Хто найнебезпечніший хакер у світі

0 Comments

Українські білі хакери: як заробити на зламах і не стати кіберзлочинцем

Українських хакерів звинувачують у викраденні мільйонів доларів з банківських карток, даних компаній і торговельних мереж чи у DDoS-атаках, – такі заголовки не рідкість у поважних західних виданнях.

Незалежно від того, чи діють вони на користь власного гаманця або ж якоїсь групи чи структури, йдеться про так званих “чорних” хакерів або ж кіберзлочинців.

Проте в Україні з’являються і “білі” хакери. Хто вони, чим відрізняються від “чорних” і як заробляють на життя?

Білі і пухнасті

Євгенія каже, що білих хакерів правильніше називати етичними, – на противагу чорним хакерам-кіберзлочинцям

“Ми діємо цілком легально, бо ми нікого не ламаємо без їхнього дозволу”, – формулює головну відмінність Дмитро Будорін, співзасновник та генеральний директор Hacken.

“Білі хакери – це звичайні хакери, які заробляють гроші офіційно: не крадіжкою інформації, а знаходячи якусь вразливість у системі, – пояснює співзасновник та директор з розвитку бізнесу Hacken Єгор Аушев. – Вони офіційно повідомляють про цю помилку, і отримують за це гроші”.

Водночас, як нагадує Євгенія Брошеван, “в оригіналі йдеться про “white-hat” і “black-hat” хакерів – тобто тих, у кого білі і чорні “капелюхи”.

“Тому треба говорити про етичних хакерів і кіберзлочинців”, – наполягає вона.

Євгенія керує баг-баунті платформою для білих хакерів Hackenproof. За її словами, “хакер – це людина, яка може нестандартно вирішити якесь технічне завдання”.

Втім, у певному сенсі, робота Євгенії вимагає подвійної нестандартності – вона працює у переважно чоловічій спільноті.

“Краще, ніж у жіночій, якщо чесно. Насправді дуже конструктивний діалог у чоловічому колективі, робота на рівних та повага за бізнес результати, а не за статевою ознакою”.

Як це працює?

“Рік тому ми випустили свою криптовалюту, за яку отримали реальні кошти, за які і створили цей бізнес”, – розповідає Єгор.

“Тоді ми повною мірою заглибилися у новий спосіб фінансування проектів як ICO (Initial Coin Offering – первинне розміщення криптовалюти, на відміну від IPO, Initial public offering – первинного розміщення акцій.- Ред.).

Було багато сумнівів, страшно, що не зберемо, що звинуватять у шахрайстві”, – каже Дмитро, але додає, що з першими біткоїнами з’явилася і впевненість у майбутньому.

На створення платформи для білих хакерів засновники витратили близько півмільйона доларів.

“Власне, це є веб-сайт, на якому компанія-клієнт може зайти у свій кабінет, і хакер – у свій. Ми є ланкою, яка їх пов’язує. Якщо ми виводимо компанію на нашу платформу, ми отримаємо комісію з кожного знайденого бага”, – пояснює Єгор ідеологію бізнесу.

Для компаній і хакерів це виглядає наступним чином:

“Ми готуємо компанію до проведення краш-тестів, і тоді вже виводимо на платформу до хакерів. Вони не прив’язані до нашої компанії, для них це можливість додаткового заробітку. У них є свої рейтинги, які залежать від того, скільки вразливостей вони успішно подолали. Від рівня знайденої вразливості залежить і оплата їхньої праці – від 100 до десятків тисяч доларів”.

Автор фото, Yrchenko Yra для Hacken

Тільки колективний напад на систему може показати усі її вади, вважають білі хакери

Але навіщо бізнесу, особливо великому, на який часто працюють дуже потужні технічні команди, вдаватися до послуг білих хакерів?

Власники бізнесів вже не можуть побудувати ефективну захисну систему, бо кількість і якість загроз з кожним місяцем зростає, і подолати їх стає дедалі складніше, вважає Дмитро.

“Кількість продуктів, які є дірявими, стає дедалі більшою. На ринку повторюється одна й та сама ситуація: продуктові компанії знають про свої проблеми, знають, де в них дірки, але вони ці дірки не встигають лагодити. І це наростає як снігова куля”.

“Тільки третя сторона може знайти вразливості системи. Той, хто розробляв, ніколи не побачить це. Ба більше, якщо винайняти якусь фірму, яка тестуватиме компанію, вони теж можуть це пропустити. Усі вади можливо побачити лише тоді, коли одночасно багато людей тестують систему, використовують різні вектори атаки, атакують з-за меж системи”, – додає Єгор.

Хто клієнти?

Скільки компаній в Україні розуміють це і вже користуються послугами етичних хакерів?

“Не всі хочуть про це говорити, дехто поки що випробовує ці сервіси”, – каже Євгенія, але додає, що значну частину клієнтури становлять банки і компанії, які працюють на міжнародний ринок.

Платформа, створена Hacken, працює менш як рік. Станом на зараз там біля 20 великих відкритих компаній, і ще певна кількість тих, хто не хоче афішувати свою присутність на платформі.

“У нас були випадки, коли до нас зверталися компанії, і казали: у нашій системі знайшли дірку, нас шантажують і вимагають 100 біткоїнів. Чим ви можете допомогти? – розповідає Єгор. – Ми впродовж години розміщуємо це завдання у себе на платформі баг-баунті, де працюють сотні білих хакерів і кажемо: хлопці, шукайте вразливість. Хто знайде – винагорода 10 тисяч доларів – умовно. Хлопці налітають на програму, знаходять вразливість, і замість 100 біткоїнів компанія платить 10 тисяч доларів і закриває цю вразливість”.

Проте зазвичай до послуг білих хакерів компанії, які “дозріли” до розуміння важливості належного кіберзахисту свого бізнесу, звертаються цілком планово.

Співвласники Hacken розраховують, що таких компаній більшатиме, при чому суттєво.

“Це все одно, як у минулому “велика четвірка” робила аудит фінансової звітності. Хто проходив їхній аудит, тим можна було довіряти. Так само буде і у сфері кібербезпеки, – тим, хто пройшов баг-баунті, можна буде довіряти, а тим, хто ні, – не довірятимуть”, – каже Дмитро, у послужному списку якого робота на одну із компаній “великої четвірки”.

Значну роль тут може відіграти держава. Наприклад, розповідає він, у США це питання було врегульоване на законодавчому рівні:

“Кожна компанія повинна витрачати певну кількість грошей на кібербезпеку. З іншого боку, там є дієві штрафи. І компанія вже думає: краще я три-чотири аудити безпеки пройду, ніж сплачу штраф”.

Найвразливіші місця для кібернападу зазвичай є на поверхні, але саме хакери мають хист це побачити

Мотивувати до інвестицій у кібербезпеку можна і через кінцевий результат, каже Єгор.

“Треба орієнтуватися не на те, скільки і чого ви зробили для безпеки, а чи були у вас витоки. А бізнес вже хай сам думає, що для нього буде більш ефективно, щоб витоків не було: найняти хакерів, замовити аудит чи отримати папірець у контролюючих органів”.

Утім, визнає він, поки що таких “зрілих” приватних компаній в Україні небагато, а відтак, більшість клієнтів – з-за кордону.

“Ми від самого початку позиціюємо себе як міжнародну компанію, всі наші співробітники вільно володіють англійською. 80-90% наших послуги ми здійснюємо за кордон – в Азії, Європі і США.

Ми продаємо свої послуги віддалено, сидячи тут. Але ми не продаємо людей погодинно, і цим відрізняємося від інших аутсорсингових компаній. Ми продаємо проекти. Якщо провести порівняння, то ми не продаємо ліс-кругляк, ми продаємо готові меблі”.

При цьому, додає Єгор, те, що українські хакери “добре” відомі за кордоном – не завжди додає “плюсів”.

“Ми продаємо послуги білих хакерів, і довіра є дуже важливою. Коли чують, що це українські білі хакери, то є елемент переживання за те, що люди можуть просто вкрасти якусь інформацію”.

Складні відносини з державою

Поки що серед клієнтів білих хакерів немає жодної державної установи, хоча саме їхні сайти та операційні системи зазнавали потужних кібернападів в останні роки.

Державі хакери з Hacken були готові допомагати безкоштовно – просто тому, як каже Єгор, що “за державу соромно”:

“До нас нещодавно на конференцію їхали на змагання хакери. Коли вони подавали на візу, сайт МЗС просто на якийсь час вийшов з ладу. Вони пишуть: ми бачимо, в чому проблема, куди можна зарепортити баг? А їм кажемо: нема в нас такого. Так не повинно бути”.

Хакери готові допомогти державі безкоштовно, щоб “не було соромно”

“Коли ми ідемо до державних органів, ми говоримо: ми не братимемо свою комісію. Просто заходьте і тестуйтеся безкоштовно, бо нам соромно, що скрізь Україну презентуємо як №1 у кібербезпеці, і хакери в нас є, і кібервійну ми ведемо, а наші іноземні колеги просто сміються з наших державних органів, з того, наскільки вони “діряві”.

За словами Дмитра, для нього поворотним моментом у цьому питанні став час, коли сайти українських державних органів і компаній були атаковані вірусом Petya:

“Ми чесно спробували, це був ключовий момент, коли ми прийшли безкоштовно допомагати державним компаніям, а вони сказали: дякуємо, ми тут зараз обладнання закупимо, і все буде нормально. В той момент ми зрозуміли, що ми більше не будемо витрачати на це час”.

Межа між світлом і темрявою

Але чи не може хтось із білих хакерів вночі ставати чорним?

“Звісно, можуть. Всі живі люди”, – відповідає Єгор.

Він також твердить, що у своїх працівників його компанія не питає, чи були вони колись “чорними” хакерами, – “врешті, це неможливо довести”.

Але запобіжником того, що свої навички вони не використовуватимуть для нелегальних дій, є сама система:

“Вся система білого хакінгу вибудувана таким чином, щоб вони не могли вкрасти жодні дані. Бо коли ти на платформі шукаєш вразливості клієнта, одночасно з тобою те саме роблять кілька десятків, а то й сотень інших. Якщо хтось побачить якусь дірку в системі й не рапортує, це зробить хтось інший і отримає винагороду”.

Чи не буває так, що етичний хакер перетворюється на злочинця або суміщають свої білі і чорні капелюхи?

“Всяке, звісно, можливо”, – погоджується Євгенія. Проте, додає вона, більшість тих, хто займається білим хакерством, це люди, які високо цінують свою репутацію, мають публічні професійні рейтинги. А ті, хто займається чорним хакерством, завжди уникають будь-якої публічності.

“Тому суміщати те й інше – дуже важко”.

Автор фото, Yrchenko Yra для Hacken

Біле може бути і чорним, але система має цьому запобігати – кажуть хакери

І все ж таки, чи не можна поступитися репутацією і публічністю заради більших доходів? І якою може бути ця різниця?

“Гонорари білих хакерів на платформі починаються із 50 доларів за якусь вразливість низького рівня, і можуть сягати до 100 тисяч”, – каже Євгенія. За її словами, цього року були дві найбільші в історії виплати баг-баунті платформ: Samsung заплатив за одну вразливість 114 тисяч доларів, і Intel – теж близько 100 тисяч.

“Кіберзлочинці скільки вкрадуть, стільки і буде. Наприклад, за нещодавній злам японської криптобіржі вони отримали близько 60 млн доларів”, – розповідає Євгенія про масштаб цифр.

Тоді навіщо ж людині, яка має здібності за раз отримати 60 млн доларів, погоджуватися навіть на 100 тисяч?

“Є варіант, коли знайшов якусь вразливість, піти на чорний ринок і спробувати там це продати. Є навіть спеціальні брокери, які перепродають ці вразливості. Але все це середовище – суцільна недовіра. Це нормально, що тебе завжди можуть “кинути”, це дуже слизький шлях, – пояснює Євгенія.

До того ж, коли йдеться про крадіжки на криптобіржах, то можна отримати кошти, але не скористатися ними:

“Ти можеш їх просто “не вивести”, бо зазвичай за такими кейсами стежить весь світ. Вкрасти – це одне, а тихенько покласти це собі в кишеню – зовсім інше”.

Хочете отримувати головні новини у месенджер? Підписуйтеся на наш Telegram.

Як білі хакери стали мільйонерами під час пандемії

Як це працює і як хакери можуть додатково заробити під час пандемії?

Що таке Bug Bounty

Це програма, в рамках якої експерти вивчають продукти компаній, складають звіти про виявлені недоліки та отримують винагороду.

HackerOne повідомляє, що дев’ять хакерів заробили понад мільйон доларів кожен після того, як повідомили про свої результати постраждалим компаніям.

Румунський фахівець, що почав займатися пошуком програмних помилок два роки тому, побачив, що наразі його загальний дохід перевищує 2 мільйони доларів. Найбільш високооплачуваний хакер Британії минулого року заробив 370 тисяч доларів.

Платформа припускає, що через пандемію у “білих хакерів” з’явилось більше часу для роботи.

Дослідження, проведене HackerOne, показало, що 38% її працівників витратили більше часу на роботу на майданчику з початку спалаху Covid-19.

Гроші – не головне

Учасники HackerOne працюють неповний день і мешкають в різних країнах світу, зокрема в США, Аргентині, Китаї, Індії, Нігерії та Єгипті.

Гонорар залежить від серйозності дефекту і може варіюватися від 140 доларів до значно більших сум.

HackerOne, що базується в Каліфорнії, бере з компаній абонентську плату за користування своєю платформою.

Британка Кеті Пакстон-Феар викладає в Манчестерському університеті, а у вільний час займається пошуком програмних “багів”.

Кеті Пакстон-Феар шукає програмні “баги” не лише заради грошей

За її словами, гроші за таку роботу платять гарні, але назвати це схемою швидкого збагачення не можна.

“Я заробила близько 12 тисяч фунтів (16,7 тис. доларів) за 12 місяців, – розповіла вона ВВС. – Пам’ятаю, як вперше знайшла помилку. Від емоцій мене просто трусило. Я подумала: вау, я щойно врятувала людей від доволі серйозної проблеми”.

“Для мене це не просто заробіток, я активно допомагаю захищати додатки, якими користуюся сама”.

Інша аналогічна платформа YesWeHack, що базується у Франції, заявила, що у 2020 році її 22 тисячі працівників виявили вдвічі більше помилок, ніж попереднього року.

Однак YesWeHack не розголошує дані про грошові винагороди, отримані через її сервіс.

“Зважаючи на нові ризики й важливість кібербезпеки для економічного виживання компаній, все більше керівників служб інформаційної безпеки звертаються за допомогою у виявленні дефектів”, – каже генеральний директор YesWeHack Гійом Вассо-Ульєр.

Ще одна подібна компанія BugCrowd повідомила, що за останні 12 місяців кількість заявок на її платформі збільшилося на 50%.

Скептики

За останні п’ять років популярність комерційних програм з виявлення помилок дуже зросла, але деякі експерти вважають, що ця система має недоліки, і на неї не можна занадто покладатись.

Віктор Геверс, фахівець з кібербезпеки та керівник GDI Foundation – фонду з відповідального розкриття інформації у Нідерландах, каже, що ніколи не брав грошей за виявлені помилки.

“Ми не беремо участі у таких програмах, тому що вони доволі вузькі за своїм охопленням і дозволяють дослідникам шукати недоліки тільки у певних частинах системи”, – каже він.

“Ми ж хочемо мати можливість етично шукати вразливості там, де, як ми вважаємо, вони є, і зберігати нашу незалежність. Але для початківців або студентів ці комерційні платформи підходять ідеально, оскільки вони пропонують захист, ресурси та є ідеальним місцем для старту кар’єри у галузі безпеки”.

Хочете отримувати головні новини в месенджер? Підписуйтеся на наш Telegram або Viber!

Також на цю тему

10 найнебезпечніших хакерів у світі

Чи ви любителі інтернет-технології? Тоді звольте і хакерів любити. Незважаючи на постійно вдосконалені системи інформаційної безпеки, на кожну з них завжди знайдеться комп’ютерний геній, готовий її зламати. У нашій добірці – 10 талановитих хакерів, яких боїться весь світ. Історія кожного з них цілком може послужити сценарієм для фільму: драми, комедії, шпигунського трилера.

Джеремі Хаммонд з Чикаго на даний момент відбуває 10-річний тюремний термін за злом електронної пошти розвідувально-аналітичної фірми Stratfor та інших організацій, які співпрацювали з урядом США. Здобуті дані були опубліковані на сайті WikiLeaks. Це не перший термін Хаммонда і далеко не перший арешт: У 2006 році Джеремі був засуджений до двох років в’язниці за хакерську атаку комп’ютера консервативної політичної організації – разом із загальною інформацією були викрадені 5 тисяч номерів кредитних карт (хоча гроші, за твердженням Хаммонда, не витрачалися). Раніше молодий і талановитий хакер піддавався неодноразовим арештам за порушення порядку в рамках громадських акцій – в ході гей-параду (влаштувавши бійку з протестуючими проти ходи), на демонстрації проти з’їзду республіканської партії, студентської демонстрації в Чикаго, на мітингу проти Націонал-соціалістичного руху, проти заявки Чикаго на проведення олімпійських ігор і т. д. Загалом, таланти в області комп’ютерної безпеки поєднуються у молодої людини з активною громадянською позицією і зневагою до закону.

Кевін Поулсен, він же Dark Dante – почесний хакер у відставці. Небезпечний і загадковий зломщик, що спеціалізується на телефонних лініях. Серед найвідоміших його справ – злом телефонних ліній популярної в Лос-Анджелесі радіостанції KIIS-FM, завдяки чому Поулсен «виграв» Porshe та інші призи, які розігрувалися в ефірі. Вирішивши не обмежуватися дрібним шахрайством, Dark Dante став використовувати свої здібності в благих цілях. Наприклад, він відстежував і ідентифікував користувачів MySpace, які шукали в мережі дитяче порно. Незабаром Поулсен підняв собі планку: він проник у базу даних ФБР, отримавши доступ до секретної інформації про телефонне прослуховування. Це, природно, не дуже сподобалася американській владі, і Кевін Поулсен був спійманий і засуджений на 5 років. Після відбування тюремного терміну знаменитий хакер перетворився на рядового жителя. Сьогодні він працює головним редактором журналу Wired News, де періодично пише і про свої колишні хакерські подвиги.

Джонатан Джозеф Джеймс. Його доля склалася не так райдужно, як у попередніх героїв. Джонатан увійшов в історію як перший неповнолітній хакер, який потрапив до в’язниці за злом секретних даних. На момент скоєння злочину йому було всього 15 років. Джонатан Джозеф Джеймс не розмінювався на дрібну монету: він проникав у святая святих Агентства зі скорочення військової загрози, підвідомчого міністерству оборони США, а в 1999 році атакував бази даних НАСА. Останнє призвело до великого скандалу. Так, НАСА витратило $1,7 млн на програмне забезпечення, яке вдалося викрасти юному Джонатану. За словами хакера, програмний код не коштував таких грошей. Відбувши покарання, він став вести спосіб життя законослухняного громадянина. А 2007 року його ім’я пов’язали з хвилею зломів компанії TJX (викрадені дані стосувалися кредитних карток клієнтів). Заперечуючи свою причетність, Джонатан Джозеф Джеймс застрелився у віці 24 років.

Операція «Aurora» була проведена групою хакерів у 2009 році. Об’єктом комп’ютерних геніїв стали 34 компанії, включаючи Google і Yahoo! Експерти в галузі комп’ютерної безпеки припускають, що до серії зломів причетна група кібершпигунів, яка в англомовних джерел отримала ім’я Elderwood Gang. Вважається, що Elderwood Gang базується в Шанхаї і тісно пов’язана з так званим підрозділом 61398 Народно-визвольної армії Китаю (НВАК), яка відповідає за операції в області комп’ютерних мереж. Компанія Google стала першою, яка публічно заявила про крадіжку їхньої інтелектуальної власності, не побоявшись продемонструвати свою вразливість. Незважаючи на те, що акаунти користувачів Gmail також були зламані (і персональні дані приватних осіб викрадені), головною метою хакерів був все ж вихідний код інтернет-гігантів. Після цього компанія Google покинула Китай. А чому у нас замість імен і прізвищ значиться тільки назва операції? Тому що особи хакерів досі не встановлені.

Адріан Ламо на прізвисько «бездомний хакер» – таке ім’я він заслужив завдяки тому, що свої основні хакерські подвиги він виконував, користуючись публічним інтернет-підключенням в кафе, бібліотеках, хостелах та інших громадських місцях. Адріан Ламо прослав людиною зі складним характером. У 2004 році він був засуджений до шести місяців домашнього арешту і двох років випробувального терміну за злом NY Times. Проникнувши в їхню мережу, він додав себе в базу експертів престижного видання. Серед жертв хакерських атак Адріана Ламо – Yahoo!, Bank of America та інші великі й авторитетні компанії. Нерідко Ламо, знаходячи слабке місце в безпеці тієї чи іншої системи, зламував її і повідомляв про це компанії – щоб знали, де і в чому у них помилка. Для таких благородних жестів є цілком законні схеми співпраці: правда, вони не приносять такої гучної слави. Сьогодні Ламо читає лекції, пише статті і консультує з питань безпеки.