Українські білі хакери: як заробити на зламах і не стати кіберзлочинцем
Білі хакери заробляють гроші на тому, що ви самі просите, щоб вас зламалиУкраїнських хакерів звинувачують у викраденні мільйонів доларів з банківських карток, даних компаній і торговельних мереж чи у DDoS-атаках, - такі заголовки не рідкість у поважних західних виданнях.
Незалежно від того, чи діють вони на користь власного гаманця або ж якоїсь групи чи структури, йдеться про так званих "чорних" хакерів або ж кіберзлочинців.
- У США заявили про арешт трьох українських хакерів
- Схема на мільйон доларів: що робила хакерська група FIN7?
- У США викрили мережу хакерів, засновану українцем
- В Іспанії арештували хакера-українця, підозрюваного у крадіжці 1 млрд євро
Проте в Україні з'являються і "білі" хакери. Хто вони, чим відрізняються від "чорних" і як заробляють на життя?
Білі і пухнасті
Євгенія каже, що білих хакерів правильніше називати етичними, - на противагу чорним хакерам-кіберзлочинцям"Ми діємо цілком легально, бо ми нікого не ламаємо без їхнього дозволу", - формулює головну відмінність Дмитро Будорін, співзасновник та генеральний директор Hacken.
"Білі хакери - це звичайні хакери, які заробляють гроші офіційно: не крадіжкою інформації, а знаходячи якусь вразливість у системі, - пояснює співзасновник та директор з розвитку бізнесу Hacken Єгор Аушев. - Вони офіційно повідомляють про цю помилку, і отримують за це гроші".
Водночас, як нагадує Євгенія Брошеван, "в оригіналі йдеться про "white-hat" і "black-hat" хакерів - тобто тих, у кого білі і чорні "капелюхи".
"Тому треба говорити про етичних хакерів і кіберзлочинців", - наполягає вона.
Євгенія керує баг-баунті платформою для білих хакерів Hackenproof. За її словами, "хакер - це людина, яка може нестандартно вирішити якесь технічне завдання".
Втім, у певному сенсі, робота Євгенії вимагає подвійної нестандартності - вона працює у переважно чоловічій спільноті.
"Краще, ніж у жіночій, якщо чесно. Насправді дуже конструктивний діалог у чоловічому колективі, робота на рівних та повага за бізнес результати, а не за статевою ознакою".
Як це працює?
"Рік тому ми випустили свою криптовалюту, за яку отримали реальні кошти, за які і створили цей бізнес", - розповідає Єгор.
"Тоді ми повною мірою заглибилися у новий спосіб фінансування проектів як ICO (Initial Coin Offering - первинне розміщення криптовалюти, на відміну від IPO, Initial public offering - первинного розміщення акцій.- Ред.).
Було багато сумнівів, страшно, що не зберемо, що звинуватять у шахрайстві", - каже Дмитро, але додає, що з першими біткоїнами з'явилася і впевненість у майбутньому.
На створення платформи для білих хакерів засновники витратили близько півмільйона доларів.
"Власне, це є веб-сайт, на якому компанія-клієнт може зайти у свій кабінет, і хакер - у свій. Ми є ланкою, яка їх пов'язує. Якщо ми виводимо компанію на нашу платформу, ми отримаємо комісію з кожного знайденого бага", - пояснює Єгор ідеологію бізнесу.
Для компаній і хакерів це виглядає наступним чином:
"Ми готуємо компанію до проведення краш-тестів, і тоді вже виводимо на платформу до хакерів. Вони не прив'язані до нашої компанії, для них це можливість додаткового заробітку. У них є свої рейтинги, які залежать від того, скільки вразливостей вони успішно подолали. Від рівня знайденої вразливості залежить і оплата їхньої праці - від 100 до десятків тисяч доларів".
Тільки колективний напад на систему може показати усі її вади, вважають білі хакериАле навіщо бізнесу, особливо великому, на який часто працюють дуже потужні технічні команди, вдаватися до послуг білих хакерів?
Власники бізнесів вже не можуть побудувати ефективну захисну систему, бо кількість і якість загроз з кожним місяцем зростає, і подолати їх стає дедалі складніше, вважає Дмитро.
"Кількість продуктів, які є дірявими, стає дедалі більшою. На ринку повторюється одна й та сама ситуація: продуктові компанії знають про свої проблеми, знають, де в них дірки, але вони ці дірки не встигають лагодити. І це наростає як снігова куля".
"Тільки третя сторона може знайти вразливості системи. Той, хто розробляв, ніколи не побачить це. Ба більше, якщо винайняти якусь фірму, яка тестуватиме компанію, вони теж можуть це пропустити. Усі вади можливо побачити лише тоді, коли одночасно багато людей тестують систему, використовують різні вектори атаки, атакують з-за меж системи", - додає Єгор.
Хто клієнти?
Скільки компаній в Україні розуміють це і вже користуються послугами етичних хакерів?
"Не всі хочуть про це говорити, дехто поки що випробовує ці сервіси", - каже Євгенія, але додає, що значну частину клієнтури становлять банки і компанії, які працюють на міжнародний ринок.
Платформа, створена Hacken, працює менш як рік. Станом на зараз там біля 20 великих відкритих компаній, і ще певна кількість тих, хто не хоче афішувати свою присутність на платформі.
"У нас були випадки, коли до нас зверталися компанії, і казали: у нашій системі знайшли дірку, нас шантажують і вимагають 100 біткоїнів. Чим ви можете допомогти? - розповідає Єгор. - Ми впродовж години розміщуємо це завдання у себе на платформі баг-баунті, де працюють сотні білих хакерів і кажемо: хлопці, шукайте вразливість. Хто знайде - винагорода 10 тисяч доларів - умовно. Хлопці налітають на програму, знаходять вразливість, і замість 100 біткоїнів компанія платить 10 тисяч доларів і закриває цю вразливість".
Проте зазвичай до послуг білих хакерів компанії, які "дозріли" до розуміння важливості належного кіберзахисту свого бізнесу, звертаються цілком планово.
- Скільки коштуватиме кібератака бізнесу і що робити?
- Експерт: кіберзахист - це не параноя
- "Маленькі зелені байти" атакуватимуть частіше - експерти з кібероборони
Співвласники Hacken розраховують, що таких компаній більшатиме, при чому суттєво.
"Це все одно, як у минулому "велика четвірка" робила аудит фінансової звітності. Хто проходив їхній аудит, тим можна було довіряти. Так само буде і у сфері кібербезпеки, - тим, хто пройшов баг-баунті, можна буде довіряти, а тим, хто ні, - не довірятимуть", - каже Дмитро, у послужному списку якого робота на одну із компаній "великої четвірки".
Значну роль тут може відіграти держава. Наприклад, розповідає він, у США це питання було врегульоване на законодавчому рівні:
"Кожна компанія повинна витрачати певну кількість грошей на кібербезпеку. З іншого боку, там є дієві штрафи. І компанія вже думає: краще я три-чотири аудити безпеки пройду, ніж сплачу штраф".
Найвразливіші місця для кібернападу зазвичай є на поверхні, але саме хакери мають хист це побачитиМотивувати до інвестицій у кібербезпеку можна і через кінцевий результат, каже Єгор.
"Треба орієнтуватися не на те, скільки і чого ви зробили для безпеки, а чи були у вас витоки. А бізнес вже хай сам думає, що для нього буде більш ефективно, щоб витоків не було: найняти хакерів, замовити аудит чи отримати папірець у контролюючих органів".
Утім, визнає він, поки що таких "зрілих" приватних компаній в Україні небагато, а відтак, більшість клієнтів - з-за кордону.
"Ми від самого початку позиціюємо себе як міжнародну компанію, всі наші співробітники вільно володіють англійською. 80-90% наших послуги ми здійснюємо за кордон - в Азії, Європі і США.
Ми продаємо свої послуги віддалено, сидячи тут. Але ми не продаємо людей погодинно, і цим відрізняємося від інших аутсорсингових компаній. Ми продаємо проекти. Якщо провести порівняння, то ми не продаємо ліс-кругляк, ми продаємо готові меблі".
При цьому, додає Єгор, те, що українські хакери "добре" відомі за кордоном - не завжди додає "плюсів".
"Ми продаємо послуги білих хакерів, і довіра є дуже важливою. Коли чують, що це українські білі хакери, то є елемент переживання за те, що люди можуть просто вкрасти якусь інформацію".
Складні відносини з державою
Поки що серед клієнтів білих хакерів немає жодної державної установи, хоча саме їхні сайти та операційні системи зазнавали потужних кібернападів в останні роки.
Державі хакери з Hacken були готові допомагати безкоштовно - просто тому, як каже Єгор, що "за державу соромно":
"До нас нещодавно на конференцію їхали на змагання хакери. Коли вони подавали на візу, сайт МЗС просто на якийсь час вийшов з ладу. Вони пишуть: ми бачимо, в чому проблема, куди можна зарепортити баг? А їм кажемо: нема в нас такого. Так не повинно бути".
Хакери готові допомогти державі безкоштовно, щоб "не було соромно""Коли ми ідемо до державних органів, ми говоримо: ми не братимемо свою комісію. Просто заходьте і тестуйтеся безкоштовно, бо нам соромно, що скрізь Україну презентуємо як №1 у кібербезпеці, і хакери в нас є, і кібервійну ми ведемо, а наші іноземні колеги просто сміються з наших державних органів, з того, наскільки вони "діряві".
- День, коли загадкова кібератака паралізувала Україну
- Він вам не Petya: чи довели російський слід вірусу?
- СБУ: до вірусу Petya.A причетні спецслужби Росії
За словами Дмитра, для нього поворотним моментом у цьому питанні став час, коли сайти українських державних органів і компаній були атаковані вірусом Petya:
"Ми чесно спробували, це був ключовий момент, коли ми прийшли безкоштовно допомагати державним компаніям, а вони сказали: дякуємо, ми тут зараз обладнання закупимо, і все буде нормально. В той момент ми зрозуміли, що ми більше не будемо витрачати на це час".
Межа між світлом і темрявою
Але чи не може хтось із білих хакерів вночі ставати чорним?
"Звісно, можуть. Всі живі люди", - відповідає Єгор.
Він також твердить, що у своїх працівників його компанія не питає, чи були вони колись "чорними" хакерами, - "врешті, це неможливо довести".
Але запобіжником того, що свої навички вони не використовуватимуть для нелегальних дій, є сама система:
"Вся система білого хакінгу вибудувана таким чином, щоб вони не могли вкрасти жодні дані. Бо коли ти на платформі шукаєш вразливості клієнта, одночасно з тобою те саме роблять кілька десятків, а то й сотень інших. Якщо хтось побачить якусь дірку в системі й не рапортує, це зробить хтось інший і отримає винагороду".
Чи не буває так, що етичний хакер перетворюється на злочинця або суміщають свої білі і чорні капелюхи?
"Всяке, звісно, можливо", - погоджується Євгенія. Проте, додає вона, більшість тих, хто займається білим хакерством, це люди, які високо цінують свою репутацію, мають публічні професійні рейтинги. А ті, хто займається чорним хакерством, завжди уникають будь-якої публічності.
"Тому суміщати те й інше - дуже важко".
Біле може бути і чорним, але система має цьому запобігати - кажуть хакериІ все ж таки, чи не можна поступитися репутацією і публічністю заради більших доходів? І якою може бути ця різниця?
"Гонорари білих хакерів на платформі починаються із 50 доларів за якусь вразливість низького рівня, і можуть сягати до 100 тисяч", - каже Євгенія. За її словами, цього року були дві найбільші в історії виплати баг-баунті платформ: Samsung заплатив за одну вразливість 114 тисяч доларів, і Intel - теж близько 100 тисяч.
"Кіберзлочинці скільки вкрадуть, стільки і буде. Наприклад, за нещодавній злам японської криптобіржі вони отримали близько 60 млн доларів", - розповідає Євгенія про масштаб цифр.
Тоді навіщо ж людині, яка має здібності за раз отримати 60 млн доларів, погоджуватися навіть на 100 тисяч?
"Є варіант, коли знайшов якусь вразливість, піти на чорний ринок і спробувати там це продати. Є навіть спеціальні брокери, які перепродають ці вразливості. Але все це середовище - суцільна недовіра. Це нормально, що тебе завжди можуть "кинути", це дуже слизький шлях, - пояснює Євгенія.
До того ж, коли йдеться про крадіжки на криптобіржах, то можна отримати кошти, але не скористатися ними:
"Ти можеш їх просто "не вивести", бо зазвичай за такими кейсами стежить весь світ. Вкрасти - це одне, а тихенько покласти це собі в кишеню - зовсім інше".
Хочете отримувати головні новини у месенджер? Підписуйтеся на наш Telegram.