Етичний хакінг і тестування на проникнення

У сучасному світі існує безліч платіжних систем, соціальних мереж і сайтів, які вимагають для реєстрації особисті дані користувачів, в тому числі і номери платіжних карт, телефонів та E-mail. Цим користується безліч шахраїв, зламуючи і викрадаючи гроші з рахунків, відшукуючи дані для спаму і фішинга. Тому для захисту даних облікового запису, потрібно регулярно проводити тестування систем безпеки сайту або сервісу на наявність певного рівня для захисту рахунків.

Для цього був створений “білий” або етичний хакінг. Фахівці з кібербезпеки в цій сфері шукають прогалини в системах, які забезпечують безпеку сайту, скачують дані. Адміністрацією та власниками сайтів у цьому випадку влаштовуються конкурси для фахівців-хакерів, які намагаються зламати їх сервіс за грошову винагороду. Тому етичний хакінг (CEH – популярний ресурс для його вивчення) став затребуваним.

Bug hunting

Етичний хакінг являє собою схвалену законом форму злому, за рахунок якої відбувається пошук уразливих областей системи. Це робиться для знаходження “проломів” і звертання на них уваги девелоперів. Таким чином значно підвищується рівень захисту. Займаються цим “білі” хакери, які в англійських країнах носять найменування white hat. За родом діяльності протистоять злодіям, які шукають можливість скомпрометувати і продати дані або “злити” конкурентам. Жаргонна назва таких хакерів – black hat. Даний вид діяльності є забороненим законом і карається.

Діяльність

Згідно зі специфікою діяльності “білих” хакерів розрізняють закриті і відкриті конкурси. Вони розрізняються між собою оплатою, кількістю і рівнем кваліфікації учасників. У першому випадку бере участь велика кількість молодих фахівців, які допускаються на основі вивчення отриманих сертифікатів. У другому випадку адміністрація структури вибирає команду хакерів з професіоналів.

Найбільш поширеним способом заробітку для фахівців з кібербезпеки є методика bug bounty. Являє собою систему з пошуку помилок в коді, які знижують максимальний рівень безпеки. Це дозволяє девелоперам завчасно знайти і усунути помилки коду в продуктах. Таким чином у злочинців, які заробляють зломом і поширенням компрометуючих даних про сайти і сервіси і їх користувачів, не буде шансів.

Здійснюється це за рахунок офіційної публікації даних від розробників про оголошення конкурсу на відшукання помилок і вразливих місць в системі. Найчастіше це пов’язане з оголошенням про грошову винагороду. В залежності від рівня складності системи грошовий приз, відповідно, зростає. Потім представлену у відкритому доступі структуру починають вивчати програмісти і хакери на предмет помилок коду і можливостей здобути зашифровані дані. При відкритій програмі всі дані по системі викладаються в Інтернет.

Закритий конкурс

Однак існує і закритий вид тестування. У такому випадку команда розробників підбирає певний набір конкурсантів для злому структури або системи. Набір спеціалістів з кібербезпеки проводиться на основі резюме та конкурсного відбору. Кожному з учасників розсилається запрошення. Часто така професія є супутньою основного заняття. Такою роботою часто займаються програмісти, які розробляють антивіруси та інше для захисту. Етичний хакінг і тестування на проникнення є додатковим доходом для багатьох програмістів. Існують великі конкурси, які дозволяють заробляти до мільйона за злом систем високого рівня.

Платформи

Для здійснення контакту між крадіями та розробниками програмного забезпечення існують платформи. Дві найбільш популярні з них – HackerOne і Bugcrowd. Фактично ці системи є місцем, де можуть зв’язатися розробники і фахівці з комп’ютерної безпеки. Таким чином вони є місцем агрегування IT – середовища. Зареєстровані і отримали сертифікат працівники можуть знайти бажаний рівень структури.

У програмах бере участь кілька сотень тисяч фахівців з усього світу. Крім приватних компаній, що займаються розробкою програмного забезпечення на замовлення, подібні замовлення публікують державні організації. Так, американська штаб-квартира оборони Пентагону запускала на платформі HackerOne “Hack The Pentagon” для власної програми.

Оплата

За пошук уразливих місць у своїх системах платять високі гонорари. В залежності від складності та рівня захисної структури оплата може перевищувати кілька тисяч доларів. Згідно зі статистикою всесвітньої компанії HackerOne, середня оплата за знайдений баг або слабке місце перевищувала 1800 $. За останні роки компанії розробників оплатили “білим” хакерами більше 20 мільйонів доларів.

Історія

Першою модель Bug Bounty ввела американська компанія Netscape Communications Corporations. Це була поява на початку 1990-х служби, яка оплачувала пошук в мережевому коді їх браузера уразливих областей і критичних багів. У корпорації було встановлено, що за допомогою сторонніх фахівців, які залучаються з усього світу, можна набагато швидше знайти проблеми в коді, ніж при тривалому тестуванні і використанні обмеженого штату працівників сфери кібербезпеки. Ця ідея швидко розповсюдилася і до 2000-х років її стали застосовувати багато корпорацій, що займаються IT-сферою.

У Росії і країнах СНД також застосовують цю модель. Часто звертаються за допомогою до фахівців з кібербезпеки і зломщикам великі компанії та державні структури. Була запущена програма з пошуку багів і критичних помилок в державних системах IT. Передбачуваний бюджет централізованої програми повинен становити 800 мільйонів рублів. Згідно зі статистичними дослідженнями, етичний хакінг став більш вигідним, ніж злом.

Коли заняття може бути кримінально-караним

При відсутності у корпорації або сервісу програми Bug Bounty небажано займатися зломом системи. Були випадки, коли “білий” хакер, знайшовши помилку і повідомивши про неї компанії, замість нагороди отримував повістку в поліцію. У такому разі програмісти не раз закінчували тюремним терміном. Тому небажано шукати баги в сервісах, у яких відсутня офіційна програма Bug.

Етичний хакінг і тестування також може бути небезпечним. Але лише в разі неправильного використання або перевищення умов програми Bug Bounty. Так, для спеціаліста з етичного хакінгу знаходження декількох критичних промахів в системі Instagram, які дозволили отримати доступ до даних користувачам і утиліти, це обернулося неприємною несподіванкою. Офіційні представники компанії звинуватили в порушенні принципів програми з пошуку багів. “Білому” хакеру пояснили, що він не мав права торкатися конфіденційну інформацію і системні дані. В результаті була оплачена лише частина виконаної роботи і якби не втручання засобів масової інформації – фахівець був би відправлений за ґрати.

Тому перш ніж почати роботу, бажано ознайомитися з умовами ліцензійної угоди. При недотриманні таких можливе порушення кримінальної справи.

Навчання етичного хакінгу

Злом систем безпеки за останні роки стали прибутковим заняттям. Таким чином, займаються цим все більше програмістів, системних адміністраторів і фахівців з кібербезпеки. З’явилася велика кількість курсів, онлайн-тренінгів і сайтів для практики. Нижче представлено кілька сайтів, на яких можна навчитися і практикувати навички зломщика. Багато в чому завдяки популярності етичного хакінгу торренти і соціальні мережі можна сміливо використовувати.

Google Gruyere

Сайт призначений для новачків. На ньому спеціально додано велику кількість дірок в безпеці, завдяки чому можна дізнатися про те:

  • як можна знайти проблеми в системі захисту сайту і додатки;
  • як шахраї застосовують різні веб-утиліти;
  • яким чином забезпечити захист від злочинців, бажаючих дістатися до даних сайту і користувачів.

Hack This

Розробкою сайту займалися спеціально для навчання новачків у “білому” зломі. Навчальні курси на ресурсі зможуть навчити дампингу, дифейсу і захисту від хакерів. Присутній прогресуюча шкала складності. Також є форум і чат для спілкування між фахівцями і новачками. Це робить сервіс одним з кращих для розсилання нових методів і розсилки.

Hellbound Hackers

Сервіс призначений для відпрацювання практичного підходу. Був створений для вирішення великої кількості проблем з експлойта. На даному ресурсі проходить навчання за їх ідентифікації та усунення. Hellbound Hackers вважається кращим сайтом навчання з наданих в Інтернеті. Кількість зареєстрованих акаунтів перевищує 100 тисяч. Таким чином можна відточити навички та отримати статус спеціаліста етичного хакінгу.