Хакни меня, если сможешь: зачем компании себя «заказывают»

Хакни меня, если сможешь: зачем компании себя «заказывают»

Незаконные взломы, кража данных, кибератаки – то, с чем часто ассоциируются хакеры. Но законопослушные компании тоже пользуются их услугами.

Благодаря новостям в СМИ слово «хакер» обрело негативный смысл. Незаконные взломы, кража данных, кибератаки – то, с чем ассоциируются современные хакеры. Но на самом деле хакеры – это специалисты по безопасности, которые занимаются поиском уязвимостей. Вполне законопослушные компании прибегают к их услугам, чтобы выявить «дыры» в своих системах и проверить свои продукты на «прочность». Для разграничения «полезных» и «зловредных» хакеров (malicious hackers) в понимании обывателя первых стали называть «белыми», или «этичными», хакерами.

Как работают «этичные» хакеры

«Хакеры вообще этичные, они занимаются тем, что анализируют системы и ищут, как их можно использовать кроме того, как это запланировали их создатели», – рассказывает сооснователь компании Berezha Security и «этичный» хакер Владимир Стыран. Этичный хакер – это профессия. Эти люди взламывают системы не для того, чтобы обворовать их владельцев, а для того, чтобы показать им уязвимости этих систем и помочь их исправить.

Обычно это делается с буквального разрешения владельца системы. «То есть первое лицо компании подписывает документарную санкцию, ставится печать, и уже на основании этого документа проводится так называемый penetration testing (пентест, тест на проникновение в систему) либо что-то наподобие этого», – объясняет Владимир Стыран.

Есть компании и платформы, которые специализируются на легальных взломах. Например, украинский проект HackenProof со штаб-квартирой в Таллинне (Эстония), на который работает 50 разработчиков в Киеве. HackenProof – это платформа, которая работает по принципу краудсорсинга – то есть к ней подключаются хакеры из разных стран. Среди клиентов HackenProof – украинский платежный сервис Interkassa и сервис продажи билетов Tickets.ua. Одна из крупнейших в мире хакинговых платформ – HackerOne со штаб-квартирой в Сан-Франциско и офисами в Нидерландах и Лондоне.

«Так что это не „взлом“ и „хакерство“, описываемое в масс-культуре, а вполне стандартизованные и рутинные процедуры, востребованные, в первую очередь, крупными компаниями с масштабной IT-инфраструктурой. Ведь, как известно, чем сложнее система – тем больше вероятность ошибок и сбоев», – рассказывает R&D-директор компании «ИТ-Интегратор» Владимир Кург.

Самая простая услуга – пентесты. По опыту Владимира, они востребованы и проводились еще с конца 1990-х. Сейчас к пентестам добавляются и тесты на проникновение из сетей партнеров и контрагентов. Есть еще и группа совершенно отдельных задач со своей спецификой: оценка «внутренних» уязвимостей как относительно инсайдеров – злонамеренных пользователей компании, работающих в ее локальной сети, так и ввиду предрасположенности лояльных пользователей к воздействию социальной инженерии.

«И если услуги по классическому тестированию на проникновение извне востребованы и рынок таких услуг в Украине достаточно зрел, то спрос на оценку внутренних уязвимостей, насколько мне известно, низок. Вероятно, из-за того, что если в первом варианте процедуры и методы чисто технические, то во втором существенную роль играет человеческий фактор», – говорит Владимир Кург.

Сколько платят хакерам

Аудит ресурса, по итогам которого заказчик получает результат пентеста и рекомендации, стоит от $500. После выполнения рекомендаций обычно проводится повторный аудит. Если говорить об аудите хардверных продуктов, то там стоимость взлома вырастает в десятки, а то и сотни раз.

«Пентесты – это просто и массово. А вот взлом хорошо защищенных систем „белыми“ хакерами – это элитарно и очень дорого. Корпорации вроде Facebook платят огромные деньги за поиск уязвимостей», – рассказал Андрей Яворский, вице-президент по инжинирингу компании GlobalLogic.

У больших компаний, в том числе украинских, есть программы Bug Bounty – это когда независимым хакерам выплачивается вознаграждение за поиск уязвимостей. В ноябре 2017 г. на платформе Bugcrowd в закрытом режиме такую программу запустил мобильный оператор «Киевстар». А 13 марта 2018 г. компания официально пригласила всех желающих принять в ней участие. Вознаграждение за одну найденную уязвимость в этой программе доходит до $3 000. А средний размер выплат за последние три месяца составил $450.

«Потребность в углубленном тестировании есть постоянно, ведь компания каждый месяц выпускает обновленные версии существующих продуктов либо запускает новые продукты», – говорится в сообщении пресс-службы «Киевстара». По словам digital-специалистов компании, они довольны результатами Bug Bounty. Публичное тестирование закончилось 27 марта, и к этому моменту поступило около 300 сообщений, включая дубликаты. Сейчас их рассматривают и технические команды устраняют баги, часть уже исправлена.

За все время программы в ней приняло участие свыше 150 человек со всего мира. Это предварительные данные, более подробные будут после анализа двухнедельной публичной программы.

Недавно результатами аналогичной работы похвастался и крупнейший в Украине банк: в «ПриватБанке», обслуживающем свыше 18 млн клиентов, программа Bug Bounty действует с 2012 г. В 2017 г. он выплатил самым активным хакерам 512 000 грн награды за взлом своих электронных сервисов. Премии получили 127 «белых» хакеров. А с начала марта «ПриватБанк» открыл для багхантеров («охотников за багами») специальный сайт, через который они и могут получать деньги за обнаруженные уязвимости – до $1 000 за каждую.

В случае с «ПриватБанком» большинство найденных уязвимостей касалось не банковских сервисов, а маркетплейса «ПриватМаркет». Среди них – потенциальная возможность подмены продавцами цены товара во время оформления покупки. Также банк устранил баг по несанкционированному редактированию страницы магазина-продавца. «Среди самых популярных банковских сервисов, таких как „Приват24“, сейчас найти уязвимости все сложнее, но мы готовы и дальше платить реальные деньги за каждое подтвержденное сообщение», – уверяет руководитель направления информационной безопасности «ПриватБанка» Вячеслав Нехороших.

Стартап-хак

Услуги хакеров в Украине заказывают не только большие компании, но и стартапы. Hideez – как раз один из них. Он разрабатывает универсальный «ключ от всех паролей» – гаджет, который избавляет человека от необходимости помнить все свои пароли и каждый раз их вводить. Устройство уже продают в магазинах, в том числе и в Украине. Кроме того, у Hideez есть программный продукт – приложение с аналогичным функционалом.

«Любые компании, которые делают IT-решения, IoT (решения в сфере „интернета вещей“. – Ред.) для агросектора, безопасности или для чего угодно, – они все подвержены взломам, атакам, потере пользовательских данных. И по-хорошему все компании должны проходить аудит уязвимостей», – рассказывает CEO и сооснователь Hideez Олег Науменко.

Первое приватное тестирование стартап прошел еще до начала продаж и закрыл уязвимости. А в середине марта этого года команда Hideez посетила форум по безопасности Troopers Conference в Германии, где им предложили «взломать» и продукт. Это по сути была публичная программа Bug Bounty с призовым фондом. «Взламывают» Hideez хакеры из HackenProof.

По словам Олега Науменко, лучше самому найти уязвимость и предотвратить возможный взлом до того, как пострадают данные клиентов. «Даже с точки зрения экономики это дешевле, чем потом возмещать убытки пострадавшим клиентам. Не говоря уже о репутационных рисках», – рассказал он «Дому инноваций». Для стартапа, который сам работает в сфере безопасности, это особенно важно. Ведь во время публичной программы Bug Bounty можно получить обратную связь от рынка. Это повышает степень доверия к продукту.

Впрочем, как уточняет Владимир Кург, разовые мероприятия по оценке уязвимости систем и средств защиты необходимы, но недостаточны. И цитирует американского криптографа Брюса Шнайера: «Безопасность – это процесс, а не продукт».



Добавить комментарий