Взламываю «админки» на заказ, получаю до $5 тыс. Как я стал «белым хакером»

2020.10.20 | 11:01

AMP logoAMP-версия

Взламываю «админки» на заказ, получаю до $5 тыс. Как я стал «белым хакером»

- 20 Окт 2020
42
0

Сергей Харюк работает «белым хакером» в Hacken.io. Вместе с командой они имитируют атаки киберпреступников. Так они выясняют, где в системах компаний слабые места и как их защитить.

В партнерском материале Сергей рассказал, кто такой «белый хакер», где научиться этой профессии и почему ее ценят на Западе больше, чем в Украине.

Учителя отпускали меня с уроков, и я помогал им с компьютерами

Сергей Харюк

Сергей Харюк

Впервые я познакомился с компьютером в пять лет. У моего двоюродного брата я поиграл в PacMan − и с тех пор тоже захотел компьютер. Но получил я его спустя 10 лет, уже в старших классах.

В 5 лет я переехал с семьей в село, где пришлось забыть об «инновациях». Меня спасала «Компьютерная энциклопедия профессора Фортрана», которая помогла узнать IT ближе. Книгу сверстали в виде ноутбука: ее можно было открыть и представить, что ты печатаешь текст или играешь.

Параллельно я вдохновлялся фильмами о хакерах и высоких технологиях: «Пароль “Рыба-меч”», «Матрица», «Хакер». В восьмом классе в нашу школу привезли компьютеры, и я наконец-то добрался до них. Ученикам достались компьютеры на процессорах Intel Celeron, а учителю − на топовом в то время Pentium 4.

За год я разобрался, как работают операционные системы и несколько раз переустановил их. Еще я пробовал писать код на языках Basic и Pascal − но у меня не было системных знаний и получалось плохо. За мои старания меня свободно пускали к учительскому компьютеру.

К 10 классу я ходил в школу как на работу − учителя плохо пользовались компьютерами, и я помогал им печатать тексты, сканировать документы. В 11 классе областная администрация проверяла школу целый месяц, и мне приходилось готовить отчеты. Домой я приходил только к ночи.

Работал в две смены и создал сообщество «Киевских хакеров»

После школы я переехал в Киев и стал работать в две смены: днем на парковке, а ночью охранником на рынке.

В свободное время ходил в компьютерный клуб, чтобы добраться до интернета и узнать что-то новое: как работают операционные системы, почему получается их взламывать, как работает перебор паролей и как это все применять.

Начитавшись книг и статей в интернете, я решил получить профильное образование. Поступил в компьютерную академию «ШАГ», и спустя месяц начал искать работу. В одной из email-рассылок с вакансиями мне попался номер ICQ (мессенджер, популярный в 2000-е − Прим. ред.), и я написал по нему.

Сергей Харюк с командой Hacken.io

Сергей Харюк с командой Hacken.io

Так я познакомился с Сергеем Зинченко − он предложил работу, и с тех пор мы лучшие друзья. Я стал системным администратором: помогал чинить компьютеры в клубах, где люди сидели за виртуальными игровыми автоматами.

После пяти лет работы системным администратором я стал вирусным аналитиком в Zillya. В компании я обновлял базы антивирусов и изучал, как ведут себя вирусы.

Так я решил узнать больше о хакерстве. Вместе с друзьями мы начали проверять, как можно взломать системы защиты. Поначалу мы брали заказы на стороне, а затем решили создать компанию. Однако стартап быстро прогорел − нам не хватило опыта, чтобы получать стабильную прибыль. Компанию закрыли, и затем я перешел в Hacken.io.

Наша работа похожа на игру: одни «хакеры» атакуют, а другие «защищаются»

Работа белых хакеров похожа на игру двух команд: «красных» и «синих». «Красные» имитируют действия настоящих хакеров: они ищут уязвимости в системе и через них пытаются получить доступ над компьютером. Затем они говорят «синей» команде, где эти уязвимости и как от них защититься.

Еще мы помогаем компаниям связываться с «белыми хакерами» на платформе hackenproof.com. Она работает так: компания публикует заявку, чтобы «белые хакеры» атаковали ее сайты и сервера. Если они найдут уязвимости, то расскажут о них.

Сергей Харюк с командой Hacken.io

Сергей Харюк с командой Hacken.io

За слабую уязвимость − например, если удасться раскрыть IP-адрес, компания заплатит $100. За серьезную уязвимость − вроде взлома «админки» компании  − им заплатят $5 тыс.

Иногда «белые хакеры» работают оффлайн − например, приезжают в коворкинг и за несколько часов проверяют там все компьютеры. И если находят уязвимости или ошибки, то рассказывают о них разработчикам. После такого марафона все остаются на вечеринку.

Сколько зарабатывают «белые хакеры»

В украинских компаниях «белые хакеры»-новички получают от $300, а опытные ребята − до $6 тыс. Средняя зарплата в стране держится на уровне $2,7 тыс. − это меньше, чем у разработчиков или в DevOps (эти специалисты проверяют код от разработчиков − Прим. ред.), поэтому белые хакеры часто меняют профессию или сферу на более прибыльную.

Украинскому рынку есть куда расти, и уже сейчас вакансий в сфере кибербезопасности стало больше, чем 10 лет назад.

На фрилансе некоторые «белые хакеры» могут зарабатывать от $500 до $5 тыс. в месяц. Но такие заработки нестабильны: сегодня у тебя есть заказы, а завтра уже нет. Поэтому многие специалисты предпочитают работать в компаниях, где платят одинаково каждый месяц.

Сергей Харюк с командой Hacken.io

Сергей Харюк с командой Hacken.io

Иногда слышу, что «черные» хакеры могут зарабатывать миллионы. Но на свободе «белые хакеры» могут учиться и со временем получать больше денег, чем «черные». Допустим, средняя зарплата «белого хакера» − $5 тыс в месяц. Если он захочет нечестно заработать $250 тыс., то ему грозит срок до 10 лет. За это время в тюрьме хакер потеряет $600 тыс.

Но людей все равно тянет на риск. А без «черных» хакеров у «белых» не было бы работы.

Как стать «белым хакером»

Чтобы работать с информационной безопасностью, нужно разбираться в компьютерных сетях, операционных системах, мобильных и веб-приложениях. Полезно уметь программировать, чтобы автоматизировать сканирование на уязвимости. Неплохо знать основы криптографии, а иногда и прикладной математики.

«Белые хакеры» могут выбрать три направления:

  1. Пентестеры (от англ. penetration testers) − проверяют, как можно взломать операционные системы. Подойдет тем, кому хочется нарушать правила
  2. «Расследователи» − выясняют, например, из-за чего произошел взлом: ищут его следы и доказательства. Подойдет тем, кто любит правила
  3. Аналитики безопасности − мало общаются с людьми, но следят за возможными атаками на компьютеры компании. Это труд для тех, кто внимателен и может разобраться в больших объемах данных
Сергей Харюк с командой Hacken.io

Сергей Харюк с командой Hacken.io

Если человек без опыта хочет стать «белым хакером», то он может пройти базовые курсы и стать стажером. Стажировки проводят и в Hacken.io: если новичок показал себя с хорошей стороны, то мы возьмем его в команду. Главное, чтобы стажер практиковался и слышал советы от коллег.

Не советую учиться на «белого хакера» в вузах − их программы устаревают еще до того, как по ним начинают учиться. Один из бывших студентов сказал мне: «За три месяца работы в Hacken.io я узнал больше, чем в университете».

В Hacken.io я руковожу «белыми хакерами» − мы имитируем кибератаки

На фрилансе я делал проекты для Hacken.io − ведь уже давно знал некоторых ребят оттуда. Проверял безопасность мобильных приложений, узнавал, насколько легко проникнуть в компьютеры компаний. Чем дольше я работал с Hacken.io, тем больше хотел присоединиться к команде. Я передал им резюме и меня приняли.

Сейчас я стал лидером атакующих «хакеров». Мы проверяем, насколько хорошо работает защита в компаниях и объясняем, как ее улучшить. Еще я узнаю, что стало причиной инцидентов и как защититься в будущем.

Однажды в Hacken.io был такой случай: к нам обратилась украинская финтех-компания, и ее сеть взломали через компьютер одного из сотрудников. Он узнал об этом через неделю, когда с его счета сняли все деньги. Оказалось, что сотрудник хранил все пароли, номера телефонов и почтовые адреса в одном месте − поэтому хакеры украли его деньги и продолжали следить за сетью компании.

Так выглядит рабочее место «белого хакера»

Так выглядит рабочее место «белого хакера»

Найти преступников так и не удалось. Компания испугалась новой атаки и стерла всю информацию на компьютере. Нам удалось частично восстановить данные и сравнить их с теми угрозами, с которыми уже сталкивались. Так мы помогли компании понять, что случилось и как от этого защититься.

Иногда сотрудники не знают простые правила информационной безопасности. Недавно один из сотрудников SoftServe открыл письмо с подозрительным файлом − и хакеры получили удаленный доступ к компьютеру и попали в сеть компании. Они похитили, а затем опубликовали исходные коды проектов и личные данные сотрудников.

«Белых хакеров» ценят на западе больше, чем в Украине

К «белым хакерам» в Украине относятся неоднозначно. В наших компаниях считают, что сначала нужно следить за пожарной безопасностью и налогами − ведь инспекторы приходят регулярно. А вирус может попасть на компьютер всего лишь один раз, и то не всегда.

В других странах к кибербезопасности относятся иначе. По отчету IBM, в 2020 году по всему миру компании потеряли в среднем $3,86 млн из-за утечек данных. Поэтому руководители готовы потратить пару тысяч долларов на «белых хакеров».

Даже если в компании есть свои «красные» и «синие» команды, им все равно нужны те, кто проверит систему со стороны. Поэтому к нам часто приходят заказы из Сингапура, Индонезии, Китая, стран Ближнего востока, Европы и США.

Сейчас количество вакансий для «белых хакеров» в Украине растет. Но как правило их открывают те компании, которые работают на западные рынки. Там ценят наших специалистов − час работы «белого хакера» в США стоит от 25$ в час, в Украине − 3$.

Источник: mc.today

Теги
Оцените материал
(0 голосов)

Другие новости категории

Оставить комментарий