Белые хакеры – Кто такие белые хакеры и как они могут помочь твоему бизнесу

Содержание

Кто такие белые хакеры и как они могут помочь твоему бизнесу

Безопасность сервисов, сайтов, электронных систем — это то, что следует регулярно проверять и улучшать. Информация и деньги могут утекать на счета и в дата-центры неизвестных, а владелец будет думать, что его компания защищена лучше, чем Хельмова Падь. Вспомни хотя бы об утечке данных из Facebook, траблы с безопасностью у Apple и Микромягких. Если у таких гигантов были обнаружены червоточины, то обычным компаниям, сервисам и приложениям тем более следует внимательно исследовать свои системы.

Доверить это сисадмину не лучшее решение, он же не хакер. Всё равно что пытаться танковать Траксой. Мы пообщались на этот счёт с командой сервиса White-Hacker, которая как раз занимается электронной безопасностью и безопасностью в интернете, и расскажем, что следует сделать, чтобы обезопасить свою компанию.

Кто такие «белые хакеры»

Про мастеров конспирологии в капюшонах ты наверняка и слышал, и видел их, и даже в них играл в какой-нибудь Watch Dogs. Однако кроме них есть мастера, которые не используют принцип «салями», чтобы воровать наличку со счетов, да и вообще не воруют. Это так называемые белые хакеры — специалисты, использующие хакерские знания и уловки, чтобы находить по заказу компаний прорехи и опасные баги и сообщать о них владельцам.

В отличие от чёрных хакеров, деятельность которых нарушает закон, белые хакеры работают по договору, часто являются официальными сотрудниками компаний. На данный момент это уже полноценная профессия со своей этикой. Кстати, самые известные ныне белые хакеры, например, Кевин Митник, в прошлом занимались незаконным взломом сетей.

Есть и компании белых хакеров, которые предоставляют всем желающим свои услуги для защиты систем. Не стоит их путать с теми, кто организует DDos-атаки по заказу, чтобы обвалить сайт конкурента, засылает вирусы с теми же целями, крадёт стратегическую корпоративную информацию. Белые хакеры этим не занимаются. Будучи на Светлой стороне Силы, они эмулируют хакерскую атаку, но всю информацию о системных дырах используют не для того, чтобы выкачивать деньги и данные, а чтоб продать её владельцу.

Тестирование безопасности корпоративной системы

Одна из главных проблем в безопасности — это дыры, возникшие в результате недоработки, через которые можно проникнуть в систему и управлять ею. Когда разрабатываешь сайт, приложение, базу данных, невозможно сразу выявить такие дыры. Для этих целей белые хакеры, например, парни из сервиса White-Hacker, выполняют пентест.

Пентестинг включает в себя анализ сети и поиск уязвимостей, пробные проникновения через эти уязвимости и эксплуатацию их разными способами, чтобы выявить масштаб прорехи и то, какую именно угрозу приносит её существование. Назовём этот вариант электронным пентестингом. Кроме него есть ещё социальный пентестинг, который выявляет, как можно проникнуть в систему, используя социальную инженерию (о ней Крис Касперски написал отличную книжку «Секретное оружие социальной инженерии»). Искусство социального хакинга заключается в умелом использовании взаимодействий между людьми в компании, чтобы получать пароли, коды доступа, логины.

Провести электронный пентестинг твоей компании можно тремя способами. Сотрудники White-Hacker могут, используя функции и инструменты твоей системы, изучить её максимально глубоко, понять реальный масштаб и определить баги и дыры. Это самый эффективный из трёх способов, если использовать их отдельно.

Второй вариант — «чёрный» — отличается от первого тем, что тестер позиционирует себя как хакер, а не как сотрудник. Он получает доступ к основной информации о системе и действует, применяет классические способы хакинга, например, SQl-инъекции, а также импровизирует, действует по обстановке. Такой способ требует больше времени, и есть вероятность пропуска некоторых прорех.

Используя третий — «серый» — способ, белый хакер получает ограниченный доступ к информации о системе и имитирует полноценную внешнюю атаку.

Чтобы проверить полностью систему, стоит использовать все три способа. Если понимаешь, что кибербезопасность твоей компании оставляет желать лучшего, воспользуйся услугой сервиса White-Hacker.

Заказать пентестинг→

Обеспечение безопасности серверов

Когда тестирование корпоративной системы и социальных взаимодействий проведено, стоит посмотреть на безопасность тех серверов, которые использует твоя компания. Они опора системы, сайтов, приложений, средств обратной связи. Информация — номера платёжных карт, телефонные номера, электронная почта — всегда хранится в базах данных. Соответственно, дата-центры и серверы, в которых и располагаются базы данных, — лакомый кусок для хакеров. Обычно компании, которые сдают в аренду серверы в дата-центрах, например, в Шпицбергене или в Новосибирске, обеспечивают высокоуровневую безопасность. Тем же, кто не в состоянии заплатить за такой сервис или просто не понимает всю важность безопасности, стоит провести проверку.

Пентестинга будет достаточно для выявления багов и слабостей. Сервис White-Hacker после отчёта о тестировании может организовать защиту твоего сервера. Парни возведут вокруг него кибероборону, как у Сталинграда.

Заказать защиту сервера→

Парни из White-Hacker, помимо пентестинга, обеспечивают безопасное управление электронными кошельками. Когда в компании часто ими пользуются, нужно, чтобы именно профи организовали все манипуляции с паролями и кодами подтверждения. Иначе сначала твои сотрудники записывают пароль на стикер и приклеивают к монитору, а потом ты удивляешься, что кто-то проник в систему и перевёл деньги.

Ещё одна полезная услуга от White-Hacker — обеспечивать безопасность блокчейн-проектов. Крипта сейчас очень популярна, запущены тысячи ICO-проектов. Их безопасность — самая важная составляющая, поскольку от неё зависит сохранность миллионов долларов. Команда сервиса разрабатывает и проводит аудит всех возможных систем, использующих блокчейн, например, смарт-контрактов. Соответственно, если используешь или планируешь использовать эти технологии, позаботься о безопасности.

White-Hacker — сервис от маркетингового интернет-агентства OLIT. Агентство 10 лет занимается кибербезопасностью, разработкой сайтов, SEO-оптимизацией. Они выполнили более 300 проектов. Среди их клиентов: АНО «Центр Амурский тигр», «Гидролика», «Банк Тинькофф», «Солид Банк».

Узнать больше об агентстве→

brodude.ru

Лучшие белые хакеры зарабатывают в 2,7 раза больше средних программистов / Habr

Сообщество HackerOne, на котором зарегистрировано более 160 000 хакеров и которое выплатило им уже $23,5 млн за найденные уязвимости, опубликовало отчёт The 2018 Hacker Report. Это крупнейший в истории опрос этичных хакеров, в котором приняло участие 1698 респондентов. Вместе с результатами приведена интересная статистика.

Ключевые результаты:

  • Награды за найденные баги обеспечивают достойную жизнь топовым хакерам. В среднем по всем странам мира разница в «зарплате» топового хакера и средней по медиане зарплатой программиста составляет 2,7 раза, но в разных странах ситуация отличается. Например, в Индии разница достигает 16х, в Аргентине — 15,6х, в Латвии — 5,2х, в США — 2,7х, по России статистики зарплат не нашлось.
  • Деньги не являются самой главной мотивацией этических хакеров, это лишь четвёртая по популярности (13,1%) причина работы взломщиков. Для большего количества хакеров важнее возможность изучения технологий и хитростей работы (14,7%), возможность решать интересные задачи (14%) и получать удовольствие (14%). Хотя ещё в 2016 году деньги были причиной № 1.
  • Индия (23,3%) и США (19,9%) — два мировых лидера по количеству зарегистрированных хакеров. За ними следуют Россия (6,3%), Пакистан (4%) и Великобритания (4%).

  • Почти каждый четвёртый хакер не сообщал компании о найденной уязвимости, потому что компания не предоставила возможности (канала коммуникации), как сообщать об уязвимостях.
  • Почти 58% всех специалистов по взлому — самоучки. Хотя 50% изучали информатику/программирование в университете, а 26,4% — в школе, но всего лишь 5% сказали, что эти занятия дали им хоть какие-то знания, полезные для хакинга. До сих пор информационная безопасность остаётся довольно редкой специальностью в вузах, но в Сети можно найти достаточно бесплатной информации для самообразования, в том числе полноценные учебники по взлому сайтов (учебник Web Hacking 101 раздают пользователям HackerOne бесплатно). Отличный способ самообразования — изучать отчёты о реальных взломах
  • Примерно 37% участников опроса занимаются взломами как хобби в свободное время, но 12% получают минимум $20k в год от программ вознаграждения, а более 3% зарабатывают от $100k в год, чего вполне достаточно для нормальной жизни в любой стране мира. 1,1% зарабатывают более $350k в год — а такую зарплату практически невозможно получить на обычной программистской работе. Четверть хакеров сказали, что вознаграждения составляют для них минимум 50% дохода, а у 13,7% это 90-100% годового дохода.

Интересно посмотреть на распределение денежных потоков по странам. Слева на диаграмме — компании из каких стран выплатили вознаграждение. А справа — жители каких стран его получили.

Как видим, россияне входят в число лидеров и за год заработали $1 296 018.

Типичный хакер — юный одарённый IT-профессионал до 35 лет. Почти половина всех хакеров не достигла ещё и 25 лет. У 75,1% опыт хакерства составляет всего лишь 1-5 лет.

46,7% хакеров работает профессионально по специальности (специалисты по ИБ или программисты), а 25,3% — студенты. Около 13% сказали, что занимаются взломами полный рабочий день, то есть более 40 часов в неделю.

Любопытная статистика по инструментам, которые используют хакеры. Преимущественно сейчас все специализируются на веб-платформе, то есть взломе веб-сайтов и веб-приложений. Так вот, самые популярные инструменты:

  • Burp Suite, интегрированная платформа для выполнения тестов по безопасности веб-приложений, которая входит в комплект хакерской операционки Kali Linux — 29,3%
  • Инструменты собственной разработки — 15,3%
  • Веб-прокси/сканеры — 12,6%
  • Сканеры сетевых уязвимостей — 11,8%
  • Фаззеры — 9,9%
  • Дебаггеры — 9,7%
  • WebInspect — 5,4%
  • Fiddler — 5,3%
  • ChipWhisperer — 0,8%

После веб-сайтов (70,8%) с большим отрывом по хакерскому интересу следуют API (7,5%) и технологии, где хранятся данные самого хакера или где он является пользователем (5%). Операционные системы больше не так популярны как объект для взлома (3,1%), уступая даже Android-приложениям (4,2%).

Любимые векторы атаки — XSS (28,8%), SQL-инъекции (23,1%), фаззинг (5,5%) и брутфорс (4,5%).

Большинство предпочитают работать в одиночку, хотя многие публикуют результаты у себя в блоге, чтобы получить отзывы коллег, и читают их блоги.

habr.com

Хакер — анонимно о своей работе

Специалист по информационной безопасности на условиях анонимности рассказал нам, в чем различие между «черными»и «белыми» хакерами и сколько зарабатывают на уязвимости в сети.

О профессии

По официальным бумагам  я специалист по информационной безопасности, а в обществе коллег — хакер: мы понимаем, где проходит граница понятий. Слово «хакер» сейчас приобретает все больше негативное значение, но, на самом деле, в нашей профессии встречаются очень разные люди, и это необходимо учитывать. В принципе, существует довольно четкое разделение на «белые» и «черные шляпы» (К «белым» хакерам традиционно относят специалистов по безопасности, к «черным» — киберпреступников

—Прим. ред). Приведу пример: оружие могут носить только полицейские, но при этом ведь носят и бандиты. Так и у хакеров, мы все используем одни и те же методики поиска уязвимостей, но распоряжаемся полученной информацией по-разному: одни отправляют ее разработчику, другие продают на черном рынке. Это вопрос мироощущения и внутренней мотивации.

О черных и белых хакерах

На черном рынке заработать можно больше. Как только выплаты «по-черному» и «по-белому» начнут совпадать, человек охотнее отдаст имеющуюся информацию в «белое» русло и не будет плохо спать, беспокоиться за себя и своих близких. Сколько бы ни платила большая компания, как, например, Facebook, эксплуатация любой его уязвимости на черном рынке принесет гораздо больше. А данные какой-нибудь «Рога и копыта» не многим интересны: даже заплатив небольшую сумму денег, они автоматом переведут информацию на себя.

Чтобы работать «по-черному». нужно знать выходы на рынок и не засветиться. Как это сделать, я не знаю: либо ты изначально работаешь в этой системе, либо нет. Быть где-то посередине вряд ли получится. Я думаю, что бесполезно пытаться перетянуть черных хакеров на светлую сторону: у этих людей своя внутренняя мотивация. Хотя, конечно, есть красивые истории. Тот же Кевин Митник (американский хакер, был приговорен к тюремному заключению за взломы

— Прим. ред) отсидел, а теперь работает консультантом по компьютерной безопасности. Есть легенда, что хакеру, который засветился, часто предлагают работу различные структуры: и коммерческие, и государственные. Ведь это, в любом случае, очень умный человек. Таких людей пытаются приманить или принудить: «Хочешь — сиди, хочешь — работай». Я лично с такими людьми не знаком, но история выглядит достаточно разумно.

О популярности в профессиональной среде

Хакеры, в романтической части этого термина, немного Робин Гуды. И среди хакеров, и среди специалистов по безопасности распространено: ты исследуешь определенную проблему и для ее решения разрабатываешь программу — они часто публикуются в открытом доступе со ссылкой на создателя. Я не знаю, что творится у черных хакеров, но ведь существуют известные и продвигаемые группировки. Среди белых хакеров есть довольно структурированный рейтинг на платформах. Он основан на нескольких метриках: ключевыми факторами являются количество уникальных уязвимостей и уровень их угрозы. В целом, получается довольно объективное ранжирование. В профессиональной среде репутация, конечно, приносит выгоду.

О востребованности краудсорсинговых платформ

Сейчас особенно модным стал краудсорсинг: какую бы команду безопасности ни имела IT-компания, она не сможет обеспечить такого же покрытия. По моим подсчетам, рынок безопасности таких специалистов, как я, насчитывает 50 тысяч человек в мире.

Понятное дело, что в крупных компаниях есть и собственные специалисты, но все понимают: вероятность того, что ошибка будет не замечена, высока. Команда привыкла к схеме работы, которая уже существует в системе. Они могут просто проглядеть тот неочевидный путь, который в реальности существует. А человек со стороны найдет это стечение обстоятельств и сообщит компании. Она, в свою очередь, исправит уязвимость, проведет расследование. Тот же Facebook платит много: его данные слишком дорого стоят.

О дубликатах и уникальных уязвимостях

Бывает, обнаруживаешь какую-то красивую или серьезную уязвимость, но ее уже нашли буквально за час до тебя: ты не успел, хотя мог бы. Таковы правила игры.

Средняя температура по больнице — около 60% дубликатов, но в моей практике меньше. Здесь надо понимать, что есть люди, которые подобным трудом «кормят деревни». Они присылают разработчикам все вплоть до недоработок дизайна: сами по себе они не несут никакой угрозы, но можно было бы сделать лучше. Я сообщаю о более интересных вещах, в них меньше повторений.

О денежной мотивации

Я знаю людей, для которых поиск уязвимостей – основная работа, full-time, грубо говоря. Для меня это что-то вроде хобби, которым я занимаюсь в свободное время. Но, на самом деле, при должном уровне самоорганизации за такое увлечение без особых усилий можно получать две-три тысячи долларов в месяц. Это отчасти лотерея: можно заработать, например, 10 000 долларов, а можно вообще ничего. Все как в покере: только игроки инвестируют время и деньги, а хакеры только время.

Любую систему можно взломать — это факт. Человеческий фактор в большинстве случаев является основным каналом утечки информации, и это помимо простых паролей и плохо настроенных систем. Людям свойственно совершать ошибки: даже чтобы просчиталась программа, сначала ошибку в написании кода допускает человек. Поэтому оплата — разумная мотивация. Если компании не будут платить, их, скорее всего, просто не будут исследовать. Я могу проверить какой-нибудь стартап просто так. Бывает, честно говорят: «Помогите, мы только открылись, у нас денег хватает на полтора программиста». Здесь выгода в том, что ты получаешь очки рейтинга.

www.sobaka.ru

Белые хакеры и польза компьютерного взлома

У большинства людей понятие «хакер» ассоциируется с киберпреступниками, и никто не сомневается в том, что их деятельность, основанная на взломе систем компьютерной безопасности, является незаконной. Однако существуют и так называемые «белые хакеры», деятельность которых направлена во благо пользователей.

Содержание статьи:

Белые шляпы

Деятельность хакеров очень похожа на действия обычных воров – они незаконно проникают в ваши компьютеры и смартфоны. В результате ваши персональные данные могут быть похищены, а компьютер становится инструментом для незаконных действий злоумышленника – слежки за пользователем, рассылки спама или, скажем, черного майнинга.

Однако, не все знают, что существуют и так называемые «белые хакеры» (название происходит от английского White Hat – «белая шляпа»), деятельность которых связана с компьютерной безопасностью. В отличие от черных хакеров, они ищут уязвимости в системах кибербезопасности, помогая в итоге разработчикам сделать в совершенствовании их продукта.

Как зарабатывают белые хакеры

Существует несколько способов легального заработка для «белых шляп»:

  • Багхантинг. Поиск уязвимостей в системах компьютерной безопасности. Многие крупные организации готовы платить крупные деньги за найденные уязвимости.
  • Пентест (испытание на проникновение). Активное тестирование системы на предмет ее возможной внешней уязвимости. Действия «белых шляп» производятся с позиции атакующей стороны.

Соревнования по безопасности

Услуги «белых хакеров» стали настолько востребованы, что подобные «взломы» стали видом киберспорта. Каждый год «белые шляпы» участвуют в состязаниях по информационной безопасности. Также существуют и рейтинги команд, регулярно публикуемые на специальных сайтах.

Белые хакеры и закон

К сожалению, на сегодняшний день законодательная база в отношении «белых шляп» не имеет четкого определения, и поэтому «белые хакеры» все еще находятся в «серой зоне», да и сама их деятельность часто имеет откровенно коммерческий характер. Думаем, что скоро возможности различных сторонних IT-специалистов вскоре будут оценены государством и мы с вами будем гораздо реже встречать информацию о вреде от взлома того или иного сайта.

Вместо послесловия

Как видите, действия хакеров могут быть не только мошенническими. Существуют так называемые белые хакеры, способные осуществить «взлом во благо», найдя уязвимости в безопасности компьютерных систем, которые невозможно обнаружить стандартными методами тестирования.