Украинские «белые» хакеры: как заработать на взломах и не стать киберпреступником
Независимо от того, действуют ли они на пользу собственного кошелька или какой-то группы или структуры, речь идет о так называемых «черных» хакерах или киберпреступниках.
- Схема на миллион долларов: что делала хакерская группа FIN7?
- Эксперт: киберзащита — это не паранойя
- Украинского хакера приговорили в США к 2,5 годам
- День, когда загадочная кибератака парализовала Украину
Однако в Украине появляются и «белые» хакеры. Кто они, чем отличаются от «черных» и как зарабатывают на жизнь?
Белые и пушистые
«Мы действуем вполне легально, потому что мы никого не взламываем без их разрешения», — формулирует главное отличие Дмитрий Будорин, соучредитель и генеральный директор Hacken.
«Белые хакеры — это обычные хакеры, которые зарабатывают деньги официально: не воруя информацию, а находя какую-то уязвимость в системе, — объясняет соучредитель и директор по развитию бизнеса Hacken Егор Аушев. — Они официально сообщают об этой ошибке и получают за это деньги» .
В то же время, как напоминает Евгения Брошеван, «в оригинале речь идет о «white-hat» и «black-hat» хакерах — то есть о тех, у кого белые и черные «шляпы».
«Поэтому нужно говорить об этичных хакерах и киберпреступниках», — настаивает она.
Евгения руководит баг-баунти платформой для белых хакеров Hackenproof. По ее словам, «хакер — это человек, который может нестандартно решить некое техническое задание».
Впрочем, в определенном смысле, работа Евгении требует двойной нестандартности — она работает в основном мужском сообществе.
«Лучше, чем в женской, если честно. На самом деле очень конструктивный диалог в мужском коллективе, работа на равных и уважение за бизнес-результаты, а не по половому признаку».
Как это работает?
«Год назад мы выпустили свою криптовалюту, за которую получили реальные средства, на которые и создали этот бизнес», — рассказывает Егор.
«Тогда мы в полной мере углубились в новый способ финансирования проектов как ICO (Initial Coin Offering — первичное размещение криптовалюты, в отличие от IPO, Initial public offering — первичного размещения акций.- Ред.).
Было много сомнений, было страшно, что не соберем, что обвинят в мошенничестве «, — говорит Дмитрий, но добавляет, что с первыми биткоинами появилась и уверенность в будущем.
На создание платформы для белых хакеров основатели потратили около полумиллиона долларов.
«Собственно, это веб-сайт, на котором компания-клиент может зайти в свой кабинет, и хакер — в свой. Мы являемся звеном, которое их связывает. Если мы выводим компанию на нашу платформу, мы получаем комиссию с каждого найденного бага», — объясняет Егор идеологию бизнеса.
Для компаний и хакеров это выглядит следующим образом:
«Мы готовим компанию к проведению краш-тестов, и тогда уже выводим на платформу к хакерам. Они не привязаны к нашей компании, для них это возможность дополнительного заработка. У них есть свои рейтинги, которые зависят от того, сколько уязвимостей они успешно преодолели. От уровня найденной уязвимости зависит и оплата их труда — от 100 до десятков тысяч долларов».
Но зачем бизнесу, особенно большому, на который часто работают очень мощные технические команды, прибегать к услугам белых хакеров?
Владельцы бизнесов уже не могут построить эффективную защитную систему, так как количество и качество угроз с каждым месяцем растет, и преодолеть их становится все сложнее, считает Дмитрий.
«Количество продуктов, которые являются дырявыми, становится все больше. На рынке повторяется одна и та же ситуация: продуктовые компании знают о своих проблемах, знают, где у них дыры, но они эти дыры не успевают латать. И это нарастает, как снежный ком» .
«Только третья сторона может найти уязвимости системы. Тот, кто разрабатывал, никогда не увидит это. Более того, если снять какую-то фирму, которая будет тестировать компании, они могут это пропустить. Все недостатки можно увидеть только тогда, когда одновременно много людей тестируют систему, используют различные векторы атаки, атакуют из-за пределов системы», — добавляет Егор.
Кто клиенты?
Сколько компаний в Украине понимают это и уже пользуются услугами этичных хакеров?
«Не все хотят об этом говорить, некоторые пока испытывает эти сервисы», — говорит Евгения, но добавляет, что значительную часть клиентуры составляют банки и компании, которые работают на международный рынок.
Платформа, созданная Hacken, работает меньше года. По состоянию на сегодня, там около 20 открытых компаний, и еще некоторое количество тех, кто не хочет афишировать свое присутствие на платформе.
«У нас были случаи, когда к нам обращались компании и говорили: в нашей системе нашли дыру, нас шантажируют и требуют 100 биткоинов. Чем вы можете помочь? — рассказывает Егор. — Мы в течение часа размещаем эту задачу у себя на платформе баг-баунти, где работают сотни белых хакеров и говорим: ребята, ищите уязвимость. Кто найдет — вознаграждение 10 тысяч долларов — условно. Ребята налетают на программу, находят уязвимость, и вместо 100 биткоинов компания платит 10 тысяч долларов и закрывает эту уязвимость».
Однако обычно к услугам белых хакеров компании, которые «созрели» до понимания важности надлежащей киберзащиты своего бизнеса, обращаются вполне планово.
- Во сколько обошлась кибератака бизнесу и что делать?
- CША обвинили в вирусе NotPetya Россию
Совладельцы Hacken рассчитывают, что количество таких компаний будет увеличиваться, причем существенно.
«Это все равно, как в прошлом «большая четверка» делала аудит финансовой отчетности. Кто проходил их аудит, тем можно было доверять. Так же будет и в сфере кибербезопасности, — тем, кто прошел баг-баунти, можно будет доверять, а тем , кто нет — доверять не будут», — говорит Дмитрий, в послужном списке которого работа на одну из компаний «большой четверки».
Значительную роль здесь может сыграть государство. Например, рассказывает он, в США этот вопрос был урегулирован на законодательном уровне:
«Каждая компания должна тратить определенное количество денег на кибербезопасность. С другой стороны, там есть действенные штрафы. И компания уже думает: лучше я три-четыре аудита безопасности пройду, чем заплачу штраф».
Мотивировать к инвестициям в кибербезопасность можно и через конечный результат, говорит Егор.
«Надо ориентироваться не на то, сколько и чего вы сделали для безопасности, а были ли у вас корни. А бизнес уже пусть сам думает, что для него будет более эффективно, чтобы утечек не было: нанять хакеров, заказать аудит или получить бумажку у контролирующих органов».
Впрочем, признает он, пока таких «зрелых» частных компаний в Украине немного, а потом — большинство клиентов из-за рубежа.
«Мы изначально позиционируем себя как международную компанию, все наши сотрудники свободно владеют английским. 80-90% наших услуг мы оказываем за границей — в Азии, Европе и США.
Мы продаем свои услуги удаленно, сидя здесь. Но мы не продаем людей почасово, и этим отличаемся от других аутсорсинговых компаний. Мы продаем проекты. Для сравнения: мы не продаем лес-кругляк, мы продаем готовую мебель».
При этом, добавляет Егор, то, что украинские хакеры «хорошо» известны за рубежом, — не всегда добавляет «плюсы».
«Мы продаем услуги белых хакеров, и доверие очень важно. Когда слышат, что это украинские белые хакеры, то есть элемент переживания за то, что люди могут просто украсть какую-то информацию».
Сложные отношения с государством
Пока среди клиентов «белых хакеров» нет ни одного государственного учреждения, хотя именно их сайты и операционные системы подвергались мощным кибератакам в последние годы.
Государству хакеры из Hacken были готовы помогать бесплатно — просто потому, как говорит Егор, что «за державу обидно»:
«К нам недавно на конференцию ехали на соревнования хакеры. Когда они подавали на визу, сайт МИД просто на время вышел из строя. Они пишут: мы видим, в чем проблема, куда можно зарепортить баг? А им говорим: нет у нас такого. Так не должно быть».
«Когда мы идем в государственные органы, мы говорим: мы не будем иметь свою комиссию. Просто заходите и тестируйтесь бесплатно, потому что нам стыдно, что везде Украину представляем как №1 в кибербезопасности, и хакеры у нас есть, и кибервойну мы ведем, а наши иностранные коллеги просто смеются над нашими государственными органами из-за того, насколько они «дырявые».
- Он вам не Petya: был ли доказан российский след вируса
- Чем полтавский хакер разозлил более 30 стран
По словам Дмитрия, для него поворотным моментом в этом вопросе стало время, когда сайты украинских государственных органов и компаний были атакованы вирусом Petya:
«Мы честно попытались, это был ключевой момент, когда мы пришли бесплатно помогать государственным компаниям, а они сказали: спасибо, мы тут сейчас оборудование закупим, и все будет нормально. В тот момент мы поняли, что мы больше не будем тратить на это время».
Грань между светом и тьмой
А не может ли кто-то из «белых» хакеров ночью становиться «черным»?
«Конечно, могут. Все живые люди», — отвечает Егор.
Он также утверждает, что у своих работников его компания не спрашивает, были ли они когда-то «черными» хакерами, — «в конце концов, это невозможно доказать».
Но предохранителем того, что свои навыки они не будут использовать для нелегальных действий, является сама система:
«Вся система «белого» хакинга выстроена таким образом, чтобы они не могли украсть любые данные. Поскольку если на платформе ищешь уязвимости клиента, одновременно с тобой то же делают несколько десятков, а то и сотен других. Если кто-то увидит какую-то дыру в системе и не отрапортует, это сделает кто-то другой и получит свое вознаграждение».
Не бывает ли так, что этичный хакер превращается в преступника или совмещают свои белые и черные шляпы?
«Всякое, конечно, возможно», — соглашается Евгения. Однако, добавляет она, большинство тех, кто занимается «белым» хакерством, это люди, которые высоко ценят свою репутацию, имеют публичные профессиональные рейтинги. А те, кто занимается «черным» хакерством, всегда избегают любой публичности.
«Поэтому совмещать то и другое — очень трудно».
И все же, нельзя ли поступиться репутацией и публичностью ради больших доходов? И какой может быть эта разница?
«Гонорары «белых» хакеров на платформе начинаются с 50 долларов за какую-то уязвимость низкого уровня, и могут достигать 100 тысяч», — говорит Евгения. По ее словам, в этом году были две крупнейшие в истории выплаты баг-баунти платформам: Samsung заплатил за одну уязвимость 114 тысяч долларов и Intel — тоже около 100 тысяч.
«Киберпреступники сколько украдут, столько и будет. Например, за недавний взлом японской криптобиржи они получили около 60 млн долларов», — рассказывает Евгения о масштабе цифр.
Тогда зачем же человеку, который имеет способности за раз получить 60 млн долларов, соглашаться даже на 100 тысяч?
«Есть вариант, когда нашел какую-то уязвимость, пойти на черный рынок и попробовать там это продать. Есть даже специальные брокеры, которые перепродают эти уязвимости. Но вся эта среда — сплошное недоверие. Это нормально, что тебя всегда могут «кинуть», это очень скользкий путь, — объясняет Евгения.
К тому же, когда речь идет о кражах на криптобиржах, то можно получить средства, но не воспользоваться ими:
«Ты можешь их просто «не вывести», потому что обычно за такими кейсами следит весь мир. Украсть — это одно, а тихонько положить это себе в карман — совсем другое».
Следите за нашими новостями в Twitter и Telegram
https://www.bbc.com/ukrainian/features-russian-45938959