Хакни мене, якщо зможеш: навіщо компанії себе «замовляють»

Хакни мене, якщо зможеш: навіщо компанії себе «замовляють»

[:ua]

Незаконні зломи, викрадання даних, кібератаки – те, із чим часто асоціюються хакери. Але законослухняні компанії теж користуються їхніми послугами.

Завдяки новинам у ЗМІ слово «хакер» набуло негативного значення. Незаконні зломи, викрадання даних, кібератаки – те, із чим асоціюються сучасні хакери. Але насправді хакери – це фахівці з безпеки, які займаються пошуком слабких місць. Цілком законослухняні компанії вдаються до їхніх послуг, аби виявити «дірки» у своїх системах і перевірити свої продукти на «міцність». Щоб у розумінні обивателя відмежувати таких хакерів від «шкідливих» (malicious hackers), їх стали називати «білими», або «етичними», хакерами.

Як працюють «етичні» хакери

«Хакери взагалі етичні, вони займаються тим, що аналізують системи й шукають, як їх можна використовувати крім того, як це запланували їхні автори», – розповідає співзасновник компанії Berezha Security і «етичний» хакер Володимир Стиран. Етичний хакер – це професія. Ці люди зламують системи не для того, щоб обікрасти їхніх власників, а для того, щоби показати їм вади цих систем і допомогти їх усунути.

Зазвичай це роблять з буквального дозволу власника системи. «Тобто перша особа компанії підписує документарну санкцію, ставиться печатка, і вже на підставі цього документа проводиться так званий penetration testing (пентест, тест на проникнення в систему) або щось на зразок цього», – пояснює Володимир Стиран.

Є компанії та платформи, які спеціалізуються на легальних зломах. Наприклад, український проект HackenProof зі штаб-квартирою в Таллінні (Естонія), на який працює 50 розробників в Києві. HackenProof – це платформа, яка працює за принципом краудсорсингу – тобто до неї підключаються хакери з різних країн. Серед клієнтів HackenProof – український платіжний сервіс Interkassa і сервіс продажу квитків Tickets.ua. Одна з найбільших у світі хакінгових платформ – HackerOne зі штаб-квартирою в Сан-Франциско і офісами в Нідерландах і Лондоні.

«Тож це не „злом“ і „хакерство“, що описують у мас-культурі, а цілком стандартизовані й рутинні процедури, затребувані, передусім, великими компаніями з масштабною IT-інфраструктурою. Адже, як відомо, що складніша система – то більша ймовірність помилок і збоїв», – розповідає R&D-директор компанії «ІТ-Інтегратор» Володимир Кург.

Найпростіша послуга – пентести. З досвіду Володимира, вони затребувані та здійснювалися ще з кінця 1990-х. Зараз до пентестів додаються і тести на проникнення з мереж партнерів і контрагентів. Є ще й група абсолютно окремих завдань зі своєю специфікою: оцінювання «внутрішніх» слабких місць як стосовно інсайдерів – зловмисних користувачів компанії, що працюють у її локальній мережі, так і з огляду на схильність лояльних користувачів до впливу соціальної інженерії.

«І якщо послуги із класичного тестування на проникнення ззовні затребувані й ринок таких послуг в Україні досить зрілий, то попит на оцінювання внутрішніх загроз, наскільки мені відомо, низький. Ймовірно, через те, що якщо в першому варіанті процедури й методи чисто технічні, то в другому істотну роль відіграє людський фактор», – каже Володимир Кург.

Скільки платять хакерам

Аудит ресурсу, за підсумками якого замовник отримує результат пентесту і рекомендації, коштує від $500. Після виконання рекомендацій зазвичай виконують повторний аудит. Якщо говорити про аудит хардверних продуктів, то там вартість злому зростає в десятки, а то й сотні разів.

«Пентести – це просто і масово. А ось злом добре захищених систем „білими“ хакерами – це елітарно і дуже дорого. Корпорації штибу Facebook платять величезні гроші за пошук „слабких місць“», – розповів Андрій Яворський, віце-президент з інжинірингу компанії GlobalLogic.

У великих компаній, зокрема й українських, є програми Bug Bounty – це коли незалежним хакерам виплачують винагороду за пошук «слабин». У листопаді 2017 р. на платформі Bugcrowd у закритому режимі таку програму запустив мобільний оператор «Київстар». А 13 березня 2018 р. компанія офіційно запросила всіх охочих узяти в ній участь. Винагорода за одну знайдену «проріху» в цій програмі сягає $3 000. А середній розмір виплат за останні три місяці склав $450.

«Потреба в поглибленому тестуванні є постійно, адже компанія щомісяця випускає оновлені версії наявних продуктів або запускає нові продукти», – йдеться у повідомленні прес-служби «Київстару». За словами digital-фахівців компанії, вони задоволені результатами Bug Bounty. Публічне тестування закінчилося 27 березня, і до цього моменту надійшло близько 300 повідомлень, включно з дублікатами. Зараз їх розглядають і технічні команди усувають баги, частину вже виправлено.

За весь час програми у ній взяло участь понад 150 осіб з усього світу. Це попередні дані, більш докладні будуть після аналізу двотижневої публічної програми.

Нещодавно результатами аналогічної роботи похвалився і найбільший в Україні банк: у «ПриватБанку», що обслуговує понад 18 млн клієнтів, програма Bug Bounty діє з 2012 р. У 2017 р. він виплатив найактивнішим хакерам 512 000 грн винагороди за злом своїх електронних сервісів. Премії отримали 127 «білих» хакерів. А з початку березня «ПриватБанк» відкрив для багхантерів («мисливців на багів») спеціальний сайт, через який вони й можуть отримувати гроші за виявлені хиби – до $1 000 за кожну.

У випадку з «ПриватБанком» більшість знайдених проблем стосувалося не банківських сервісів, а маркетплейсу «ПриватМаркет». Серед них – потенційна можливість підміни продавцями ціни товару під час оформлення купівлі. Також банк усунув баг із несанкціонованого редагування сторінки магазину-продавця. «Серед найпопулярніших банківських сервісів, таких як „Приват24“, нині знайти „проріхи“ все складніше, але ми готові й надалі платити реальні гроші за кожне підтверджене повідомлення», – запевняє керівник напрямку інформаційної безпеки «ПриватБанку» В’ячеслав Нехороших.

Стартап-хак

Послуги хакерів в Україні замовляють не лише великі компанії, а й стартапи. Hideez – якраз один з них. Він розробляє універсальний «ключ від усіх паролів» – гаджет, який позбавляє людину від необхідності пам’ятати всі свої паролі та щоразу їх вводити. Пристрій вже продають у магазинах, зокрема і в Україні. Крім того, у Hideez є програмний продукт – додаток з аналогічним функціоналом.

«Будь-які компанії, що створюють IT-рішення, IoT (рішення в сфері „інтернету речей“. – Ред.) для агросектора, безпеки або для чого завгодно, – їм усім загрожують зломи, атаки, втрати призначених для користувача даних. І в ідеалі всі компанії мають проходити аудит уразливостей», – розповідає CEO і співзасновник Hideez Олег Науменко.

Перше приватне тестування стартап пройшов ще до початку продажу і закрив «дірки». А в середині березня цього року команда Hideez відвідала форум із безпеки Troopers Conference у Німеччині, де їм запропонували «зламати» і продукт. Це по суті була публічна програма Bug Bounty з призовим фондом. «Зламують» Hideez хакери з HackenProof.

За словами Олега Науменка, краще самому знайти ваду і запобігти можливому злому до того, як постраждають дані клієнтів. «Навіть з погляду економіки це дешевше, ніж потім відшкодовувати збитки постраждалим клієнтам. Не кажу вже про репутаційні ризики», – розповів він «Дому інновацій». Для стартапу, який сам працює у сфері безпеки, це особливо важливо. Адже під час публічної програми Bug Bounty можна отримати зворотній зв’язок від ринку. Це підвищує ступінь довіри до продукту.

Втім, як уточнює Володимир Кург, разові заходи з оцінювання надійності систем і засобів захисту необхідні, але недостатні. І цитує американського криптографа Брюса Шнайєра: «Безпека – це процес, а не продукт».