Украинские "белые" хакеры: как заработать на взломах и не стать киберпреступником

Украинских хакеров обвиняют в похищении миллионов долларов с банковских карточек, данных компаний и торговых сетей или в DDoS-атаках, - такие заголовки не редкость в солидных западных изданиях.

Независимо от того, действуют ли они на пользу собственного кошелька или какой-то группы или структуры, речь идет о так называемых "черных" хакерах или киберпреступниках.

Однако в Украине появляются и "белые" хакеры. Кто они, чем отличаются от "черных" и как зарабатывают на жизнь?

Белые и пушистые

"Мы действуем вполне легально, потому что мы никого не взламываем без их разрешения", - формулирует главное отличие Дмитрий Будорин, соучредитель и генеральный директор Hacken.

"Белые хакеры - это обычные хакеры, которые зарабатывают деньги официально: не воруя информацию, а находя какую-то уязвимость в системе, - объясняет соучредитель и директор по развитию бизнеса Hacken Егор Аушев. - Они официально сообщают об этой ошибке и получают за это деньги" .

В то же время, как напоминает Евгения Брошеван, "в оригинале речь идет о "white-hat" и "black-hat" хакерах - то есть о тех, у кого белые и черные "шляпы".

"Поэтому нужно говорить об этичных хакерах и киберпреступниках", - настаивает она.

Евгения руководит баг-баунти платформой для белых хакеров Hackenproof. По ее словам, "хакер - это человек, который может нестандартно решить некое техническое задание".

Впрочем, в определенном смысле, работа Евгении требует двойной нестандартности - она ​​работает в основном мужском сообществе.

"Лучше, чем в женской, если честно. На самом деле очень конструктивный диалог в мужском коллективе, работа на равных и уважение за бизнес-результаты, а не по половому признаку".

Как это работает?

"Год назад мы выпустили свою криптовалюту, за которую получили реальные средства, на которые и создали этот бизнес", - рассказывает Егор.

"Тогда мы в полной мере углубились в новый способ финансирования проектов как ICO (Initial Coin Offering - первичное размещение криптовалюты, в отличие от IPO, Initial public offering - первичного размещения акций.- Ред.).

Было много сомнений, было страшно, что не соберем, что обвинят в мошенничестве ", - говорит Дмитрий, но добавляет, что с первыми биткоинами появилась и уверенность в будущем.

На создание платформы для белых хакеров основатели потратили около полумиллиона долларов.

"Собственно, это веб-сайт, на котором компания-клиент может зайти в свой кабинет, и хакер - в свой. Мы являемся звеном, которое их связывает. Если мы выводим компанию на нашу платформу, мы получаем комиссию с каждого найденного бага", - объясняет Егор идеологию бизнеса.

Для компаний и хакеров это выглядит следующим образом:

"Мы готовим компанию к проведению краш-тестов, и тогда уже выводим на платформу к хакерам. Они не привязаны к нашей компании, для них это возможность дополнительного заработка. У них есть свои рейтинги, которые зависят от того, сколько уязвимостей они успешно преодолели. От уровня найденной уязвимости зависит и оплата их труда - от 100 до десятков тысяч долларов".

Но зачем бизнесу, особенно большому, на который часто работают очень мощные технические команды, прибегать к услугам белых хакеров?

Владельцы бизнесов уже не могут построить эффективную защитную систему, так как количество и качество угроз с каждым месяцем растет, и преодолеть их становится все сложнее, считает Дмитрий.

"Количество продуктов, которые являются дырявыми, становится все больше. На рынке повторяется одна и та же ситуация: продуктовые компании знают о своих проблемах, знают, где у них дыры, но они эти дыры не успевают латать. И это нарастает, как снежный ком" .

"Только третья сторона может найти уязвимости системы. Тот, кто разрабатывал, никогда не увидит это. Более того, если снять какую-то фирму, которая будет тестировать компании, они могут это пропустить. Все недостатки можно увидеть только тогда, когда одновременно много людей тестируют систему, используют различные векторы атаки, атакуют из-за пределов системы", - добавляет Егор.

Кто клиенты?

Сколько компаний в Украине понимают это и уже пользуются услугами этичных хакеров?

"Не все хотят об этом говорить, некоторые пока испытывает эти сервисы", - говорит Евгения, но добавляет, что значительную часть клиентуры составляют банки и компании, которые работают на международный рынок.

Платформа, созданная Hacken, работает меньше года. По состоянию на сегодня, там около 20 открытых компаний, и еще некоторое количество тех, кто не хочет афишировать свое присутствие на платформе.

"У нас были случаи, когда к нам обращались компании и говорили: в нашей системе нашли дыру, нас шантажируют и требуют 100 биткоинов. Чем вы можете помочь? - рассказывает Егор. - Мы в течение часа размещаем эту задачу у себя на платформе баг-баунти, где работают сотни белых хакеров и говорим: ребята, ищите уязвимость. Кто найдет - вознаграждение 10 тысяч долларов - условно. Ребята налетают на программу, находят уязвимость, и вместо 100 биткоинов компания платит 10 тысяч долларов и закрывает эту уязвимость".

Однако обычно к услугам белых хакеров компании, которые "созрели" до понимания важности надлежащей киберзащиты своего бизнеса, обращаются вполне планово.

Совладельцы Hacken рассчитывают, что количество таких компаний будет увеличиваться, причем существенно.

"Это все равно, как в прошлом "большая четверка" делала аудит финансовой отчетности. Кто проходил их аудит, тем можно было доверять. Так же будет и в сфере кибербезопасности, - тем, кто прошел баг-баунти, можно будет доверять, а тем , кто нет - доверять не будут", - говорит Дмитрий, в послужном списке которого работа на одну из компаний "большой четверки".

Значительную роль здесь может сыграть государство. Например, рассказывает он, в США этот вопрос был урегулирован на законодательном уровне:

"Каждая компания должна тратить определенное количество денег на кибербезопасность. С другой стороны, там есть действенные штрафы. И компания уже думает: лучше я три-четыре аудита безопасности пройду, чем заплачу штраф".

Мотивировать к инвестициям в кибербезопасность можно и через конечный результат, говорит Егор.

"Надо ориентироваться не на то, сколько и чего вы сделали для безопасности, а были ли у вас корни. А бизнес уже пусть сам думает, что для него будет более эффективно, чтобы утечек не было: нанять хакеров, заказать аудит или получить бумажку у контролирующих органов".

Впрочем, признает он, пока таких "зрелых" частных компаний в Украине немного, а потом - большинство клиентов из-за рубежа.

"Мы изначально позиционируем себя как международную компанию, все наши сотрудники свободно владеют английским. 80-90% наших услуг мы оказываем за границей - в Азии, Европе и США.

Мы продаем свои услуги удаленно, сидя здесь. Но мы не продаем людей почасово, и этим отличаемся от других аутсорсинговых компаний. Мы продаем проекты. Для сравнения: мы не продаем лес-кругляк, мы продаем готовую мебель".

При этом, добавляет Егор, то, что украинские хакеры "хорошо" известны за рубежом, - не всегда добавляет "плюсы".

"Мы продаем услуги белых хакеров, и доверие очень важно. Когда слышат, что это украинские белые хакеры, то есть элемент переживания за то, что люди могут просто украсть какую-то информацию".

Сложные отношения с государством

Пока среди клиентов "белых хакеров" нет ни одного государственного учреждения, хотя именно их сайты и операционные системы подвергались мощным кибератакам в последние годы.

Государству хакеры из Hacken были готовы помогать бесплатно - просто потому, как говорит Егор, что "за державу обидно":

"К нам недавно на конференцию ехали на соревнования хакеры. Когда они подавали на визу, сайт МИД просто на время вышел из строя. Они пишут: мы видим, в чем проблема, куда можно зарепортить баг? А им говорим: нет у нас такого. Так не должно быть".

"Когда мы идем в государственные органы, мы говорим: мы не будем иметь свою комиссию. Просто заходите и тестируйтесь бесплатно, потому что нам стыдно, что везде Украину представляем как №1 в кибербезопасности, и хакеры у нас есть, и кибервойну мы ведем, а наши иностранные коллеги просто смеются над нашими государственными органами из-за того, насколько они "дырявые".

По словам Дмитрия, для него поворотным моментом в этом вопросе стало время, когда сайты украинских государственных органов и компаний были атакованы вирусом Petya:

"Мы честно попытались, это был ключевой момент, когда мы пришли бесплатно помогать государственным компаниям, а они сказали: спасибо, мы тут сейчас оборудование закупим, и все будет нормально. В тот момент мы поняли, что мы больше не будем тратить на это время".

Грань между светом и тьмой

А не может ли кто-то из "белых" хакеров ночью становиться "черным"?

"Конечно, могут. Все живые люди", - отвечает Егор.

Он также утверждает, что у своих работников его компания не спрашивает, были ли они когда-то "черными" хакерами, - "в конце концов, это невозможно доказать".

Но предохранителем того, что свои навыки они не будут использовать для нелегальных действий, является сама система:

"Вся система "белого" хакинга выстроена таким образом, чтобы они не могли украсть любые данные. Поскольку если на платформе ищешь уязвимости клиента, одновременно с тобой то же делают несколько десятков, а то и сотен других. Если кто-то увидит какую-то дыру в системе и не отрапортует, это сделает кто-то другой и получит свое вознаграждение".

Не бывает ли так, что этичный хакер превращается в преступника или совмещают свои белые и черные шляпы?

"Всякое, конечно, возможно", - соглашается Евгения. Однако, добавляет она, большинство тех, кто занимается "белым" хакерством, это люди, которые высоко ценят свою репутацию, имеют публичные профессиональные рейтинги. А те, кто занимается "черным" хакерством, всегда избегают любой публичности.

"Поэтому совмещать то и другое - очень трудно".

И все же, нельзя ли поступиться репутацией и публичностью ради больших доходов? И какой может быть эта разница?

"Гонорары "белых" хакеров на платформе начинаются с 50 долларов за какую-то уязвимость низкого уровня, и могут достигать 100 тысяч", - говорит Евгения. По ее словам, в этом году были две крупнейшие в истории выплаты баг-баунти платформам: Samsung заплатил за одну уязвимость 114 тысяч долларов и Intel - тоже около 100 тысяч.

"Киберпреступники сколько украдут, столько и будет. Например, за недавний взлом японской криптобиржи они получили около 60 млн долларов", - рассказывает Евгения о масштабе цифр.

Тогда зачем же человеку, который имеет способности за раз получить 60 млн долларов, соглашаться даже на 100 тысяч?

"Есть вариант, когда нашел какую-то уязвимость, пойти на черный рынок и попробовать там это продать. Есть даже специальные брокеры, которые перепродают эти уязвимости. Но вся эта среда - сплошное недоверие. Это нормально, что тебя всегда могут "кинуть", это очень скользкий путь, - объясняет Евгения.

К тому же, когда речь идет о кражах на криптобиржах, то можно получить средства, но не воспользоваться ими:

"Ты можешь их просто "не вывести", потому что обычно за такими кейсами следит весь мир. Украсть - это одно, а тихонько положить это себе в карман - совсем другое".

Следите за нашими новостями в Twitter и Telegram