Хакер — анонимно о своей работе

Специалист по информационной безопасности на условиях анонимности рассказал нам, в чем различие между «черными»и «белыми» хакерами и сколько зарабатывают на уязвимости в сети.

О профессии

По официальным бумагам  я специалист по информационной безопасности, а в обществе коллег — хакер: мы понимаем, где проходит граница понятий. Слово «хакер» сейчас приобретает все больше негативное значение, но, на самом деле, в нашей профессии встречаются очень разные люди, и это необходимо учитывать. В принципе, существует довольно четкое разделение на «белые» и «черные шляпы» (К «белым» хакерам традиционно относят специалистов по безопасности, к «черным» — киберпреступников —Прим. ред). Приведу пример: оружие могут носить только полицейские, но при этом ведь носят и бандиты. Так и у хакеров, мы все используем одни и те же методики поиска уязвимостей, но распоряжаемся полученной информацией по-разному: одни отправляют ее разработчику, другие продают на черном рынке. Это вопрос мироощущения и внутренней мотивации.


«Я думаю, что бесполезно пытаться перетянуть черных хакеров на светлую сторону: у этих людей своя внутренняя мотивация»

О черных и белых хакерах

На черном рынке заработать можно больше. Как только выплаты «по-черному» и «по-белому» начнут совпадать, человек охотнее отдаст имеющуюся информацию в «белое» русло и не будет плохо спать, беспокоиться за себя и своих близких. Сколько бы ни платила большая компания, как, например, Facebook, эксплуатация любой его уязвимости на черном рынке принесет гораздо больше. А данные какой-нибудь «Рога и копыта» не многим интересны: даже заплатив небольшую сумму денег, они автоматом переведут информацию на себя.

Чтобы работать «по-черному». нужно знать выходы на рынок и не засветиться. Как это сделать, я не знаю: либо ты изначально работаешь в этой системе, либо нет. Быть где-то посередине вряд ли получится. Я думаю, что бесполезно пытаться перетянуть черных хакеров на светлую сторону: у этих людей своя внутренняя мотивация. Хотя, конечно, есть красивые истории. Тот же Кевин Митник (американский хакер, был приговорен к тюремному заключению за взломы — Прим. ред) отсидел, а теперь работает консультантом по компьютерной безопасности. Есть легенда, что хакеру, который засветился, часто предлагают работу различные структуры: и коммерческие, и государственные. Ведь это, в любом случае, очень умный человек. Таких людей пытаются приманить или принудить: «Хочешь — сиди, хочешь — работай». Я лично с такими людьми не знаком, но история выглядит достаточно разумно.

О популярности в профессиональной среде

Хакеры, в романтической части этого термина, немного Робин Гуды. И среди хакеров, и среди специалистов по безопасности распространено: ты исследуешь определенную проблему и для ее решения разрабатываешь программу — они часто публикуются в открытом доступе со ссылкой на создателя. Я не знаю, что творится у черных хакеров, но ведь существуют известные и продвигаемые группировки. Среди белых хакеров есть довольно структурированный рейтинг на платформах. Он основан на нескольких метриках: ключевыми факторами являются количество уникальных уязвимостей и уровень их угрозы. В целом, получается довольно объективное ранжирование. В профессиональной среде репутация, конечно, приносит выгоду.

О востребованности краудсорсинговых платформ

Сейчас особенно модным стал краудсорсинг: какую бы команду безопасности ни имела IT-компания, она не сможет обеспечить такого же покрытия. По моим подсчетам, рынок безопасности таких специалистов, как я, насчитывает 50 тысяч человек в мире.

Понятное дело, что в крупных компаниях есть и собственные специалисты, но все понимают: вероятность того, что ошибка будет не замечена, высока. Команда привыкла к схеме работы, которая уже существует в системе. Они могут просто проглядеть тот неочевидный путь, который в реальности существует. А человек со стороны найдет это стечение обстоятельств и сообщит компании. Она, в свою очередь, исправит уязвимость, проведет расследование. Тот же Facebook платит много: его данные слишком дорого стоят.

О дубликатах и уникальных уязвимостях

Бывает, обнаруживаешь какую-то красивую или серьезную уязвимость, но ее уже нашли буквально за час до тебя: ты не успел, хотя мог бы. Таковы правила игры.

Средняя температура по больнице — около 60% дубликатов, но в моей практике меньше. Здесь надо понимать, что есть люди, которые подобным трудом «кормят деревни». Они присылают разработчикам все вплоть до недоработок дизайна: сами по себе они не несут никакой угрозы, но можно было бы сделать лучше. Я сообщаю о более интересных вещах, в них меньше повторений.


«Это отчасти лотерея: можно заработать, например, 10 000 долларов, а можно вообще ничего»

О денежной мотивации

Я знаю людей, для которых поиск уязвимостей – основная работа, full-time, грубо говоря. Для меня это что-то вроде хобби, которым я занимаюсь в свободное время. Но, на самом деле, при должном уровне самоорганизации за такое увлечение без особых усилий можно получать две-три тысячи долларов в месяц. Это отчасти лотерея: можно заработать, например, 10 000 долларов, а можно вообще ничего. Все как в покере: только игроки инвестируют время и деньги, а хакеры только время.

Любую систему можно взломать — это факт. Человеческий фактор в большинстве случаев является основным каналом утечки информации, и это помимо простых паролей и плохо настроенных систем. Людям свойственно совершать ошибки: даже чтобы просчиталась программа, сначала ошибку в написании кода допускает человек. Поэтому оплата — разумная мотивация. Если компании не будут платить, их, скорее всего, просто не будут исследовать. Я могу проверить какой-нибудь стартап просто так. Бывает, честно говорят: «Помогите, мы только открылись, у нас денег хватает на полтора программиста». Здесь выгода в том, что ты получаешь очки рейтинга.

Kamilla_Dja,
Комментарии

Наши проекты