Люди в белом: как и зачем становиться "этичным" хакером

Люди в белом: как и зачем становиться "этичным" хакером
Большинство воспринимает хакеров вечно сидящими в своих компьютерах и взламывающими информационные системы по всему миру ради наживы. Однако не все так однозначно. Это понятие более широкое и носит далеко не всегда отрицательный оттенок
Забезпечте стрімке зростання та масштабування компанії у 2024-му! Отримайте алгоритм дій на Business Wisdom Summit.
10 квітня управлінці Арсенал Страхування, Uklon, TERWIN, Епіцентр та інших великих компаній поділяться перевіреними бізнес-рішеннями, які сприяють розвитку бізнесу під час війни.
Забронировать участие

Хакеры "черные", хакеры "белые"

Хакеры — люди, которые обладают большей широтой взгляда на какие-то программые вещи.

"Надо начать с определения слова "хакер". На мой взгляд, это человек из сферы IT, иногда программист, иногда разработчик, иногда даже тестировщик, обладающий расширенными взглядами на программирование и компьютерный код. Хакеру интересно, как работает код и как можно манипулировать работой этого кода путем взаимодействия с другой программой/кодом", — рассказывает CEO компании Hacken, разработчика криптовалюты для этичных хакеров, Дмитрий Будорин.

К примеру, форма авторизации на сайте. Обычный человек заполняет ее для входа в личный кабинет. "А хакеру интересно, как можно попасть в личный кабинет без заполнения формы входа или, к примеру, что будет, если в эту форму входа передать неправильные данные или спецсимволы, не сломает ли это систему, не приведет ли к ошибкам", — раскрывает портрет хакера Будорин.

Хакеров очень условно можно разделить на "черных", "серых" и "белых". Первые используют вышеуказанные качества для собственной наживы. "Черные" хакеры просто извлекают личную выгоду путем манипуляции полученной (украденной) информации без ведома владельца программного продукта", — отмечает Будорин. "Белые" же хакеры отличаются тем, что используют имеющиеся знания и возможности с целью улучшить ту или иную программу с разрешения ее владельца и согласно заранее оговоренным условиям сотрудничества. В отличие от своих "коллег" они получают вознаграждение официально, а также имеют возможность работать с крупными мировыми компаниями. "Белый" хакер — это, в первую очередь, человек с твердыми моральными принципами. Как-никак, "белый" хакер работает в сфере кибербезопасности и старается пропагандировать этичность в любых активностях", — подчеркивает глава Hacken. "Серые" же — нечто посередине.

Впрочем, как добавляет тренер ISSP Training Center Алексей Барановский, само выражение "белый хакер" не совсем корректно. "Есть так называемые "white hat hackers", т.е. "хакеры в белых шляпах" — те, кто занимаются легальными видами деятельности, связанными с поиском уязвимостей в информационных системах и их программном и аппаратном обеспечении", — рассказывает Барановский. Сейчас эта сфера уже разрослась настолько, что тут появились узкие специализации — от тестов на проникновение до обратного инжиниринга (исследование программы с целью понять принцип ее работы — ред.), от теста веб-приложений до взлома автомобильных управляющих систем.

Что должен знать и уметь "белый" хакер?

Эксперты считают, что такой специалист должен обладать фундаментальными знаниями сетевых технологий, понимать принципы функционирования различных операционных систем. Кроме того, ему нужны знания по основам архитектуры процессоров и общей аппаратной части компьютерного оборудования. Также этот специалист должен знать основы программирования. "Типичный портрет "нарисовать" затруднительно. Думаю, что это больше образ мышления", — отмечает Алексей Барановский.

Где учатся?

Специалисты считают, что хакерству нельзя обучиться. Это, скорее, стиль жизни. Однако как же люди приходят к нему? Разными путями. Кто-то находит себя в этой сфере после знакомства с компьютерными играми, кто-то учится на программиста или на факультете прикладной математики. Однако в определенный момент эти ребята начинают интересоваться прорехами в кодах, замечают какие-то недоработки и начинают углубленно изучать это.

"Упрощенно я бы сказал, что обучение делает людей программистами, а любопытство программистов делает из них хакеров", — считает глава Hacken.

Таким образом, не так уж важно, где и при каких обстоятельствах были получены знания — в университете, на курсах или самостоятельно. "Но только практика будет связующим звеном всех фрагментов знания. Тут я бы привел аналогию с врачами: обучают их в большом количестве учебных заведений, но только практика будет основой успешной карьеры и профессионализма", — подчеркивает Алексей Барановский.

Тем не менее, есть ряд курсов на онлайн-платформах Coursera и Udemy, где можно познать азы этичного хакерства. Также в Украине работает Kyiv Cyber Academy и курсы на базе компании ISSP, которые готовят "специалистов по внедрению" — сертифицированных хакеров для корпоративных и государственных целей.

Сколько зарабатывают?

Заработок "белых" хакеров на украинском рынке стартует от $500 в месяц. Верхнюю планку для таких специалистов экспертам оценить трудно, так как она очень сильно может варьироваться. К примеру, есть так называемые "баг баунти" платформы, где хакерам платят деньги за найденные баги разной степени сложности. В частности, Apple обещает $200 тыс. за серьезный критический баг в коде, похожие суммы предлагают и другие техгиганты — Intel, Google, и Microsoft.

ЧИТАЙТЕ ТАКЖЕ: Киберполиция ищет хакеров на зарплату до 50 тыс. грн

В то же время хакеры могут работать и в качестве технических специалистов практически во всех компаниях, представленных в интернете, осуществляя тестирование на проникновение или автоматизированное тестирование программного кода. "Тут сложно назвать "среднюю цену по больнице" но я думаю, что меньше $2-3 тыс. в месяц большинство хакеров не получают. Потолком, наверное, может быть $100 тысяч в месяц, однако о стабильности в таком случае говорить не приходится", — рассказывает Будорин.

Какие возникают сложности при обучении и трудоустройстве?

Одной из основных сложностей эксперты называют устоявшийся стереотип о том, что хакер — однозначно отрицательный персонаж. Особенно у людей из стран бывшего СССР, которые пока не привыкли к тому, что бывают этичные хакеры, которые могут взломать систему по заказу клиента.

"К "медвежатникам" люди тоже не один век привыкали, однако в конце концов лучших грабителей сейфов ведь стали брать на работу производители этих же сейфов", — рассуждает Будорин.

Кроме того, осложнить жизнь "белым" хакерам может их желание "ломать все и сразу", а также завышенные ожидания самих работодателей. "Редко кто хочет учить специалиста, все хотят готового, да еще и с огромными требованиями", — говорит Барановский.

Кто нанимает "белых" хакеров?

Как рассказывают эксперты, спрос на услуги хакеров в целом довольно низкий, что продиктовано в основном вышеупомянутым стереотипом о хакерах-злодеях. При этом ИТ-компании, в частности те, которые специализируются на кибербезопасности, с радостью готовы нанять этичных хакеров для осуществления различных тестов на проникновение, тестирования безопасности программных и аппаратных решений, построения систем безопасности. Интересуются такими специалистами и производители программного обеспечения, которые нанимают их для обеспечения качества и безопасности своих продуктов. Кроме того, этичных хакеров берут к себе на работу и крупные игроки для решения своих внутренних задач — крупные холдинги, телекоммуникационные компании и так далее. Однако, как добавляет Будорин, по большому счету "белые" хакеры сегодня работают по аутсорсинговой модели, как независимые специалисты.

Преимущества в найме хакеров

"В первую очередь нужно отметить, что в то время, как привычные программисты знают, как "строить", хакеры не только знают, как строить, но и умеют "ломать". Исходя из этого, наем хакеров усиливает безопасность систем компании", — считает глава Hacken. По причине того, что хакеры обладают иным типом мышления, они могут найти баги там, где обычный технический специалист не будет и искать. Кроме того, хакеры могут стать неплохими архитекторами систем, так как "изнутри" знают, как работает большинство из них. Тренер ISSP Training Center добавляет, что наем хакеров — это, скорее, не преимущество, а необходимость. "Рано или поздно, проблемы кибербезопасности коснутся каждого в той или иной мере, нужно быть к этому готовым", — подчеркивает эксперт.