Взломали iPhone и получили $300 тыс. Сколько зарабатывают «белые» хакеры

На Западе все больше предприятий, которые беспокоятся об информационной безопасности и защите от онлайн-атак, нанимают этичных хакеров. Эти специалисты «нападают» на IT-инфраструктуру, чтобы выявить слабые места и уязвимости.

Мировые бренды платят этичным хакерам от $80 тыс. в год — а в Украине едва ли найдется пара организаций, которые прибегают к такому сервису. Но так ли необходимо инвестировать в этичный хакинг?

Кто такие белые хакеры?

Есть два типа хакеров — «черные» и «белые». Первые – взламывают системы и зарабатывают на том, что крадут персональные данные и корпоративную информацию. А потом перепродают эти сведения в темном вебе. 

Так называемые «белые» хакеры — это программисты, разработчики, специалисты в области кибербезопасности, которые совершают атаку на информационную архитектуру веб-сайта, хостинга или предприятия по договоренности.

Цель работы этих специалистов — попытаться взломать систему, применяя настоящие хакерские методики.  А после этого выдать вердикт: что нужно улучшить, какие баги устранить. 

Белый хакинг состоит и пяти стадий:

1. Разведывательная операция сбор информации о сети, хостинге и пользователях.
2. Сканирование компьютерной системы через порт, поиск уязвимостей, моделирование карты сети.
3. Начало атаки — использование реальных хакерских инструментов для вторжения в систему.
4. Использование различных вирусов для инфицирования системы;
5. Устранение следов «преступления».

После этого белые хакеры пишут отчёт, в котором подробно описывают уязвимости и способы защитить себя в будущем.

Ущерб от киберпреступлений 

Проблема киберпреступлений сейчас актуальна, как никогда. По информации Retarus, каждую минуту компании теряют $2,9 млн в связи с хакерской атакой.

Многие бренды теряют $25 ежеминутно из-за утечек данных. При этом, средняя стоимость киберпреступления составляет $3,86 млн. А время на восстановление системы, например, в сфере здравоохранения, — до 280 дней. И это — не предел.

По прогнозам Retarus, к 2025 году из-за хакеров корпорации будут терять $10,5 трлн в год. 

Чаще всего происходят атаки на роутеры и интернет вещей. Хакеры способны устроить настоящую слежку за представителями брендов. Преступники взламывают Wi-Fi соединения и получают доступ к ценным данным.

Поэтому все больше компаний пользуется средствами безопасности — узнает, что такое VPN и как зашифровать соединение, устанавливает файерволы (от англ. firewall – технологический барьер, предназначенный для предотвращения несанкционированного или нежелательного сообщения между компьютерными сетями или хостами.– Прим. ред.) А также расправляются с врагом его же методами — обращаются к этичным хакерам. 

Успех кампании Bug Bounty

Услугами «белых» хакеров сейчас пользуются знаменитые корпорации. Например, в конце прошлого года компания Apple объявила о программе поиска проблемных зон в новом iPhone. Такая кампания называлась Bug Bounty.  Команда хакеров, которые смогли взломать айфон и объяснили, как этого избежать в будущем, получили приз — $300 тыс. за 55 уязвимостей. 

Я пообщалась с Сэмом Карри, который и возглавил команду IT-профессионалов, взломавших Apple. Сэм объяснил, почему такие корпорации, как Apple, прислушиваются к мнению этичных хакеров:

«В сфере кибербезопасности действует закон подлости: компании взламывают — и, к сожалению, будут взламывать. Но есть вещи, которые помогают предотвратить это. Например, Apple показали себя проективной командой, которая обращает много внимания на безопасность своих продуктов.

Их программа Bug Bounty имеет наивысший финансовый критерий, а разработчики быстро реагировали, когда мы сообщали о нахождении уязвимостей. По мере возникновения проблем, Apple сразу же принимались устранять их». 

Ещё в 2018 году суммарное вознаграждение белых хакеров за участие в программах Bug Bounty достигло $19 млн, а в 2019 — $40 млн, сообщает Hacker One.

Что интересно, 81% профессионалов стали белыми хакерами самостоятельно, проходя онлайн-курсы. Этичный хакинг не потребовал академического образования. 

BBC утверждает, что в 2020 году каждый хакер, нашедший уязвимости в рамках Bug Bounty, заработал от $1 млн. 

Психология хакинга

Почему мировые компании не желают довольствоваться собственными отделами по IT-безопасности, а готовы платить баснословные деньги белым хакерам? Все дело в том, что никто не поймет психологию преступника лучше, чем сам хакер.

А, применяя модное нынче направление форензика (криминально-компьютерная экспертиза), этичные хакеры проводят настоящие расследования и шокируют общественность информацией о том, кто виноват в утечке данных и как наказать преступника.

Раньше это было невозможно: считалось, что в интернете мошенник скрыт под завесой тайны, а значит, установить его личность нереально.

Но, например, ещё осенью прошлого года правительство США призвало представителей малого и среднего бизнеса не выплачивать выкуп преступникам, которые требуют деньги в обмен на украденные чертежи продуктов перед релизом.

Власть объясняет, что на сегодняшний день судебно-компьютерная экспертиза в рамках этичного хакинга раскрывает секреты, которые раньше были недоступны.

Буквально на днях ФБР установило, где находился виртуальный кошелек, на который перечислило выкуп руководство пострадавшего от хакеров трубопровода Colonial Pipeline. Министерство юстиции США изъяло из биткоин-кошелька деньги и вернуло компании $2,3 млн.

В то же время, ещё в прошлом году большинство киберпреступлений оплачивались в биткоине именно из-за невозможности установить, где живёт владелец кошелька. Но тайное рано или поздно становится явным, так случилось и здесь.

Как обстоят дела с этичным хакингом в Украине?

В Украине сейчас удалось найти две организации, которые предлагают услуги белого хакинга. В то же время, у талантливых представителей сферы кибербезопасности — огромный потенциал. 

Например, организация CQR Company проанализировала рынок кибербезопасности и разработала собственный продукт — онлайн-сканнер уязвимостей Cryeye, который насчитывает более 1500 инструментов для поиска уязвимостей.

Кроме того, сотрудники CQR успешно применяют методологию белого хакинга: социальную инженерию, Red Teaming, тестирование на проникновение, SOC.  

А, допустим, компания Hacken начинала именно в сфере кибербезопасности и поиска уязвимостей, а затем разработала собственную криптовалюту. 

Провести программу Bug Bounty попробовал Приват банк.  Тогда в 2017 году суммарное вознаграждение по ней составило 512 тыс. грн. Криптовалютная фирма KUNA Exchange также сообщает на сайте, что заплатит от $125 до $5000 за нахождение различных уязвимостей. 

Украинские «белые» хакеры ищут клиентов на Западе

Но эти попытки можно пересчитать на пальцах, да и не слишком мотивируют отечественные гонорары. К примеру, «Киевстар» платит в среднем $450 за одну уязвимость. Самый большой гонорар составил $1,5 тыс. В то же время, с 2017 года компания потратила на Bug Bounty $30,8 тыс. 

На данный момент талантливым специалистам не остаётся ничего, кроме как искать клиентов на Западе, где в «белом» хакинге знают толк.

В то же время, киберпреступления становятся все более свирепыми, из-за хакеров компании терпят убытки. А значит, белый хакинг — дань времени, хотим мы этого или нет. 

Вице-президент компании ExpressVPN считает, что каждый сознательный глава технического отдела или компании должен обеспечивать надлежащую степень кибербезопасности:

«Сейчас популярностью пользуется социальная инженерия, которая позволяет киберпреступнику проделывать недозволенные трюки с невинной жертвой. Убедитесь, что вы рассказали сотрудникам о том, как происходят атаки, предоставили каналы для проверки уязвимостей и сообщения о найденных проблемах». 

Однозначно, предприятиям есть смысл инвестировать в «белый» хакинг. Ведь, поддерживая профессионалов в сфере IT, мы вносим вклад в борьбу с киберпреступностью.