Почти все слышали о хакерах, а вот о том, что они бывают белыми, знают не все. Киберпреступники пытаются найти уязвимости в компьютерных программах, их цель — кража или вымогательства. Этичные хакеры занимаются тем же, но уже со знаком плюс, то есть для защиты средств и интересов компании, на которую они работают.
Из этой статьи вы узнаете, чем отличаются чёрные, серые и белые хакеры, а также увидите, как стать легальным взломщиком.
Кто такой белый хакер
Типичное изображение хакера в кино. Фото: unsplash.com
Мы привыкли представлять себе хакеров как в американском кино — гениальный, неуловимый и слегка неопрятный молодой человек или девушка обязательно в худи, печатающий на клавиатуре со скоростью света и скрывающийся от закона, пока его не поймают спецслужбы и не заставят работать на разведку. Кто знает, может так оно и было в начале нулевых, сейчас же многие талантливые взломщики предпочитают сами выйти из тени и зарабатывать миллионы легальными способами.
Белый хакер, также известный как этический хакер или пентестер, — это компьютерный специалист, который использует свои навыки и знания в области информационной безопасности для защиты компьютерных систем, сетей и данных.
Основная цель пентестера — искать уязвимости и слабости в системах и предупреждать о них владельцев или администраторов, чтобы они могли принять меры для устранения проблем и повышения безопасности. Белые хакеры часто выполняют пентестинг (проверку на проникновение), анализ безопасности и другие задачи, направленные на выявление и исправление уязвимостей.
В отличие от чёрных хакеров, белые действуют легально и с согласия владельцев систем, с которыми они работают. Они следуют этическим принципам и обычно работают в рамках законодательства, чтобы предотвратить незаконный доступ и злоупотребление.
В чём разница между белым, серым и чёрным хакером (white hat, grey hat и black hat)
Кадр из фильма «Хакеры» (Hackers, 1995). Молодые хакеры развлечения ради взламывают секретную систему корпорации и спасают мир от экологической катастрофы. Фото: kinopoisk.ru
Изначально хакерами (от англ. to hack — колоть, отёсывать) называли специалистов, способных быстро и необычным способом исправить ошибку в компьютерной программе. С конца двадцатого века термин стал обозначать взломщика компьютерных систем. В наше время различают белых, серых и чёрных хакеров, в зависимости от законности их действий.
Белые хакеры (White Hat), или пентестеры работают в области информационной безопасности. Они действуют легально и с согласия владельцев систем, которые проверяют. Белые хакеры ищут уязвимости в системах и помогают закрыть их, предупреждая владельцев о возможных проблемах. Их цель — обеспечить безопасность и защитить данные.
Чёрные хакеры (Black Hat) — это злоумышленники, которые занимаются незаконными действиями и проникновением в компьютерные системы с целью получения незаконной выгоды. Они могут воровать личные данные, финансовую информацию, вредить системам или использовать их в криминальных целях. Деятельность чёрных хакеров незаконна.
Серые хакеры (Grey Hat) находятся где-то между белыми и чёрными хакерами в терминах мотивации и законности. Они часто ищут уязвимости в системах без согласия владельцев, но не с целью нанесения вреда. Вместо этого они могут предупреждать владельцев о найденных проблемах и предлагать свои услуги для их устранения. Однако их действия всё равно могут быть незаконными, так как они взламывают системы без согласия.
Чем этичный хакер отличается от специалиста по информационной безопасности
Этичный хакер и специалист по информационной безопасности (ИБ) фактически делают одно и то же, но всё же отличаются в ролях и подходах.
- Цель деятельности. Этичный хакер, или белый хакер, ищет уязвимости и слабости в системах, чтобы помочь владельцам защитить их. Его основная задача — найти и устранить слабости, которыми могут воспользоваться преступники. Обязанности специалиста по информационной безопасности шире, потому что он фокусируется на общей безопасности. Он разрабатывает стратегии, политику и процедуры обеспечения безопасности в организации.
- Методы работы. Пентестеры активно исследует системы и проводят проверку на проникновение, чтобы найти уязвимые места. Они используют свои знания о методах атаки, чтобы воспроизвести потенциальные угрозы и демонстрировать, как их можно исправить. Специалисты по ИБ оценивают риски, устанавливают меры обеспечения кибербезопасности и обучают персонал.
- Масштаб работы. Этичные хакеры обычно работают на временной основе и занимаются конкретными задачами по поиску уязвимостей. Их работа может быть связана с проведением аудита безопасности или пентестинга для конкретного проекта или клиента. Специалист по информационной безопасности обычно имеет постоянную должность в организации на долгосрочной основе.
- Роли и ответственности. Этичный хакер часто выступает в роли консультанта или эксперта по безопасности, предоставляя рекомендации и руководство по устранению уязвимостей. Он также может участвовать в разработке стратегий безопасности. Специалист по информационной безопасности несёт ответственность за всю ИТ-инфраструктуру компании, в том числе привлекает сторонних экспертов.
Что нужно знать, чтобы стать белым хакером
Белые хакеры не зря считаются элитой в IT. Пентестер должен глубоко разбираться в программировании, компьютерных системах, сетевой безопасности. Если вы решили стать этичным хакером, вам следует освоить следующие технологии.
- Сетевые технологии и протоколы. Знание TCP/IP, HTTP, DNS, SMTP, FTP и других протоколов, а также сетевой архитектуры и технологий вроде маршрутизации, коммутации и брандмауэров необходимо белому хакеру.
- Операционные системы. Хорошее знание различных операционных систем, таких как Windows, Linux и macOS позволит вам понимать и эксплуатировать уязвимости, связанные с конкретными ОС. Изучите основные концепции операционных систем, администрирование и команды командной строки.
- Программирование. Навыки программирования позволят вам разрабатывать собственные инструменты и скрипты для автоматизации задач, а также для поиска и эксплуатации уязвимостей. Особенно полезными будут знания Python, JavaScript, Ruby или других языков, используемых для разработки сетевых и веб-приложений.
- Безопасность веб-приложений. Изучите основы безопасности веб-приложений, такие как инъекции SQL, межсайтовый скриптинг (XSS), подделка запросов между сайтами (CSRF) и другие типичные уязвимости. Познакомьтесь с инструментами, используемыми для сканирования и анализа веб-приложений, например, Burp Suite, OWASP ZAP и Nikto.
- Криптография. Основы криптографии позволят вам понимать принципы защиты данных, а также применять различные алгоритмы шифрования и методы аутентификации.
- Понимание уязвимостей и методов атаки. Изучите различные типы уязвимостей, такие как уязвимости ввода данных, недостатки контроля доступа, переполнение буфера и другие. Познакомьтесь с методами атаки, такими как перехват сетевого трафика, фишинг, атаки на служебные данные и социальная инженерия.
- Этические и правовые аспекты. Понимание законов, связанных с информационной безопасностью, очень важно для белого хакера. Узнайте о применимом законодательстве в вашей стране и ограничениях, связанных с проведением тестирования на проникновение.
Где учиться на белого хакера
Учиться на белого хакера можно разными способами. Например, начать с классического университетского образования. Факультетов хакинга не существует, зато вузы предлагают кафедры информационной безопасности. Например, такая кафедра есть на факультете Информатики, искусственного интеллекта и систем управления МГТУ имени Н. Э. Баумана.
Ещё один способ получить соответствующие навыки — многочисленные онлайн-курсы. На образовательных платформах можно найти программы как для новичков, так и для специалистов с опытом в IT.
Учиться можно и на специализированных сертификационных программах. Самые известные — Certified Ethical Hacker (CEH), Offensive Security Certified Professional (OSCP) и CompTIA Security+. Помимо курсов, на платформах можно общаться с коллегами, делиться опытом и устанавливать связи. Обучение и общение происходит на английском языке.
Участие в соревнованиях по хакингу и присоединение к сообществам белых хакеров также может помочь вам развить свои навыки и получить опыт. CTF (Capture the Flag) соревнования, Bug Bounty программы, о которых мы рассказываем подробнее ниже, и форумы HackerOne и Bugcrowd, дают возможность приобрести ценные практические знания.
Кроме этого, белому хакеру не стоит забывать о самообразовании. С каждым годом взломщики становятся всё быстрее и изощрённее, и пентестеру нельзя отставать.
Где работают белые хакеры
Количество кибератак в России за 2022 и 2023 гг. Источник: ptsecurity.com
Белые хакеры нужны везде, где требуется обеспечение информационной безопасности и защита от киберугроз.
Компании по информационной безопасности нанимают пентестеров как консультантов или в штат для выполнения аудитов безопасности, проведения пентестинга, разработки стратегий защиты и обеспечения безопасности информационных систем.
Крупные корпорации в различных отраслях — финансы, здравоохранение, телекоммуникации и технологии — имеют собственные отделы информационной безопасности и тоже нанимают белых хакеров для поиска и устранения уязвимостей.
Государственные организации привлекают пентестеров для обеспечения национальной безопасности. Согласно исследованиям, количество кибератак на государственные учреждения в России в 2022 году увеличилось в два раза в сравнении с 2021 годом. В 2023-м эти цифры выросли ещё на 7%. Соответственно, вырос спрос на специалистов, которые могут защитить критическую инфраструктуру, выявить уязвимости в государственных системах и предотвратить взлом и утечку информации.
Академические исследовательские институты также привлекают белых хакеров. Пентестеры могут работать над исследованиями, разрабатывать новые методы защиты и вносить вклад в область информационной безопасности.
Что такое Bug Bounty для хакеров
Ещё одна возможность заработка для хакеров — это баг-баунти. Bug Bounty (вознаграждение за нахождение ошибок) — это программа, предлагаемая организациями-разработчиками программного обеспечения, которая позволяет хакерам и исследователям безопасности находить уязвимости в их ПО, веб- и мобильных приложениях и других системах.
В рамках Bug Bounty программы организация устанавливает правила и политику, согласно которым хакеры могут тестировать безопасность системы. Если пентестер находит уязвимость и сообщает об этом организации, последняя вознаграждает его за найденный баг. Суммы вознаграждений при этом могут быть впечатляющими.
Блокчейн-сеть Polygon выплатила белому хакеру 2 млн $ за обнаруженную уязвимость. Найденный пентестером баг мог привести к потере 850 млн $.
Ещё более впечатляющую сумму заплатила хакеру платформа MakerDAO — 10 млн $. Уязвимость кроссчейн-протокола могла привести к блокировке цифровых активов пользователей.
Некоторые популярные платформы Bug Bounty — HackerOne, Bugcrowd и Synack. Они обеспечивают прозрачность процесса, связь между хакерами и организациями, а также позволяют компаниям управлять программами Bug Bounty.
Свои программы Bug Bounty предлагают и крупнейшие компании. Вот некоторые из них.
Facebook* вознаграждения за нахождение уязвимостей в своих продуктах и платформе. Программа Meta Bug Bounty включает в себя различные категории — поиск багов в основной функциональности, уязвимостей внедрения кода, а также проблем конфиденциальности и безопасности данных. Минимальная сумма вознаграждения — 500 $.
Google Vulnerability Reward Program предлагает вознаграждение от 100 $ за нахождение уязвимостей в своих онлайн-сервисах, веб и мобильных приложениях. Программа включает в себя различные продукты и услуги, такие как Google Chrome, Android, Google Play, Google Drive и многие другие.
Microsoft Bug Bounty Program выплачивает вознаграждения за обнаружение уязвимостей в своих продуктах и сервисах, включая операционные системы Windows, Office, Microsoft Azure, браузер Edge и другие.
Это всего лишь несколько примеров Bug Bounty программ.
Этичный хакинг — это законно?
Этичный хакинг имеет свои правила и ограничения, чтобы быть законным.
- Согласие. Белый хакер должен получить разрешение от владельца системы или сети, прежде чем начинать тестирование безопасности. Например, контракт, определяющий условия и ограничения для проведения тестирования.
- Легальность. Этичный хакер обязан следовать всем применимым законам и правилам, связанным с компьютерной безопасностью и доступом к системам.
- Конфиденциальность. Пентестер должен соблюдать конфиденциальность и не разглашать полученную информацию о системе или уязвимостях третьим лицам без согласия владельца системы. Он также должен честно сообщать о найденных уязвимостях и не злоупотреблять полученным доступом или информацией.
- Цель и ограничения. Белый хакер действует в рамках заданных целей и ограничений, определённых заказчиком. Он должен тестировать только те системы, для которых получено разрешение, и не совершать ненужных действий или нарушать работу системы.
Сколько можно заработать на хакинге
Заработок на хакинге может сильно варьироваться в зависимости от нескольких факторов, включая уровень навыков, опыт, тип выполняемых задач. Новички могут попробовать свои силы в небольших компаниях с фиксированным окладом. Сервис по поиску работы hh.ru по запросу «пентестер» в июне 2023 г. предлагает минимальную зарплату в 80 000 ₽. В среднем организации предлагают 200 000–250 000 ₽.
Хорошая возможность заработать для белого хакера — это Bug Bounty программы. Вознаграждение может варьироваться от нескольких сотен долларов до нескольких десятков тысяч долларов в зависимости от сложности и серьёзности уязвимости.
Например, Яндекс выделяет 100 млн ₽ на поиски ошибок в своих продуктах. Миллион ₽ заплатит за найденную уязвимость платформа Госуслуги, а СБК-Контур предлагает белым хакерам от 3 500 до 105 000 ₽ за баг.
*Принадлежит компании Meta, которая признана экстремистской в России.