Сегодня, 19:23 БКС Экспресс
Любители классических американских вестернов 1920–1940 гг. без колебаний смогут определить злодея или героя на экране — по цвету шляпы. Головные уборы символизировали контраст между добром и злом: черные носили не самые положительные персонажи, белые — соответственно, наоборот. Удивительно, что подобная классификация обрела новую жизнь в современном мире, только применяют ее не к ковбоям и шерифам, а к хакерам. Плохим, по умолчанию, парням.
Могут ли хакеры быть «хорошими», а также зачем и сколько компании платят за то, чтобы их взломали, разбираемся в материале.
Согласованный взлом и серая мораль
По сути, цветовая индикация за сто прошедших лет не изменилась. «Черными шляпами» в мире кибербезопасности называют хакеров, действующих из корыстных соображений. Их мотивация — финансовая выгода, полученная противозаконными методами. Иногда они действуют, чтобы отомстить, посеять хаос или заявить об идеологическом несогласии.
Противоположные им — «белые шляпы». Их сегодня еще называют «белые» или «этичные хакеры», багхантеры. Они используют те же методы — выявляют уязвимости в IT-инфраструктуре, но делают это с согласия ее владельца. Их опыт и знания, наоборот, помогают компаниям, организациям, правительствам исправить недостатки и усилить защиту от вредоносных атак. Для таких специалистов в IT-сфере стали использовать термин «пентестер», от англ. pentest, «тест на проникновение».
Существуют еще «серые шляпы» — они часто ищут уязвимости компьютерных систем без ведома и согласия владельца, а при их обнаружении сообщают компании и просят небольшую плату за устранение найденных багов. «Серые шляпы» часто отмечают, что не хотят навредить своим вторжением, однако действуют незаконно, а в кибермире их методы не считают этичными.
Кибервзломщики на зарплате
Этичный хакинг пользуется большим спросом у компаний, которым приходится работать с клиентскими данными и хранить большой массив личной информации — социальных платформ, интернет-ритейла, инвестиционных компаний, банков, организаций из сферы здравоохранения. Им проще заплатить за поиск уязвимости, чем устранять последствия ее обнаружения злоумышленниками.
Пентестер может быть штатным сотрудником, специалистом отдела информационной безопасности. Такой формат используют в основном крупные корпорации, а также те организации, где недопустимо раскрытие конфиденциальной информации сторонним лицам. Но для малого и среднего бизнеса помощь «белых хакеров», как правило, разовая или нерегулярная услуга.
Для решения подобных задач компания может проводить специальные хакатоны и конкурсы, предлагая заработать на поиске уязвимостей. Такие состязания в IT-сфере получили название Bug Bounty.
Как это устроено? Компания предлагает задачу с подробным описанием того, что участники могут делать: какие уязвимости интересуют заказчика, какие области IT-системы необходимо протестировать. Задачу размещают на специальной платформе — это может быть внутренний ресурс для специально и адресно приглашенных «белых хакеров». Такие закрытые программы реализуют, например, крупные бигтехи — Google, Amazon, Microsoft. Существуют и открытые сторонние площадки, которые связывают компании и исследователей безопасности.
Если участник согласен с обозначенными правилами, то берется за поиск уязвимостей и в случае нахождения бага отправляет отчет — описывая его и предлагая методы воспроизведения и исправления. Если ошибка находит подтверждение, первый приславший ее, получает вознаграждение.
Bug Bounty в России и недостижимые 60 миллионов
Первая программа Bug Bounty в нашей стране была запущена в 2012 г. Яндексом. После аналогичная платформа появилась у ВК, Positive Technologies, «дочки» Сбера BI.ZONE. Задачи на этих платформах размещают крупные российские компании из финтеха, ритейла, страхования. Заказчиками становятся даже федеральные ведомства и региональные органы власти.
Размер вознаграждений в российском сегменте, как правило, составляет от нескольких тысяч до нескольких сотен тысяч рублей. Но на некоторых задачах можно сорвать неплохой куш. К примеру, за время работы российской платформы Standoff Bug Bounty, запущенной в мае 2022 г., общая сумма вознаграждений за обнаружение уязвимостей достигла 100 млн руб. ВК за поиск багов выплачивает до 3,6 млн руб., а с 2013 г. заплатила «белым хакерам» более 185 млн руб. Вознаграждение от Минцифры и Т-Банка может составить до 1 млн руб., Wildberries — до 500 тыс. руб. Максимальная сумма выплаты на BI.ZONE Bug Bounty составила 2,4 млн руб. за найденную критическую уязвимость.
Несмотря на рост Bug Bounty в России, список заказчиков не слишком разнообразен, отмечают эксперты. Одни компании не хотят афишировать даже вероятность существования уязвимости собственной IT-инфраструктуры, другие не готовы предоставлять собственные системы сторонним киберспециалистам.
В непонятном положении находятся и сами участники. Тесты инфраструктуры проходят по договору с заказчиком, а правила программ Bug Bounty обычно прописаны в публичной оферте. Однако действия «этичных взломщиков», по сути, попадают под ст. 272 УК РФ о неправомерном доступе к компьютерной информации.
Вывести из серой зоны
Правительство не первый год обсуждает легализацию «белых хакеров». Первые упоминания звучали еще в 2022 г. Тогда Минцифры начало прорабатывать возможность ввести понятия Bug Bounty в правовое поле и создать реестр «белых хакеров», однако ряд силовых ведомств выступили против. Некоторые эксперты отрасли добавляли, что бюрократические требования для попадания в реестр и участия в программах Bug Bounty могут отпугнуть потенциальных багхантеров. Да и само нахождение в государственном реестре может иметь долгосрочные последствия, например, для тех пентестеров, которые планируют работу в международных компаниях.
В середине ноября стало известно, в Совете федерации работают над новым законопроектом, направленным на регулирование деятельности «белых хакеров». Авторы предлагают обязать проведение Bug Bounty для всех компаний, относящихся к критической информационной инфраструктуре (КИИ) — банков, телекомов, крупнейших промышленников. Законопроект должен закрепить ответственность участников тестирований — операторов платформ, владельцев информсистем, самих «этичных хакеров». А также установить требования к Bug Bounty площадкам и критерии для их отбора. Так, размер их уставного капитала должен составлять не менее 100 тыс. руб., а сам оператор должен иметь «гарантийный фонд» в размере не менее 5% от уставного капитала.
В проекте также говорится, что владельцы IT-инфраструктуры обязаны гарантировать, что обладают исключительными правами на нее и «не будут нарушены права третьих лиц». Если по результатам будет найдена уязвимость, владелец инфраструктуры передаст в течение пяти дней данные в Федеральную службу по техническому и экспортному контролю (ФСТЭК). Это же ведомство будет контролировать Bug Bounty в России.
http://bcs-express.ru/ (C)
Не является индивидуальной инвестиционной рекомендацией | При копировании ссылка обязательна | Нашли ошибку - выделить и нажать Ctrl+Enter | Отправить жалобу
Могут ли хакеры быть «хорошими», а также зачем и сколько компании платят за то, чтобы их взломали, разбираемся в материале.
Согласованный взлом и серая мораль
По сути, цветовая индикация за сто прошедших лет не изменилась. «Черными шляпами» в мире кибербезопасности называют хакеров, действующих из корыстных соображений. Их мотивация — финансовая выгода, полученная противозаконными методами. Иногда они действуют, чтобы отомстить, посеять хаос или заявить об идеологическом несогласии.
Противоположные им — «белые шляпы». Их сегодня еще называют «белые» или «этичные хакеры», багхантеры. Они используют те же методы — выявляют уязвимости в IT-инфраструктуре, но делают это с согласия ее владельца. Их опыт и знания, наоборот, помогают компаниям, организациям, правительствам исправить недостатки и усилить защиту от вредоносных атак. Для таких специалистов в IT-сфере стали использовать термин «пентестер», от англ. pentest, «тест на проникновение».
Существуют еще «серые шляпы» — они часто ищут уязвимости компьютерных систем без ведома и согласия владельца, а при их обнаружении сообщают компании и просят небольшую плату за устранение найденных багов. «Серые шляпы» часто отмечают, что не хотят навредить своим вторжением, однако действуют незаконно, а в кибермире их методы не считают этичными.
Самый разыскиваемый киберпреступник
Кевин Митник считался самым разыскиваемым хакером в мире. В 1982 г. «ради шутки» взломал компьютер командования ПВО Северной Америки, после — крупнейшие корпорации, правительственные системы. Он прослушивал агентов ФБР, добывал конфиденциальную информацию и данные о банковских картах, а в 1994 г. взломал домашний компьютер Цутому Симомуры, ведущего американского специалиста по компьютерной безопасности.
В 1995 г. Митника арестовали и обвинили в нанесении ущерба на миллионы долларов множеству компаний, включая Motorola, Novell, Nokia, Apple, IBM и FedEx. При этом сам хакер утверждал, что видел в этом интеллектуальный вызов. «Я просто развлекался. Я чувствовал себя волшебником, взламывая системы и получая коды», — говорил он. После 5 лет тюрьмы Митник вышел на свободу и стал консультантом по кибербезопасности, преподавал социальную инженерию сотрудникам коммерческих компаний и правительственных учреждений.
Кевин Митник считался самым разыскиваемым хакером в мире. В 1982 г. «ради шутки» взломал компьютер командования ПВО Северной Америки, после — крупнейшие корпорации, правительственные системы. Он прослушивал агентов ФБР, добывал конфиденциальную информацию и данные о банковских картах, а в 1994 г. взломал домашний компьютер Цутому Симомуры, ведущего американского специалиста по компьютерной безопасности.
В 1995 г. Митника арестовали и обвинили в нанесении ущерба на миллионы долларов множеству компаний, включая Motorola, Novell, Nokia, Apple, IBM и FedEx. При этом сам хакер утверждал, что видел в этом интеллектуальный вызов. «Я просто развлекался. Я чувствовал себя волшебником, взламывая системы и получая коды», — говорил он. После 5 лет тюрьмы Митник вышел на свободу и стал консультантом по кибербезопасности, преподавал социальную инженерию сотрудникам коммерческих компаний и правительственных учреждений.
Кибервзломщики на зарплате
Этичный хакинг пользуется большим спросом у компаний, которым приходится работать с клиентскими данными и хранить большой массив личной информации — социальных платформ, интернет-ритейла, инвестиционных компаний, банков, организаций из сферы здравоохранения. Им проще заплатить за поиск уязвимости, чем устранять последствия ее обнаружения злоумышленниками.
Пентестер может быть штатным сотрудником, специалистом отдела информационной безопасности. Такой формат используют в основном крупные корпорации, а также те организации, где недопустимо раскрытие конфиденциальной информации сторонним лицам. Но для малого и среднего бизнеса помощь «белых хакеров», как правило, разовая или нерегулярная услуга.
Для решения подобных задач компания может проводить специальные хакатоны и конкурсы, предлагая заработать на поиске уязвимостей. Такие состязания в IT-сфере получили название Bug Bounty.
Как это устроено? Компания предлагает задачу с подробным описанием того, что участники могут делать: какие уязвимости интересуют заказчика, какие области IT-системы необходимо протестировать. Задачу размещают на специальной платформе — это может быть внутренний ресурс для специально и адресно приглашенных «белых хакеров». Такие закрытые программы реализуют, например, крупные бигтехи — Google, Amazon, Microsoft. Существуют и открытые сторонние площадки, которые связывают компании и исследователей безопасности.
Если участник согласен с обозначенными правилами, то берется за поиск уязвимостей и в случае нахождения бага отправляет отчет — описывая его и предлагая методы воспроизведения и исправления. Если ошибка находит подтверждение, первый приславший ее, получает вознаграждение.
Объем мирового рынка платформ Bug Bounty в 2024 г. составит $1,52 млрд, а к 2032 г. может достичь $4,95 млрд. При этом среднегодовой темп прироста (CAGR) составит около 15,94% в течение прогнозируемого периода.
Bug Bounty в России и недостижимые 60 миллионов
Первая программа Bug Bounty в нашей стране была запущена в 2012 г. Яндексом. После аналогичная платформа появилась у ВК, Positive Technologies, «дочки» Сбера BI.ZONE. Задачи на этих платформах размещают крупные российские компании из финтеха, ритейла, страхования. Заказчиками становятся даже федеральные ведомства и региональные органы власти.
Размер вознаграждений в российском сегменте, как правило, составляет от нескольких тысяч до нескольких сотен тысяч рублей. Но на некоторых задачах можно сорвать неплохой куш. К примеру, за время работы российской платформы Standoff Bug Bounty, запущенной в мае 2022 г., общая сумма вознаграждений за обнаружение уязвимостей достигла 100 млн руб. ВК за поиск багов выплачивает до 3,6 млн руб., а с 2013 г. заплатила «белым хакерам» более 185 млн руб. Вознаграждение от Минцифры и Т-Банка может составить до 1 млн руб., Wildberries — до 500 тыс. руб. Максимальная сумма выплаты на BI.ZONE Bug Bounty составила 2,4 млн руб. за найденную критическую уязвимость.
Positive Technologies в 2022 г. предложила багхантерам за выплату 10 млн руб. не просто обнаружить уязвимости, но и попробовать «украсть» деньги со счетов компании. Через год сумму увеличили до 30 млн руб. А в 2024 г. удвоили до 60 млн и усложнили задачу — предложили заложить в продукты компании условно вредоносный код. Пока «белым хакерам» так и не удалось достигнуть цели.
Несмотря на рост Bug Bounty в России, список заказчиков не слишком разнообразен, отмечают эксперты. Одни компании не хотят афишировать даже вероятность существования уязвимости собственной IT-инфраструктуры, другие не готовы предоставлять собственные системы сторонним киберспециалистам.
В непонятном положении находятся и сами участники. Тесты инфраструктуры проходят по договору с заказчиком, а правила программ Bug Bounty обычно прописаны в публичной оферте. Однако действия «этичных взломщиков», по сути, попадают под ст. 272 УК РФ о неправомерном доступе к компьютерной информации.
Вывести из серой зоны
Правительство не первый год обсуждает легализацию «белых хакеров». Первые упоминания звучали еще в 2022 г. Тогда Минцифры начало прорабатывать возможность ввести понятия Bug Bounty в правовое поле и создать реестр «белых хакеров», однако ряд силовых ведомств выступили против. Некоторые эксперты отрасли добавляли, что бюрократические требования для попадания в реестр и участия в программах Bug Bounty могут отпугнуть потенциальных багхантеров. Да и само нахождение в государственном реестре может иметь долгосрочные последствия, например, для тех пентестеров, которые планируют работу в международных компаниях.
В середине ноября стало известно, в Совете федерации работают над новым законопроектом, направленным на регулирование деятельности «белых хакеров». Авторы предлагают обязать проведение Bug Bounty для всех компаний, относящихся к критической информационной инфраструктуре (КИИ) — банков, телекомов, крупнейших промышленников. Законопроект должен закрепить ответственность участников тестирований — операторов платформ, владельцев информсистем, самих «этичных хакеров». А также установить требования к Bug Bounty площадкам и критерии для их отбора. Так, размер их уставного капитала должен составлять не менее 100 тыс. руб., а сам оператор должен иметь «гарантийный фонд» в размере не менее 5% от уставного капитала.
В проекте также говорится, что владельцы IT-инфраструктуры обязаны гарантировать, что обладают исключительными правами на нее и «не будут нарушены права третьих лиц». Если по результатам будет найдена уязвимость, владелец инфраструктуры передаст в течение пяти дней данные в Федеральную службу по техническому и экспортному контролю (ФСТЭК). Это же ведомство будет контролировать Bug Bounty в России.
http://bcs-express.ru/ (C)
Не является индивидуальной инвестиционной рекомендацией | При копировании ссылка обязательна | Нашли ошибку - выделить и нажать Ctrl+Enter | Отправить жалобу