Эксклюзив
«Нет таких систем, которые невозможно взломать» - интервью с «белым хакером»
Прочтение займет 20 минут

Такие мировые корпорации как Facebook, Apple и Tesla готовы платить сотни тысяч долларов «белым» хакерам за легальный взлом их систем. Украинские специалисты в этой сфере уже давно заняли свое место и тестируют на уязвимость не только программы западных технологических компаний, но и военные сайты Министерства обороны США. А вот отечественные бизнес-структуры и госкомпании пока не спешат  обращаться к ним за помощью - просто не придают кибербезопасности большого значения. Чем это грозит? Как компьютерные технологии могут повлиять на ход выборов? Как рядовому пользователю защитить свои данные?

Об этом и многом другом DATA.UA пообщалась с «этичным» хакером компании Hacken, который работает под ником Jarvis.

 

О выборах и безопасности пользователей

 

Много говорят о вмешательстве хакеров и избирательный процесс. Какую роль компьютерные технологии могут сыграть на выборах?

Хакеры действительно участвуют в этом процессе, но они зачастую не атакуют непосредственно сервера предвыборной комиссии. Могут атаковать конкретного кандидата через социальные сети, размещая рекламную пропаганду, спам рассылку, фишинговые письма.   

Например, подменить рекламу в Facebook: вместо хорошей люди будут видеть негативную. Это серьезно влияет на настроения людей.  Могут заблокировать канал на YouTube, как это было у Садового. Локально влиять на предвыборную компанию можно.

Как правило, электронные системы передачи данных о результатах голосования  защищены надежно и над этим работает большая команда. Их довольно сложно взломать.

По Вашему мнению, есть системы, которые невозможно взломать?

Нет таких систем, комплексных решений, которые невозможно взломать. Все упирается в  уровень знаний, ресурсы и время. Если кто-то говорит, что его приложение невозможно взломать, то он врет.

Как обычному пользователю защититься от хакеров?

Обычному пользователю это сделать несложно, так как на него нет целенаправленной атаки. Когда идет массовая атака и человек является одним из многих, кого пытаются взломать, то достаточно будет соблюдать определённые базовые техники безопасности.  

Есть  стандартные правила, как устанавливать пароль - он должен содержать не менее 10 символов, несколько буквенных символов и специальный символ. Необходимо менять пароли раз в два месяца, ставить двухфакторную идентификацию, но не использовать в качестве двухфакторной идентификации номер телефона. Не использовать одинаковый пароль на разных ресурсах  и другие элементарные меры безопасности.

По возможности использовать разные e-mail для разных ресурсов. Facebook, Twitter, Instagram не должны быть связаны одной почтой. Когда взламывают почту, то автоматически есть возможность получить доступ ко всем аккаунтам, которые к ней привязаны.

Все зависит от того, насколько много у вас критической информации, и какая для вас наиболее важна.  Я предлагаю каждому человеку представить, что у него украли уже данные, которые есть в социальных сетях, мобильных приложениях и т.д.  Насколько это критично? Если не очень, то можно не обращать внимания на личную безопасность в цифровом мире.

Пользователь того же роутера может не подозревать, что его устройство является частью бот-сети

Если говорить о безопасности технических средств, насколько сложно  их взломать?

Это отдельное направление – Internet of Things (IoT), которое предполагает взлом различных технических устройств. Это направление, которое только набирает обороты.  

Tesla выпустила собственную Bug Bounty (система, позволяющая находить уязвимости в ПО и получать за это вознаграждение – ред.), в которой они делают серьезные выплаты. За взлом последней версии iPhone платят до миллиона долларов в том случае, если человек сможет удаленно получить доступ к устройству. Если мы говорим о девайсах крупных брендов Apple,  Samsung, то взломать их очень непросто.

Часто взламываются менее  технически сложные устройства - роутеры, принтеры, их могут объединять с ботнет-сетью, в которой уже есть сотни тысяч таких устройств, и они выполняют определенную задачу. Например, совершить DoS-атаку на определённый ресурс с помощью  ботнет-сети, которая состоит из зараженных машин.

С такой атакой сложно справиться даже крупным компаниями. При этом пользователь того же роутера может не подозревать, что его устройство является частью бот-сети.  Для того чтобы обезопасить свои устройства, необходимо регулярно следить за обновлениями, которые выпускают их производители.

 

О международных клиентах и влиянии спецслужб

 

Кто Ваши основные клиенты?

Как правило, это большие и средние компании, которые выстроили для себя определенный план развития,  у них есть команда ИТ-специалистов, а не один системный администратор, который не знает, что делать.

Есть два кейса, почему к нам приходят компании: добровольно, когда они понимают, что у них что-то не в порядке, и это необходимо усовершенствовать или это молодая команда, которая сделала уже определенные шаги, запустила приложение и начинает думать о безопасности.

Второй случай, когда компанию уже взламывали, она уже уплатила какие-то штрафы за утечку данных, и они принудительно начинают задумываться о своей безопасности.  

Безопасность не вписывается в украинскую бизнес-модель

Для каких целей нанимают «белых хакеров»?

Специалистов по кибербезопасности можно поделить на несколько направлений. Web-безопасность – это все, что связано с сайтами и интернет ресурсами.  Сетевая безопасность – внутренние сети компаний, настройки Wi-Fi, серверов. Reverse Engineering  – разбор готового приложения и поиск в нем уязвимости.  Blockchain и безопасность смарт-контрактов – это сфера, которая связана с криптовалютными операциями. Социотехническое тестирование – проверка сотрудников компании, насколько они подвержены  разным уязвимостям. Есть так же много других направлений.

То есть, «белые хакеры»  тоже занимаются взломом страничек людей?

Если такой заказ есть у компании, то мы производим проверку. Это одно из наиболее популярных направлений. Есть целый пакет услуг социотехнического тестирования, в него входит рассылка спама на почту, сбор информации о пользователях и т.д.

Например, когда на почту приходит какое-то фишинговое письмо с просьбой кликнуть на ссылку, скачать файл, необходимо выяснить,  с какой вероятностью человек это сделает. Целью таких писем является получение логина и пароля пользователя, конфиденциальной информации или доступ к устройству пользователя.

Как правило, компания дает определённые входные данные: ФИО, номер телефона  сотрудника, почта, а дальше уже идет сбор хакерами информации в интернете и в  социальных сетях. На выходе могут быть его пароли и возможно какие-то файлы, место его жительства, банковская карта и так далее.

Для чего  это делают компании?

Компания заказывает такую услугу, чтобы защитить своих сотрудников от «черных» хакеров, которые могут использовать эту информацию в корыстных целях.

Потом с такими сотрудниками проводят разъяснительную беседу?

Да, вызывают и говорят, что тебя легко взломать и можно украсть такие-то файлы. «Белые» хакеры, в свою очередь, должны дать рекомендации, как этого избежать. Или работаем непосредственно с сотрудниками компании и рассказываем, какие пароли  необходимо устанавливать, как относиться к своей безопасности, как защищать свои устройства.

Работники спецслужб предлагают грамотным специалистам «договориться»

Как часто большие корпорации переманивают хакеров к себе на работу?

Да, такое часто делается.

Тем же занимаются спецслужбы, которые набирают специалистов добровольно-принудительно. Например, если хакера ловят на мелком проступке и предлагают работать на них, вместо того, чтобы получить срок. Такая практика есть во всем мире.

Работники спецслужб предлагают грамотным специалистам «договориться». Конечно, если хакер написал один вирус и его на этом поймали, то такого нет. Важную роль имеют навыки самого специалиста.

Мы сейчас говорим о «серых» и «черных» хакерах?

Да, если ты «белый» хакер, то тебе такое не грозит. Хотя всякое может быть, нужно быть осторожным.

 

Об украинском бизнесе, атаках на госкомпании  и европейском опыте

 

Какой процент среди ваших клиентов занимают украинские компании?

Украинские компании практически не обращаются за услугами, в основном это Азия, иногда Америка. Иностранные компании занимают 80%,  а украинские – 20%.

Украинский рынок не хочет становиться безопасным. Когда мы находим какие-то критические уязвимости в отечественных ресурсах и говорим о них разработчикам, они все равно ничего не делают.

С чем связан такой низкий показатель?

В Европе есть General Data Protection Regulation (GDPR)  – это регламент Европейского парламента по защите персональных данных, который заставляет компании выплачивать крупные штрафы за какие-то сливы. Международные компании заставляют заботиться о своей безопасности, в Украине пока такого нет.

Безопасность  не вписывается в украинскую бизнес-модель. С точки зрения бизнеса – это  убыточное направление и на него тратить деньги невыгодно. Все рассчитывают, что их пронесёт и их никто не взломает.  

Безопасность государственных сайтов в Украине находится на очень низком уровне

В СМИ постоянно появляется информация о том, что тот или иной сайт  украинской госструктуры подвергся атакам хакеров. Насколько в действительности сложно сломать сайт украинской госкомпании?   

То, что есть в прессе, - это вершина айсберга. Очень много сливов информации проходят незамеченными. Безопасность государственных сайтов  в Украине находится на очень низком уровне. Проникнуть в тот или иной ресурс не представляется очень сложной задачей. Как правило, такие сайты ломают для пиара, если это российские хакеры, то они могут повесить какой-то баннер. Гораздо критичней, когда взламывают госкомпании, как «Укрпочта», которые владеют данными пользователей.

Почему госорганы не идут на сотрудничество с «белыми» хакерами?

Бывают заказы государственных компаний, но не украинских.  

Министерство обороны США активно занимается защитой всех своих военных сайтов. Достаточно много ресурсов подпадают под одну  Bug Bounty программу. Последние несколько месяцев занимаюсь исследованием сайтов министерства обороны, достаточно успешно. Эта Bug Bounty  программа имеет поддержку на государственном уровне. При этом, она за свои баги не выплачивает деньги, так как багов очень много, но само участие в этой программе является очень престижным.  

Лично я сдал больше 200 уязвимостей по этой программе, всего их было найдено больше тысячи.

Что должно произойти, чтобы украинские компании больше заботились о своей безопасности?

Нужно  на государственном уровне наказывать тех, у кого были замечены утечки каких-либо данных. Причем наказывать крупными денежными штрафами, тогда моментально будет движение.

 

О  первых шагах и  заработной плате

 

Как и почему Вы пришли в эту сферу деятельности?

Я этим занимаюсь давно, начал еще в школе.  Все начиналось с безобидных шуток над школьными компьютерами и компьютерами друзей. Потом поступил в университет,  стал глубже изучать данное направление, учился на технической специальности «Программирование и искусственный интеллект». Практически все я изучал самостоятельно.  

Первая программа, которую Вы протестировали на уязвимость?

Это был сайт  Вконтакте (vk.com), нашел там баг, связан с API (программный интерфейс приложения - ред). Если вкратце - сервер выделял вторичный сессионный токен для ежесекундного получения уведомлений. Этот вторичный токен не сбрасывался после смены пароля, в отличие от основного сессионного токена.

За взлом последней версии iPhone платят до миллиона долларов

Какими базовыми навыками должен обладать «белый» хакер?  Может ли им стать обычный IT-специалист?

Хакер – это человек, умеющий нестандартно решать стандартные задачи. То, что навязано СМИ и телевидением, – такие люди зовутся крэкерами.  Их цель - украсть цифровые данные, навредить чему-либо, зачастую используя уже существующее программное обеспечение или методы атаки. Часто такой взломщик ничего общего с хакером не имеет, это обычный преступный элемент в цифровом мире.

Естественно грамотный специалист должен знать несколько языков программирования, работать с различными операционными системами, фреймворками (набор инструментов для разработки — ред.).    

Для меня основной язык Python – один из самых простых, легкодоступных и известных скриптовых языков.  Как я говорю, если ты что-то не можешь сделать на Python, ты плохо его знаешь.  

Знаю С#, C, C++, PHP, Javascript, но не досконально, а ровно столько, чтобы разобраться в каком-то куске кода или исходнике. Иногда попадается что-то экзотическое, в чем необходимо разобраться ровно на столько, чтобы решить определенную задачу, а потом можно об этом забыть. Это тоже особенность профессии – нужно быстро вникать в незнакомые технические особенности новых задач.

 Я работаю на Linux (операционная система – ред.), так как он быстрее, удобнее и его можно хорошо автоматизировать. Но часто приходится использовать Windows, как дополнительную операционную систему.

Обладая определенными навыками, можно пройти несколько месяцев обучения, например в CyberSchool , и стать настоящим «этичным» хакером.

Этот набор навыков отличается от тех, которыми должен обладать «черный» хакер?

Навыки «черных» и «белых» хакеров  одинаковые. Вопрос только в принципах. Когда говорят, что «черных» хакер по умениям должен быть сильнее, чем «белый», то это не так.

Какой  средний  заработок украинского «белого хакера»?

Тут по-разному, начинают ребята и с 500 долларов в месяц, а могут заканчивать десятками тысяч долларов. Если говорить о Bug Bounty,  речь может идти и до миллиона долларов за одну уязвимость.  Есть сайт Hacker One -  это самая крупная площадка по сдаче уязвимостей систем. Все самые известные  компании, которые интересуются безопасностью, идут туда и просят их взломать, и платят за это довольно  крупные суммы. Также недавно появилась украинская Bug Bounty платформа HackenProof на которой уже более 1500 «этичных» хакеров, включая меня, десятки клиентов и очень достойные выплаты.

Все зависит от того, чем конкретно заниматься, если это ставка в компании,  то это порядка несколько тысяч долларов. Если это Bug Bounty и какая-то очень серьезная уязвимость – десятки - сотни тысяч долларов.

7398