Этичный хакинг — это поиск уязвимостей в сетевой защите организаций, но не с целью кражи данных и шпионажа, а с целью эту защиту улучшить.
Занимаются этим белые хакеры, которых еще называют пентестерами (pentester, от англ. penetration test — тест на проникновение). Они работают официально и получают зарплату.
Если бизнес переживает, что его могут взломать, выкрасть базы или устроить DDoS-атаку, есть смысл нанять белого хакера. Он просканирует защиту, найдет в ней слабые места. Отчет передаст начальству, чтобы уже оно решало, сколько денег тратить на совершенствование защиты.
Если вы не в курсе, что такое этичный хакинг и как работают белые хакеры, читайте статью. Собрали в ней самое главное: что такое белый хакинг, как работают этичные хакеры, кому они нужны позарез и где искать специалиста.
Нет времени читать статью? Найдите ее в нашем телеграм-канале и сохраните себе в «Избранном» на будущее.
Содержание статьи
В чем заключается работа белых хакеров?
Зачем бизнесу нанимать белых хакеров?
Кому полезны легальные хакеры?
Хочу нанять белого хакера: что делать
Пособие для начинающих: как стать этичным хакером
Шаг 1 — выбрать специализацию
Шаг 2 — получить знания
Шаг 3 — практиковаться
Шаг 4 — найти работу
Что такое этичный хакинг?
Этичный, или белый, хакинг — это поиск хакерами уязвимостей не с целью воровства и наживы, а чтобы проверить систему сетевой безопасности на прочность — то есть найти в ней слабые места.
Далее хакеры протоколируют уязвимости и передают эту информацию разработчикам и инженерам. А те уже допиливают систему до идеала.
Этичность хакера — мера условная. На самом деле нет точного определения, где этичность начинается и где заканчивается. Хотя и считается, что белые хакеры не используют уязвимости в корыстных целях, по факту все завязано на личной нравственности. Но если говорить о хакинге как специальности, под этичностью подразумевают легальность действий хакера.
Если хакинг нарушает законы, он уже не этичный
Легальный хакер — тот, который не нарушает правовые нормы государств. Даже если хакер взломал коррупционеров или мошенников, а общественность все это поддерживает, но нарушены законы, это не этичный, а обычный взлом. За это наказывают.
Зачем нужен белый хакинг?
Если кратко: задача белых хакеров — обнаружить уязвимости в ПО, системах и IT-инфраструктуре бизнеса до того, как это сделают злоумышленники, планирующие украсть секретные данные или сломать оборудование.
У любой крупной компании есть конфиденциальные корпоративные сведения, которыми она не хочет делиться. Это и финансовые отчеты, и клиентские базы, и персональные данные сотрудников, и списки поставщиков, и разработки, и результаты исследований.
Чтобы сохранить всё под семью замками, используют систему сетевой безопасности — различные шифрования, пароли, антивирусники, аутентификации, которые предотвращают утечку данных.
Даже если система безопасности кажется совершенной, по факту ее всегда можно обойти:
- заразить вирусом жесткий диск;
- отправить коллегам почтовый спам;
- организовать промышленный шпионаж;
- устроить DDoS или фишинговую атаку.
Могут подсобить и сотрудники: случайно отправить секретные данные на домашнюю почту, откуда их уже без проблем выудят злоумышленники.
Поэтому и нанимают белых хакеров. Они сканируют защиту со всех сторон и прорабатывают сценарии возможных взломов. Когда прорехи найдены, передают отчет инженерам и разработчикам, чтобы те их устранили.
Мораль следующая: белый хакер действует по заказу бизнеса, ничего не ворует, нигде не вредит. Он делает полезное дело и получает за это деньги.
В чем заключается работа белых хакеров?
В обнаружении проблем и ошибок в системах бизнеса. Далее ошибки передаются программистам, и те их устраняют. Чтобы найти ошибки и уязвимости, хакер запускает пентесты (от англ. penetration test — тест на проникновение). То есть моделирует попытки взлома, с целью выявить бреши, через которые могут прорваться реальные мошенники.
У этичного взлома две фазы — разведка и сканирование, плюс дополнительные инструменты: социальная инженерия, демонстрация методов и физическое проникновение.
✅Разведка
Хакер исследует организацию, чтобы обнаружить уязвимости в сетевой системе и выяснить, как обойти защиту. Информацию для взлома ищет по открытым источникам.
Например, изучает исходные коды, документацию антивирусов, брандмауэров, систем аутентификации, ходит по форумам и советуется с коллегами. Действия хакера для заказчика незаметны.
✅Сканирование
На этом шаге хакер сканирует уязвимости, в основном через автоматизированные инструменты — скрипты и ПО. Он также проводит сетевое картографирование — то есть разрабатывает руководство для взлома, которое в дальнейшем передаст разработчикам, что те по нему усовершенствовали защиту.
✅Социальная инженерия
Еще называют внутренним пентестом. Это когда хакер оценивает, может ли угроза сетевой безопасности намеренно или по незнанию исходить от штатных сотрудников компании.
Например, когда менеджер случайно или намеренно открывает письмо со спам ссылкой.
✅Физическое проникновение
Это пентест, который хакер проводит на различных гаджетах, девайсах и устройствах, задача которых защищать сервера, компьютеры и помещения от физического проникновения. В ходе подобных тестов хакер, например, изучает, насколько легко взломать электронные замки, отключить камеры, обмануть системы контроля доступа.
✅Демонстрация методов
Когда все тестирования завершены, хакер сообщает руководству, где в защите уязвимости и бреши. Эти сведения руководство использует, чтобы принимать решения, как еще защитить фирму, сколько денег на это выделить, каких специалистов нанять.
Зачем бизнесу нанимать белых хакеров?
В основном, чтобы сэкономить деньги. Бизнес не внедряет все защитное ПО, которое есть на рынке, и не раздувает штат безопасников. Он улучшает ту часть защиты, уязвимости которой были обнаружены в ходе пентеста, и содержит столько инженеров и разработчиков, сколько необходимо для ее обслуживания.
Другой бонус — наняв этичного хакера компания может проверить, насколько злоумышленникам легко похитить данные. Ведь бывает, что мошенники не просто сливают данные в сеть, а требуют выкуп. Если бизнес не готов спонсировать незаконную деятельность, лучше заранее перестраховаться.
Кому полезны легальные хакеры?
Бизнесам, которые владеют сайтами, онлайн-платформами, работают в облачных сервисах или имеют сервера с конфиденциальными данными. Причина — все перечисленное работает через программный код.
Сам код — гигантская солянка из команд, функций и операторов. Нет-нет, да и вылезет ошибка. И ладно, если ошибка небольшая, а если серьёзная, то это уже брешь, которую могут использовать злоумышленники.
Если компания получает, хранит или обрабатывает персональные данные — а это, по сути, все современные компании, то она всегда находится в зоне риска.
Звучит параноидально, но вот вам немного статистики.
В 2022 году в открытый доступ попали данные 75% всех россиян. К такому выводу пришли специалисты российского сервиса разведки утечек данных и мониторинга даркнета DLBI. Данные утекали из крупных компаний вроде Почты России, Delivery Club, СДЭК и 260 других менее масштабных.
Утечка — это не только урон репутации, а еще и проблемы с законом, например с 152-ФЗ «О персональных данных».
Если сотрудники компании, да и сам работодатель, занимаются обработкой данных, они являются операторами персональных данных, поэтому обязаны их защищать, а случись что — нести ответственность. Утечка сюда тоже относится. Если данные окажутся доступны третьим лицам — по-простому, слиты в сеть, можно нарваться на штраф (ст. 13.11 КоАП РФ).
Хочу нанять белого хакера: что делать
Белого хакера еще называют пентестером, или pentester. Поискать такого специалиста можно на hh.ru — практика вполне рабочая.
Поиск белых хакеров на сайтах с вакансиями — простой вариант для ленивых
А можно отправиться на специализированные платформы, например HackerOne, Bugcrowd, Synack, и пошерстить там.
Поиск хакеров на специализированных сайтах — вариант посложнее для тех, кто готов заморочиться
Но найм белого хакера — полбеды. Гораздо важнее так составить договор, чтобы хакер спокойно работал, а бизнес не переживал, что тот сольет уязвимости или корпоративные данные в открытый доступ или конкурентам.
Повод для переживания — российское законодательство. УК РФ наказывает за взлом чужой инфраструктуры по трем статьям — ст. 272, 273, 274. Хакер, которого бизнес нанял официально, все равно может нарваться на штраф и даже получить реальный тюремный срок.
Казалось бы, а какая разница, ведь речь про этичный хакинг, но нет. Деятельность белых хакеров не регламентирована, а правовой базы не существует. Что белый хакер, что обычный — закону все равно.
Выручает тут только договор. Рекомендуем в нем четко прописывать, какие способы тестирования хакер может проводит, обязаны ли во время тестов присутствовать штатные сотрудники работодателя. Можно подписать согласие о неразглашении: это также снизит риски, что хакер передаст секретные сведения на сторону.
Пособие для начинающих: как стать этичным хакером
Шаг 1 — выбрать специализацию
Во-первых, белый хакер — это не одна профессия, а целый ряд. Так, различают два типа хакерства — защитников, или blue team, и нападающих, или red team:
- Защитники (blue team) поддерживают безопасность систем на должном уровне.
- Нападающие (red team) находят слабые места и уязвимости.
Профессии blue team
Выделяют четыре специализации:
- Техник по кибербезопасности. Контролирует и раздает штатным сотрудникам бизнеса доступ к операционной системе, ПО, сервисам. Среди обязанностей: устанавливать и следить, как работают системы по управлению паролями, контролировать, какие сайты открывают коллеги и блокировать подозрительные, вести журнал угроз.
- Аналитик по кибербезопасности. Исследует, насколько надежна защита, оценивает, справляется ли она с угрозами, дает рекомендации по дальнейшему развитию.
- Аналитик центра безопасности. Тестирует систему безопасности и постоянно докручивает ее до ума. Координирует обслуживание сети и коммуникации между отделами внутри организации.
- Исследователь в сфере информационной безопасности. Вручную ищет и устраняет угрозы безопасности. Другими словами, делает то, что могли не заметить или пропустить автоматизированные программы и скрипты.
Профессии red team
Выделяют четыре специализации:
- Цифровой криминалист. Исследует киберпреступления, например, кто и почему выкрал корпоративные данные, как и по чьему заказу организовал мошенничество с финансовыми данными. Для этого специалист отслеживает цифровой след преступлений.
- Пентестер. Имитирует атаки, чтобы найти бреши в безопасности и защите.
- Этичный хакер. Устраивает легальный взлом систем бизнеса, чтобы найти слабые места.
- Аналитик по оценке уязвимостей. Анализирует недостатки и уязвимости сетевой безопасности, готовит по итогам работы отчеты.
Шаг 2 — получить знания
У будущего хакера уже могут быть некоторые IT-знания и навыки, а могут и не быть. План действий в обеих ситуациях разный.
Есть знания и опыт в IT
Можно переквалифицироваться на онлайн- или офлайн-курсах в белого хакера, если вы уже:
- знакомы с основами программирования;
- имеете опыт администрирования операционных систем, например ОС Windows и Active Directory;
- знаете, как устроен Linux, сети, IP-адресация, маршрутизация;
- знаете, как настроить защиту от несанкционированного доступа на базе Windows, антивирусных систем, Apache 2, nginx, Auditd, MySQL.
Обычно такими навыками обладают системные администраторы. Из этой профессии перейти в этичный хакинг самое то.
Нет знаний и опыта в IT
Для работы этичным хакером потребуются базовые знания:
- как писать код;
- как устроены операционные системы;
- как работают сетевые взаимодействия и безопасность.
Что хорошо — всему можно научиться. Например, на онлайн-курсах. Вот лишь некоторые их них:
- «Белый хакер» от SkillFactory. Обещают научить проводить пентесты и отражать кибератаки.
- «Пентест. Практика тестирования на проникновение» от OTUS. В программе пишут, что научат выявлять уязвимые места и устранять недостатки в защите.
- «Профессия специалист по кибербезопасности» от Skillbox. Обещают научить, как искать уязвимости, предотвращать угрозы и обеспечивать безопасность IT-систем.
Если вариант с онлайн-школой не очень и хочется все раскопать самостоятельно, можно пойти на GitHub-репозиторий Awesome Ethical Hacking Resources. Здесь всё, что нужно для самообразования: книги, курсы, YouTube-каналы, форумы, курсы.
Научиться этичному хакерству в университетах нельзя, но можно получить одну из легальных специальностей:
- «Информационная безопасность», код 10.03.01;
- «Компьютерная безопасность», код 10.05.01;
- «Информационная безопасность автоматизированных систем», код 10.05.03;
- «Информационно-аналитические системы безопасности», 10.05.04;
- «Безопасность информационных технологий в правоохранительной сфере», 10.05.05.
Учат во многих университетах страны, например в Московском техническом университете им. Баумана, в университете ИТМО, в Санкт-петербургском государственном электротехническом университете «ЛЭТИ», в Московском физико-техническом институте МФТИ.
Шаг 3 — практиковаться
Когда знания есть, нужно получать практику. Разумеется, не ломать сайты государственных банков и частных предприятий, а заходить на специальные тренировочные сайты и выполнять упражнения.
Например:
- Overthewire. Сайт с хакерскими играми, где можно развивать навыки взлома. Игры для любого уровня — от новичков до гуру.
- TryHackMe. Сайт с задачами, которые помогают хакерам приобретать практические навыки.
- DVWA. Приложение, в котором присутствуют различные уязвимости. Хакеру надо все отыскать.
Существуют специальные сайты с задачами для приобретения практических навыков белого хакерства. TryHackMe — один из них
Шаг 4 — найти работу
Работать белым хакером можно на фрилансе, аутсорсе или в штате. Работу можно искать на сайтах с вакансиями типа hh.ru или на Хабр.Карьере. Можно выполнять разовые задачи за гонорары, искать надо на HackerOne, Bugcrowd и Synack.
Главные мысли
- Этичный хакинг — это поиск уязвимостей в сетевой защите бизнеса с целью предотвращения кибератак.
- Этичным хакингом занимаются белые хакеры или пентестеры.
- Этичность хакера заключается в том, что он соблюдает законодательство.
- Польза бизнесу от белых хакеров в том, что они обнаруживают уязвимости в ПО, системах и IT-инфраструктуре до того, как это сделают злоумышленники.
- Чтобы обнаружить уязвимости, белые хакеры сканируют системы компаний на ошибки, проводят сбор данных из документов, проверяют, легко ли взломать физически электронные замки и камеры видеонаблюдения и др.
- Белые хакеры полезны любой компании, которая хранит, собирает или владеет конфиденциальными и персональными данными.
Высоких вам конверсий!
