Хакинг можно назвать флагманом медийности информационной безопасности. О нем снимают культовые фильмы и сериалы, хакеров демонизируют и романтизируют одновременно. В нашей сегодняшней статье мы поговорим о легальной стороне хакинга — так называемом «этичном хакинге». К этой сфере относятся и специалисты по тестированию на проникновение, и багхантеры, и многие другие специалисты.
Главная задача этичных хакеров — первыми выявить критические уязвимости объектов ИТ-инфраструктуры, информационных систем и порталов до того, как этим воспользуются злоумышленники.
При этом этика — философское понятие с размытыми границами, поэтому уместнее говорить о легальном и нелегальном хакинге. Деятельность этичных хакеров сильно зависит от законодательства той страны, в юрисдикции которой они работают.
Когда и где появился этичный хакинг?
Комьюнити этичных хакеров со своими традициями и сленгом сформировалось в США в 1980-х годах. И первым был термин white hacking, «белый хакинг» — в противовес традиционному нелегальному черному рынку black hacking. Само же сообщество хакеров делило себя на White Hat и Black Hat, силы добра и силы зла.
Первым этичных хакеров начало привлекать к работе в Министерстве обороны США для тестирования ИТ-инфраструктур своих объектов. Они до сих пор проводят ежегодный конкурс с говорящим названием Hack the Pentagon.
Этичный хакинг в наши дни: bug bounty programs
Багхантеры — специалисты по информационной безопасности, которые в рамках открытых конкурсов (bug bounty programs) ищут критичные ошибки и уязвимости. Такие конкурсы проводят многие крупные ИТ-компании. Свои программы есть у Google, Facebook*, Microsoft и многих других. Первой же эту практику в 90-х ввела Netscape Communications Corporation — разработчик одноименного браузера.
Согласно данным исследовательской фирмы AllTheResearch (ATR), общий рынок баг-баунти в 2020 году оценивался в $223,1 млн. А уже в 2021 году он составил $973,1 млн, продемонстрировав более чем четырехкратный рост. По различным оценкам к 2027 году этот рынок достигнет от $2,4 млрд до $5,5 млрд.
Разогревают рынок блокчейн-компании — они готовы платить гораздо больше, чем классические компании-разработчики программного обеспечения. Ведь и потерять они могут гораздо больше — не только собственные деньги, но и деньги клиентов, размещенные в цифровых кошельках. На момент написания статьи в мировом обороте находится криптовалюта на сумму в $820,7 млрд.
В первой половине 2022 года из-за взломов было украдено или потеряно криптовалюты на $2 млрд. Крупные взломы, совершенные в конце 2021 года, включают: Poly Network ($611 млн), Ronin Network ($625 млн), Wormhole ($325 млн), Nomad ($200 млн) и Harmony ($100 млн).
Максимальная награда за нахождение уязвимости эпохи веб 2.0. не превышала несколько десятков тысяч долларов. Например, главный приз программы Hack the Pentagon составляет $15 000. В эпоху веб 3.0., основанную на блокчейне, произошел взрывной рост выплат. Так, крупнейшее вознаграждение за 2021 год составило $2 млн, его получил специалист по информационной безопасности Герхард Вагнер — он обнаружил критическую уязвимость в Plasma Bridge компании Polygon. Ошибка в кроссчейн-мосте — соединении, используемом для облегчения транзакций между блокчейнами, — могла позволить злоумышленнику вывести криптовалюту на сумму до $224 млн (при общих активах Polygon в $850 млн).
Крупнейшие баг-баунти программы по типу платформ:
- Cloud, SaaS, Web;
- Android;
- iOS;
- Хостинг.
Крупнейшие баг-баунти программы по сферам:
- Криптовалюты, финансы, банкинг;
- Софт;
- Ритейл;
- Госсектор.
Крупнейшие (по состоянию на 2022 год) площадки, организующие работу этичных хакеров:
- Synack;
- intigriti;
- HackenProof;
- HackerOne;
- Bugcrowd;
- HackTrophy;
- Cobalt;
- PlugBounty;
- SafeHats;
- Yes We Hack;
- Zerocopter.
Как работают этичные хакеры?
Этичные хакеры пользуются похожими инструментами, что и настоящие взломщики. Это, к примеру, сканеры уязвимостей в приложениях, сетях и операционных системах (Nessus, Burp Site и пр.), разнообразные эксплойты, стандартные и специальные функции и механизмы программного обеспечения и другое.
Отдельный вид этичного хакинга — тест на проникновение или пентест. Он настолько востребован бизнесом, что давно сформированы стандарты по его применению.
Если рассматривать этичный хакинг как процедуру анализа защищенности, то в качестве основных инструментов тут используются различные сканеры безопасности. При пентестах же целью работ является проникновение и компрометация защищаемых систем. Здесь используется более широкий спектр инструментов, например, написанные экспертами эксплойты для подтверждения выявленных уязвимостей и развития моделируемых атак, методы социальной инженерии и т. д.
Существуют значительные различия при использовании инструментов этичного хакинга/пентестов в работе с государственными и бизнес-заказчиками. Разница заключается в регулировании деятельности, связанной с обеспечением защиты информации государственных и части бизнес-заказчиков со стороны государства. В случае, если работы выполняются в рамках регулируемой области (например, государственные системы, защита персональных данных или объектов критической информационной инфраструктуры РФ), необходимо использовать сертифицированные регуляторами инструменты анализа защищенности.
Мы в Цифроматике проводим тестирование как в реальных условиях на серверах заказчиков, так и на собственных серверах. Стоит учитывать, что разные контуры зачастую взаимосвязаны и могут иметь специфические уязвимости. Для того чтобы выявить каждую имеющуюся уязвимость, важно проводить анализ во всех имеющихся контурах систем.
Основным отличием тестирования в реальных условиях является то, что есть риски нарушения работы систем. Действовать при этом необходимо крайне осторожно и только в заранее согласованное заказчиком время.
Все тесты на проникновение можно разделить на 3 большие группы:
- White Box — проводится, когда предоставляется полная информация об инфраструктуре компании, схема сети, доступ в офис, или даже к компьютерам и коммуникационному оборудованию.
- Gray Box — проводится, когда по договорённости предоставляется частичная информация об инфраструктуре компании, например, пулы IP-адресов критичных систем, используемые методы и протоколы и список e-mail адресов.
- Black Box — в этом случае имитируется атака от злоумышленника, которому ничего не известно об инфраструктуре компании, только её название.
Самой популярной схемой является Black Box, так как она ближе всего к реальной атаке. Однако в коммерческом тестировании в России используется только два метода — Gray Box и White Box.
Что нужно знать ИТ-компаниям при организации этичного хакинга?
В мировой практике этичные хакеры (в том числе пентестеры, работающие по договору) не раз попадали на скамью подсудимых. Чаще всего причина была в несовершенстве и несогласованности законов конкретного региона или страны.
Почему нельзя использовать Black Box в коммерческой работе? Пентестер (компания или частный консультант) рискуют понести административную и уголовную и ответственность, если будет проводить тестирование на проникновение по методу Black Box, потому что юридически границы тестирования не определены юридическими документами.
Этичный хакинг подразумевает анализ защищенности, а это — лицензируемый вид деятельности. Таким образом, любой желающий не может быть хакером вне специальных лабораторий. За любое применение эксплойта, который используют пентестеры, простому гражданину может быть вменена 272 или 273 УК РФ со всеми последствиями.
Когда речь идет об оказании услуги анализа защищенности по методу White или Gray Box, все базовые ограничения, инструменты, полномочия и т. д. описываются в договоре. Также по итогам выполнения работ тот же пентестер составляет детальный отчет.
В июле 2022 стало известно, что Минцифры планирует ввести в законодательство понятие bug bounty — то есть, фактически, легализовать этичный хакинг. Сейчас этот термин никак не раскрыт в российском законодательстве, а потому может быть трактован как «неправомерный доступ к компьютерной информации». Инструмент, который обсуждает Минцифры, может стать одним из стандартов оценки реальной защищенности как коммерческих, так и государственных организаций.
*Принадлежит компании Meta, признанной экстремистской и запрещенной в РФ.
Короче, у меня однажды была история, от которой мне до сих пор стыдно.
Это был год, наверное, 2011. Я тогда только осваивал PHP с SQL и тренировался писать иньекции. В качестве цели нашел первый попавшийся сайт, где какой-то ребёнок с отцом выкладывали информацию о динозаврах всяких в виде картинок и описаний. У них там была формочка простая самописная, через которую можно было комментарии оставлять. И там люди делились мнениями, что-то обсуждали.
Зашёл я значит на этот сайт, и совершенно не ожидая, что у меня что-то получится, ввёл в форме что-то вроде: '; DELETE FROM Posts WHERE id != ' чисто наугад, страничка обновилась и всё пропало. Только спустя пару минут до меня дошло, что почему-то эта хрень сработала. И только через пару часов меня настигла мысль, которая не отпускает до сих пор, что я просто рандомно поднасрал каким-то добрым и невинным людям...
Судя по тому, что сайт потом не ожил, бэкапов не было...
До сих пор с этим живу :\
вполне возможно, что вы испортили жизнь одного ребенка, как вы живете с этим?)
извините можно я у вас тут баги поищу)
Конечно, только вот тут, пожалуйста, сначала распишитесь 😉
Взломаю ка я ваш сайт, с вашего позволение, мистр
Если вы это не делаете, это не значит что в России этого никто не делает.
В целом статья писалась явно маркетологами, если это писали ваши спецы по ИБ - то не стоит у вас покупать "тестирование защищенности".
Это очень печально, когда айтишники делают пентесты, после них как правило заказчики идут в компании, которые специализируются на этом.
Тут ребята даже на уровне терминологии ошибаются весьма прилично.
Потом этичный пативен приезжает?
Нет, не любое. Вы в принципе не понимаете, как работает УК. Хорошо бы с юристом такие тексты писать.
И второе - баг баунти это не про этичный хакинг. Это лишь мотивационная программа для репорта багов, в основном по security.
можно как-то маркировать статьи "ниочем" ? в данном конкретном случае больше на рекламу смахивает