Этичный хакинг: что это такое и где применяется? Кто такие белые хакеры?

Оглавление

1. Белый хакер — профессия или призвание
   
2. Как стать этичным хакером
   
3. А что по деньгам
4. В чем измеряется этичность хакера
5. Актуальная ситуация с Bug Bounty в России
6. Вывод

Хакинг – это своего рода флагман медийности информационной безопасности. О хакерах снимают культовые фильмы. О том, как стать хакером, стремятся узнать многие подростки и начинающие ИТ-специалисты.

Особое внимание уделяется этичному хакингу, поскольку он не только престижен, но и легален. Под понятие «этичный хакер» подпадают множество специалистов: пентестеры, багхантеры и другие. Однако, их деятельность очень зависима от законодательства той страны, в юрисдикции которой они работают.

Белый хакер — профессия или призвание

Белый хакер — это специалист, который использует свои навыки и знания для защиты компьютерных систем, сетей и данных от кибератак. Цель такого специалиста — помощь в улучшении безопасности, а не вредоносные действия, поэтому белых хакеров часто называют этичными.

Стать таким специалистом хотят многие. На законных основаниях ломать защиту компаний, сайтов и сервисов — что может быть привлекательнее! Формально, как только специалист присоединился к одной из открытых Bug Bounty-программ и до того момента, пока его деятельность не нарушает нормы и правила, он — этичный хакер.

Но чтобы попасть на Bug Bounty-платформу, нужно как минимум получить базу знаний и на практике опробовать свои умения. Благо, что в России есть несколько путей освоения навыков, которые сделают из человека специалиста по этичному хакингу.

Как стать этичным хакером

Если говорить о программах обучения для хакера, то здесь есть три пути. Первый и самый сложный, но правильный — получить профильное высшее образование в области информационной безопасности. Недооценивать академическое образование нельзя — оно служит фундаментом, на который наслаивается актуальная рабочая информация.

Более доступный и быстрый способ — пройти курсы этичного хакинга. Позиционируются такие курсы как способ обучения с нуля, но в большей степени актуальны для смежных специалистов, которые хотят попробовать себя в багхантинге. Например, для системных администраторов и тестировщиков. Обычно курсы платные, но можно найти и бесплатные варианты. Например, в 2023 году Минцифры совместно с CyberED запустили курс «Профессия — белый хакер» длительностью 48 академических часов и с очень интересной программой.

Третий вариант получения навыков — самообразование. Те, кто не хотят оплачивать курсы этичного хакера, и готовы учиться сами, могут воспользоваться тренировочными платформами, вроде HackTheBox. Успешность такого подхода во многом зависит от стартовых позиций и упорства. Ряд таких платформ предлагает и бесплатные курсы по этичному хакингу.

Большую роль в обучении белого хакера играет вопрос этичности и легальности. Понимание границ и рамок – это базовый навык для любого багхантера. Ведь если их перейти – велик риск столкнуться с массой неприятных последствий.

А что по деньгам

Логично, что вкладываясь в обучение белый хакер хочет понимать, что он получит в итоге. Ведь профессия — это не только моральное удовлетворение, но и материальная база. Чтобы понять, сколько зарабатывает этичный хакер в России, изучили вакансии на известных работных сайтах по запросу «Pentester» и «Penetration tester», а также :

• на HH.ru средняя зарплата, которую предлагают пентестеру — 140-250 тыс. руб.;
• на Хабр. Карьере в вакансиях этичных хакеров зарплаты на порядок выше — 200-500 тыс. рублей.

Но все это вакансии в штат крупных компаний. Есть и другой вариант заработка — фриланс на багбаунти-платформах, а также выполнение разовых заказов  за вознаграждение.

В чем измеряется этичность хакера

Приставка «этичный» — это устоявшийся оборот. Мерилом этичности хакера служат его личные нравственные ориентиры или общественное мнение. В контексте профессиональной деятельности корректнее будет говорить о легальности или нелегальности хакинга.

Кирилл Романов

Менеджер по развитию бизнеса департамента информационной безопасности компании "Сиссофт"

В мировой практике специалисты, взламывающие на заказ сайт, бизнес-приложения и другие онлайн сервисы компании с целью обнаружения уязвимостей для улучшения системы безопасности, обычно называются этичными или белыми хакерами. Словосочетание «легальный хакинг» массового распространения не получило. Такие «взломщики» не причиняют ущерб бизнесу и не используют данные для своих целей.

Их задача – определить уязвимость или ошибку, сообщить о проблеме заказчику пентеста, чтобы он мог устранить ее и не допустить утечку информации во время атаки злоумышленников.

Легальный хакинг – это тот, который соответствует всем правовым нормам страны, в юрисдикции которой действует хакер. Поэтому первое, что должен знать белый хакер – это профильные законы, регулирующие его деятельность.

Но даже знание и соблюдение всех законов не гарантирует того, что действия этичного хакера будут истолкованы неверно. Многое зависит от того, как компания, в инфраструктуре которой была найдена уязвимость, отнесется к этой информации.

Виктор Чащин

Операционный директор компании "МУЛЬТИФАКТОР", сертифицированный White Hat Hacker

Если говорить о России, то хакер в принципе не может защитить свою деятельность от каких-либо последующих претензий нанимателя. Самая типичная история: в процессе исследования безопасности хакер наткнулся на уязвимость, которая могла привести к утечке конфиденциальной информации. И наниматель может обратиться в полицию с заявлением, что, собственно, хакер к ней доступ и получил. Поэтому все подобные работы и договоры в первую очередь строятся на доверии друг к другу.

В условиях априорного несовершенства любой законодательной системы, особенно в таких динамично развивающихся сферах, как ИТ и ИБ, единственным надежным инструментом защиты становится двустороннее соглашение между компанией и этичным хакером.

Такую модель используют пентест-специалисты. В договоре четко прописываются способы тестирования, его рамки и другие параметры. Такой подход позволяет нивелировать возможные риски в ходе проведения тестирования на проникновение.

Евгений Царев

Управляющий RTM Group, эксперт в области кибербезопасности и права

Хакинг подразумевает и анализ защищенности - это лицензируемый вид деятельности. Таким образом, любой желающий не может быть хакером вне специальных лабораторий. За любое применение эксплойта, который используют пентестеры, простому гражданину может быть вменена 273 УК РФ со всеми последствиями.

А когда речь идет об оказании услуги анализа защищенности, например, все базовые ограничения, полномочия и т.д. описываются в договоре. Также по итогам выполнения работ тот же пентестер составляет детальный отчет. И если в дальнейшем клиент утверждает, что предоставленные услуги нанесли его организации вред, это еще нужно доказать. Для этого применяются, помимо прочего, технические экспертизы.

Первое, что должен уметь white hacker – это просчитывать риски. Даже условно легальная деятельность, не подкрепленная договором, может обернуться множественными последствиями. Процесс судебных разбирательств – длителен и ресурсозатратен.

В случае с багхантингом повальное заключение договоров невозможно по массе причин. В таких случаях используются специальные программы – Bug Bounty. Ее смысл в том, что компания сама соглашается на изучение своей системы специалистами добровольцами и гарантирует награду за найденные уязвимости.

Актуальная ситуация с Bug Bounty в России

Некоторые крупные ИТ-ориентированные компании самостоятельно проводят такие программы. Например, Microsoft или Facebook. Но это скорее частные примеры, а мировая практика – это использование Bug Bounty-площадок.

Можно привести два громких примера таких платформ: HackerOne и Bugcrowd. По модели взаимодействия это классическая работа через посредника или гаранта. Платформа определяет правила взаимодействия, привлекает компании и багхантеров, дает возможность безопасно вести поиск уязвимостей.

В актуальных условиях работа с иностранными площадками такого типа сильно затруднена, для ряда компаний – вообще невозможна.

Затруднение работы с международными площадками привлекло внимание профильных органов к проблеме регулирования Bug Bounty в России. По сообщениям «Ведомостей», Минцифры обсуждает возможности для введения понятия Bug Bounty в правовое поле.

Александр Борисов

Руководитель направления анализа защищенности, ГК Innostage

Определенно, появление bug bounty положительно скажется на формировании правового поля для исследователей ИБ. Кроме того, эта инициатива может привести в отрасль новых специалистов, которых сейчас очень не хватает, так как само понятие bug bounty подразумевает компенсацию за выявление значимых уязвимостей.

Пока что ведомство не делало никаких громких заявлений, поэтому об уровне изменений судить сложно. Возможно это будет разрешение мелких формальностей, которое упростит взаимодействие багхантеров и компаний. Например, создание правовых основ для выплат вознаграждения найденных уязвимостей. Нельзя исключать и более существенные изменения.

Алексей Антонов

Управляющий партнер Swordfish Security

Не совсем понятно, как планируется “легализовать” и что это значит на законодательном уровне. В рамках программ BugBounty тех же VK и Яндекс осуществлять такую деятельность законно, например. Если же кто-то берётся тестировать инфраструктуру компании самостоятельно без договора, то это уже нелегально.

В 2023 году Минцифры сделало первые шаги в сторону изменения статуса, а главное — отношения к багбаунти в России. Был запущен проект по поиску уязвимостей на Госуслугах и в Единой системе идентификации и аутентификации.. В течение трех месяцев более 8,4 тыс. участников багбаунти проверяли защищенность портала и боролись за вознаграждение. За это время исследователи нашли более 30 уязвимостей, большинство из которых — со средним и низким уровнем критичности. Минимальная выплата составила 10 тысяч рублей, максимальная — 350 тысяч.

Затем стартовала вторая программа от Минцифы. На этот раз длительность проекта — 1 года, а объектов исследования гораздо больше:

• Госуслуги;
• Единая система идентификации и аутентификации;
• Единая биометрическая систему;
• Платформа обратной связи;
• Система межведомственного электронного взаимодействия;
• Национальная система управления данными;
• Единая информационная система управления кадровым составом государственной гражданской службы;
• Головной удостоверяющий центр;
• Единая система нормативной справочной информации.

Несмотря на все это, белые хакеры пока еще не обрели легального правового статуса. Против выступают Министерство внутренних дел и Генпрокуратура России, а также Следственный комитет. Все они утверждают, что никакие поправки в УК РФ, которые могли бы легализовать этичных хакеров, вносить не нужно.

Поэтому оптимальный вариант сотрудничества на сегодняшний день — договор. К слову, тысячи компаний пользуются такими услугами, работая со специалистами по безопасности по договорам.

На данный момент наиболее безопасный и удобный вариант взаимодействия этичных хакеров и компаний — это российские Bug Bounty платформы. Например, The Standoff 365 Bug Bounty от компании Positive Technologies.

Вывод

Сложившаяся политическая ситуация оказала важный эффект на отношение власти и общества к информационной безопасности. В частности, выросла осознанность в плане отношения к этичному хакингу как к инструменту поиска уязвимостей.

В то же время, с позиции законодательства ситуация далека от идеала. Формирование адекватного правового поля может занять время. И даже после создания законодательного фундамента наверняка останутся слабые места, которые могут быть истолкованы не в пользу этичного хакера.

Тем специалистам, которые думают, как стать хакером и начать зарабатывать большие гонорары, получая деньги за найденные уязвимости, важно помнить о рисках. Потому что погоня за успехом и опрометчивые действия могут привести к тратам на защиту собственного имени и долгим судебным разбирательствам.