Хакеры условно делятся на «белых» и «черных»: первые легально проверяют ИТ-системы, а вторые вламываются в них для кражи информации. О жизни «белого» хакера Forbes рассказала Пола Янушкевич, создавшая свою компанию по информационной безопасности CQURE.
Как вы живете? Приходите в офис каждый день и работаете до вечера? Или вы можете выбирать время и место для работы?
Я бы хотела выбирать место для работы, но не могу. Технически это возможно, но моя роль в компании требует присутствия на территории заказчиков. Поэтому я всегда в поездках, посещаю разные страны. Чтобы провести внутренний пентест, приходится приезжать к заказчикам. Внешний можно проводить хоть на пляже.
Как вы проводите пентесты (тест защищенности ИТ-систем от несанкционированных проникновений)? Вы выбираете подходящее время для кибератаки? Или вы можете тестировать компании в любое время и в любом месте, и тестирование — исключительно технический вопрос?
В итоге все сводится к технике, но есть нюансы. Например, если клиент не работает ночью, лучше провести тест в это время. Когда мы делаем [дневные] пентесты для компаний из США, то можем работать всю их ночь, находясь в Европе, и это нормально. Но, как правило, предпочитаем обычный рабочий день — так проще и все счастливы. Нам не нравится работать всю ночь, но такое случается.
Как не стать Хакером в 2022?
Часто мы тестируем копию сайта или сервиса. Например, недавно мы делали пентест пользовательских приложений для одного банка. Пришлось работать с копией системы, потому что на сайте был огромный трафик. А если при выполнении теста возникнут проблемы, это негативно повлияет на имидж банка.
У вас есть заказчики, которые просят делать настоящие пентесты в режиме реального времени?
Да, разумеется. Иногда мы делаем это в обычный рабочий день. Они предупреждены об этом, они находятся «в режиме ожидания». Если что-то случается, они сразу на связи, они ждут от нас звонка, чтобы разобраться с ситуацией. Однажды при тестировании в реальном времени мы «уронили» сайт, потому что сервис не мог справиться с таким количеством запросов.
Между прочим, это была одна из компаний, сотрудничающих с российскими предприятиями нефтяной отрасли. Это шокировало заказчика, они целый день разбирались, как такое могло случиться. Все может произойти, но у нас нет цели «сломать» сайт, наша задача — показать слабые точки для атаки.
В любом случае, нужно проводить оба теста, внутренний и внешний?
Зависит от обстоятельств. Некоторые заказчики не хотят делать тест на проникновение изнутри компании: «Нет, нет, потому что, когда вы будете это делать, вы можете нас взломать». И мы думаем: «Бог мой, и зачем тогда делать пентест?» В таких случаях делаем только внешний тест. Лично мне не кажется это правильным: почему бы не сделать внутренний тест, если делаем внешний? Мы стараемся объяснить, но…
Как стать хакером
Вы начинали с хакерства или всегда были инженером информационной безопасности (ИБ)? Как правильно назвать вашу сферу?
Что могут хакеры? В школе такому точно не научат. Профессионалы..
Делала ли я что-то незаконное? Да, но было ли это правонарушением, если никто об этом не знает? А может, ничего такого вообще не было.
Когда у вас появился интерес к этой профессии?
Я всегда работала в сфере безопасности. В технологии я погружалась постепенно. Отвечала за безопасность школьной сети. Тогда мне было 17, я не очень в этом разбиралась, но очень хотела заниматься ИБ. Я искала свой путь. Понимаете, в 17 лет сложно понять, что стоит делать, а что — нет.
Есть только то, что хочешь делать: это классно, я хочу этим заниматься. Но хорошо ли это для будущего — я не знала.
И мы не знаем, что с нами будет завтра.
Какую первую операционную систему вы взломали? ОК, протестировали на уязвимость.
Их две было — Windows и Linux.
«Windows была первой системой, которую я взломала». Хороший был бы заголовок…
В то время Windows и Linux использовали разные системы безопасности. Это было время «NT4.0» (операционная система Windows, вышедшая в 1996 году — Forbes). Тогда все знали, что, если не изменить определенный параметр, компьютер взломают. Находить уязвимости было проще. Сейчас хакерские атаки научили нас защищаться, поэтому мы сейчас в несколько лучшем положении.
Какая из ОС лучше и безопаснее: Windows, MacOS, Linux?
В итоге важно, что системы значат для бизнеса. Наиболее используемая операционная система — это Windows, мы все это знаем. Для Mac и Linux тоже существуют программы-вымогатели. Просто они по-другому попадают в систему. Разница есть и в доступности решений.
Вопрос в том, есть ли компании и сколько их, которые могут обезопасить вашу систему. Не обязательно создавать реальную угрозу информационной безопасности, но проверка защитной инфраструктуры улучшит эту безопасность и минимизирует риск проникновения в ваши системы.
Что скажете об уровне безопасности B2B-систем в мире? Они готовы к кибератакам?
Абсолютно каждый раз, делая пентест, мы проникаем в систему. Давайте я так это скажу. Взломать можно кого угодно, каждый раз у нас получается их взломать.
И это неудивительно. Потому что есть много вещей, о которых им никто не рассказал. Приемлемого обучения для специалистов по безопасности просто не существует. Разумеется, есть некоторые курсы, тренинги и так далее, но даже если вы платите за университет или обучаетесь бесплатно, как-то еще учитесь, то к кибербезопасности нет прямой дороги. К тому же не все могут позволить себе учиться, а как вы можете стать хорошим специалистом в сфере безопасности, если не можете эту учебу оплатить?
Но никто не будет давать вам образование бесплатно, потому что это очень специфические знания. Это такая естественная ниша. Financial Times предсказывает, что к 2019 году в мире будет потребность в 6 млн специалистов по информационной безопасности, но с современными темпами развития, на рынке будет доступно примерно 4 – 5 млн.
Так что для ребят, которые будут на рынке, ситуация замечательная. Все в них нуждаются. И будут нуждаться еще больше, но это, конечно, нездоровый рынок. Есть проблема обучения специалистов по безопасности.
Инженер по кибербезопасности — профессия будущего?
Тогда какой наилучший способ получить ее, если университеты не готовят к ней в должной мере? Онлайн-курсы?
Существует множество бесплатных ресурсов, но предпочтительны, конечно, систематизированные знания. В интернете есть много разных курсов. Они стоят недорого. Можно приобрести такой курс и систематизировать свои знания. Но проблема этих курсов в том, что они больше рассказывают о приемах взлома.
И это так называемые «дешевые приемы взлома». И к тому же они тренируются на не очень реалистичных средах. На мой взгляд, лучший способ — самостоятельно обучать специалистов. И это, например, то, что делает наша команда.
Россиянам предложили зарабатывать на легальном хакерстве. Как это работает
Из-за бегства из России тысяч IT-специалистов и ухода крупных зарубежных компаний, в том числе из сферы кибербезопасности, в стране образовались дефицит кадров и угроза ослабления «цифровой обороны». Минцифры предложило справиться с этим, поддержав белых хакеров, находившихся раньше где-то на периферии в роли фрилансеров. Для этого придётся создать отечественные платформы для поиска уязвимостей и выплаты вознаграждений энтузиастам. Как изменится роль белых хакеров в подсанкционной России, как зарабатывают на «взломах» и насколько это легально — в материале «Секрета».
Кто такие белые хакеры и почему их не ищет киберполиция
В массовом сознании понятие «хакер» часто ассоциируется с какими-то полуподвальными помещениями со множеством компьютеров, за которыми сидят злые и коварные люди в балаклавах — именно так рисуют хакеров на различных фотостоках. В реальности это люди, неотличимые от прочих «айтишников-удалёнщиков». Но вот между собой они действительно различаются — методами и целями работы.
Хакеры-киберпреступники — это те, кто обратил свои навыки в сфере информационных технологий для получения выгоды за счёт обмана, шантажа и вреда другим интернет-пользователям и компаниям. Киберпреступники создают и распространяют вирусы всех мастей, взламывают аккаунты, крадут персональную информацию и деньги, а также ищут уязвимости в корпоративных сетях, с помощью которых можно застопорить работу предприятий и вымогать деньги за разблокировку.
Но поиском уязвимостей можно заниматься и в благих целях. Этичные, или белые, хакеры за вознаграждение или из чистого энтузиазма помогают компаниям находить и устранять бреши в их защите и продуктах для пользователей. При этом белые хакеры стараются не наносить вреда своим взломом: например, они не будут проверять устойчивость к DDoS-атакам в разгар рабочего дня или использовать найденную уязвимость для блокировки систем и IT-продуктов.
Хакеров-плохишей также называют black hats — «чёрные шляпы», в то время как этичные хакеры носят название white hats — «белые шляпы». Пресловутые балаклавы грабителей тут ни при чём — термин пришёл в эту сферу из вестернов, где хорошие парни носили светлые ковбойские шляпы, а плохие — чёрные.
Цветовая дифференциация шляп
Кроме белых и чёрных, нередко встречаются серые хакеры — gray hats. Они взламывают системы без преступных намерений, но далеко не всегда при этом действуют по запросу компаний. При этом, если им в руки попадутся данные, которые можно продать или выгодно использовать, они не преминут это сделать. Белые хакеры без официального объявления компании об участии в программе вознаграждения искать уязвимости не полезут — даже если взломщик никак не использовал попавшую ему в руки информацию и не принёс значительного вреда корпоративной сети, компании, которые не просили о таком виде услуг, вполне могут подать на него в суд.
Внутри хакерского сообщества есть и другие цветовые маркеры. Например, «зелёными шляпами» называют хакеров-новичков, которые активно учатся практиковать хакинг на специальных ресурсах, но пока не обладают опытом и навыками для самостоятельного плавания. «Синими шляпами» называют тех, кто разово решил взломать кого-то из мести и не интересуется хакингом за пределами этой задачи. А «красные шляпы» сделали своей целью поиск и наказание чёрных хакеров.
Как стать белым хакером
Белыми хакерами обычно становятся люди с образованием в сфере компьютерных наук и информационной безопасности. Нередко они учатся хакингу самостоятельно по открыто публикуемым на профильных ресурсах методичкам и по отчётам о выявленных уязвимостях.
Что почитать
Существуют даже книги, обучающие этичному хакингу. Среди них:
- Jon Erickson, Hacking: The Art of Exploitation;
- Patrick Engebretson, The Basics of Hacking and Penetration Testing;
- Peter Kim, The Hacker Playbook;
- Georgia Weidman, In Penetration Testing;
- James Corley, Hands-On Ethical Hacking and Network Defense.
Но с учётом того, как быстро меняется ландшафт в сфере информационных технологий, любая книга и методичка на эту тему устаревают раньше, чем дописываются. Чтобы отвечать современным вызовам, гораздо важнее постоянно заниматься собственными исследованиями, обмениваться опытом и изучать чужие кейсы.
Мнение эксперта
Сергей Новиков
заместитель директора глобального центра исследований «Лаборатории Касперского»
Какого-то специализированного образования для белых хакеров нет. Как правило, это самоучки или продвинутые эксперты в области Computer Science или Cybersecurity. У каждого своя история. В основном белые хакеры — это люди, интересующиеся технологиями, разработкой, анализом программного кода.
Кто-то мог попробовать себя на тёмной стороне, но понял, что у него нет желания нарушать закон, всю жизнь бояться и прятаться. По сути, белый или этичный хакер и есть специалист по кибербезопасности. Формальное отличие в том, что специалист по кибербезопасности в классическом понимании проектирует защитную инфраструктуру и защитные технологии, в том время как белый хакер пытается найти в этих системах уязвимости в этических и законных целях.
Вместе с тем не все компании согласны иметь дело с дилетантами на постоянной основе. Для того чтобы стать тестировщиком в крупной компании, занимающейся кибербезопасностью, свои умения нужно подтвердить. Отвечая запросам рынка на различных профессиональных и образовательных ресурсах, таких как HackerOne, SkillFactory, Coursera и других как грибы появлялись специализированные курсы, которые предлагали научить этичному хакингу с нуля.
С подобными курсами за спиной и практическими навыками уже можно попробовать свои силы не только в свободном плавании.
Мнение эксперта
Евгений Волошин
директор блока экспертных сервисов BI.ZONE
(Для компаний) нет профессии «белый хакер», есть «специалист по тестированию на проникновение», или «пентестер». Без профессионального образования крайне сложно попасть на эти ставки, ведь для этого нужны как минимум знания основ кибербезопасности, умение работать с инструментами для проведения пентестов, знание векторов атак. Также необходимо постоянно развиваться и подтверждать навыки в международных центрах сертификации.
Конечно, чтобы участвовать в программах, не нужны международные сертификаты, но скорость нахождения уязвимостей тесно связана с прокачкой знаний и опыта. Платформы Bug Bounty (вознаграждения за поиск уязвимостей. — Прим. ред.) — это отличный инструмент для тренировки и дополнительная строчка в резюме, если уязвимость была найдена.
Что такое программа Bug Bounty: компании-участники формируют свои правила, в которых обычно указаны срок программы и денежное вознаграждение в зависимости от типа найденной уязвимости. После того как независимый исследователь нашёл уязвимость, он должен сформировать отчёт по прописанным в программе условиям и сдать его на проверку через платформу. Далее проходит валидация, и, если компания признаёт уязвимость, исследователю перечисляют средства. На платформе публикуется много программ с разной стоимостью уязвимостей, и у багхантера всегда есть выбор. Нередки случаи, когда ребят приглашают в штат пентестерами те компании, для которых эти уязвимости были найдены.
Тестирование уязвимостей — на порядок менее сложная работа, чем защита от возможных угроз. Чтобы взломать сеть, достаточно знать одну работающую методику и одну уязвимость, а чтобы её защитить — все возможные способы взлома, которыми её могут протестировать на прочность.
Именно поэтому задачи по поиску багов компании нередко предпочитают отдавать на аутсорс энтузиастам — выплатить разовое вознаграждение за одну найденную уязвимость дешевле, чем постоянно держать на зарплате специалиста, который в случае правильно выстроенной защиты брешь может и не найти.
Мнение эксперта
Сергей Новиков
заместитель директора глобального центра исследований «Лаборатории Касперского»
У нас в пентесте работают специалисты, которые могут оценивать безопасность существующих продуктов и процесса их разработки, исследовать пререлизные версии продуктов по заказу разработчика, проводят тестирование на проникновение, например в сеть заказчика и т. д. Работа в большой компании позволяет обратиться к коллегам, специализирующимся на узких областях, собрать команду под конкретный проект.
При этом держать личный штат белых хакеров внутри какой-то организации нужно далеко не всем крупным компаниям. Чаще всего такими ресурсами и компетенциями обладают вендоры, специализирующиеся на информационной безопасности. Классический белый хакер, если можно так сказать, скорее одиночка.
Несмотря на существующее мнение, что в вольные белые хакеры идут недоучки, которым не хватает мастерства, чтобы официально работать в кибербезопасности, на деле такой закономерности нет. Неверным было бы и считать, что белыми хакерами становятся те, кто по своим способностям не дотягивает до чёрных.
Мнение эксперта
Сергей Новиков
заместитель директора глобального центра исследований «Лаборатории Касперского»
Различия между чёрными и белыми хакерами лишь в том, какую сторону выбрал человек. Мы не можем утверждать, кто «круче» или «слабее». Просто белый хакер выбрал легальный, этический путь реализации своих способностей. В сфере кибербезопасности работает множество высококлассных экспертов, они помогают совершенствовать системы безопасности, гарантировать защищённость различных решений.
Мнение эксперта
Евгений Волошин
директор блока экспертных сервисов BI.ZONE
Независимыми исследователями нередко выступают люди с профильным образованием в сфере кибербезопасности. Многие ребята, которые трудоустроены, также являются участниками программ Bug Bounty. Конечно, у каждого исследователя за плечами разный опыт. Это своего рода тестирование на проникновение, где можно принять участие, пройдя регистрацию на платформе. Компании видят ценность: это простой способ для построения процесса непрерывного поиска уязвимостей и свежий взгляд на защищённость без увеличения штата сотрудников.
В целом же набор инструментов и методов, которые используют пентестеры, чёрные и белые хакеры, схож. Это публичные и платные хакерские утилиты и программы для пентеста, которые работают как «продукты двойного назначения» — и для взлома, и для поиска уязвимостей с целью улучшения безопасности. Киберпреступники, правда, зачастую оказываются в более выгодном положении за счёт выхода на чёрные рынки, где можно купить новые и ещё неизвестные защитникам программы и методики взлома. Но рано или поздно выявляют и их.
Иногда уязвимость находится почти случайно, а иногда хакеры всерую берутся исследовать защиту интересующих систем и проверять наличие брешей. Найдя уязвимость, рекомендуется сразу сообщить о ней владельцу продукта, сайта или сети, не публикуя эту информацию в открытый доступ до тех пор, пока ошибка не будет исправлена.
При этом неэтичным считается требовать деньги в первом же письме, особенно если какое-либо вознаграждение за поиск уязвимости в официальных материалах компании не фигурирует. А вот обсудить премию, когда владелец убедится в реальности обнаруженной угрозы, вполне реально — многие идут навстречу и поощряют энтузиастов за помощь.
Где ищут заказы
Долгое время одним из самых популярных и востребованных ресурсов у белых хакеров всего мира, в том числе из России, была международная платформа HackerOne. На ней представлены программы Bug Bounty от многих крупных IT-компаний.
Российские игроки, в том числе «Яндекс», «Лаборатория Касперского», VK и Тинькофф банк предлагали вознаграждения именно через этот агрегатор. Для компаний такие программы — это шанс избежать многомиллионных затрат и репутационного ущерба в случае реального взлома.
Однако с началом военных действий на Украине HackerOne, чей головной офис базируется в Сан-Франциско, отказалась выплачивать заслуженные вознаграждения хакерам из России и Белоруссии, мотивируя это санкциями. Их награды платформа пообещала придержать или перечислять Детскому фонду ООН (ЮНИСЕФ).
А 25 марта компания объявила о приостановке возможности участия в программе Bug Bounty для российской «Лаборатории Касперского» на неопределённый срок. Как пояснила компания в своём твиттере, страница вознаграждения «Лаборатории Касперского» стала недоступна для исследователей, а существующие средства и обсуждения зарегистрированных уязвимостей оказались заморожены.
С уходом крупнейшей посреднической площадки перед вольными пентестерами из России и Белоруссии остро встал вопрос о том, как продолжать работу в условиях санкций. Есть альтернативные западные площадки, но с ними точно так же есть сложности в проведении транзакций в подсанкционные страны. Так что исследователям российских систем остаётся вручную искать программы вознаграждений непосредственно от компаний.
Ситуация осложнилась и для владельцев корпоративных сетей, ведь многие игроки из сферы кибербезопасности также покинули российский рынок, а IT-специалисты массово начали эмигрировать из страны. В итоге умельцев, способных закрывать дыры и искать бреши в информационных защитах, стало сильно меньше, а оставшиеся потеряли удобный способ связи с потенциальными заказчиками.
Чтобы как-то мотивировать российских айтишников оставаться и работать на родине, правительство задумалось об их господдержке. Позднее Минцифры заявило о готовности поддержать также белых хакеров и распространить на них те льготы, которые ранее ввели для IT-специалистов. Кроме того, министерство предложило ввести прямую финансовую поддержку и субсидировать программы Bug Bounty и проведение пентестов для крупных компаний, которые будут пользоваться услугами белых хакеров.
Между тем российские IT-компании уже готовятся импортозаместить ушедший HackerOne. В 2022 году в России планируется запуск сразу трёх платформ Bug Bounty: от компаний кибербезопасности «Киберполигон», BI.ZONE и Positive Technologies (PT).
Источник: secretmag.ru
Хакеры теперь могут взломать все ваши устройства через Wi-Fi просто и быстро при помощи этой программы
Специалисты по кибербезопасности выяснили, что в сети не так давно появилась вредоносная программа, которая способна получить доступ ко всем устройствам в вашем доме через WiFi-роутер.
Никита Шевцев
Чем дальше, тем тем более изощренные и сложные способы атаки на пользователей смартфонов и ПК придумывают хакеры. Новая программа просто удаленно заражает ваш роутер
В отчете специалистов по компьютерным угрозам из лаборатории Black Lotus Lab подробно описывается несколько наблюдаемых реальных атак на небольшие маршрутизаторы для дома/домашнего офиса (SOHO) с 2020 года, когда миллионы людей начали работать из дома в начале пандемии COVID-19.
0 РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ
Как хакеры взламывают WiFi
По данным Black Lotus Lab, злоумышленники используют трояны удаленного доступа (RAT) для взлома домашнего маршрутизатора. Трояны используют новую разновидность вредоносного ПО под названием zuoRAT для получения доступа к маршрутизатору и последующего развертывания в сети.
После развертывания RAT позволяют злоумышленникам загружать и скачивать файлы на все подключенные устройства в домашней или офисной сети. ZuoRAT устойчив к попыткам изолировать его для дальнейшего изучения. При первом развертывании она пытается связаться с несколькими общедоступными серверами. Если он не получает никакого ответа, то предполагает, что он был изолирован и удаляется сам.
Вредоносное ПО невероятно сложное, и специалисты по кибербезопасности считают, что его могло разработать государство, а не группы независимых хакеров. Это означает, что правительство с большими ресурсами может нацелиться на маршрутизаторы для дома в Северной Америке и Европе. Конечно, это лишь догадки американцев — на самом деле пока не ясно, кто за этим стоит.
РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ
Как только трояны проникают в сеть WiFi жертвы, ущерб, который они могут нанести, безграничен. До сих пор программы лишь крали данные — личную идентифицируемую информацию, финансовую информацию и защищенную деловую или корпоративную информацию. Однако у злоумышленников есть возможность развернуть и другое вредоносное ПО при помощи ZuoRAT, поэтому, возможно, в будущем они смогут этим воспользоваться.
Источник: www.techinsider.ru