Чем занимается «белый хакер»? Топ-10 вопросов

​

Копипаст. Автором статьи не являюсь.
Среднее время чтения - 20 минут​

Как показывают опросы, хакеры чаще всего ищут не выгоды и лёгких денег, а хотят испытать свои силы, решить головоломку в виде защиты какой-то компании. При этом далеко не всем хочется нарушать закон и рисковать. К счастью, в последние годы активно формируется сообщество белых хакеров, а спрос на их услуги растёт, особенно среди крупных компаний. В этой статье мы с помощью экспертов разберёмся, кто такие белые хакеры, при чём там шляпы, как стать хакером и зачем это может быть нужно.

[1] Чем занимается белый хакер?

Белые или этичные хакеры помогают компаниям находить и устранять бреши в их защите. Такие хакеры действуют по запросам от компаний, которые можно найти на различных сайтах, например HackerOne или Bugcrowd.

Белые хакеры стараются не вызывать перебои в работе компании своей деятельностью — например, они не будут проверять устойчивость к DDoS-атакам в разгар рабочего дня.

[2] Кто такие «white hat» и «black hat»?

Белых хакеров часто называют white hats (белые шляпы), а хакеров-злоумышленников — black hats (чёрные шляпы). Такие наименования появились из-за вестернов, где хорошие ребята носили белые шляпы, а плохие — чёрные.

Основная мотивация белых шляп — развитие своих навыков и использование их во благо компаний, на которые они работают. Основная мотивация чёрных шляп — получение выгоды несмотря ни на что.

Кроме белых и чёрных, часто встречаются gray hats — серые шляпы. Такие хакеры обычно не имеют преступных намерений при взломе, но могут взламывать продукты компаний, которые не публиковали запрос на проверку, а если им в руки попадутся данные, которые можно продать, могут воспользоваться этой возможностью.

[3] Кто такие «blue hat», «green hat», «red hat»?

​

Если с чёрными, белыми и серыми шляпами всё в общем-то понятно, то цветные наименования — явление гораздо менее распространённое. Тем не менее, иногда они используются.

• Blue hat — это по сути тот же white hat, но в терминологии Microsoft. Эта компания активно продвигает аудит продукта хакерами перед выпуском на рынок. Также они учредили Microsoft BlueHat Conference, которая посвящена белому хакингу и информационной безопасности. Попасть туда можно только по приглашению.

Интересно, что в некоторых кругах blue hats — это люди, которые из-за каких-то событий в жизни решили хакнуть кого-то из мести. При этом в остальном хакерское искусство их не интересует. Яркий пример — главный персонаж игры Watchdogs.

• Green hat — хакеры-новички, у которых ещё недостаточно опыта и навыков, но которые при этом активно учатся и развиваются в этом направлении.
  
• Red hat — хакер, основная цель которого — бороться с чёрными шляпами. Но если белые хакеры стараются предотвратить атаки и усилить защиту, красные шляпы хотят наказать хакеров-злоумышленников и обнаружив кого-то из них, могут развернуть против него полномасштабную атаку.

[4] Где белые хакеры находят заказы?

Заказы от компаний в основном публикуются на специальных платформах, таких как HackerOne, Bugcrowd, SafeHats и Synack. Также программы bug bounty поддерживают крупные компании — Google, Instagram, Facebook, Apple, Paypal и многие другие.

[5] Сколько зарабатывает белый хакер?

Заработок белых хакеров зависит от многих факторов, начиная от их навыков и заканчивая простой удачливостью. Для многих этичный хакинг — хобби или периодическая занятость, а не полноценная работа. Однако в опросе за 2019 год платформа HackerOne выяснила, что уже 7 человек, преимущественно занимаясь хакингом, заработали более $1 000 000, ещё 13 — $500 000, а ещё 146 — $100 000. BBC в своей статье пишет, что самые успешные белые шляпы могут получать более $350 000 (~25 600 000 руб.) в год, а в рамках bug bounty программ компании ежемесячно выплачивают до $50 000 (~3 600 000 руб.).

[6] Как стать белым хакером?

В основном хакеры учатся самостоятельно по информации, которую находят в интернете, однако в последнее время стали появляться курсы этичного хакинга, например Hacker101 от HackerOne.

[7] Специалист по информационной безопасности = хакер?

Не совсем, ведь специалист по информационной безопасности в первую очередь проектирует защиту, а хакер, даже этичный, пытается найти в ней уязвимости.

Екатерина Кошкарова, ведущий технический эксперт компании DBI

[8] Кто круче, специалисты по информационной безопасности или хакеры?

Конечно, всё зависит от людей и от ситуации. У специалиста по информационной безопасности и у хакера разные задачи и разные сложности. Но в общем и целом защищаться от возможных угроз сложнее, чем искать уязвимости, ведь хакеру достаточно знать одну лазейку, чтобы достигнуть цели, а специалисту по информационной безопасности нужно создать систему, которая будет защищена от множества уязвимостей.

[9] Как часто в уязвимостях виноваты разработчики?

Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ»

Денис Батранков, эксперт по информационной безопасности Palo Alto Networks

Екатерина Кошкарова, ведущий технический эксперт компании DBI

[10] Какие инструменты используют белые хакеры?

Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ»

Владимир Ротанов, консультант Центра информационной безопасности компании «Инфосистемы Джет»

• фреймворк Metasploit, включающий в себя порядка 3,5 тысяч модулей для эксплуатации различных уязвимостей;
• веб-прокси Burp Suite, позволяющий перехватывать запросы к веб-сайтам и изменять их содержимое, что необходимо для проверки уязвимостей;
• инструмент Hashcat, с помощью которого можно восстановить пароли путем перебора возможных значений, используя хешированные либо зашифрованные данные.

Максим Симченко, руководитель направления особых исследований департамента информационной безопасности Московского кредитного банка

А вот какие результаты получили HackerOne в опросе 2019 года:

​

 

Полезная тема для ознакомления.

 

Будет полезно посмотреть