Этичный хакинг: что это такое, где и как применяется

Хакинг можно назвать флагманом медийности информационной безопасности. О нем снимают культовые фильмы и сериалы, хакеров демонизируют и романтизируют одновременно. В нашей сегодняшней статье мы поговорим о легальной стороне хакинга — так называемом «этичном хакинге». К этой сфере относятся и специалисты по тестированию на проникновение, и багхантеры, и многие другие специалисты.

При этом этика — философское понятие с размытыми границами, поэтому уместнее говорить о легальном и нелегальном хакинге. Деятельность этичных хакеров сильно зависит от законодательства той страны, в юрисдикции которой они работают.

Комьюнити этичных хакеров со своими традициями и сленгом сформировалось в США в 1980-х годах. И первым был термин white hacking, «белый хакинг» — в противовес традиционному нелегальному черному рынку black hacking. Само же сообщество хакеров делило себя на White Hat и Black Hat, силы добра и силы зла.

Первым этичных хакеров начало привлекать к работе в Министерстве обороны США для тестирования ИТ-инфраструктур своих объектов. Они до сих пор проводят ежегодный конкурс с говорящим названием Hack the Pentagon.

Багхантеры — специалисты по информационной безопасности, которые в рамках открытых конкурсов (bug bounty programs) ищут критичные ошибки и уязвимости. Такие конкурсы проводят многие крупные ИТ-компании. Свои программы есть у Google, Facebook*, Microsoft и многих других. Первой же эту практику в 90-х ввела Netscape Communications Corporation — разработчик одноименного браузера.

Согласно данным исследовательской фирмы AllTheResearch (ATR), общий рынок баг-баунти в 2020 году оценивался в $223,1 млн. А уже в 2021 году он составил $973,1 млн, продемонстрировав более чем четырехкратный рост. По различным оценкам к 2027 году этот рынок достигнет от $2,4 млрд до $5,5 млрд.

Разогревают рынок блокчейн-компании — они готовы платить гораздо больше, чем классические компании-разработчики программного обеспечения. Ведь и потерять они могут гораздо больше — не только собственные деньги, но и деньги клиентов, размещенные в цифровых кошельках. На момент написания статьи в мировом обороте находится криптовалюта на сумму в $820,7 млрд.

Максимальная награда за нахождение уязвимости эпохи веб 2.0. не превышала несколько десятков тысяч долларов. Например, главный приз программы Hack the Pentagon составляет $15 000. В эпоху веб 3.0., основанную на блокчейне, произошел взрывной рост выплат. Так, крупнейшее вознаграждение за 2021 год составило $2 млн, его получил специалист по информационной безопасности Герхард Вагнер — он обнаружил критическую уязвимость в Plasma Bridge компании Polygon. Ошибка в кроссчейн-мосте — соединении, используемом для облегчения транзакций между блокчейнами, — могла позволить злоумышленнику вывести криптовалюту на сумму до $224 млн (при общих активах Polygon в $850 млн).

Крупнейшие баг-баунти программы по типу платформ:

Крупнейшие баг-баунти программы по сферам:

Крупнейшие (по состоянию на 2022 год) площадки, организующие работу этичных хакеров:

Этичные хакеры пользуются похожими инструментами, что и настоящие взломщики. Это, к примеру, сканеры уязвимостей в приложениях, сетях и операционных системах (Nessus, Burp Site и пр.), разнообразные эксплойты, стандартные и специальные функции и механизмы программного обеспечения и другое.

Отдельный вид этичного хакинга — тест на проникновение или пентест. Он настолько востребован бизнесом, что давно сформированы стандарты по его применению.

Если рассматривать этичный хакинг как процедуру анализа защищенности, то в качестве основных инструментов тут используются различные сканеры безопасности. При пентестах же целью работ является проникновение и компрометация защищаемых систем. Здесь используется более широкий спектр инструментов, например, написанные экспертами эксплойты для подтверждения выявленных уязвимостей и развития моделируемых атак, методы социальной инженерии и т. д.

Существуют значительные различия при использовании инструментов этичного хакинга/пентестов в работе с государственными и бизнес-заказчиками. Разница заключается в регулировании деятельности, связанной с обеспечением защиты информации государственных и части бизнес-заказчиков со стороны государства. В случае, если работы выполняются в рамках регулируемой области (например, государственные системы, защита персональных данных или объектов критической информационной инфраструктуры РФ), необходимо использовать сертифицированные регуляторами инструменты анализа защищенности.

Все тесты на проникновение можно разделить на 3 большие группы:

Самой популярной схемой является Black Box, так как она ближе всего к реальной атаке. Однако в коммерческом тестировании в России используется только два метода — Gray Box и White Box.

В мировой практике этичные хакеры (в том числе пентестеры, работающие по договору) не раз попадали на скамью подсудимых. Чаще всего причина была в несовершенстве и несогласованности законов конкретного региона или страны.

Почему нельзя использовать Black Box в коммерческой работе? Пентестер (компания или частный консультант) рискуют понести административную и уголовную и ответственность, если будет проводить тестирование на проникновение по методу Black Box, потому что юридически границы тестирования не определены юридическими документами.

Когда речь идет об оказании услуги анализа защищенности по методу White или Gray Box, все базовые ограничения, инструменты, полномочия и т. д. описываются в договоре. Также по итогам выполнения работ тот же пентестер составляет детальный отчет.

В июле 2022 стало известно, что Минцифры планирует ввести в законодательство понятие bug bounty — то есть, фактически, легализовать этичный хакинг. Сейчас этот термин никак не раскрыт в российском законодательстве, а потому может быть трактован как «неправомерный доступ к компьютерной информации». Инструмент, который обсуждает Минцифры, может стать одним из стандартов оценки реальной защищенности как коммерческих, так и государственных организаций.

*Принадлежит компании Meta, признанной экстремистской и запрещенной в РФ.