logo

Зламую «адмінки» на замовлення, отримую до $5 тис. Як я став «білим хакером»

Взламываю «админки» на заказ, получаю до $5 тыс. Как я стал «белым хакером»

Сергій Харюк працює «білим хакером» у Hacken.io. Разом з командою вони імітують атаки кіберзлочинців. Так вони з’ясовують, де в системах компаній слабкі місця і як їх захистити.

У партнерському матеріалі Сергій розповів, хто такий «білий хакер», де навчитися цієї професії і чому її цінують на Заході більше, ніж в Україні.

Партнерський матеріал?

Вчителі відпускали мене з уроків, і я допомагав їм з комп’ютерами

Сергей Харюк

Сергій Харюк

Уперше я познайомився з комп’ютером у п’ять років. У мого двоюрідного брата я пограв у Pac-Man – і відтоді теж захотів комп’ютер. Але отримав я його через 10 років, уже в старших класах.

У п’ять років я переїхав з родиною в село, де довелося забути про «інновації». Мене рятувала «Комп’ютерна енциклопедія професора Фортрана», яка допомогла пізнати IT ближче. Книгу зверстали у вигляді ноутбука: її можна було відкрити й уявити, що ти друкуєш текст або граєш.

Паралельно я надихався фільмами про хакерів і високі технології: «Пароль “Риба-меч”», «Матриця», «Хакер». У восьмому класі в нашу школу привезли комп’ютери, і я нарешті добрався до них. Учням дісталися комп’ютери на процесорах Intel Celeron, а вчителю – на топовому в той час Pentium 4.

За рік я розібрався, як працюють операційні системи і кілька разів перевстановив їх. Ще я пробував писати код на мовах Basic і Pascal, але в мене не було системних знань і виходило погано. За мої старання мене вільно пускали до вчительського комп’ютера.

До десятого класу я ходив у школу як на роботу – учителі погано користувалися комп’ютерами, і я допомагав їм друкувати тексти, сканувати документи. В одинадцятому класі обласна адміністрація перевіряла школу цілий місяць, і мені доводилося готувати звіти. Додому я приходив майже вночі.

Працював у дві зміни і створив спільноту «київських хакерів»

Після школи я переїхав до Києва і став працювати у дві зміни: вдень на парковці, а вночі охоронцем на ринку.

У вільний час ходив у комп’ютерний клуб, щоб дістатися до інтернету і дізнатися щось нове: як працюють операційні системи, чому виходить їх зламувати, як працює перебір паролів і як це все застосовувати.

Начитавшись книг і статей в інтернеті, я вирішив здобути профільну освіту. Вступив до Комп’ютерної академії «Шаг» і через місяць почав шукати роботу. В одній з email-розсилок з вакансіями мені трапився номер ICQ (месенджер, популярний в 2000-ні. – Прим. ред.), і я написав на нього.

Сергей Харюк с командой Hacken.io

Сергій Харюк з командою Hacken.io

Так я познайомився із Сергієм Зінченко − він запропонував роботу, і з того часу ми найкращі друзі. Я став системним адміністратором: допомагав лагодити комп’ютери в клубах, де люди сиділи за віртуальними ігровими автоматами.

Після п’яти років роботи системним адміністратором я став вірусним аналітиком у  Zillya. У компанії я оновлював бази антивірусів і вивчав, як поводяться віруси.

Так я вирішив дізнатися більше про хакерство. Разом із друзями ми почали перевіряти, як можна зламати системи захисту. Спочатку ми брали замовлення на стороні, а потім вирішили створити компанію. Однак стартап швидко прогорів – нам не вистачило досвіду, щоб отримувати стабільний прибуток. Компанію закрили, і потім я перейшов у Hacken.io.

Наша робота схожа на гру: одні хакери «атакують», а інші «захищаються»

Робота «білих хакерів» схожа на гру двох команд: «червоних» і «синіх». «Червоні» імітують дії справжніх хакерів: вони шукають уразливості в системі та через них намагаються отримати доступ до комп’ютера. Потім вони кажуть «синій» команді, де ці уразливості і як від них захиститися.

Ще ми допомагаємо компаніям зв’язуватися з «білими хакерами» на платформі hackenproof.com. Вона працює так: компанія публікує заявку, щоб «білі хакери» атакували її сайти та сервера. Якщо вони знайдуть уразливості, то розкажуть про них.

Сергей Харюк с командой Hacken.io

Сергій Харюк з командою Hacken.io

За слабку вразливість, наприклад, якщо вдасться розкрити IP-адресу, компанія заплатить $100. За серйозну вразливість на кшталт злому «адмінки» компанія їм заплатять $5 тис.

Іноді «білі хакери» працюють офлайн – наприклад, приїжджають у коворкінг і за кілька годин перевіряють там всі комп’ютери. І якщо знаходять уразливості або помилки, то розповідають про них розробникам. Після такого марафону всі залишаються на вечірку.

Скільки заробляють «білі хакери»

В українських компаніях «білі хакери»-новачки отримують від $300, а досвідчені працівники – до $6 тис. Середня зарплата в країні тримається на рівні $ 2,7 тис. – це менше, ніж у розробників або в DevOps (ці фахівці перевіряють код від розробників. – Прим. ред.), тому білі хакери часто змінюють професію або сферу на більш прибуткову.

Українському ринку є куди рости, і вже зараз вакансій у сфері кібербезпеки стало більше, ніж 10 років тому.

На фрілансі деякі «білі хакери» можуть заробляти від $500 до $5 тис. на місяць. Але такі заробітки нестабільні: сьогодні у тебе є замовлення, а завтра вже немає. Тому багато фахівців вважають за краще працювати в компаніях, де платять однаково кожен місяць.

Сергей Харюк с командой Hacken.io

Сергій Харюк з командою Hacken.io

Іноді чую, що «чорні хакери» можуть заробляти мільйони. Але на волі «білі хакери» можуть вчитися і з часом отримувати більше грошей, ніж «чорні». Припустимо, середня зарплата «білого хакера» – $5 тис. на місяць. Якщо він захоче нечесно заробити $250 тис., то йому загрожує термін до 10 років. За цей час у в’язниці хакер втратить $600 тис.

Але людей усе одно тягне на ризик. А без «чорних хакерів» у «білих» не було б роботи.

Як стати «білим хакером»

Щоб працювати з інформаційною безпекою, потрібно розумітися на комп’ютерних мережах, операційних системах, мобільних і вебзастосунках. Корисно вміти програмувати, щоб автоматизувати сканування на уразливості. Непогано знати основи криптографії, а іноді і прикладної математики.

«Білі хакери» можуть вибрати три напрями:

  1. Пентестери (від англ. penetration testers) – перевіряють, як можна зламати операційні системи. Підійде тим, кому хочеться порушувати правила.
  2. «Розслідувачі» – з’ясовують, наприклад, через що стався злам: шукають його сліди та докази. Підійде тим, хто любить правила.
  3. Аналітики безпеки – мало спілкуються з людьми, але стежать за можливими атаками на комп’ютери компанії. Це робота для тих, хто уважний і може розібратися у великих обсягах даних.
Сергей Харюк с командой Hacken.io

Сергій Харюк з командою Hacken.io

Якщо людина без досвіду хоче стати «білим хакером», то вона може пройти базові курси і стати стажистом. Стажування проводять і в Hacken.io: якщо новачок показав себе з хорошого боку, то ми візьмемо його в команду. Головне, щоб стажист практикувався і дослухався до порад від колег.

Не раджу вчитися на «білого хакера» у вишах – їхні програми застарівають ще до того, як за ними починають вчитися. Один з колишніх студентів сказав мені: «За три місяці роботи в Hacken.io я дізнався більше, ніж в університеті».

Приєднатися до Hacken.io

У Hacken.io я керую «білими хакерами» – ми імітуємо кібератаки

На фрілансі я робив проєкти для Hacken.io − адже вже давно знав деяких людей звідти. Перевіряв безпеку мобільних додатків, дізнавався, наскільки легко проникнути в комп’ютери компаній. Чим довше я працював з Hacken.io, тим більше хотів приєднатися до команди. Я передав їм резюме, і мене взяли.

Зараз я став лідером хакерів, які атакують. Ми перевіряємо, наскільки добре працює захист у компаніях і пояснюємо, як його поліпшити. Ще я дізнаюся, що стало причиною інцидентів і як захиститися в майбутньому.

Якось у Hacken.io був такий випадок: до нас звернулася українська фінтех-компанія – її мережу зламали через комп’ютер одного зі співробітників. Він дізнався про це за тиждень, коли з його рахунку зняли всі гроші. Виявилося, що співробітник зберігав усі паролі, номери телефонів і поштові адреси в одному місці – тому хакери вкрали його гроші і продовжували стежити за мережею компанії.

Так выглядит рабочее место «белого хакера»

Так виглядає робоче місце «білого хакера»

Знайти злочинців так і не вдалося. Компанія злякалася нової атаки і стерла всю інформацію на комп’ютері. Нам вдалося частково відновити дані і порівняти їх із тими загрозами, з якими вже стикалися. Так ми допомогли компанії зрозуміти, що трапилося і як від цього захиститися.

Іноді співробітники не знають прості правила інформаційної безпеки. Нещодавно один із співробітників SoftServe відкрив лист із підозрілим файлом – і хакери отримали віддалений доступ до комп’ютера та потрапили в мережу компанії. Вони викрали, а потім опублікували вихідні коди проєктів та особисті дані співробітників.

«Білих хакерів» цінують на Заході більше, ніж в Україні

До «білих хакерів» в Україні ставляться неоднозначно. У наших компаніях вважають, що в першу чергу потрібно стежити за пожежною безпекою і податками, адже інспектори приходять регулярно. А вірус може потрапити на комп’ютер усього лише один раз, і то не завжди.

В інших країнах до кібербезпеки ставляться інакше. За звітом IBM, у 2020 році по всьому світу компанії втратили в середньому $3,86 млн через витік даних. Тому керівники готові витратити пару тисяч доларів на «білих хакерів».

Навіть якщо в компанії є свої «червоні» і «сині» команди, їм усе одно потрібні ті, хто перевірить систему зі сторони. Тому до нас часто приходять замовлення із Сінгапуру, Індонезії, Китаю, країн Близького Сходу, Європи та США.

Зараз кількість вакансій для «білих хакерів» в Україні зростає. Але, як правило, їх відкривають ті компанії, які працюють на західні ринки. Там цінують наших фахівців – година роботи «білого хакера» в США коштує від $25 на годину, в Україні – $3.

Партнерський матеріал?

Приєднатися до Hacken.io

Сергей Харюк работает «белым хакером» в Hacken.io. Вместе с командой они имитируют атаки киберпреступников. Так они выясняют, где в системах компаний слабые места и как их защитить.

В партнерском материале Сергей рассказал, кто такой «белый хакер», где научиться этой профессии и почему ее ценят на Западе больше, чем в Украине.

Партнерский материал?

Учителя отпускали меня с уроков, и я помогал им с компьютерами

Сергей Харюк

Сергей Харюк

Впервые я познакомился с компьютером в пять лет. У моего двоюродного брата я поиграл в Pac-Man − и с тех пор тоже захотел компьютер. Но получил я его спустя 10 лет, уже в старших классах.

В 5 лет я переехал с семьей в село, где пришлось забыть об «инновациях». Меня спасала «Компьютерная энциклопедия профессора Фортрана», которая помогла узнать IT ближе. Книгу сверстали в виде ноутбука: ее можно было открыть и представить, что ты печатаешь текст или играешь.

Параллельно я вдохновлялся фильмами о хакерах и высоких технологиях: «Пароль “Рыба-меч”», «Матрица», «Хакер». В восьмом классе в нашу школу привезли компьютеры, и я наконец-то добрался до них. Ученикам достались компьютеры на процессорах Intel Celeron, а учителю − на топовом в то время Pentium 4.

За год я разобрался, как работают операционные системы и несколько раз переустановил их. Еще я пробовал писать код на языках Basic и Pascal, но у меня не было системных знаний и получалось плохо. За мои старания меня свободно пускали к учительскому компьютеру.

К десятому классу я ходил в школу как на работу − учителя плохо пользовались компьютерами, и я помогал им печатать тексты, сканировать документы. В одиннадцатом классе областная администрация проверяла школу целый месяц, и мне приходилось готовить отчеты. Домой я приходил только к ночи.

Работал в две смены и создал сообщество «киевских хакеров»

После школы я переехал в Киев и стал работать в две смены: днем на парковке, а ночью охранником на рынке.

В свободное время ходил в компьютерный клуб, чтобы добраться до интернета и узнать что-то новое: как работают операционные системы, почему получается их взламывать, как работает перебор паролей и как это все применять.

Начитавшись книг и статей в интернете, я решил получить профильное образование. Поступил в Компьютерную академию «Шаг» и спустя месяц начал искать работу. В одной из email-рассылок с вакансиями мне попался номер ICQ (мессенджер, популярный в 2000-е. − Прим. ред.), и я написал на него.

Сергей Харюк с командой Hacken.io

Сергей Харюк с командой Hacken.io

Так я познакомился с Сергеем Зинченко − он предложил работу, и с тех пор мы лучшие друзья. Я стал системным администратором: помогал чинить компьютеры в клубах, где люди сидели за виртуальными игровыми автоматами.

После пяти лет работы системным администратором я стал вирусным аналитиком в Zillya. В компании я обновлял базы антивирусов и изучал, как ведут себя вирусы.

Так я решил узнать больше о хакерстве. Вместе с друзьями мы начали проверять, как можно взломать системы защиты. Поначалу мы брали заказы на стороне, а затем решили создать компанию. Однако стартап быстро прогорел − нам не хватило опыта, чтобы получать стабильную прибыль. Компанию закрыли, и затем я перешел в Hacken.io.

Наша работа похожа на игру: одни хакеры «атакуют», а другие «защищаются»

Работа «белых хакеров» похожа на игру двух команд: «красных» и «синих». «Красные» имитируют действия настоящих хакеров: они ищут уязвимости в системе и через них пытаются получить доступ к компьютеру. Затем они говорят «синей» команде, где эти уязвимости и как от них защититься.

Еще мы помогаем компаниям связываться с «белыми хакерами» на платформе hackenproof.com. Она работает так: компания публикует заявку, чтобы «белые хакеры» атаковали ее сайты и сервера. Если они найдут уязвимости, то расскажут о них.

Сергей Харюк с командой Hacken.io

Сергей Харюк с командой Hacken.io

За слабую уязвимость, например, если удастся раскрыть IP-адрес, компания заплатит $100. За серьезную уязвимость вроде взлома «админки» компании им заплатят $5 тыс.

Иногда «белые хакеры» работают офлайн − например, приезжают в коворкинг и за несколько часов проверяют там все компьютеры. И если находят уязвимости или ошибки, то рассказывают о них разработчикам. После такого марафона все остаются на вечеринку.

Сколько зарабатывают «белые хакеры»

В украинских компаниях «белые хакеры»-новички получают от $300, а опытные ребята − до $6 тыс. Средняя зарплата в стране держится на уровне $2,7 тыс. − это меньше, чем у разработчиков или в DevOps (эти специалисты автоматизируют и ускоряют разработку − Прим. ред.), поэтому белые хакеры часто меняют профессию или сферу на более прибыльную.

Украинскому рынку есть куда расти, и уже сейчас вакансий в сфере кибербезопасности стало больше, чем 10 лет назад.

На фрилансе некоторые «белые хакеры» могут зарабатывать от $500 до $5 тыс. в месяц. Но такие заработки нестабильны: сегодня у тебя есть заказы, а завтра уже нет. Поэтому многие специалисты предпочитают работать в компаниях, где платят одинаково каждый месяц.

Сергей Харюк с командой Hacken.io

Сергей Харюк с командой Hacken.io

Иногда слышу, что «черные хакеры» могут зарабатывать миллионы. Но на свободе «белые хакеры» могут учиться и со временем получать больше денег, чем «черные». Допустим, средняя зарплата «белого хакера» − $5 тыс. в месяц. Если он захочет нечестно заработать $250 тыс., то ему грозит срок до 10 лет. За это время в тюрьме хакер потеряет $600 тыс.

Но людей все равно тянет на риск. А без «черных хакеров» у «белых» не было бы работы.

Как стать «белым хакером»

Чтобы работать с информационной безопасностью, нужно разбираться в компьютерных сетях, операционных системах, мобильных и веб-приложениях. Полезно уметь программировать, чтобы автоматизировать сканирование на уязвимости. Неплохо знать основы криптографии, а иногда и прикладной математики.

«Белые хакеры» могут выбрать три направления:

  1. Пентестеры (от англ. penetration testers) − проверяют, как можно взломать операционные системы. Подойдет тем, кому хочется нарушать правила.
  2. «Расследователи» − выясняют, например, из-за чего произошел взлом: ищут его следы и доказательства. Подойдет тем, кто любит правила.
  3. Аналитики безопасности − мало общаются с людьми, но следят за возможными атаками на компьютеры компании. Это труд для тех, кто внимателен и может разобраться в больших объемах данных.
Сергей Харюк с командой Hacken.io

Сергей Харюк с командой Hacken.io

Если человек без опыта хочет стать «белым хакером», то он может пройти базовые курсы и стать стажером. Стажировки проводят и в Hacken.io: если новичок показал себя с хорошей стороны, то мы возьмем его в команду. Главное, чтобы стажер практиковался и слышал советы от коллег.

Не советую учиться на «белого хакера» в вузах − их программы устаревают еще до того, как по ним начинают учиться. Один из бывших студентов сказал мне: «За три месяца работы в Hacken.io я узнал больше, чем в университете».

Присоединиться к Hacken.io

В Hacken.io я руковожу «белыми хакерами» − мы имитируем кибератаки

На фрилансе я делал проекты для Hacken.io − ведь уже давно знал некоторых ребят оттуда. Проверял безопасность мобильных приложений, узнавал, насколько легко проникнуть в компьютеры компаний. Чем дольше я работал с Hacken.io, тем больше хотел присоединиться к команде. Я передал им резюме, и меня приняли.

Сейчас я стал лидером атакующих хакеров. Мы проверяем, насколько хорошо работает защита в компаниях и объясняем, как ее улучшить. Еще я узнаю, что стало причиной инцидентов и как защититься в будущем.

Однажды в Hacken.io был такой случай: к нам обратилась украинская финтех-компания ее сеть взломали через компьютер одного из сотрудников. Он узнал об этом через неделю, когда с его счета сняли все деньги. Оказалось, что сотрудник хранил все пароли, номера телефонов и почтовые адреса в одном месте − поэтому хакеры украли его деньги и продолжали следить за сетью компании.

Так выглядит рабочее место «белого хакера»

Так выглядит рабочее место «белого хакера»

Найти преступников так и не удалось. Компания испугалась новой атаки и стерла всю информацию на компьютере. Нам удалось частично восстановить данные и сравнить их с теми угрозами, с которыми уже сталкивались. Так мы помогли компании понять, что случилось и как от этого защититься.

Иногда сотрудники не знают простые правила информационной безопасности. Недавно один из сотрудников SoftServe открыл письмо с подозрительным файлом − и хакеры получили удаленный доступ к компьютеру и попали в сеть компании. Они похитили, а затем опубликовали исходные коды проектов и личные данные сотрудников.

«Белых хакеров» ценят на Западе больше, чем в Украине

К «белым хакерам» в Украине относятся неоднозначно. В наших компаниях считают, что сначала нужно следить за пожарной безопасностью и налогами, ведь инспекторы приходят регулярно. А вирус может попасть на компьютер всего лишь один раз, и то не всегда.

В других странах к кибербезопасности относятся иначе. По отчету IBM, в 2020 году по всему миру компании потеряли в среднем $3,86 млн из-за утечек данных. Поэтому руководители готовы потратить пару тысяч долларов на «белых хакеров».

Даже если в компании есть свои «красные» и «синие» команды, им все равно нужны те, кто проверит систему со стороны. Поэтому к нам часто приходят заказы из Сингапура, Индонезии, Китая, стран Ближнего Востока, Европы и США.

Сейчас количество вакансий для «белых хакеров» в Украине растет. Но, как правило, их открывают те компании, которые работают на западные рынки. Там ценят наших специалистов − час работы «белого хакера» в США стоит от $25 в час, в Украине − $3.

Партнерский материал?

Присоединиться к Hacken.io

Популярное:

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: