельный рынок по найму таких работников не сложился, поэтому российские специалисты размещаются на зарубежных платформах — том же HackerOne".
По данным площадки Bugcrowd, 94% зарегистрированных на ней этичных хакеров имеют возраст от 18 до 44 лет. Также многие пользователи все еще учатся либо в средней, либо в старшей школе. При этом 50% указали, что занимаются исключительно фрилансом и также не собираются переходить на постоянную работу.
Крупные компании готовые платить большие суммы для взломщиков по найму. Например, Tesla и IJet платят хакерам от $1 тыс. до $15 тыс. за найденную ошибку или лазейку в системе в зависимости от ее сложности и серьезности проблемы. Mastercard готовы платить уже от $3 тыс. Такая практика поиска ошибки за вознаграждение носит в профессиональном сообществе название bug bounty ("баг баунти" — награда за найденный баг). В американских компаниях существует довольно распространенная практика создания отдельных bug bounty-программ, когда любой пользователь может сообщить о дырах в безопасности.
"Компании приходят на такие площадки с продуктами, которые они отдают на тестирование, определяют условия проведения подобных исследований и называют суммы выплат за те или иные найденные уязвимости. Исследователи же могут выбирать среди таких компаний — кого бы они хотели исследовать и заработать на этом честным образом", — рассказал Владимир Дащенко, руководитель группы исследования уязвимостей систем промышленной автоматизации и Интернета вещей "Лаборатории Касперского".
В мире этичных хакеров есть и свои культовые фигуры, у некоторых из них есть криминальное прошлое, хотя и это довольно редкое явление. Яркий пример — Кевин Митник, который провел почти 6 лет в тюрьме за многочисленные взломы. Среди его жертв были министерство обороны США, Sun Microsystems, Novell, Motorola, DEC, NASA, The Well, Netcom, DEC, CSCNS, МТI и многие другие. После освобождения Митник снял "черную шляпу" и стал экспертом в области информационной безопасности.
Зал славы этичного хакера
По словам руководителя направления "Аудит и Консалтинг" компании Group-IB Андрея Брызгина, в программах bug bounty участвуют крупные игроки в сфере информационных технологий. В рамках этой программы специалист, изучив условия и обнаружив недоработки в системах, может не только передать информацию о них и получить вознаграждение, но и также попасть в так называемый Hall of fame (Зал славы) в числе других специалистов, показавших выдающиеся результаты.
"Некоторые специалисты, участвующие в таких программах, в первую очередь бьются не за деньги, а именно за место в зале славы, которое положительно повлияет на востребованность на фриланс-рынке информационной безопасности, а, следовательно, принесет потенциально больше денег. Стоит предупредить, что в текущих реалиях сообщение об уязвимости в компанию, которая не имеет своей bug bounty-политики, может привести к нежелательным последствиям вплоть до уголовного преследования. Даже если такая политика есть, следует очень внимательно изучить ее условия — на что и почему она распространяется. Как минимум можно сообщить об уязвимости и не получить ничего, как максимум — получить те же проблемы с законом", — рассказал эксперт.
Однако главной мотивацией большинства участников подобных программ являются все же деньги, что влияет порой и на качество работы. Сообщая чаще об ошибках и получая подтверждения, "белые шляпы" зарабатывают больше. "Это приводит к потоку часто дублирующихся оповещений о простых уязвимостях, которые способны обнаружить и автоматизированные средства анализа защищенности, при этом копать вглубь в рамках bug bounty-программ для большинства участников банально неинтересно", — считает Брызгин.
В Group IB уже давно существует отдельное направление аудита и консалтинга, в рамках которого их специалисты занимаются проверкой защиты инфраструктур и приложений компаний-клиентов, а также оценивают эффективность систем обнаружения и предотвращения вторжений и осведомленность персонала в вопросах информационной безопасности. При этом собственной программы bug bounty у компании нет, но в Group IB не запрещают своим сотрудникам участвовать в подобном виде деятельности в свободное время, к тому же компания часто сама принимает участие в разборе сообщений об уязвимостях в рамках существующих программ у нескольких крупных компаний.
Защитники главной соцсети
"ВКонтакте" тоже обращается к помощи этичных хакеров, но все же прежде всего компания старается справляться своими силами. Как рассказал технический директор соцсети Александр Константинов, во "ВКонтакте" существует три основных направления по работе с информационной безопасностью: безопасность офиса и компьютеров сотрудников, безопасность серверов в дата-центрах и безопасность данных пользователей и продуктов, которые создает "ВКонтакте".
"Каждым из направлений занимаются люди с разным бэкграундом — кого-то мы вырастили сами, а для кого-то поиск уязвимостей раньше был хобби. Но, независимо от прошлого, такой человек должен быть максимально скрупулезен, ему нужно помнить о тысячах вариантах взлома. Также важно быть творческим, потому что редко бывают совершенно одинаковые типы атак", — поделился он.
По его мнению, эффективнее, безопаснее и дешевле использовать именно внутренние ресурсы компании и искать уязвимости самостоятельно. Только так можно быть уверенным, что никто не использует данные против пользователей. Тем не менее "ВКонтакте" дополнительно сотрудничает с площадкой HackerOne. Размер вознаграждения "белым шляпам" соцсеть определяет серьезностью уязвимости, с 2015 года компания выплатила свыше $230 тыс. этичным хакерам за помощь.
"На Hacker One есть огромное количество хакеров: кто-то занимается этим как хобби, кто-то на профессиональной основе. Для них это максимально безопасно — все происходит официально. Компании не подают в суд, а, наоборот, платят вознаграждения. Успешные специалисты могут так зарабатывать сотни тысяч долларов в год", — рассказал Константинов.
Собственная программа bug bounty есть и у "Лаборатории Касперского". "С помощью нее мы выплачиваем вознаграждения за нахождение уязвимостей в наших продуктах через HackerOne. За все время действия программы были закрыты уязвимости от 90 исследователей со всего мира", — рассказал эксперт Kaspersky Lab ICS CERT Владимир Дащенко.
Многие этичные хакеры благодаря щедрым выплатам со стороны компаний обеспечивают себе безбедное существование в течение долгого времени, поэтому многие из них сделали участие в bug bounty-программах своим единственным заработком, добавил он. "Лаборатория Касперского" выплачивает "белым шляпам" до $100 тыс. за найденный баг.
Штатный взломщик
Александр Вураско, специалист компании Dr. Web, во многом солидарен со своим коллегой из Group IB. Например, он считает, что для самих "белых шляп" такая деятельность может быть небезопасна.
"Как правило, участие в bug bounty-программах накладывает на пользователя ряд обязательств. Например, не размещать в открытом доступе информацию об уязвимости до ее устранения. Добровольный поиск уязвимостей иногда бывает достаточно рискованным делом. В мире существуют прецеденты, когда людей, выявивших уязвимость, привлекали к ответственности за неправомерный доступ к компьютерной информации. Так как де-факто это взлом. Существуют и ситуации, когда люди, обнаружившие уязвимость, пытались шантажировать компанию, угрожая предать информацию об уязвимости огласке", — напоминает он.
Так же, как и в Group IB, компания Dr.Web предпочитает иметь таких специалистов в своем штате, а не нанимать фрилансеров. В таком случае работников, которые занимаются тестированием на проникновение и взлом, называют пентестерами, при этом поиск подобных специалистов для найма — та еще задача.
"Именно пентестеров, как правило, называют белыми хакерами. Мы используем разные каналы для поиска таких специалистов. На самом деле высококвалифицированных работников такого профиля не так много. Этому нельзя в полной мере научиться в вузе. Нужно увлекаться этим, интересоваться. Только тот, кому по-настоящему интересно разбираться в этом, достигает высот. То есть у человека априори должна быть высокая внутренняя мотивация, так как такая работа — это не только технический, но и во многом творческий процесс".
На это же сетует представитель Group IB Андрей Брызгин. Он указывает, что до сих пор нет никаких стандартов по поиску нужных специалистов по защите информационных систем. И нет никакой надежды, что в ближайшем будущем появится хоть какой-то документ, который описывал бы необходимые для такого работника навыки, потому что IT-отрасль развивается слишком быстро, а в вузах на киберзащитников не учат, поэтому чаще всего используется сарафанное радио.
"Некоторые специалисты формируются самостоятельно, по открытым и полуоткрытым источникам, благо интернет велик до необъятности, другие проходят серию курсов, собирая по пути стопку сертификатов, большинство из которых, к сожалению, бесполезны. Такой путь нередко приводит к формированию так называемых скрипт-кидди — специалистов одного-двух скриптов атаки, отход от которых невозможен из-за отсутствия фундаментальных знаний и понимания базовых технологий, безопасность реализации которых и предстоит проверять. Такие ребята рискуют оказаться на темной стороне, потому как для хищений зачастую хватает пары отработанных приемов, а вот для защиты от хищений этого явно недостаточно", — объяснил эксперт.
Представитель Dr. Web Александр Вураско указывает, что во многом фрилансер-хакер не подходит для компании, профиль которой — безопасность. "Фрилансер подойдет, например, для какой-нибудь организации, которой нужно протестировать свой сайт на предмет наличия уязвимостей. Но и тут есть проблема — уровень квалификации фрилансера определить достаточно сложно. Допустим, он не сумел взломать сайт, но может быть у него просто не хватило квалификации?" — подчеркнул он.
Андрей Брызгин же обращает внимание, что в распоряжении хакера-фрилансера может оказаться слишком много критичной для бизнеса информации, поэтому важно грамотно составлять контракт с "белыми шляпами", иначе на деле они могут оказаться "черными" и начнут вас шантажировать.Также он рассказал, что хорошо сработанная команда, которая ищет дыры в защите, может творить настоящие чудеса.
Например, команды Group IB после проверки защиты показывали заказчикам на презентациях взломанные записи телефонных разговоров, истории печати принтеров, фотографии с веб-камер и снимки рабочих столов, пароли сотрудников и даже доступы к исходным кодам разрабатываемых инновационных продуктов, а это уже риск для компании потерять все финансовые активы. "Были случаи, когда по согласованию со службой ИБ компаний наши аудиторы сами формировали себе электронные пропуска для прохода в компанию для презентации отчета", — поведал он.