Этичный хакинг: что это такое и где применяется? Кто такие белые хакеры?

Оглавление

1. Как стать этичным хакером
   
2. В чем измеряется этичность хакера
   
3. Актуальная ситуация с Bug Bounty в России
   
4. Вывод
   

Хакинг – это своего рода флагман медийности информационной безопасности. О хакерах снимают культовые фильмы. О том, как стать хакером, стремятся узнать многие подростки и начинающие ИТ-специалисты.

Особое внимание уделяется этичному хакингу, поскольку он не только престижен, но и легален. Под понятие «этичный хакер» подпадают множество специалистов: пентестеры, багхантеры и другие. Однако, их деятельность очень зависима от законодательства той страны, в юрисдикции которой они работают.

Как стать этичным хакером

Формально, как только специалист присоединился к одной из открытых Bug Bounty-программ и до того момента, пока его деятельность не нарушает нормы и правила, он – этичный хакер.

Если говорить о программах обучения для хакера, то здесь есть три пути:

1. Получить профильное высшее образование в области информационной безопасности. Недооценивать академическое образование нельзя – оно служит фундаментом, на который наслаивается актуальная рабочая информация.
2. Переквалифицироваться. Курсы этичного хакинга предлагают множество платформ. Например, Skillfactory. Позиционируются такие курсы как способ обучения с нуля, но в большей степени актуальны для смежных специалистов, которые хотят попробовать себя в багхантинге. Например, для системных администраторов и тестировщиков.
3. Самообразование. Те, кто не хотят оплачивать курсы этичного хакера, и готовы учиться сами, могут воспользоваться тренировочными платформами, вроде HackTheBox. Успешность такого подхода во многом зависит от стартовых позиций и упорства. Ряд таких платформ предлагает и бесплатные курсы по этичному хакингу.

Большую роль в обучении белого хакера играет вопрос этичности и легальности. Понимание границ и рамок – это базовый навык для любого багхантера. Ведь если их перейти – велик риск столкнуться с массой неприятных последствий.

В чем измеряется этичность хакера

Приставка «этичный» – это устоявшийся оборот. Мерилом этичности хакера служат его личные нравственные ориентиры или общественное мнение. В контексте профессиональной деятельности корректнее будет говорить о легальности или нелегальности хакинга.

Кирилл Романов

Менеджер по развитию бизнеса департамента информационной безопасности компании "Сиссофт"

В мировой практике специалисты, взламывающие на заказ сайт, бизнес-приложения и другие онлайн сервисы компании с целью обнаружения уязвимостей для улучшения системы безопасности, обычно называются этичными или белыми хакерами. Словосочетание «легальный хакинг» массового распространения не получило. Такие «взломщики» не причиняют ущерб бизнесу и не используют данные для своих целей.

Их задача – определить уязвимость или ошибку, сообщить о проблеме заказчику пентеста, чтобы он мог устранить ее и не допустить утечку информации во время атаки злоумышленников.

Легальный хакинг – это тот, который соответствует всем правовым нормам страны, в юрисдикции которой действует хакер. Поэтому первое, что должен знать хакер – это профильные законы, регулирующие его деятельность.

Но даже знание и соблюдение всех законов не гарантирует того, что действия этичного хакера будут истолкованы неверно. Многое зависит от того, как компания, в инфраструктуре которой была найдена уязвимость, отнесется к этой информации.

Виктор Чащин

Операционный директор компании "МУЛЬТИФАКТОР", сертифицированный White Hat Hacker

Если говорить о России, то хакер в принципе не может защитить свою деятельность от каких-либо последующих претензий нанимателя. Самая типичная история: в процессе исследования безопасности хакер наткнулся на уязвимость, которая могла привести к утечке конфиденциальной информации. И наниматель может обратиться в полицию с заявлением, что, собственно, хакер к ней доступ и получил. Поэтому все подобные работы и договоры в первую очередь строятся на доверии друг к другу.

В условиях априорного несовершенства любой законодательной системы, особенно в таких динамично развивающихся сферах, как ИТ и ИБ, единственным надежным инструментом защиты становится двустороннее соглашение между компанией и этичным хакером.

Такую модель используют пентест-специалисты. В договоре четко прописываются способы тестирования, его рамки и другие параметры. Такой подход позволяет нивелировать возможные риски в ходе проведения тестирования на проникновение.

Евгений Царев

Управляющий RTM Group, эксперт в области кибербезопасности и права

Хакинг подразумевает и анализ защищенности - это лицензируемый вид деятельности. Таким образом, любой желающий не может быть хакером вне специальных лабораторий. За любое применение эксплойта, который используют пентестеры, простому гражданину может быть вменена 273 УК РФ со всеми последствиями.

А когда речь идет об оказании услуги анализа защищенности, например, все базовые ограничения, полномочия и т.д. описываются в договоре. Также по итогам выполнения работ тот же пентестер составляет детальный отчет. И если в дальнейшем клиент утверждает, что предоставленные услуги нанесли его организации вред, это еще нужно доказать. Для этого применяются, помимо прочего, технические экспертизы.

Первое, что должен уметь хакер – это просчитывать риски. Даже условно легальная деятельность, не подкрепленная договором, может обернуться множественными последствиями. Процесс судебных разбирательств – длителен и ресурсозатратен.

В случае с багхантингом повальное заключение договоров невозможно по массе причин. В таких случаях используются специальные программы – Bug Bounty. Ее смысл в том, что компания сама соглашается на изучение своей системы специалистами добровольцами и гарантирует награду за найденные уязвимости.

Актуальная ситуация с Bug Bounty в России

Некоторые крупные ИТ-ориентированные компании самостоятельно проводят такие программы. Например, Microsoft или Facebook. Но это скорее частные примеры, а мировая практика – это использование Bug Bounty-площадок.

Можно привести два громких примера таких платформ: HackerOne и Bugcrowd. По модели взаимодействия это классическая работа через посредника или гаранта. Платформа определяет правила взаимодействия, привлекает компании и багхантеров, дает возможность безопасно вести поиск уязвимостей.

В актуальных условиях работа с иностранными площадками такого типа сильно затруднена, для ряда компаний – вообще невозможна.

Затруднение работы с международными площадками привлекло внимание профильных органов к проблеме регулирования Bug Bounty в России. По сообщениям «Ведомостей», Минцифры обсуждает возможности для введения понятия Bug Bounty в правовое поле.

Александр Борисов

Руководитель направления анализа защищенности, ГК Innostage

Определенно, появление bug bounty положительно скажется на формировании правового поля для исследователей ИБ. Кроме того, эта инициатива может привести в отрасль новых специалистов, которых сейчас очень не хватает, так как само понятие bug bounty подразумевает компенсацию за выявление значимых уязвимостей.

Пока что ведомство не делало никаких громких заявлений, поэтому об уровне изменений судить сложно. Возможно это будет разрешение мелких формальностей, которое упростит взаимодействие багхантеров и компаний. Например, создание правовых основ для выплат вознаграждения найденных уязвимостей. Нельзя исключать и более существенные изменения.

Алексей Антонов

Управляющий партнер Swordfish Security

Не совсем понятно, как планируется “легализовать” и что это значит на законодательном уровне. В рамках программ BugBounty тех же VK и Яндекс осуществлять такую деятельность законно, например. Если же кто-то берётся тестировать инфраструктуру компании самостоятельно без договора, то это уже нелегально.

Как это будет реализовывать Минцифры? Возможно, запустит BugBounty на все госсервисы (сразу или поэтапно, что вероятнее) и определит условия для ее участников. Но тогда речь будет идти о программе, которая имеет определённый срок жизни, а не о легализации понятия белого хакинга. Кстати, эта задача видится не совсем корректной, поскольку с течением времени это станут воспринимать как лазейку разные злоумышленники. Пытаясь оставаться в законном поле, будут совершать «серые» и даже «чёрные» манипуляции.

Да и непонятно, есть ли необходимость в легализации белого хакинга, ведь сегодня тысячи компаний пользуются такими услугами, работая со специалистами по безопасности по договорам.

На данный момент наиболее безопасный и удобный вариант взаимодействия этичных хакеров и компаний – это российские Bug Bounty платформы. Например, The Standoff 365 Bug Bounty от компании Positive Technologies. О своем участии в деятельности этой платформы недавно объявил VK, в рамках тестирования своего продукта VK ID.

Вывод

Сложившаяся политическая ситуация оказала важный эффект на отношение власти и общества к информационной безопасности. В частности, выросла осознанность в плане отношения к этичному хакингу как к инструменту поиска уязвимостей.

В то же время, с позиции законодательства ситуация далека от идеала. Формирование адекватного правового поля может занять время. И даже после создания законодательного фундамента наверняка останутся слабые места, которые могут быть истолкованы не в пользу этичного хакера.

Тем специалистам, которые думают, как стать хакером и начать зарабатывать большие гонорары, получая деньги за найденные уязвимости, важно помнить о рисках. Потому что погоня за успехом и опрометчивые действия могут привести к тратам на защиту собственного имени и долгим судебным разбирательствам.