Украинских хакеров обвиняют в похищении миллионов долларов с банковских карточек, данных компаний и торговых сетей или в DDoS-атаках, - такие заголовки не редкость в солидных западных изданиях.
Независимо от того, действуют ли они на пользу собственного кошелька или какой-то группы или структуры, речь идет о так называемых "черных" хакеров или киберпреступников.
Однако в Украине появляются и "белые" хакеры. Кто они, чем отличаются от "черных" и как зарабатывают на жизнь?
Белые и пушистые
"Мы действуем вполне легально, потому что мы никого не ломаем без их разрешения", - формулирует главное отличие Дмитрий Будорин, соучредитель и генеральный директор Hacken.
"Белые хакеры - это обычные хакеры, которые зарабатывают деньги официально: не воровство информации, а находя какую-то уязвимость в системе, - объясняет соучредитель и директор по развитию бизнеса Hacken Егор Аушев. - Они официально сообщают об этой ошибке, и получают за это деньги" .
В то же время, как напоминает Евгения Брошеван, "в оригинале речь идет о" white-hat "и" black-hat "хакеров - то есть тех, у кого белые и черные" шляпы ".
" Поэтому надо говорить о этических хакеров и киберпреступников ", - настаивает она.
Евгения руководит баг-баунти платформой для белых хакеров Hackenproof. По ее словам," хакер - это человек, который может нестандартно решить некое техническое задание ».
Впрочем, в определенном смысле, работа Евгении требует двойной нестандартности - она работает в основном мужской сообществе.
"Лучше, чем в женской, как в честно. На самом деле очень конструктивный диалог в мужском коллективе, работа на равных и уважение за бизнес результаты, а не по половому признаку ".
Как это работает?
" Год назад мы выпустили свою криптовалюта, за которую получили реальные средства, за которые и создали этот бизнес ", - рассказывает Егор.
" Тогда мы в полной мере углубились в новый способ финансирования проектов как ICO (Initial Coin Offering - первичное размещение криптовалюта, в отличие от IPO, Initial public offering - первичного размещения акций.- Ред.).
Было много сомнений, страшно, не соберем, что обвинят в мошенничестве ", - говорит Дмитрий, но добавляет, что с первыми биткоинамы появилась и уверенность в будущем.
На создание платформы для белых хакеров основатели потратили около полумиллиона долларов .
"Собственно, это веб-сайт, на котором компания-клиент может зайти в свой кабинет, и хакер - в свой. Мы звеном, которое их связывает. Если мы выводим компанию на нашу платформу, мы получим комиссию по каждой найденной бага ", - объясняет Егор идеологию бизнеса.
Для компаний и хакеров это выглядит следующим образом:
" Мы готовим компанию к проведению краш-тестов, и тогда уже выводим на платформу к хакерам. Они не привязаны к нашей компании, для них это возможность дополнительного заработка. У них есть свои рейтинги, которые зависят от того, сколько уязвимостей они успешно преодолели. От уровня найденной уязвимости зависит и оплата их труда - от 100 до десятков тысяч долларов ".
Но зачем бизнеса, особенно большом, на который часто работают очень мощные технические команды, прибегать к услугам белых хакеров?
Владельцы бизнесов уже не могут построить эффективную защитную систему, так как количество и качество угроз с каждым месяцем растет, и преодолеть их становится все сложнее, считает Дмитрий.
"количество продуктов, которые являются дырявыми, становится все больше. На рынке повторяется одна и та же ситуация: продуктовые компании знают о своих проблемах, знают, где у них дыры, но они эти дыры не успевают чинить. И это нарастает как снежный ком ".
" Только третья сторона может найти уязвимости системы. Тот, кто разрабатывал, никогда не увидит это. Более того, если снять какую-то фирму, которая будет тестировать компании, они могут это пропустить. Все недостатки можно увидеть только тогда, когда одновременно много людей тестируют систему, используют различные векторы атаки, атакуют из-за пределов системы ", - добавляет Егор.
Кто клиенты?
Сколько компаний в Украине понимают это и уже пользуются услугами этических хакеров?
"Не все хотят об этом говорить, некоторые пока испытывает эти сервисы", - говорит Евгения, но добавляет, что значительную часть клиентуры составляют банки и компании, которые работают на международный рынок.
. Платформа, созданная Hacken, работает менее года. по состоянию на за аз там около 20 открытых компаний, и еще некоторое количество тех, кто не хочет афишировать свое присутствие на платформе.
"У нас были случаи, когда к нам обращались компании, и говорили: в нашей системе нашли дыру, нас шантажируют и требуют 100 биткоинив. Чем вы можете помочь? - рассказывает Егор. - Мы в течение часа размещаем эту задачу у себя на платформе баг-баунти, где работают сотни белых хакеров и говорим: ребята, ищите уязвимость. Кто найдет - вознаграждение 10000 долларов - условно. Ребята налетают на программу, находят уязвимость, и вместо 100 биткоинив компания платит 10000 долларов и закрывает эту уязвимость ".
Однако обычно к услугам белых хакеров компании, которые" созрели "к пониманию важности надлежащего киберзащиты своего бизнеса, обращаются вполне планово .
Совладельцы Hacken рассчитывают, что таких компаний будет увеличиваться, причем существенно.
"Это все равно, как в прошлом" большая четверка "делала аудит финансовой отчетности. Кто проходил их аудит, тем можно было доверять. Так же будет и в сфере кибербезопасности, - тем, кто прошел баг-баунти, можно будет доверять, а тем, кто нет, - не доверять ", - говорит Дмитрий, в послужном списке которого работа на одну из компаний" большой четверки ".
Значительную роль здесь может сыграть государство. Например, рассказывает он, в США этот вопрос был урегулирован на законодательном уровне:
"Каждая компания должна тратить определенное количество денег на кибербезопасность. С другой стороны, там есть действенные штрафы. И компания уже думает: лучше я три-четыре аудиты безопасности пройду, чем заплачу штраф ".
Мотивировать к инвестициям в кибербезопасность можно и через конечный результат, говорит Егор.
."Надо ориентироваться не на то, сколько и чего вы сделали для безопасности, а были ли у вас истоки. А бизнес уже пусть сам думает, что для него будет более эффективно, чтобы утечек не было: нанять хакеров, заказать аудит или получить бумажку в контролирующих органов ".
Впрочем, признает он, пока таких" зрелых "частных компаний в Украина немного, а затем, большинство клиентов - из-за рубежа.
"Мы изначально позиционируем себя как международную компанию, все наши сотрудники свободно владеют английским. 80-90% наших услуг мы осуществляем за границу - в Азии, Европе и США.
Мы продаем свои услуги удаленно, сидя здесь. Но мы не продаем людей почасово, и этим отличаемся от других аутсорсинговых компаний. Мы продаем проекты. Если провести сравнение, то мы не продаем лес-кругляк, мы продаем готовую мебель ".
При этом, добавляет Егор, то, что украинские хакеры" хорошо "известны за рубежом - не всегда добавляет" плюсов ".
. "Мы продаем услуги белых хакеров, и доверие очень важно. Когда слышат, что это украинские белые хакеры, то есть элемент переживания за то, что люди могут просто украсть какую-то информацию ".
Сложные отношения с государством
Пока клиентов белых хакеров нет никакой государственного учреждения, хотя именно их сайты и операционные системы испытывали мощных кибератак в последние годы.
Государству хакеры из Hacken были готовы помогать бесплатно - просто потому, как говорит Егор, что "за державу стыдно":
"К нам недавно на конференцию ехали на соревнования хакеры. Когда они подавали на визу, сайт МИД просто на время вышел из строя. Они пишут: мы видим, в чем проблема, куда можно зарепортиты баг? А им говорим: нет у нас такого. Так не должно быть ".
" Когда мы идем в государственные органы, мы говорим: мы не будем свою комиссию. Просто заходите и тестируйтесь бесплатно, потому что нам стыдно, что везде Украины представляем как №1 в кибербезопасности, и хакеры у нас есть, и кибервойну мы ведем, а наши иностранные коллеги просто смеются из наших государственных органов, по тому, насколько они "дырявые" .
По словам Дмитрия, для него поворотным моментом в этом вопросе стало время, когда сайты украинских государственных органов и компаний были атакованы вирусом Petya:
"Мы честно попытались, это был ключевой момент, когда мы пришли бесплатно помогать государственным компаниям, а они сказали: спасибо, мы здесь сейчас оборудования закупим, и все будет нормально. В тот момент мы поняли, что мы больше не будем тратить на это время ".
Граница между светом и тьмой
Но не может кто-то из белых хакеров ночью становиться черным?
"Конечно, могут. Все живые люди", - отвечает Егор.
Он также утверждает, что в своих работников его компания не спрашивает, были ли они когда-то "черными" хакерами, - "в конце, это невозможно доказать".
Но предохранителем того, что свои навыки они не будут использовать для нелегальных действий, является сама система:
"Вся система белого хакинга выстроена таким образом, чтобы они не могли украсть какие данные. Ибо если на платформе ищешь уязвимости клиента, одновременно с тобой то же делают несколько десятков, а то и сотен других. Если кто-то увидит какую-то дыру в системе не и зарапортуе, это сделает кто-то другой, и получит свое вознаграждение ".
Не бывает ли так, что этический хакер превращается в преступника или совмещают свои белые и черные шляпы?
"Всякое, конечно, возможно", - соглашается Евгения. Однако, добавляет она, большинство тех, кто занимается белым хакерством, это люди, которые высоко ценят свою репутацию, имеют публичные профессиональные рейтинги. А те, кто занимается черным хакерством, всегда избегают любой публичности.
"Поэтому совмещать то и другое - очень тяжело".
И все же, нельзя уступить репутацией и публичностью ради больших доходов? И какой может быть эта разница?
"Гонорары белых хакеров на платформе начинаются с 50 долларов за какую-то уязвимость низкого уровня, и могут достигать 100000", - говорит Евгения. По ее словам, в этом году были две крупнейшие в истории выплаты баг-баунти платформ: Samsung заплатил за одну уязвимость 114000 долларов, и Intel - тоже около 100000.
"Киберпреступники сколько украдут, столько и будет. Например, за недавний взлом японской криптобиржи они получили около 60 млн долларов", - рассказывает Евгения о масштабе цифр.
Тогда зачем же человеку, который имеет способности за раз получить 60 млн долларов, соглашаться даже на 100000?
"Есть вариант, когда нашел какую уязвимость, пойти на черный рынок и попробовать там это продать. Есть даже специальные брокеры, перепродают эти уязвимости. Но все это среда - сплошная недоверие. Это нормально, что тебя всегда могут" кинуть ", это очень скользкий путь, - объясняет Евгения.
К тому же, когда речь идет о кражах на криптобиржах, то можно получить средства, но не воспользоваться ими:
"Ты можешь их просто" не вывести ", потому что обычно по таким кейсами следит весь мир. Украсть - это одно, а тихонько положить это себе в карман - совсем другое ".
Хотите получать главные новости в мессенджер? Подписывайтесь на наш Telegram .
.
0 комментариев