Взламываю «админки» на заказ, получаю до $5 тыс. Как я стал «белым хакером»

Сергей Харюк работает «белым хакером» в Hacken.io. Вместе с командой они имитируют атаки киберпреступников. Так они выясняют, где в системах компаний слабые места и как их защитить.

В партнерском материале Сергей рассказал, кто такой «белый хакер», где научиться этой профессии и почему ее ценят на Западе больше, чем в Украине.

Учителя отпускали меня с уроков, и я помогал им с компьютерами

Впервые я познакомился с компьютером в пять лет. У моего двоюродного брата я поиграл в Pac-Man − и с тех пор тоже захотел компьютер. Но получил я его спустя 10 лет, уже в старших классах.

В 5 лет я переехал с семьей в село, где пришлось забыть об «инновациях». Меня спасала «Компьютерная энциклопедия профессора Фортрана», которая помогла узнать IT ближе. Книгу сверстали в виде ноутбука: ее можно было открыть и представить, что ты печатаешь текст или играешь.

Параллельно я вдохновлялся фильмами о хакерах и высоких технологиях: «Пароль “Рыба-меч”», «Матрица», «Хакер». В восьмом классе в нашу школу привезли компьютеры, и я наконец-то добрался до них. Ученикам достались компьютеры на процессорах Intel Celeron, а учителю − на топовом в то время Pentium 4.

За год я разобрался, как работают операционные системы и несколько раз переустановил их. Еще я пробовал писать код на языках Basic и Pascal, но у меня не было системных знаний и получалось плохо. За мои старания меня свободно пускали к учительскому компьютеру.

К десятому классу я ходил в школу как на работу − учителя плохо пользовались компьютерами, и я помогал им печатать тексты, сканировать документы. В одиннадцатом классе областная администрация проверяла школу целый месяц, и мне приходилось готовить отчеты. Домой я приходил только к ночи.

Работал в две смены и создал сообщество «киевских хакеров»

После школы я переехал в Киев и стал работать в две смены: днем на парковке, а ночью охранником на рынке.

В свободное время ходил в компьютерный клуб, чтобы добраться до интернета и узнать что-то новое: как работают операционные системы, почему получается их взламывать, как работает перебор паролей и как это все применять.

Начитавшись книг и статей в интернете, я решил получить профильное образование. Поступил в Компьютерную академию «Шаг» и спустя месяц начал искать работу. В одной из email-рассылок с вакансиями мне попался номер ICQ (мессенджер, популярный в 2000-е. − Прим. ред.), и я написал на него.

Так я познакомился с Сергеем Зинченко − он предложил работу, и с тех пор мы лучшие друзья. Я стал системным администратором: помогал чинить компьютеры в клубах, где люди сидели за виртуальными игровыми автоматами.

После пяти лет работы системным администратором я стал вирусным аналитиком в Zillya. В компании я обновлял базы антивирусов и изучал, как ведут себя вирусы.

Так я решил узнать больше о хакерстве. Вместе с друзьями мы начали проверять, как можно взломать системы защиты. Поначалу мы брали заказы на стороне, а затем решили создать компанию. Однако стартап быстро прогорел − нам не хватило опыта, чтобы получать стабильную прибыль. Компанию закрыли, и затем я перешел в Hacken.io.

Наша работа похожа на игру: одни хакеры «атакуют», а другие «защищаются»

Работа «белых хакеров» похожа на игру двух команд: «красных» и «синих». «Красные» имитируют действия настоящих хакеров: они ищут уязвимости в системе и через них пытаются получить доступ к компьютеру. Затем они говорят «синей» команде, где эти уязвимости и как от них защититься.

Еще мы помогаем компаниям связываться с «белыми хакерами» на платформе hackenproof.com. Она работает так: компания публикует заявку, чтобы «белые хакеры» атаковали ее сайты и сервера. Если они найдут уязвимости, то расскажут о них.

За слабую уязвимость, например, если удастся раскрыть IP-адрес, компания заплатит $100. За серьезную уязвимость вроде взлома «админки» компании им заплатят $5 тыс.

Иногда «белые хакеры» работают офлайн − например, приезжают в коворкинг и за несколько часов проверяют там все компьютеры. И если находят уязвимости или ошибки, то рассказывают о них разработчикам. После такого марафона все остаются на вечеринку.

Сколько зарабатывают «белые хакеры»

В украинских компаниях «белые хакеры»-новички получают от $300, а опытные ребята − до $6 тыс. Средняя зарплата в стране держится на уровне $2,7 тыс. − это меньше, чем у разработчиков или в DevOps (эти специалисты автоматизируют и ускоряют разработку − Прим. ред.), поэтому белые хакеры часто меняют профессию или сферу на более прибыльную.

Украинскому рынку есть куда расти, и уже сейчас вакансий в сфере кибербезопасности стало больше, чем 10 лет назад.

На фрилансе некоторые «белые хакеры» могут зарабатывать от $500 до $5 тыс. в месяц. Но такие заработки нестабильны: сегодня у тебя есть заказы, а завтра уже нет. Поэтому многие специалисты предпочитают работать в компаниях, где платят одинаково каждый месяц.

Иногда слышу, что «черные хакеры» могут зарабатывать миллионы. Но на свободе «белые хакеры» могут учиться и со временем получать больше денег, чем «черные». Допустим, средняя зарплата «белого хакера» − $5 тыс. в месяц. Если он захочет нечестно заработать $250 тыс., то ему грозит срок до 10 лет. За это время в тюрьме хакер потеряет $600 тыс.

Но людей все равно тянет на риск. А без «черных хакеров» у «белых» не было бы работы.

Как стать «белым хакером»

Чтобы работать с информационной безопасностью, нужно разбираться в компьютерных сетях, операционных системах, мобильных и веб-приложениях. Полезно уметь программировать, чтобы автоматизировать сканирование на уязвимости. Неплохо знать основы криптографии, а иногда и прикладной математики.

«Белые хакеры» могут выбрать три направления:

1. Пентестеры (от англ. penetration testers) − проверяют, как можно взломать операционные системы. Подойдет тем, кому хочется нарушать правила.
2. «Расследователи» − выясняют, например, из-за чего произошел взлом: ищут его следы и доказательства. Подойдет тем, кто любит правила.
3. Аналитики безопасности − мало общаются с людьми, но следят за возможными атаками на компьютеры компании. Это труд для тех, кто внимателен и может разобраться в больших объемах данных.

Если человек без опыта хочет стать «белым хакером», то он может пройти базовые курсы и стать стажером. Стажировки проводят и в Hacken.io: если новичок показал себя с хорошей стороны, то мы возьмем его в команду. Главное, чтобы стажер практиковался и слышал советы от коллег.

Не советую учиться на «белого хакера» в вузах − их программы устаревают еще до того, как по ним начинают учиться. Один из бывших студентов сказал мне: «За три месяца работы в Hacken.io я узнал больше, чем в университете».

Присоединиться к Hacken.io

В Hacken.io я руковожу «белыми хакерами» − мы имитируем кибератаки

На фрилансе я делал проекты для Hacken.io − ведь уже давно знал некоторых ребят оттуда. Проверял безопасность мобильных приложений, узнавал, насколько легко проникнуть в компьютеры компаний. Чем дольше я работал с Hacken.io, тем больше хотел присоединиться к команде. Я передал им резюме, и меня приняли.

Сейчас я стал лидером атакующих хакеров. Мы проверяем, насколько хорошо работает защита в компаниях и объясняем, как ее улучшить. Еще я узнаю, что стало причиной инцидентов и как защититься в будущем.

Однажды в Hacken.io был такой случай: к нам обратилась украинская финтех-компания − ее сеть взломали через компьютер одного из сотрудников. Он узнал об этом через неделю, когда с его счета сняли все деньги. Оказалось, что сотрудник хранил все пароли, номера телефонов и почтовые адреса в одном месте − поэтому хакеры украли его деньги и продолжали следить за сетью компании.

Найти преступников так и не удалось. Компания испугалась новой атаки и стерла всю информацию на компьютере. Нам удалось частично восстановить данные и сравнить их с теми угрозами, с которыми уже сталкивались. Так мы помогли компании понять, что случилось и как от этого защититься.

Иногда сотрудники не знают простые правила информационной безопасности. Недавно один из сотрудников SoftServe открыл письмо с подозрительным файлом − и хакеры получили удаленный доступ к компьютеру и попали в сеть компании. Они похитили, а затем опубликовали исходные коды проектов и личные данные сотрудников.

«Белых хакеров» ценят на Западе больше, чем в Украине

К «белым хакерам» в Украине относятся неоднозначно. В наших компаниях считают, что сначала нужно следить за пожарной безопасностью и налогами, ведь инспекторы приходят регулярно. А вирус может попасть на компьютер всего лишь один раз, и то не всегда.

В других странах к кибербезопасности относятся иначе. По отчету IBM, в 2020 году по всему миру компании потеряли в среднем $3,86 млн из-за утечек данных. Поэтому руководители готовы потратить пару тысяч долларов на «белых хакеров».

Даже если в компании есть свои «красные» и «синие» команды, им все равно нужны те, кто проверит систему со стороны. Поэтому к нам часто приходят заказы из Сингапура, Индонезии, Китая, стран Ближнего Востока, Европы и США.

Сейчас количество вакансий для «белых хакеров» в Украине растет. Но, как правило, их открывают те компании, которые работают на западные рынки. Там ценят наших специалистов − час работы «белого хакера» в США стоит от $25 в час, в Украине − $3.

Присоединиться к Hacken.io