«Запредельно высокие заработки хакеров – это миф»

Почему быть белым хакером круто, выгодно и безопасно

Для многих слово «хакер» имеет негативный смысл – взломщик, преступник. Но эти определения не относятся к белым или этичным хакерам. Они рушат стереотипы, устоявшиеся и неработающие сценарии, а также ищут новые способы и подходы к обеспечению кибербезопасности. О том, как мечта «стать крутым и ломать компы» привела к белому хакингу, читателям RSpectr рассказывает руководитель группы Red Team SE Group Positive Technologies Константин Полишин.

О ВРАЧАХ ИНТЕРНЕТА

– Кто такие белые хакеры?

– По сути, нас можно назвать «врачами интернета»: ИТ-инфраструктура компании проходит своеобразный чекап у белых хакеров. Они находят скрытые уязвимости, предоставляют отчет и помогают их устранить.

Характерно, что внутри белых хакеров действует иерархия: специалисты по анализу защищенности (ищут максимальное число уязвимостей), пентестеры (тестировщики на проникновение в контур компании), «мобильщики» (занимаются поиском уязвимостей мобильных приложений). Внутри нашей компании есть также специалисты по анализу защищенности банкоматов и промышленных систем управления технологическими процессами.

– По образованию вы ИТ-специалист?

– Нет, «белых хакеров» даже обижает, когда их называют «айтишниками». Поскольку наша экспертиза и профессиональные навыки гораздо шире и специализированнее, чем у классических ИТ-специалистов. Чтобы эффективнее выполнять свою работу, необходимо глубоко разбираться в нескольких направлениях, и это не только программирование, но и администрирование инфраструктуры и сети. Наше мышление отличается от мышления обычных «айтишников».

Справка:

Константин Полишин

руководитель группы Red Team SE Group Positive Technologies

• В 2021 году окончил Федеральное государственное бюджетное образовательное учреждение высшего образования «Национальный исследовательский университет МЭИ», факультет «Информационная безопасность».

• Сертификаты: Offensive Security Certified Professional (OSCP) 2022 год,

OffSec Experienced Penetration Tester (OSEP) 2023 год.

– Чем белые хакеры принципиально отличаются от черных?

– Этикой, подготовкой, навыками и экспертизой. Для белых хакеров зачастую работа является хобби и в некоторой степени развлечением. Это возможность узнать что-то новое, пообщаться с интересными людьми. Для черных хакеров это ремесло является лишь способом заработка. При этом 90% из них – низкоквалифицированные специалисты, основная задача которых сводится к быстрому сканированию, чтобы забрать права доступа и продать их в Darknet.

О ЗАРАБОТКАХ И СОБЛАЗНАХ

– Чей заработок выше – у черных или белых хакеров?

– Свою зарплату я не могу раскрывать, поскольку связан соглашением о конфиденциальности (NDA). Кстати, рассказы о запредельно высоких заработках черных хакеров – это миф, который пошел от соответствующих кинофильмов. И 90% из них зарабатывают относительно небольшие суммы за счет перепродажи доступа, учетных данных и прочих темных делишек.

Существуют организованные преступные группировки, которые могут извлекать большую финансовую выгоду, но их число невелико. Такие группировки можно сравнить с успешными футболистами, только 1% из них зарабатывает много. Но черным хакерам в этом смысле еще сложнее: те деньги, которые они зарабатывают, нужно сначала обналичить, чтобы воспользоваться. Поэтому средний доход таких хакеров сопоставим с зарплатой не особо крутого пентестера.

– Сколько лет вы работаете белым хакером? И не думали ли вы когда-нибудь перейти на темную сторону?

– В этой профессии я больше пяти лет. Что касается соблазна стать черным хакером, то я никогда не думал об этом. Мне гораздо спокойнее живется в легальном поле, плюс возможность постоянно расти и развиваться ценнее, чем жить в тревоге и ждать, когда тебя вычислят.

При этом меня несколько раз вербовали на черный рынок, но я, естественно, отказался. Вербовщики – это профессиональные психологи, и они знают, как и к кому нужно обращаться. Они могут предложить помощь в какой-либо проблеме, например, оплатить аренду квартиры.

– В какой момент вы решили стать белым хакером?

– Это произошло на втором курсе университета МЭИ. Мне всегда хотелось заниматься чем-то интересным и небанальным: классическое программирование с ежедневным посещением офиса не особо прельщало. У меня было хобби: футбол, и там я познакомился с ребятами, в числе которых оказался мой будущий друг и наставник по хакерству. Он работал в Positive Technologies и буквально заразил меня кибербезопасностью. Навсегда запомнил его фразу, когда спросил о роде деятельности: «Компы ломаю!» И я тоже захотел стать крутым и ломать компы.

Вначале я практиковался на легальных площадках, потом составил резюме и попал в команду пентестеров одного из крупнейших системных интеграторов. А спустя два месяца меня пригласили на работу в Positive Technologies.

О СКИЛАХ И ОБЛИКО МОРАЛЕ

– Белые хакеры являются элитой в мире инфобеза. Насколько сложно их найти?

– Найти квалифицированных этичных исследователей уязвимостей непросто. Это связано с несколькими причинами. Например, в нашей команде PT SWARM довольно высокие требования к квалификации хакера: специалисты должны обладать глубокими знаниями в области проведения тестирований на проникновение, программирования, сетевых технологий, администрирования, иметь понимание современных угроз. Также важен практический опыт применения навыков в проектной работе, желание саморазвития в области hard- и soft-скилов.

Разумеется, этические нормы: мы ищем специалистов, которые придерживаются строгих этических правил, понимают границу между легитимной и нелегитимной деятельностью и заинтересованы в работе в нашей команде высококлассных профессионалов.

Наконец, организации, работающие в сфере кибербезопасности, и компании, имеющие свои внутренние отделы белых хакеров, активно конкурируют за лучших специалистов. В силу дефицита квалифицированных кадров на рынке поиск талантов затягивается и усложняется процесс найма.

О НОВОБРАНЦАХ И УСЛОВИЯХ

– Как вы находите новичков в свою команду?

– Во-первых, на специализированных ресурсах и ИТ-конференциях.

Ищем в соцсетях и на отраслевых платформах (Хабр, Хаkер, GitHub, LinkedIn, профильные чаты в Telegram) – там существует множество сообществ и групп, где можно найти потенциальных кандидатов.

Помогают программы багбаунти, которые привлекают желающих протестировать свои ИТ-продукты на уязвимости за вознаграждение. Активные участники таких программ часто имеют высокие навыки и большой практический опыт в анализе защищенности.

Также набираем талантливых ребят через стажировки: мы сотрудничаем с университетами и образовательными центрами.

– На каких условиях вы принимаете их на работу? Предусматриваете ли вы вариант, когда белый хакер может навредить компании?

– Каждый новый сотрудник подписывает договор о конфиденциальности (NDA), чтобы защитить коммерческую тайну, чувствительные данные компании и наших клиентов.

Мы предлагаем хакерам официальное трудоустройство, гибкий график и удаленную работу.

Кроме того, у нас имеется выделенная команда аналитиков, которые по нашим материалам пишут отчеты. Это позволяет белым хакерам сосредотачиваться непосредственно на своей работе и развитии экспертизы.

– Как компания может себя подстраховать, если хакер перестанет быть этичным?

– Принцип минимально необходимого доступа и разделение ролей помогают ограничить доступ к критическим системам и данным. Мы поэтапно привлекаем сотрудников к проектам различной сложности: сначала анализируем их проектную деятельность на классических проектах и далее делаем выводы о готовности участвовать в более сложных и ответственных задачах.

В нашу команду попадают только самые квалифицированные белые хакеры, имеющие успешный проектный опыт и высокую репутацию, которую они ценят.

БАГИ НЕ ПРОЙДУТ

– Как вы оцениваете российский рынок багбаунти? Какие компании проявляют интерес к багхантерам – охотникам за уязвимостями?

– Отечественный рынок находится в стадии активного развития. Многие компании начинают осознавать важность таких программ как инструмента для повышения уровня безопасности своих продуктов и систем.

Интерес, как правило, проявляют:

1. Технологические гиганты – VK, Ozon активно используют программы багбаунти для повышения уровня безопасности.

2. Банковский сектор: банки, финтехи и финансовые учреждения, такие как Тинькофф, понимают важность защиты данных и привлекают этичных хакеров для поиска уязвимостей в своих сервисах и приложениях.

3. Государственные структуры: некоторые государственные организации также проявляют интерес к обеспечению безопасности. Минцифры, например, уже имеет публичные программы багбаунти для повышения киберустойчивости своих систем.

– Каковы основные проблемы и перспективы рынка багбаунти?

– Недостаток доверия: некоторые компании по-прежнему относятся с настороженностью к внешним хакерам, что замедляет развитие рынка.

Правовые аспекты: важно создать четкую правовую основу для защиты интересов как багхантеров, так и компаний, дав обеим сторонам возможность взаимовыгодного сотрудничества.

Образование и повышение осведомленности: необходима активная работа по повышению осведомленности о преимуществах программ багбаунти среди компаний различного масштаба бизнеса.

Екатерина Лаштун

Изображение: Positive Technologies