Зламую «адмінки» на замовлення, отримую до $5 тис. Як я став «білим хакером»

Сергій Харюк працює «білим хакером» у Hacken.io. Разом з командою вони імітують атаки кіберзлочинців. Так вони з’ясовують, де в системах компаній слабкі місця і як їх захистити.

У партнерському матеріалі Сергій розповів, хто такий «білий хакер», де навчитися цієї професії і чому її цінують на Заході більше, ніж в Україні.

Вчителі відпускали мене з уроків, і я допомагав їм з комп’ютерами

Уперше я познайомився з комп’ютером у п’ять років. У мого двоюрідного брата я пограв у Pac-Man – і відтоді теж захотів комп’ютер. Але отримав я його через 10 років, уже в старших класах.

У п’ять років я переїхав з родиною в село, де довелося забути про «інновації». Мене рятувала «Комп’ютерна енциклопедія професора Фортрана», яка допомогла пізнати IT ближче. Книгу зверстали у вигляді ноутбука: її можна було відкрити й уявити, що ти друкуєш текст або граєш.

Паралельно я надихався фільмами про хакерів і високі технології: «Пароль “Риба-меч”», «Матриця», «Хакер». У восьмому класі в нашу школу привезли комп’ютери, і я нарешті добрався до них. Учням дісталися комп’ютери на процесорах Intel Celeron, а вчителю – на топовому в той час Pentium 4.

За рік я розібрався, як працюють операційні системи і кілька разів перевстановив їх. Ще я пробував писати код на мовах Basic і Pascal, але в мене не було системних знань і виходило погано. За мої старання мене вільно пускали до вчительського комп’ютера.

До десятого класу я ходив у школу як на роботу – учителі погано користувалися комп’ютерами, і я допомагав їм друкувати тексти, сканувати документи. В одинадцятому класі обласна адміністрація перевіряла школу цілий місяць, і мені доводилося готувати звіти. Додому я приходив майже вночі.

Працював у дві зміни і створив спільноту «київських хакерів»

Після школи я переїхав до Києва і став працювати у дві зміни: вдень на парковці, а вночі охоронцем на ринку.

У вільний час ходив у комп’ютерний клуб, щоб дістатися до інтернету і дізнатися щось нове: як працюють операційні системи, чому виходить їх зламувати, як працює перебір паролів і як це все застосовувати.

Начитавшись книг і статей в інтернеті, я вирішив здобути профільну освіту. Вступив до Комп’ютерної академії «Шаг» і через місяць почав шукати роботу. В одній з email-розсилок з вакансіями мені трапився номер ICQ (месенджер, популярний в 2000-ні. – Прим. ред.), і я написав на нього.

Так я познайомився із Сергієм Зінченко − він запропонував роботу, і з того часу ми найкращі друзі. Я став системним адміністратором: допомагав лагодити комп’ютери в клубах, де люди сиділи за віртуальними ігровими автоматами.

Після п’яти років роботи системним адміністратором я став вірусним аналітиком у  Zillya. У компанії я оновлював бази антивірусів і вивчав, як поводяться віруси.

Так я вирішив дізнатися більше про хакерство. Разом із друзями ми почали перевіряти, як можна зламати системи захисту. Спочатку ми брали замовлення на стороні, а потім вирішили створити компанію. Однак стартап швидко прогорів – нам не вистачило досвіду, щоб отримувати стабільний прибуток. Компанію закрили, і потім я перейшов у Hacken.io.

Наша робота схожа на гру: одні хакери «атакують», а інші «захищаються»

Робота «білих хакерів» схожа на гру двох команд: «червоних» і «синіх». «Червоні» імітують дії справжніх хакерів: вони шукають уразливості в системі та через них намагаються отримати доступ до комп’ютера. Потім вони кажуть «синій» команді, де ці уразливості і як від них захиститися.

Ще ми допомагаємо компаніям зв’язуватися з «білими хакерами» на платформі hackenproof.com. Вона працює так: компанія публікує заявку, щоб «білі хакери» атакували її сайти та сервера. Якщо вони знайдуть уразливості, то розкажуть про них.

За слабку вразливість, наприклад, якщо вдасться розкрити IP-адресу, компанія заплатить $100. За серйозну вразливість на кшталт злому «адмінки» компанія їм заплатять $5 тис.

Іноді «білі хакери» працюють офлайн – наприклад, приїжджають у коворкінг і за кілька годин перевіряють там всі комп’ютери. І якщо знаходять уразливості або помилки, то розповідають про них розробникам. Після такого марафону всі залишаються на вечірку.

Скільки заробляють «білі хакери»

В українських компаніях «білі хакери»-новачки отримують від $300, а досвідчені працівники – до $6 тис. Середня зарплата в країні тримається на рівні $ 2,7 тис. – це менше, ніж у розробників або в DevOps (ці фахівці перевіряють код від розробників. – Прим. ред.), тому білі хакери часто змінюють професію або сферу на більш прибуткову.

Українському ринку є куди рости, і вже зараз вакансій у сфері кібербезпеки стало більше, ніж 10 років тому.

На фрілансі деякі «білі хакери» можуть заробляти від $500 до $5 тис. на місяць. Але такі заробітки нестабільні: сьогодні у тебе є замовлення, а завтра вже немає. Тому багато фахівців вважають за краще працювати в компаніях, де платять однаково кожен місяць.

Іноді чую, що «чорні хакери» можуть заробляти мільйони. Але на волі «білі хакери» можуть вчитися і з часом отримувати більше грошей, ніж «чорні». Припустимо, середня зарплата «білого хакера» – $5 тис. на місяць. Якщо він захоче нечесно заробити $250 тис., то йому загрожує термін до 10 років. За цей час у в’язниці хакер втратить $600 тис.

Але людей усе одно тягне на ризик. А без «чорних хакерів» у «білих» не було б роботи.

Як стати «білим хакером»

Щоб працювати з інформаційною безпекою, потрібно розумітися на комп’ютерних мережах, операційних системах, мобільних і вебзастосунках. Корисно вміти програмувати, щоб автоматизувати сканування на уразливості. Непогано знати основи криптографії, а іноді і прикладної математики.

«Білі хакери» можуть вибрати три напрями:

1. Пентестери (від англ. penetration testers) – перевіряють, як можна зламати операційні системи. Підійде тим, кому хочеться порушувати правила.
2. «Розслідувачі» – з’ясовують, наприклад, через що стався злам: шукають його сліди та докази. Підійде тим, хто любить правила.
3. Аналітики безпеки – мало спілкуються з людьми, але стежать за можливими атаками на комп’ютери компанії. Це робота для тих, хто уважний і може розібратися у великих обсягах даних.

Якщо людина без досвіду хоче стати «білим хакером», то вона може пройти базові курси і стати стажистом. Стажування проводять і в Hacken.io: якщо новачок показав себе з хорошого боку, то ми візьмемо його в команду. Головне, щоб стажист практикувався і дослухався до порад від колег.

Не раджу вчитися на «білого хакера» у вишах – їхні програми застарівають ще до того, як за ними починають вчитися. Один з колишніх студентів сказав мені: «За три місяці роботи в Hacken.io я дізнався більше, ніж в університеті».

Приєднатися до Hacken.io

У Hacken.io я керую «білими хакерами» – ми імітуємо кібератаки

На фрілансі я робив проєкти для Hacken.io − адже вже давно знав деяких людей звідти. Перевіряв безпеку мобільних додатків, дізнавався, наскільки легко проникнути в комп’ютери компаній. Чим довше я працював з Hacken.io, тим більше хотів приєднатися до команди. Я передав їм резюме, і мене взяли.

Зараз я став лідером хакерів, які атакують. Ми перевіряємо, наскільки добре працює захист у компаніях і пояснюємо, як його поліпшити. Ще я дізнаюся, що стало причиною інцидентів і як захиститися в майбутньому.

Якось у Hacken.io був такий випадок: до нас звернулася українська фінтех-компанія – її мережу зламали через комп’ютер одного зі співробітників. Він дізнався про це за тиждень, коли з його рахунку зняли всі гроші. Виявилося, що співробітник зберігав усі паролі, номери телефонів і поштові адреси в одному місці – тому хакери вкрали його гроші і продовжували стежити за мережею компанії.

Знайти злочинців так і не вдалося. Компанія злякалася нової атаки і стерла всю інформацію на комп’ютері. Нам вдалося частково відновити дані і порівняти їх із тими загрозами, з якими вже стикалися. Так ми допомогли компанії зрозуміти, що трапилося і як від цього захиститися.

Іноді співробітники не знають прості правила інформаційної безпеки. Нещодавно один із співробітників SoftServe відкрив лист із підозрілим файлом – і хакери отримали віддалений доступ до комп’ютера та потрапили в мережу компанії. Вони викрали, а потім опублікували вихідні коди проєктів та особисті дані співробітників.

«Білих хакерів» цінують на Заході більше, ніж в Україні

До «білих хакерів» в Україні ставляться неоднозначно. У наших компаніях вважають, що в першу чергу потрібно стежити за пожежною безпекою і податками, адже інспектори приходять регулярно. А вірус може потрапити на комп’ютер усього лише один раз, і то не завжди.

В інших країнах до кібербезпеки ставляться інакше. За звітом IBM, у 2020 році по всьому світу компанії втратили в середньому $3,86 млн через витік даних. Тому керівники готові витратити пару тисяч доларів на «білих хакерів».

Навіть якщо в компанії є свої «червоні» і «сині» команди, їм усе одно потрібні ті, хто перевірить систему зі сторони. Тому до нас часто приходять замовлення із Сінгапуру, Індонезії, Китаю, країн Близького Сходу, Європи та США.

Зараз кількість вакансій для «білих хакерів» в Україні зростає. Але, як правило, їх відкривають ті компанії, які працюють на західні ринки. Там цінують наших фахівців – година роботи «білого хакера» в США коштує від $25 на годину, в Україні – $3.

Приєднатися до Hacken.io