Люди в білих капелюхах, або Навіщо компаніям співпрацювати з хакерами

Суспільне

У серпні 2020 року система держзакупівель ProZorro заявила про старт програми Bug BountyBug Bounty — програма, яка пропонується багатьма вебсайтами та розробниками програмного забезпечення. За допомогою неї люди можуть отримати визнання і грошову винагороду за знаходження помилок та вразливостей у системах безпеки. з призовим фондом 7000 доларів. А вже 17 вересня з’явилась інформація, що система переходить на грошову систему винагород: за знаходження вразливостей білі хакери тепер отримуватимуть від 840 до 2800 гривень. 

Розповідаємо, хто такі білі хакери, хто користується їх послугами та скільки можна заробляти, зламуючи системи захисту.

Хто такі білі хакери 

Білі хакери, білі капелюхи, або ж багхантери – це люди, які допомагають компаніям знайти вразливості в системах захисту. Працюють вони на прохання самих компаній. Знайти роботу професіонали в цій сфері можуть через спеціалізовані сайти, найвідоміші з них – це HackerOne, Bugcrowd, SafeHats та Synack. 

Крім того, багато великих компаній мають власні програми Bug Bounty, які допомагають розробникам знайти й усунути помилки, перш ніж про них дізнається широкий загал, а також запобігти випадкам зловживань із боку чорних хакерів.

Під час своєї діяльності білі хакери намагаються не викликати перебоїв у роботі компанії. 

До чого тут капелюхи

Найчастіше хакерів поділяють на два типи: білих і чорних капелюхів (назва походить з вестернів, де ковбої-вороги традиційно носять капелюхи цих кольорів).

Білі капелюхи – хакери, які шукають прогалини в захисті на прохання самих компаній, від яких і отримують винагороду. Чорні ж – звичні для масової культури хакери – працюють у нелегальному полі й використовують свої навички для зламу з метою вигоди, шпигування тощо. Якщо перші допомагають компаніям зберегти свою репутацію, то після атак других, компанії несуть фінансові та/або репутаційні втрати.

З відкритих джерел

Дебетова картка Facebook "Білий капелюх", що надається хакерам, які повідомляють про помилки безпеки

Існує й ширший розподіл, який є не настільки популярним, проте все ж використовується. Зокрема, до зазначених вище хакерів додаються:

  • Сині капелюхи. Загалом це ті самі білі хакери, тільки в термінології технологічного гіганта Microsoft, який активно користується їхніми послугами перед випуском продуктів на ринок. У деяких колах так ще називають людей, які вирішили хакнути когось із помсти, а загалом хакінг як такий їх не цікавить.
  • Зелені капелюхи. Новачки, в яких недостатньо досвіду, аби брати участь у програмах Bug Bounty від великих компаній з серйозною системою захисту, проте вони практикуються на спеціалізованих ресурсах.
  • Червоні капелюхи. Їхня основна мета – боротися з чорними капелюхами. Не просто попередити їхні атаки та посилити захист, а й покарати хакерів-зловмисників, розгорнувши проти них повномасштабну атаку.

Скільки заробляють

Відповідно до щорічного звіту платформи HackerOne, за 2019 рік білі капелюхи заробили 40 мільйонів доларів: сім із них – понад мільйон доларів кожен, тринадцять – понад 500 тисяч і ще 146 по 100 тисяч доларів.

Найбільше торік вдалося заробити хакерам зі США, їхня частка в загальній сумі сягає 16%, на другому місці Індія – 10%, на третьому — Росія з 8%.

Переважна більшість (83%) білих капелюхів – це молоді люди до 34 років. Майже усі вони самоучки, а свій заробіток здебільшого використовують на звичні витрати: оплата навчання, будинку чи купівля авто. Цікаво, що для 59% хакерство – це хобі. 

78% опитаних кажуть, що вказують свій досвід хакерства під час пошуку стабільної роботи.

Хто користується послугами

Для великих корпорацій вже стало нормою звертатися по допомогу до білих капелюхів. Bug Bounty програми були реалізовані у таких компаніях як Microsoft, Apple, Facebook, Google, Paypal, Mozilla, Yahoo!, Reddit тощо.

Компанія Microsoft навіть заснувала Microsoft BlueHat Conference, яка присвячена білому хакінгу та інформаційній безпеці, потрапити на яку можна тільки за запрошенням.

Обсяг винагороди відрізняється від компанії до компанії й залежить від розміру та важливості вразливості, а також від продукту, де її знайшли. Наприклад, Twitter пропонує від 140 до 20 160 тисяч доларів за знайдену "діру" в безпеці, тоді як в Apple винагорода може досягнути мільйона доларів.

Враховуючи тенденції, можна припустити, що клієнтів у білих капелюхів ставатиме тільки більше, оскільки за прогнозами втрати від кіберзлочинності до 2021 року перевищать 6 трильйонів доларів на рік.

Де навчатися

Здебільшого хакери вчаться самостійно за інформацією, яку знаходять в інтернеті, хоча останнім часом почали з'являтися курси етичного хакінгу, наприклад, від платформи HackerOne. Нерідко білими хакерами стають люди з освітою в computer science та сфері інформаційної безпеки.

Читайте також

Як захистити свої гроші. Список найпоширеніших схем кібершахраїв

Як захистити свої дані в інтернеті

Як захиститися від шахрайства з платіжними картками