13 листопада 2015

Это как вообще: работать легальным хакером

Мы продолжаем на Platfor.ma рубрику, в рамках которой выясняем, как разнообразные события и процессы выглядят изнутри. На этот раз мы познакомимся с «этичным» хакером из Харькова – Вадимом Чакряном. Опытный айтишник рассказывает, как можно стать «благородным» хакером, сколько зарабатывает такой специалист и может ли он стать украинским киберполицейским.

 

Фотографія: shutterstock.com

Эту сферу деятельности я открыл для себя года четыре назад. Начал искать какие-то практические вещи в интернете, интересоваться, как заниматься «этичным» хакерством. В итоге нашел много полезного и занялся самообучением. Таких качественных знаний в вузе не дают. Даже с дипломом технического университета нужно обучаться самому. Тем более, что сейчас сертификацию можно проходить не только за границей, но даже дома: найти нужный материал в интернете, пройти видеокурсы, а затем просто сходить в тестовый центр. Кроме того, существует множество тренажеров, на которых можно заниматься и онлайн, и оффлайн.

 

 

«Этичный» хакер – это человек, тестирующий ресурс, который предоставил ему заказчик – и исключительно после письменного разрешения на это. То есть тот, кто хочет проверить уязвимость своей фирмы, обращается в компанию, которая занимается тестированием на проникновение. Они заключают контракт, где оговаривают, что можно сканировать, что нельзя, какие сроки сканирования и другие вопросы. Потом этот документ подписывается, и только после этого так называемый пентестер может исследовать продукт. В этом как раз проявляется этика. Если человек тестирует что-то без надлежащего разрешения, то это уже незаконно.

 

Сегодня существует несколько видов хакеров. «Черные» хакеры – те люди, которые взламывают со злым умыслом. Есть и «серые» хакеры – они не хотят извлечь выгоду, а просто находят уязвимость, чтобы показать ее людям, у которых они ее нашли.

 

Где-то год назад была история на эту тему. Неизвестный нашел уязвимость на сайте ПриватБанка и пошел в банк рассказать об этом. У него не было специального разрешения, но он это сделал с благими намерениями. А вот «белые» хакеры тестируют только с разрешения.

 

На самом деле, «этичные» хакеры не только находят уязвимости, они их еще и эксплуатируют, пытаются их использовать, чтобы проникнуть в компанию. Одно дело найти ошибку, а другое дело – применить эту уязвимость, чтобы отыскать или удалить какую-то информацию. Таким образом хакеры доказывают, что эта уязвимость существует и может нанести вред.

Фотографія: shutterstock.com

 

В основном работа «этичного» хакера заканчивается на этапе предоставления отчета о том, что он нашел какие-то уязвимости, расположил их в порядке критичности: что лучше устранить в первую очередь, что – во вторую, и все. Также, если это оговорено, могут быть предложены пути решения этих проблем. А все остальное – это уже не его работа, а службы отдела безопасности той или иной компании.

 

Хакеры – открытые люди, их несложно найти. Зачастую они доступны на специальных сайтах и форумах. В Украине уже появились компании, которые занимаются пентестами и сотрудничают с «белыми» хакерами. Сейчас это абсолютно официальная услуга. Они сами находят себе людей, которые хорошо разбираются в информационной безопасности и сертифицировались по европейским программам.

 

Стоимость услуг такого хакера зависит от того, какой объем тестирования нужно провести: то ли это тестирование всей компании, то ли отдельного сайта. Цена стартует где-то от десяти тысяч гривен.

 

Известно, что хакеры в своей деятельности пользуются навыками психологии и социальной инженерии. Это может понадобиться, когда нужно очень аккуратно узнать какую-то информацию, которая будет полезна для дальнейшего расследования или для взлома ресурса. Сыграть важную роль может и малозначительный факт. Например, в какое время сотрудники компании приходят на работу. При помощи социальной инженерии можно даже пароли ломать. Так, кстати, в 80-е годы прославился Кевин Митник. Он просто чудеса творил: представлялся чужими людьми, входил в доверие и заставлял других отправлять к себе на сервера секретные данные. Просто здесь все построено на уязвимости человеческой психологии.

 

У нас единственная проблема для «этичного» хакера – это приобретение практического опыта, то есть легальной работы. В Харькове хакеру найти работу вообще маловероятно. Да, для бизнеса это очень полезная вещь, но это стоит денег.

 

Компании не хотят тратиться, а информационная безопасность – это всегда тот отдел, который вытягивает деньги из компании. Надо как-то вести бизнес, да еще и этим людям зарплату платить. К тому же никто не хочет платить за то, в чем пока нет потребности. Почему на Западе это больше развито? Потому что там есть стандарты, которые на государственном уровне регламентируют, какой должна быть безопасность в той или иной организации в зависимости от рода ее деятельности. Если это медицинский центр, то это должен быть стандарт HIPAA. Если учреждение не соответствует какому-то стандарту безопасности, то оно просто не может дальше работать. У нас же на законодательном уровне это пока совершенно не развито.

 

Вряд ли на эту ситуацию повлияет киберполиция – нужно менять именно законодательство. Хотя раз есть инициатива по ее введению, может, теперь возьмутся и за законы. Все-таки я думаю, что с приходом новой полиции должно становиться меньше «черного» хакерства, разных киберкраж, распространения спама. Устранить эти проблемы – их работа.


comments powered by Disqus