Что такое этичный хакинг
⛑️ Этичный взлом: учимся белому хакингу
Kamran Poladov Poladov
Когда речь заходит о хакерах, первым делом на ум приходят герои американских фильмов, взламывающие базы ЦРУ. Но хакеры могут действовать и в интересах компаний, помогая найти и обезвредить уязвимости. В этой статье поговорим о разнице между этичным и неэтичным взломом и о карьере этичного хакера. Материал подготовлен при поддержке факультета информационной безопасности онлайн-университета GeekBrains.
Хакинг может быть этичным?
Хакинг – это выявление уязвимостей системы для получения доступа к её слабым местам. Хотя сейчас слово «хакер» ассоциируется с киберпреступниками, идея этичного хакинга появилась намного раньше. В 1960-х годах студенты Массачусетского Технологического Института термином hacking обозначали поиск способов оптимизации систем и машин для их эффективной работы. Но в 1980-х и 1990-х годах хакерами стали называть и преступников в сфере информационной безопасности.
С ростом популярности персональных компьютеров многие важные данные стали храниться на цифровых носителях. Преступники увидели возможность кражи информации, которую можно было бы продать или использовать для мошенничества. Эти цифровые злоумышленники использовали свои навыки для получения доступа к частным компьютерам, кражи данных и даже шантажа. Такого рода хакеров сегодня называют Black Hat Hackers («черные шляпы», «черные хакеры»).
В результате поиска компаниями адекватной защиты получил распространение этичный взлом – тестирование безопасности компьютерных систем. В отличие от черных шляп этичный хакер ( White Hat Hacker ) действует по предварительной договоренности и документирует процесс взлома.
Ответственность за нелегальный хакинг
Однако, если компания официально не объявила об охоте на уязвимости, благородный поиск уязвимостей может обернуться неожиданными последствиями. Так, в 2017 г. 18-летний парень из Венгрии обнаружил, что на сайте транспортной компании при некоторых манипуляциях можно оформить билет по любой желаемой цене. Он сразу сообщил об ошибке в транспортную компанию, а через четыре часа – на главный новостной ресурс Венгрии. На следующий день он был задержан полицией за кибератаку.
Ресурсы для самостоятельного изучения методов хакинга
Познакомьтесь с автоматизированными инструментами OSINT – они помогут в исследовании вопросов безопасности. Чтобы начать работать багхантером, достаточно изучить несколько базовых инструментов:
Где прокачать навыки белого хакинга
Capture the Flag (CTF). Участники CTF-соревнований ищут «флаг», который служит доказательством взлома системы. Соревнования по захвату флага – отличный способ научиться взламывать киберсистемы. Обычно на CTF отводится ограниченное время и в захвате флага участвуют только зарегистрированные команды. Но существует и большое количество CTF в стиле «всегда онлайн», где можно оттачивать мастерство кибервзлома в одиночку и без ограничений по времени.
Востребованность белых хакеров
Тысячи организаций (в том числе General Motors, GitHub, Lufthansa, Nintendo, Spotify и Starbucks) сотрудничают с мировым сообществом белых хакеров. На платформе HackerOne за последний год была организованы тысяча клиентских программ, победителями получены награды на сумму 23 млн долл. Девять хакеров заработали суммарно более 1 млн долл. Средняя суммарная выплата сертифицированному этичному хакеру составляет 82 тыс. долл. в год. Отдельные багхантеры на платформах Bug Bounty зарабатывают до 50 тыс. долл. в месяц.
Карьера этичного хакера
В предыдущей статье мы обсуждали задачи ИБ, одной из которых был тест на проникновение или пентест. Большинство этичных хакеров также тестируют системы на проникновение, но ищут и другие возможные слабые места: сканируют открытые и закрытые порты с помощью инструментов Nessus и NMAP; используют методы социальной инженерии; обходят системы обнаружения и предотвращения вторжений; прослушивают сети, взламывают беспроводные каналы шифрования; захватывают веб-серверы и веб-приложения.
Заключение
Этичный взлом – прибыльное направление для тех, кто хочет развиваться в области ИБ. Можно неплохо зарабатывать, даже не имея формального образования и постоянного места работы. Но для успешной карьеры этичного хакера нужны продвинутые навыки программирования и глубокие знания в ИБ. Овладеть ими самостоятельно непросто – лучше записаться на практический курс по информационной безопасности.
Кто такой этичный хакер?
Этичный хакер моделирует взломы систем безопасности, проводит тесты на уязвимости и придумывает новые способы проверки. Он может почувствовать себя героем сериала «Мистер Робот», который в одиночку противостоит системе, только все его действия будут легальны. Вместе с Иваном Кудрявиным, автором курса «Этичный хакер», разобрались, чем «белый» хакер отличается от «черного» и почему такие специалисты часто работают на фрилансе и какие им необходимы навыки.
Что делает этичный хакер?
Этичный хакер (или «белый» хакер, пентестер) — это специалист по кибербезопасности.
Он проводит пентесты (от penetration test — тест на проникновение), находит и устраняет уязвимости в IT-инфраструктуре компании, которые могут привести к потенциальному взлому. В отличие от обычных хакеров, которых еще называют «черными», он находит баги по запросу бизнеса и официально получает за это деньги.
Чем именно он занимается:
Специалист по информационной безопасности и этичный хакер — это одно и то же?
Не всех специалистов по информационной безопасности можно назвать этичными хакерами. Помимо пентестеров в этой сфере есть специалисты по безопасной разработке и специалисты по сетям. Они настраивают защиту еще на уровне разработки сайтов и приложений или построения систем.
Где нужны этичные хакеры?
Самым большим спросом этичные хакеры пользуются у компаний, которые хранят личные данные клиентов, — интернет-магазины, социальные сети, инвестиционные платформы и другие. А в некоторых сферах, например в банках и здравоохранении, к услугам пентестеров прибегают, чтобы обеспечить соответствие отраслевым стандартам безопасности. Большие корпорации создают целые отделы по кибербезопасности, чтобы не раскрывать конфиденциальные данные сторонним организациям.
Однако не все компании могут позволить себе нанять штатного специалиста. Для большинства представителей малого и среднего бизнеса пентест — это разовая или нерегулярная задача. Поэтому этичные хакеры часто работают на фрилансе или в команде, которая специализируется на кибербезопасности.
Пример задачи
Этичному хакеру нужно проверить уязвимости базы данных клиентов. Он проверяет доступ к серверу и исходным кодам. Смотрит, есть ли уязвимости веб-серверов.
Потом пробует взломать сайт через SQL-код — делает запрос к базе данных. Затем делает межсайтовый скриптинг (XXS) — моделирует атаку на веб-системы. Проверяет, насколько сайт устойчив к произвольному подбору паролей, и пробует получить доступ к системным каталогам, а в конце делает отчет по всем тестам и найденным уязвимостям.
Насколько востребована профессия?
В 2020 году в России на 75% выросло количество преступлений с использованием IT-технологий, а в мире ежегодно случается более полутора миллионов киберпреступлений. Пандемия подстегнула рост и разнообразие кибератак, и, по прогнозам, в 2021 году российская экономика может потерять до 7 трлн рублей в связи с киберпреступностью.
Согласно данным исследования компании Bugcrowd, пентестинг уже считается более прибыльным, чем «черный» хакинг. 70% российских компаний считают защиту данных главной проблемой, связанной с кибербезопасностью.
Сколько получает этичный хакер?
По данным Хабр.Карьеры, медианная зарплата такого специалиста в 2020 году — 120 тыс. рублей. Джуниор может рассчитывать на зарплату от 70 тыс. рублей, мидл будет получать от 120 тыс., а синьор в среднем будет зарабатывать от 200 тыс. рублей.
Что ему нужно знать?
Начните с программирования на Python и JavaScript, изучите Linux и Windows и освойте тестирование на проникновение. Скидка 45% по промокоду BLOG.
Когда появились этичные хакеры?
Первым примером легального взлома систем считается проверка операционной системы Multics ВВС США в 1974 году. В частных сетях заниматься информационной безопасностью с помощью взломов начали в 1990-е после выпуска первого сканера уязвимостей SATAN. При его разработке исследователь Дэн Фармер вручную взламывал сети.
Какие бывают типы хакеров?
Этичных хакеров называют White Hats (белые шляпы), противопоставляя их с киберпреступниками Black Hats (черные шляпы). Это название появилось из вестернов, где хорошие герои носили белые шляпы, а плохие — черные.
Grey Hats (серые шляпы) — серые хакеры проводят взломы как черные, но имеют намерения белых. Они проникают в системы без ведома владельца, чтобы найти уязвимости. Но у них нет намерения навредить: наоборот, они сообщают владельцам о найденных уязвимостях.
Но есть и классификация с другими цветами. В американской военной среде появилось разделение этичных хакеров при пентесте на Red Hats (красные шляпы) и Blue Hats (синие шляпы). Красные хакеры — «дружественная» атакующая команда, а синие — их противники, защитники систем. Такой подход позволяет выявить все возможные уязвимости и обучить команду защитников борьбе с атаками.
Красные шляпы проводят легальные атаки на системы без ограничений, пытаясь взломать их всеми возможными способами. При этом синие шляпы не знают о методах и намерениях красных и защищают инфраструктуру, наблюдая за их действиями.
Позднее в такой структуре пентеста появились и другие команды хакеров. Например, хакеры Green Hats (зеленые шляпы) усиливают защиту с помощью написания кода и изменения дизайна систем. Желтая команда ( Yellow Hats) отвечает за защиту инфраструктуры на стадии ее разработки, фиолетовые ( Purple Hats) вырабатывают лучшую тактику защиты исходя из результатов взлома, а оранжевые ( Orange Hats) следят за взаимодействием команд и помогают им обучаться.
Может ли «черный хакер» стать «белым»?
Что такое Bug Bounty?
Этичные хакеры могут работать как в офисе, так и по системе Bug Bounty, когда на специальных платформах выкладывают задачи и условия, а пентестеры их выполняют и получают вознаграждение. Компаниям проще найти уязвимости заранее и заплатить за это, чем справляться с их последствиями. Для этого они размещают задачи для пентестеров — их можно найти, например, на сайтах HackerOne и BugCrowd.
Нужно ли этичному хакеру специальное оборудование?
Уязвимости в программах и приложениях можно обнаружить, написав код. Но в случае проведения специфичных атак или физического исследования сети этичным хакером понадобятся дополнительные устройства: например, одноплатный компьютер Raspberry Pi, тестовый роутер WiFi Pineapple или флешка Rubber Ducky для выгрузки информации с компьютера.
Как строят карьеру этичные хакеры?
Этичный хакер может стать руководителем подразделения, экспертом в крупной компании или заместителем директора по информационной безопасности. Люди этой профессии редко уходят из специальности, а если уходят, то в какую-то узкую сферу — например в безопасную разработку или безопасность мобильных приложений — и работают вместе с разработчиками.
Этичного хакера могут посадить?
Плюсы и минусы профессии
«Для кого-то плюс в том, что появляется возможность “почувствовать себя хакером”. Но на самом деле, конечно, это не то же самое. Главный плюс — можно найти высокооплачиваемую работу (аналогично сфере DevOps, например).
Из минусов — необходим обширный багаж знаний и опыта из различных направлений IT-сферы. Например, знание языков программирования, сети, виртуализации и т.д. Это достигается за довольно длительное время и с большими усилиями».
В каких случаях становятся «белыми» хакерами?
Как начать?
При активном и обучении освоить профессию можно меньше чем за год.
Вот несколько полезных ссылок для начинающих:
В профессию можно зайти из смежных областей. Например, пентестерами могут стать системные администраторы, которые понимают, что им не хватает знаний для защиты своих систем, или тестировщики. Новые навыки позволят им выйти на новый уровень в профессиональном развитии и повысить свою востребованность. Проще начать будет и разработчикам, ведь у них есть техническая база. С новой профессией они разнообразят пул задач, вырастут в карьере и зарплате, освоят новые технологии.
Этичным хакером может стать и новичок без опыта в сфере. Для начала обучения на курсе SkillFactory «Этичный хакер» не требуется знаний по тестированию или программированию. За 11 месяцев вы попробуете себя в роли нападающей и защищающейся стороны, научитесь проводить атаки на разные типы сетей и настроите свой стенд для тестирования. После прохождения курса вы сможете претендовать на позицию пентестера уровня junior, а наш Карьерный центр поможет вам составить резюме и найти работу.
Даже если после обучения вы передумаете становиться хакером, у вас уже будут знания, нужные в других IT-профессиях. Вы освоите основы устройства Linux и Windows, получите навыки базового администрирования систем, выучите Python и научитесь писать скрипты на Bash и SQL.
После курса вы сможете претендовать на позицию junior-специалиста по кибербезопасности.
Как стать этичным хакером в 2021 году
Добрый день, друзья. Я достаточно долго шёл к этому посту, перелопатил немало форумов, телеграм каналов, ютуб каналов, прочитал комментариев, изучил слитых курсов и я думаю что теперь я готов написать данный пост. Путь я свой начал вообще не из хакинга и даже не из тестирования и сетевого администрирования а самого обычного digitial маркетинга, поэтому объяснять все буду достаточно прозрачно даже для людей не в теме.
Часть материала я взял у Codeby здесь и тут, которые я считаю обязательными к изучению, часть позаимствовал из своего личного XMIND, часть из телеграм каналов
Начну с того, что Хакинг делится на следующие области:
Wi-FI Hacking взлом беспроводных сетей
Я боюсь я перечислил здесь далеко не все, но со временем вы поймете какую ветку развития своего персонажа вы выберете и что Вам ближе. Но есть базовые скиллы с которых Вам нужно начать. Просто необходимо и которые нужно отработать в первую очередь.
Также для меня большим удивлением было когда я начал въезжать в тему что специалисты по информационной безопасности занимаются далеко не тестированием а по большому счету бумажной работой. Что отбило у меня интерес идти в классическую информационную безопасность, так как я не увидел там того хакинга в чистом виде которого я жаждал.
Linux. Базовое знание системы
Следующий пункт в нашем списке
Знание сетей, TCP/IP и модели OSI
Английский Язык
Языки программирования
Ресурсы по Python я приводить не буду их море, и это тема отдельной статьи
После освоения данного материала пора выбирать специализацию. На самом деле к моменту изучения всего этого вы уже найдете ресурсы для дальнейшего кача я все таки выложу лучшие ресурсы
Этичный Хакинг
Перевод курса Ermin Kreponic от команды Codeby — отличное погружение в этичный хакинг, всего по чуть-чуть и вы уже в теме
Лучшее видео этого года на тему хакинга. Must see всем начинающим и немного понимающим английский язык
Этичный хакинг: как взламывать системы и при этом зарабатывать легально
Кто такой хакер? Большинство людей, которые далеки от программирования, представляют перед собой злостного преступника, взламывающего системы безопасности банков, чтобы украсть деньги. Что-то вроде героя Хью Джекмана из фильма «Пароль — “Рыба-меч”», который взламывает шифр Вернама, чтобы украсть из правительственного фонда 9,5 млрд. долларов. Здесь сосредоточимся на правовой стороне взлома, а если ваши представления навеяны именно фильмами, для вас мы подготовили подробный обзор профессии специалиста по кибербезопасности.
Хакером можно быть и легально. Легальных хакеров называют пентестеры, или «этичные хакеры». Вот только нужно хорошо знать, что можно делать во время тестирования системы на проникновение, а что — нельзя. Иначе можно получить вполне реальные проблемы с законом. Совсем недавно мы запустили курс «Этичный хакер», и в этой статье мы поговорим, как заниматься хакингом, зарабатывать на этом неплохие деньги и при этом не иметь проблем с законом. Поехали.
Что грозит хакеру по закону РФ
Для начала поговорим о проблемах, которые могут свалиться на хакера. Практически все правонарушения, связанные со взломом систем и получения доступа к ним, касаются трех законов:
Согласно ст. 13. КоАП РФ (Административные правонарушения в области связи и информации), за разглашение информации с ограниченным доступом, нарушение порядка хранения, использования и распространения персональных данных может грозить штраф от 300 до 20 000 рублей. Это для физических лиц. Для юридических лиц размер штрафа гораздо больше.
В основном она касается людей, которые имеют доступ к подобной информации, и организаций, которые собирают персональные данные клиентов.
К примеру, интернет-магазин собирает клиентскую базу с именами, номерами телефонов и email-ами. А ушлый менеджер решает собрать базу и скопировать ее для дальнейшей продажи на сторону.
Если подобное действие не стало причиной серьезного ущерба, а на менеджера не поступило жалоб в правоохранительные органы, то правонарушение может быть квалифицировано по ст. 13.11 п. 8 КоАП РФ. Наказание за него — штраф в размере от 30 000 до 60 000 рублей.
Что касается уголовного законодательства, то хакеру-злоумышленнику в большинстве случаев грозят следующие статьи УК РФ:
Небольшое отступление. Пентестеры также используют сторонние программы для взлома систем безопасности и получения доступа к закрытой информации. Легальных программ для взлома не существует, поэтому компания, которая заказывает пентестинг, должна в письменной форме дать добровольное согласие на использование сторонних программ. Также пентестеры обычно подписывают соглашение о неразглашении сведений, полученных в ходе атак.
Пентестер: отличия от хакера
Пентестер — это хакер, который работает полностью легально и в рамках закона. Суть его работы — поиск уязвимостей в системах безопасности.
Но есть несколько серьезных отличий:
Пентестер работает исключительно по программам Bug Bounty или после заключения контракта с компанией. Из-за того, что сам процесс пентестинга связан со взломом защиты, процедура очень формализованная.
Нельзя просто найти уязвимость в системе защиты и указать на нее владельцу. Потому что за это можно получить вполне реальное обвинение.
В 2017 году 18-летний хакер нашел уязвимость в системе безопасности венгерской транспортной компании BKK. Баг был простой — с помощью инструментов для разработчика в браузере парень изменил исходный код страницы, вписав свою цену на билет (20 центов вместо 30 евро). Валидация цены не проводилась ни на сервере, ни на стороне клиента, поэтому хакер смог купить билет за эту цену.
После этого он обратился к представителям компании, раскрыв всю информацию об уязвимости. Но получил не благодарность, а уголовное дело. Транспортная компания «обиделась» и подала на него в суд. Парня арестовали.
История закончилась хорошо. Она получила большой резонанс в СМИ, пользователи просто обрушили рейтинг компании в Facebook. А с учетом того, что компания якобы тратила свыше миллиона долларов на защиту данных каждый год, обнаружение такого глупого бага, которым мог воспользоваться любой человек, просто уничтожило ее репутацию.
У парня были благородные намерения — он хотел указать на дыру в системе продаж билетов, наглядно продемонстрировав ее. Но при этом его действия все равно можно квалифицировать как взлом системы безопасности. А это уголовное дело.
Формально компания была полностью права, выдвигая ему обвинения. Какими бы ни были намерения парня, он нарушил закон. И от реального срока его спас только общественный резонанс.
Bug Bounty: как участвовать правильно
Большинство крупных компаний ведут Bug Bounty — специальные программы, в которой компании-разработчики ПО или сайтов предлагают вознаграждение за найденные уязвимости. Компаниям выгоднее платить за найденные ошибки, чем разбираться с последствиями, к которым могут привести эксплойты и уязвимости.
Большинство таких программ размещены на сайтах HackerOne и BugCrowd.
К примеру, вот программы Bug Bounty от Google API, Nginx, PayPal, GitHub, Valve. Средний размер премии за каждый найденный баг в этих программах — 1000 долларов. Есть огромное количество компаний поменьше, которые предлагают 50-100 долларов за ошибку.
Даже Пентагон запускал Bug Bounty! Это же просто мечта для хакера — взломать систему защиты Пентагона, да еще и получить деньги за это от правительства США.
Но даже опубликованная Bug Bounty не означает, что можно ломать и искать дырки где попало. В описании программы владельцы прописывают, какие именно уязвимости будут рассматриваться.
К примеру, Uber дает очень подробное объяснение, что входит в их программу Bug Bounty, а что — нет.
Компания хочет найти уязвимости в системах доступа и хранения данных, возможностей фишинга, оплаты и счетов, несанкционированных действий со стороны пользователя и сотрудников компании. Но в программу не входят общие баги приложения, отчеты о мошенничестве, баги в работе с соцсетями и email-рассылкой.
Впрочем, с чувством юмора у них все нормально. Потому что среди неоплаченных действий есть и следующее:
Entering the Uber offices, throwing crisps everywhere, unleashing a bunch of hungry raccoons, and hijacking an abandoned terminal on an unlocked workstation while staff are distracted
Входить в офис Uber, разбрасывая везде чипсы, выпуская кучу голодных енотов и захват свободного терминала или рабочего места, пока сотрудники сбиты с толку.
Чем подробнее описана Bug bounty, тем проще пентестеру понять, что можно «пробовать на зуб», а чего делать не стоит.
При этом есть общие правила, которые нарушать нельзя. К примеру, при обнаружении уязвимостей в базах данных пользователей нельзя пытаться скачать какие-либо личные данные. Даже при участии в программе это может быть расценено как нарушение закона. Потому что здесь нарушаются права именно пользователей, к которым Bug bounty не имеет никакого отношения.
Российский рынок пентестинга тоже активно развивается. На нем уже есть ряд крупных игроков, которые работают с большими корпорациями. К примеру, Digital Security, НТЦ «Вулкан», Group-IB, BI.ZONE, «Лаборатория Касперского». Но конкуренция на рынке еще довольно невысокая, так что можно вполне комфортно работать и индивидуально.
Некоторые крупные компании вроде «Газпрома» или банковских организаций создают отдельные внутренние подразделения пентестеров, чтобы не раскрывать конфиденциальные данные сторонним организациям.
Поэтому для пентестера есть несколько возможностей:
Чтобы подстраховаться от нечестных компаний, рекомендуем работать через сайты HackerOne и BugCrowd. Просто зарегистрируйтесь и подавайте заявки с обнаруженными багами через них.
Единственное правило — очень детально читать описание программы. Если компания пишет, что платит за уязвимости баз данных, то искать нужно только там. Даже если вы найдете баг где-нибудь еще, то за него не заплатят. Даже наоборот — могут начаться проблемы.
Уэсли Вайнберг в 2015 году нашел одну из самых серьезных брешей в защите Instagram. В ходе пентестинга он обнаружил Ruby-уязвимость, которая позволила ему запустить удаленное воспроизведение произвольного кода.
Это позволило ему прочитать файлы конфигурации, которые содержали доступы к базе PostgreSQL. Там были 60 аккаунтов сотрудников Instagram и Facebook. Как утверждает Вайнберг, взломать их не составило труда — большинство паролей были крайне слабыми — вроде «password» или «instagram».
Далее он получил доступ к нескольким ключам Amazon Web Services, которые ассоциировались с 82 бакетами S3. И в этих бакетах было настоящее сокровище для хакера: исходные коды Instagram, SSL-сертификаты, API-ключи, данные email-сервера, ключи подписей для приложений iOS и Android. Можно сказать, что пентестер получил полный доступ ко всем секретным материалам Instagram.
Он честно сообщил об этой находке представителям Facebook. За один баг ему действительно выплатили 2500 долларов. Но также он получил обвинение в несанкционированном доступе к аккаунтам сотрудников, бан в программе Bug bounty от Facebook и угрозу уголовного преследования. Хотя уголовное дело не было возбуждено, нервы пентестеру потрепали изрядно.
Так что следование прописанным пунктам Bug bounty — это просто обязательно. Иначе можно получить не премию, а обвинение.
Что должен уметь пентестер
Пентестер — это одновременно «универсальный солдат» и узконаправленный специалист. Ему нужно обладать широкими знаниями во многих отраслях программирования и при этом глубокими навыками в одной или нескольких сферах.
В целом считается, что Junior-пентестер должен обладать следующими знаниями:
Также нужно научиться использовать программы для пентестинга вроде BurpSuite, SqlMap, Nmap, IP Tools и Acunetix.
Собственно, именно поэтому в пентестинг рекомендуют идти тем специалистам, у которых уже есть определенный бэкграунд в разработке или тестировании. Потому что даже для уровня Junior количество необходимых знаний просто огромно.
Где учиться на пентестера
И напоследок мы собрали несколько популярных ресурсов, на которых можно получить всю необходимую информацию для профессии пентестера:
Если вы хотите стать пентестером — путь открыт. Но вот стать хорошим пентестером, который зарабатывает десятки тысяч долларов в месяц, намного сложнее. Это уже больше похоже на искусство, а не на ремесло. Готовы к такому? Тогда вперед!
А промокод HABR даст вам получить дополнительные 10% к скидке указанной на баннере.