Если вы часто читаете статьи на сайте https://itpex.net, то замечали, что мы часто затрагиваем темы информационной безопасности. Сегодня материал «ITPEX LLC» будет посвящен хакерам. Какие они бывают, на чьей стороне выступают, чем отличаются.
Жили у бабуси…
Нет, не гуси, а три вида «компьютерных взломщиков» – черные (Blackhat), серые (Grayhat) и белые (Whitehat). Первая группа – это преступники. К второй категории относятся активисты и те, кто занимается взломом не ради денег. Третью составляют этичные хакеры, которые помогают компаниям и организациям найти уязвимости в защите.
Вообще «ITPEX LLC» часто сталкиваются с непониманием термина. Для многих обывателей хакинг – это исключительно взлом банков, серверов Пентагона или DDoS-атаки на сайты или вирусы. Однако многие хакеры занимаются весьма полезными вещами. Например, помощью в укреплении корпоративной инфраструктуры. Проводятся даже специальные соревнования, на которых нужно выполнить задания по взлому какого-то сайта, базы данных и т.д.
Этичный взлом. Анатомия «правильного хакинга»
Этичный хакинг выполняется не киберпреступниками, а экспертами, которых предприятия специально нанимают для этой задачи. Дело в том, что любой хакер отличается от разработчика и тестировщика тем, что ищет нестандартные решения. Именно это и помогает им успешно обходить многоуровневую защиту, не выявляя своего присутствия.
Этичность Whitehat заключается не только в том, что их наняли, но и в методах. Они действуют таким образом, чтобы не навредить инфраструктуре компании-заказчика. Они выполняют множество требований, нормативов. По сути, действуют по техническому заданию, как любые фрилансеры. Обычно взлом ведётся комплексно. Проверяются защита от проникновения, облачная безопасность, инфраструктура и прочее.
Специалисты ООО «АЙТИПЕКС» заинтересовались, как «злые» взломщики переходят на светлую сторону? Многие помнят историю Кевина Митника, который успел побывать в тюрьме, а потом решил, что пригодится государству со своими талантами кибер-взломщика. Чуть менее драматична история Мартина Ханика из Citadelo. Он работал не самым честным образом пятнадцать лет. Начинал вообще с того, что через древнюю Nokia получал доступ к платным услугам.
Ханик стал заниматься вопросами безопасности потому, что считал эту сферу безнадёжно отстающей. То есть, blackhat-хакеры объективно превосходили тех, кто занимался защитой. Чтобы успешно бороться со взломщиками, надо думать, как они. Поэтому Мартин и подобные ему спецы идеально подходили на эту роль.
Кто может стать «белой головой»?
Здесь нет никакого особенного уровня, набора качеств и навыков. Никто не сертифицирует кибер-взломщиков и не выдаёт им дипломы. Суть всегда в практике. Чтобы знать, как что-то взломать, нужно понимать архитектуру. То есть, хороший хакер и сам немного программист, тестировщик, умеющий копаться в коде, а главное – разбираться в его особенностях. Лучшие из лучших объединяют глубокие познания в «железе» и софте, что позволяет им работать на программном и аппаратном уровне одинаково эффективно.
Часто whitehat избирают какое-то конкретное направление. Это могут быть облачные сервисы, мобильные приложения, крупные корпоративные сети, сервера и прочее. Однако узкая специализация не означает незнание других сфер. Хорошему хакеру, как и программисту, важна универсальность. Он должен разбираться в C, JS, Python, Golang, Bash и иже с ними. Пусть и не одинаково хорошо, но в достаточной мере, для понимания основной концепции.
Выгодно ли быть хорошим взломщиком?
Более чем! Как-то в ООО «АЙТИПЕКС» решили посмотреть, сколько в среднем корпорации тратят на вопросы безопасности. Суммы, которые инвестируются в это направление, космические. Ведь защищённость важна ещё и для ограничения промышленного шпионажа. Ежегодно терабайты конфиденциальных данных оказываются в руках злоумышленников. Помешать им сложно. Однако каждый год создаются новые решения. Не последнее место в их разработке занимает труд честных взломщиков, испытывающих системы безопасности IT-компаний и различных технологических предприятий. Разумеется, их работа достойно оплачивается. При этом, в отличие от своих коллег, работающих в нелегальной сфере, они не рискуют попасть в руки представителям закона. Так что, если вы хорошо в этом разбираетесь, можете стать если не штатным сотрудником, то наёмным работником для тестирования систем корпоративной безопасности. Это интересно и прибыльно.