Москва
облачно-1 °C
arrow-redUSD65.5175 руб.-0.53
arrow-redEUR75.985 руб.-0.43
arrow-redCNY9.469 руб.-0.08
Качественный ремонт воздушных компрессоров
5 0
Правительство ФРГ стремится упростить иммиграцию квалифицированных специалистов
8 0
Комментарий: Путин и Эрдоган как мастера газового блефа
7 0
Старейшая мама на площадке: опыт женщин, которые рожают после 40
11 0
В Брюсселе провалились переговоры по бюджету ЕС на 2019
13 0
Завершено строительство морского участка "Турецкого потока"
25 0
Курс биткоины упал ниже пяти тысяч долларов
29 0
Зачем нужен таможенный брокер
25 0
В Японии арестовали председателя правления Nissan
29 0
Китай: успешный путь от плагиатора к инноватора
28 0
Бюджет 2019 к концу осени разморозит кредита МВФ до Нового года
31 0
Нехватки горючего: в Германии просят разрешить бензовозам ездить на выходных
33 0
Хмель – неповторимый вкус пива
19 0
Обрабатывающие центры для изготовления окон
22 0
США и Китай обменялись упреками в Папуа-Новой Гвинее
33 0
Долги ОРДЛО за электроэнергию: кто возместит неуплаченные миллиарды?
46 0
VW запланировал масштабные инвестиции в электромобили
40 0
В Украине заочно объявили подозрение экс-и.о. председателя фискальной службы
30 0
Больше новостей
» » Украинский белые хакеры: как заработать на изломах и не стать киберпреступников

Украинский белые хакеры: как заработать на изломах и не стать киберпреступников

Украинский белые хакеры: как заработать на изломах и не стать киберпреступников

Украинских хакеров обвиняют в похищении миллионов долларов с банковских карточек, данных компаний и торговых сетей или в DDoS-атаках, - такие заголовки не редкость в солидных западных изданиях.

Независимо от того, действуют ли они на пользу собственного кошелька или какой-то группы или структуры, речь идет о так называемых "черных" хакеров или киберпреступников.

Однако в Украине появляются и "белые" хакеры. Кто они, чем отличаются от "черных" и как зарабатывают на жизнь?

Белые и пушистые

"Мы действуем вполне легально, потому что мы никого не ломаем без их разрешения", - формулирует главное отличие Дмитрий Будорин, соучредитель и генеральный директор Hacken.

"Белые хакеры - это обычные хакеры, которые зарабатывают деньги официально: не воровство информации, а находя какую-то уязвимость в системе, - объясняет соучредитель и директор по развитию бизнеса Hacken Егор Аушев. - Они официально сообщают об этой ошибке, и получают за это деньги" .

В то же время, как напоминает Евгения Брошеван, "в оригинале речь идет о" white-hat "и" black-hat "хакеров - то есть тех, у кого белые и черные" шляпы ".

" Поэтому надо говорить о этических хакеров и киберпреступников ", - настаивает она.

Евгения руководит баг-баунти платформой для белых хакеров Hackenproof. По ее словам," хакер - это человек, который может нестандартно решить некое техническое задание ».

Впрочем, в определенном смысле, работа Евгении требует двойной нестандартности - она ​​работает в основном мужской сообществе.

"Лучше, чем в женской, как в честно. На самом деле очень конструктивный диалог в мужском коллективе, работа на равных и уважение за бизнес результаты, а не по половому признаку ".

Как это работает?

" Год назад мы выпустили свою криптовалюта, за которую получили реальные средства, за которые и создали этот бизнес ", - рассказывает Егор.

" Тогда мы в полной мере углубились в новый способ финансирования проектов как ICO (Initial Coin Offering - первичное размещение криптовалюта, в отличие от IPO, Initial public offering - первичного размещения акций.- Ред.).

Было много сомнений, страшно, не соберем, что обвинят в мошенничестве ", - говорит Дмитрий, но добавляет, что с первыми биткоинамы появилась и уверенность в будущем.

На создание платформы для белых хакеров основатели потратили около полумиллиона долларов .

"Собственно, это веб-сайт, на котором компания-клиент может зайти в свой кабинет, и хакер - в свой. Мы звеном, которое их связывает. Если мы выводим компанию на нашу платформу, мы получим комиссию по каждой найденной бага ", - объясняет Егор идеологию бизнеса.

Для компаний и хакеров это выглядит следующим образом:

" Мы готовим компанию к проведению краш-тестов, и тогда уже выводим на платформу к хакерам. Они не привязаны к нашей компании, для них это возможность дополнительного заработка. У них есть свои рейтинги, которые зависят от того, сколько уязвимостей они успешно преодолели. От уровня найденной уязвимости зависит и оплата их труда - от 100 до десятков тысяч долларов ".

Но зачем бизнеса, особенно большом, на который часто работают очень мощные технические команды, прибегать к услугам белых хакеров?

Владельцы бизнесов уже не могут построить эффективную защитную систему, так как количество и качество угроз с каждым месяцем растет, и преодолеть их становится все сложнее, считает Дмитрий.

"количество продуктов, которые являются дырявыми, становится все больше. На рынке повторяется одна и та же ситуация: продуктовые компании знают о своих проблемах, знают, где у них дыры, но они эти дыры не успевают чинить. И это нарастает как снежный ком ".

" Только третья сторона может найти уязвимости системы. Тот, кто разрабатывал, никогда не увидит это. Более того, если снять какую-то фирму, которая будет тестировать компании, они могут это пропустить. Все недостатки можно увидеть только тогда, когда одновременно много людей тестируют систему, используют различные векторы атаки, атакуют из-за пределов системы ", - добавляет Егор.

Кто клиенты?

Сколько компаний в Украине понимают это и уже пользуются услугами этических хакеров?

"Не все хотят об этом говорить, некоторые пока испытывает эти сервисы", - говорит Евгения, но добавляет, что значительную часть клиентуры составляют банки и компании, которые работают на международный рынок.

. Платформа, созданная Hacken, работает менее года. по состоянию на за аз там около 20 открытых компаний, и еще некоторое количество тех, кто не хочет афишировать свое присутствие на платформе.

"У нас были случаи, когда к нам обращались компании, и говорили: в нашей системе нашли дыру, нас шантажируют и требуют 100 биткоинив. Чем вы можете помочь? - рассказывает Егор. - Мы в течение часа размещаем эту задачу у себя на платформе баг-баунти, где работают сотни белых хакеров и говорим: ребята, ищите уязвимость. Кто найдет - вознаграждение 10000 долларов - условно. Ребята налетают на программу, находят уязвимость, и вместо 100 биткоинив компания платит 10000 долларов и закрывает эту уязвимость ".

Однако обычно к услугам белых хакеров компании, которые" созрели "к пониманию важности надлежащего киберзащиты своего бизнеса, обращаются вполне планово .

Совладельцы Hacken рассчитывают, что таких компаний будет увеличиваться, причем существенно.

"Это все равно, как в прошлом" большая четверка "делала аудит финансовой отчетности. Кто проходил их аудит, тем можно было доверять. Так же будет и в сфере кибербезопасности, - тем, кто прошел баг-баунти, можно будет доверять, а тем, кто нет, - не доверять ", - говорит Дмитрий, в послужном списке которого работа на одну из компаний" большой четверки ".

Значительную роль здесь может сыграть государство. Например, рассказывает он, в США этот вопрос был урегулирован на законодательном уровне:

"Каждая компания должна тратить определенное количество денег на кибербезопасность. С другой стороны, там есть действенные штрафы. И компания уже думает: лучше я три-четыре аудиты безопасности пройду, чем заплачу штраф ".

Мотивировать к инвестициям в кибербезопасность можно и через конечный результат, говорит Егор.

.

"Надо ориентироваться не на то, сколько и чего вы сделали для безопасности, а были ли у вас истоки. А бизнес уже пусть сам думает, что для него будет более эффективно, чтобы утечек не было: нанять хакеров, заказать аудит или получить бумажку в контролирующих органов ".

Впрочем, признает он, пока таких" зрелых "частных компаний в Украина немного, а затем, большинство клиентов - из-за рубежа.

"Мы изначально позиционируем себя как международную компанию, все наши сотрудники свободно владеют английским. 80-90% наших услуг мы осуществляем за границу - в Азии, Европе и США.

Мы продаем свои услуги удаленно, сидя здесь. Но мы не продаем людей почасово, и этим отличаемся от других аутсорсинговых компаний. Мы продаем проекты. Если провести сравнение, то мы не продаем лес-кругляк, мы продаем готовую мебель ".

При этом, добавляет Егор, то, что украинские хакеры" хорошо "известны за рубежом - не всегда добавляет" плюсов ".

. "Мы продаем услуги белых хакеров, и доверие очень важно. Когда слышат, что это украинские белые хакеры, то есть элемент переживания за то, что люди могут просто украсть какую-то информацию ".

Сложные отношения с государством

Пока клиентов белых хакеров нет никакой государственного учреждения, хотя именно их сайты и операционные системы испытывали мощных кибератак в последние годы.

Государству хакеры из Hacken были готовы помогать бесплатно - просто потому, как говорит Егор, что "за державу стыдно":

"К нам недавно на конференцию ехали на соревнования хакеры. Когда они подавали на визу, сайт МИД просто на время вышел из строя. Они пишут: мы видим, в чем проблема, куда можно зарепортиты баг? А им говорим: нет у нас такого. Так не должно быть ".

" Когда мы идем в государственные органы, мы говорим: мы не будем свою комиссию. Просто заходите и тестируйтесь бесплатно, потому что нам стыдно, что везде Украины представляем как №1 в кибербезопасности, и хакеры у нас есть, и кибервойну мы ведем, а наши иностранные коллеги просто смеются из наших государственных органов, по тому, насколько они "дырявые" .

По словам Дмитрия, для него поворотным моментом в этом вопросе стало время, когда сайты украинских государственных органов и компаний были атакованы вирусом Petya:

"Мы честно попытались, это был ключевой момент, когда мы пришли бесплатно помогать государственным компаниям, а они сказали: спасибо, мы здесь сейчас оборудования закупим, и все будет нормально. В тот момент мы поняли, что мы больше не будем тратить на это время ".

Граница между светом и тьмой

Но не может кто-то из белых хакеров ночью становиться черным?

"Конечно, могут. Все живые люди", - отвечает Егор.

Он также утверждает, что в своих работников его компания не спрашивает, были ли они когда-то "черными" хакерами, - "в конце, это невозможно доказать".

Но предохранителем того, что свои навыки они не будут использовать для нелегальных действий, является сама система:

"Вся система белого хакинга выстроена таким образом, чтобы они не могли украсть какие данные. Ибо если на платформе ищешь уязвимости клиента, одновременно с тобой то же делают несколько десятков, а то и сотен других. Если кто-то увидит какую-то дыру в системе не и зарапортуе, это сделает кто-то другой, и получит свое вознаграждение ".

Не бывает ли так, что этический хакер превращается в преступника или совмещают свои белые и черные шляпы?

"Всякое, конечно, возможно", - соглашается Евгения. Однако, добавляет она, большинство тех, кто занимается белым хакерством, это люди, которые высоко ценят свою репутацию, имеют публичные профессиональные рейтинги. А те, кто занимается черным хакерством, всегда избегают любой публичности.

"Поэтому совмещать то и другое - очень тяжело".

И все же, нельзя уступить репутацией и публичностью ради больших доходов? И какой может быть эта разница?

"Гонорары белых хакеров на платформе начинаются с 50 долларов за какую-то уязвимость низкого уровня, и могут достигать 100000", - говорит Евгения. По ее словам, в этом году были две крупнейшие в истории выплаты баг-баунти платформ: Samsung заплатил за одну уязвимость 114000 долларов, и Intel - тоже около 100000.

"Киберпреступники сколько украдут, столько и будет. Например, за недавний взлом японской криптобиржи они получили около 60 млн долларов", - рассказывает Евгения о масштабе цифр.

Тогда зачем же человеку, который имеет способности за раз получить 60 млн долларов, соглашаться даже на 100000?

"Есть вариант, когда нашел какую уязвимость, пойти на черный рынок и попробовать там это продать. Есть даже специальные брокеры, перепродают эти уязвимости. Но все это среда - сплошная недоверие. Это нормально, что тебя всегда могут" кинуть ", это очень скользкий путь, - объясняет Евгения.

К тому же, когда речь идет о кражах на криптобиржах, то можно получить средства, но не воспользоваться ими:

"Ты можешь их просто" не вывести ", потому что обычно по таким кейсами следит весь мир. Украсть - это одно, а тихонько положить это себе в карман - совсем другое ".

Хотите получать главные новости в мессенджер? Подписывайтесь на наш Telegram .

.

0 комментариев

  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingdisappointed_relievedweary
    pensivedisappointedconfoundedfearfulcold_sweatperseverecry
    sobjoyastonishedscreamtired_faceangryrage
    triumphdizzy_faceimpsmiling_impneutral_faceno_mouthinnocent
Ваше имя: *
Ваш e-mail: *
Войти через