Украинские белые хакеры: как заработать на взломах и не стать киберпреступником

Украинские «белые» хакеры: как заработать на взломах и не стать киберпреступником

Hacken офис

Независимо от того, действуют ли они на пользу собственного кошелька или какой-то группы или структуры, речь идет о так называемых «черных» хакерах или киберпреступниках.

  • Схема на миллион долларов: что делала хакерская группа FIN7?
  • Эксперт: киберзащита — это не паранойя
  • Украинского хакера приговорили в США к 2,5 годам
  • День, когда загадочная кибератака парализовала Украину

Однако в Украине появляются и «белые» хакеры. Кто они, чем отличаются от «черных» и как зарабатывают на жизнь?

Белые и пушистые

Евгения

«Мы действуем вполне легально, потому что мы никого не взламываем без их разрешения», — формулирует главное отличие Дмитрий Будорин, соучредитель и генеральный директор Hacken.

«Белые хакеры — это обычные хакеры, которые зарабатывают деньги официально: не воруя информацию, а находя какую-то уязвимость в системе, — объясняет соучредитель и директор по развитию бизнеса Hacken Егор Аушев. — Они официально сообщают об этой ошибке и получают за это деньги» .

В то же время, как напоминает Евгения Брошеван, «в оригинале речь идет о «white-hat» и «black-hat» хакерах — то есть о тех, у кого белые и черные «шляпы».

«Поэтому нужно говорить об этичных хакерах и киберпреступниках», — настаивает она.

Евгения руководит баг-баунти платформой для белых хакеров Hackenproof. По ее словам, «хакер — это человек, который может нестандартно решить некое техническое задание».

Впрочем, в определенном смысле, работа Евгении требует двойной нестандартности — она ​​работает в основном мужском сообществе.

«Лучше, чем в женской, если честно. На самом деле очень конструктивный диалог в мужском коллективе, работа на равных и уважение за бизнес-результаты, а не по половому признаку».

Как это работает?

«Год назад мы выпустили свою криптовалюту, за которую получили реальные средства, на которые и создали этот бизнес», — рассказывает Егор.

«Тогда мы в полной мере углубились в новый способ финансирования проектов как ICO (Initial Coin Offering — первичное размещение криптовалюты, в отличие от IPO, Initial public offering — первичного размещения акций.- Ред.).

Было много сомнений, было страшно, что не соберем, что обвинят в мошенничестве «, — говорит Дмитрий, но добавляет, что с первыми биткоинами появилась и уверенность в будущем.

На создание платформы для белых хакеров основатели потратили около полумиллиона долларов.

«Собственно, это веб-сайт, на котором компания-клиент может зайти в свой кабинет, и хакер — в свой. Мы являемся звеном, которое их связывает. Если мы выводим компанию на нашу платформу, мы получаем комиссию с каждого найденного бага», — объясняет Егор идеологию бизнеса.

Для компаний и хакеров это выглядит следующим образом:

«Мы готовим компанию к проведению краш-тестов, и тогда уже выводим на платформу к хакерам. Они не привязаны к нашей компании, для них это возможность дополнительного заработка. У них есть свои рейтинги, которые зависят от того, сколько уязвимостей они успешно преодолели. От уровня найденной уязвимости зависит и оплата их труда — от 100 до десятков тысяч долларов».

Читать статью  Что такое овердрафт?

Hacken коллектив

Но зачем бизнесу, особенно большому, на который часто работают очень мощные технические команды, прибегать к услугам белых хакеров?

Владельцы бизнесов уже не могут построить эффективную защитную систему, так как количество и качество угроз с каждым месяцем растет, и преодолеть их становится все сложнее, считает Дмитрий.

«Количество продуктов, которые являются дырявыми, становится все больше. На рынке повторяется одна и та же ситуация: продуктовые компании знают о своих проблемах, знают, где у них дыры, но они эти дыры не успевают латать. И это нарастает, как снежный ком» .

«Только третья сторона может найти уязвимости системы. Тот, кто разрабатывал, никогда не увидит это. Более того, если снять какую-то фирму, которая будет тестировать компании, они могут это пропустить. Все недостатки можно увидеть только тогда, когда одновременно много людей тестируют систему, используют различные векторы атаки, атакуют из-за пределов системы», — добавляет Егор.

Кто клиенты?

Сколько компаний в Украине понимают это и уже пользуются услугами этичных хакеров?

«Не все хотят об этом говорить, некоторые пока испытывает эти сервисы», — говорит Евгения, но добавляет, что значительную часть клиентуры составляют банки и компании, которые работают на международный рынок.

Платформа, созданная Hacken, работает меньше года. По состоянию на сегодня, там около 20 открытых компаний, и еще некоторое количество тех, кто не хочет афишировать свое присутствие на платформе.

«У нас были случаи, когда к нам обращались компании и говорили: в нашей системе нашли дыру, нас шантажируют и требуют 100 биткоинов. Чем вы можете помочь? — рассказывает Егор. — Мы в течение часа размещаем эту задачу у себя на платформе баг-баунти, где работают сотни белых хакеров и говорим: ребята, ищите уязвимость. Кто найдет — вознаграждение 10 тысяч долларов — условно. Ребята налетают на программу, находят уязвимость, и вместо 100 биткоинов компания платит 10 тысяч долларов и закрывает эту уязвимость».

Однако обычно к услугам белых хакеров компании, которые «созрели» до понимания важности надлежащей киберзащиты своего бизнеса, обращаются вполне планово.

  • Во сколько обошлась кибератака бизнесу и что делать?
  • CША обвинили в вирусе NotPetya Россию

Совладельцы Hacken рассчитывают, что количество таких компаний будет увеличиваться, причем существенно.

«Это все равно, как в прошлом «большая четверка» делала аудит финансовой отчетности. Кто проходил их аудит, тем можно было доверять. Так же будет и в сфере кибербезопасности, — тем, кто прошел баг-баунти, можно будет доверять, а тем , кто нет — доверять не будут», — говорит Дмитрий, в послужном списке которого работа на одну из компаний «большой четверки».

Читать статью  Набиуллина раскрыла цель политики Центробанка

Значительную роль здесь может сыграть государство. Например, рассказывает он, в США этот вопрос был урегулирован на законодательном уровне:

«Каждая компания должна тратить определенное количество денег на кибербезопасность. С другой стороны, там есть действенные штрафы. И компания уже думает: лучше я три-четыре аудита безопасности пройду, чем заплачу штраф».

Hacken офис

Мотивировать к инвестициям в кибербезопасность можно и через конечный результат, говорит Егор.

«Надо ориентироваться не на то, сколько и чего вы сделали для безопасности, а были ли у вас корни. А бизнес уже пусть сам думает, что для него будет более эффективно, чтобы утечек не было: нанять хакеров, заказать аудит или получить бумажку у контролирующих органов».

Впрочем, признает он, пока таких «зрелых» частных компаний в Украине немного, а потом — большинство клиентов из-за рубежа.

«Мы изначально позиционируем себя как международную компанию, все наши сотрудники свободно владеют английским. 80-90% наших услуг мы оказываем за границей — в Азии, Европе и США.

Мы продаем свои услуги удаленно, сидя здесь. Но мы не продаем людей почасово, и этим отличаемся от других аутсорсинговых компаний. Мы продаем проекты. Для сравнения: мы не продаем лес-кругляк, мы продаем готовую мебель».

При этом, добавляет Егор, то, что украинские хакеры «хорошо» известны за рубежом, — не всегда добавляет «плюсы».

«Мы продаем услуги белых хакеров, и доверие очень важно. Когда слышат, что это украинские белые хакеры, то есть элемент переживания за то, что люди могут просто украсть какую-то информацию».

Сложные отношения с государством

Пока среди клиентов «белых хакеров» нет ни одного государственного учреждения, хотя именно их сайты и операционные системы подвергались мощным кибератакам в последние годы.

Государству хакеры из Hacken были готовы помогать бесплатно — просто потому, как говорит Егор, что «за державу обидно»:

«К нам недавно на конференцию ехали на соревнования хакеры. Когда они подавали на визу, сайт МИД просто на время вышел из строя. Они пишут: мы видим, в чем проблема, куда можно зарепортить баг? А им говорим: нет у нас такого. Так не должно быть».

Hacken основатели

«Когда мы идем в государственные органы, мы говорим: мы не будем иметь свою комиссию. Просто заходите и тестируйтесь бесплатно, потому что нам стыдно, что везде Украину представляем как №1 в кибербезопасности, и хакеры у нас есть, и кибервойну мы ведем, а наши иностранные коллеги просто смеются над нашими государственными органами из-за того, насколько они «дырявые».

  • Он вам не Petya: был ли доказан российский след вируса
  • Чем полтавский хакер разозлил более 30 стран

По словам Дмитрия, для него поворотным моментом в этом вопросе стало время, когда сайты украинских государственных органов и компаний были атакованы вирусом Petya:

«Мы честно попытались, это был ключевой момент, когда мы пришли бесплатно помогать государственным компаниям, а они сказали: спасибо, мы тут сейчас оборудование закупим, и все будет нормально. В тот момент мы поняли, что мы больше не будем тратить на это время».

Читать статью  2202 — карта какого банка

Грань между светом и тьмой

А не может ли кто-то из «белых» хакеров ночью становиться «черным»?

«Конечно, могут. Все живые люди», — отвечает Егор.

Он также утверждает, что у своих работников его компания не спрашивает, были ли они когда-то «черными» хакерами, — «в конце концов, это невозможно доказать».

Но предохранителем того, что свои навыки они не будут использовать для нелегальных действий, является сама система:

«Вся система «белого» хакинга выстроена таким образом, чтобы они не могли украсть любые данные. Поскольку если на платформе ищешь уязвимости клиента, одновременно с тобой то же делают несколько десятков, а то и сотен других. Если кто-то увидит какую-то дыру в системе и не отрапортует, это сделает кто-то другой и получит свое вознаграждение».

Не бывает ли так, что этичный хакер превращается в преступника или совмещают свои белые и черные шляпы?

«Всякое, конечно, возможно», — соглашается Евгения. Однако, добавляет она, большинство тех, кто занимается «белым» хакерством, это люди, которые высоко ценят свою репутацию, имеют публичные профессиональные рейтинги. А те, кто занимается «черным» хакерством, всегда избегают любой публичности.

«Поэтому совмещать то и другое — очень трудно».

Hacken белое и черное

И все же, нельзя ли поступиться репутацией и публичностью ради больших доходов? И какой может быть эта разница?

«Гонорары «белых» хакеров на платформе начинаются с 50 долларов за какую-то уязвимость низкого уровня, и могут достигать 100 тысяч», — говорит Евгения. По ее словам, в этом году были две крупнейшие в истории выплаты баг-баунти платформам: Samsung заплатил за одну уязвимость 114 тысяч долларов и Intel — тоже около 100 тысяч.

«Киберпреступники сколько украдут, столько и будет. Например, за недавний взлом японской криптобиржи они получили около 60 млн долларов», — рассказывает Евгения о масштабе цифр.

Тогда зачем же человеку, который имеет способности за раз получить 60 млн долларов, соглашаться даже на 100 тысяч?

«Есть вариант, когда нашел какую-то уязвимость, пойти на черный рынок и попробовать там это продать. Есть даже специальные брокеры, которые перепродают эти уязвимости. Но вся эта среда — сплошное недоверие. Это нормально, что тебя всегда могут «кинуть», это очень скользкий путь, — объясняет Евгения.

К тому же, когда речь идет о кражах на криптобиржах, то можно получить средства, но не воспользоваться ими:

«Ты можешь их просто «не вывести», потому что обычно за такими кейсами следит весь мир. Украсть — это одно, а тихонько положить это себе в карман — совсем другое».

Следите за нашими новостями в Twitter и Telegram

https://www.bbc.com/ukrainian/features-russian-45938959

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *