Что такое этичный хакинг и кто такой пентестер
Этичные хакеры, или «белые шляпы», взламывают IT-системы, но делают это с согласия и по просьбе владельцев. Они не крадут данные и не стремятся причинить ущерб, наоборот, их главная цель — помочь компаниям найти ошибки в системе и сделать ее более надежной.
Хакеры делятся на три типа. «Белые шляпы» — это те, кто занимается этичными взломами. «Черные шляпы» — киберпреступники. «Серые шляпы» — хакеры, которые имеют благие намерения, но взломы производят «как черные», без согласия владельцев. Названия были взяты из американских вестернов, где отрицательные персонажи всегда носили черные шляпы, а положительные — белые.
Первым этичным взломом принято считать взлом операционной системы Multics, принадлежащей ВВС США, в 1974 году. В 90-х годах прошлого века появился первый сканер уязвимостей SATAN, с помощью которого этичные хакеры начали заниматься информационной безопасностью и в частных сетях.
Какие вопросы в ИБ решает этичный хакинг
Особым спросом этичные хакеры пользуются у компаний, которые хранят личные данные своих клиентов. Во многом потребность в этичных хакерах зависит от уровня конфиденциальности этой информации. Например, для финансовых или государственных организаций, крупных медицинских учреждений такие сливы информации могут быть очень болезненными.
Желательно, чтобы этичным хакингом занимались сторонние специалисты, а не те, кто создавал продукт. Специалисты внутри команды из-за «замыленного глаза» могут не заметить уязвимости, оставленные ими самими.
Поле деятельности «белых» хакеров внушительное: приложения, сети и железо. Этичные хакеры решают целый спектр вопросов информационной безопасности:
- Проводят профилактику возможных кибератак путем обнаружения и исправления уязвимостей в сети. Этичные хакеры определяют, какие именно меры информационной безопасности являются для компании эффективными, в каких есть уязвимые места, а какие требуют немедленного обновления.
- Проверяют на работоспособность защитные механизмы компаний. Хакеры тестируют ПО и оборудование с точки зрения устойчивости к взломам и надежности.
- Обучают сотрудников правильно реагировать на возможные угрозы информационной безопасности. Как показывает практика, многие компании, особенно в малом бизнесе, не готовы к потенциальным вторжениям. Этичные хакеры отлично разбираются в том, как действуют взломщики, какие методы атак они могут использовать. Специалисты ИБ, которые сотрудничают с этичными хакерами, лучше подготовлены к будущим угрозам.
Независимая проверка дает компаниям возможность избежать репутационных и финансовых потерь, неизбежных в случае взлома.
Как работают пентестеры
Еще одно название этичных хакеров — пентестеры. Оно происходит от слова пентест — тест на проникновение (от английского penetration test). Пентест практически ничем не отличается от взлома, специалист точно так же взламывает защиту, проникает в систему и закрепляется в ней.
Общий алгоритм работы пентестера выглядит примерно так:
В целом задачи этичного хакера завиcят от компании. Есть задачи собственно пентеста, есть задачи по пробному фишингу, чтобы узнать, насколько сотрудники устойчивы к влиянию мошенников, есть аудит паролей. Кроме того, пентестеры работают с обнаруженными уязвимостями, закрывают их в тесном контакте с сисадминами, с вендорами и с внутренними разработчиками.
Существует несколько вариантов тестирования, самые известные: Black Box, Gray Box и White Box. В первом варианте пентестер имитирует атаку злоумышленника, у которого нет доступа к сети компании и сведений о ее IT-инфраструктуре. Это довольно опасный способ, поскольку пентестер в случае ошибки рискует попасть под уголовную ответственность.
В Gray Box атаку проводит хакер, который уже что-то знает о сети. Объем этих знаний определяет руководство компании, и большинство этичных хакеров используют именно этот метод. Все условия пентеста прописываются заранее, хакер даже теоретически не рискует быть привлеченным к ответственности за проникновение.
В случае с White Box хакер обладает полным доступом к сети и правами администратора. Обычно такие атаки проводят штатные пентестеры, которые хорошо знают инфраструктуру. Некоторые крупные корпорации создают собственные подразделения пентестеров, чтобы конфиденциальные данные не уходили к сторонним организациям или частным лицам. Кандидат в пентестеры обязательно должен иметь опыт, ему предложат выполнить особые тестовые задания.
Однако не у всех компаний есть возможность иметь пентестера в штате, тем более что необходимость в этом есть только у крупных компаний. Например, для малого и среднего бизнеса пентест обычно бывает разовой задачей. Поэтому зачастую компании обращаются за помощью к сторонним этичным хакерам и просят провести у них пентест. Найти специалиста сегодня несложно: многие хакеры работают на фрилансе или в команде, которая специализируется на предоставлении услуг ИБ. У профильных аутсорсеров должны быть соответствующие лицензии. Без лицензии заниматься пентестом нельзя, поскольку формально — это взлом чужой сети.
Справка. Хакеры могут искать работу через Bug Bounty — платформу, на которой компании публикуют предложения по поиску уязвимостей за вознаграждение. Кроме того, такие предложения есть и на сайтах многих крупных корпораций.
Разумеется, чтобы учесть все риски при работе с этичными хакерами, компаниям следует составлять договор. Хакеру это даст возможность спокойно работать, а организации — не волноваться по поводу того, что пентестер сольет данные конкурентам или в открытый доступ. В таком договоре обязательно прописывают способы тестирования, которые разрешены хакеру, необходимость присутствия при пентесте штатных сотрудников отдела ИБ работодателя. Рекомендуется подписать и соглашение о неразглашении, это снизит риски передачи информации в третьи руки.
Примеры этичных взломов
Один из примеров этичного взлома — работа индийца Ананда Пракаша. Он обнаружил уязвимость в системе забытых паролей на Facebook. Эта уязвимость позволяла получить доступ к любой из учетных записей пользователей соцсети. Пракаш сообщил о наличии уязвимости руководству, Facebook устранил проблему, а хакер получил внушительное вознаграждение.
В 2020 году белый хакер Алекс Бирсан взломал три десятка крупных IT-компаний, которые использовали инструменты с открытым исходным кодом. В числе взломанных оказались Tesla, Apple, PayPal и даже Microsoft. Атака получила название «путаница зависимостей». Подмена файлов, проведенная Бирсаном, сработала сразу для трех языков — Java, Python и Ruby. За помощь в обнаружении уязвимости хакер получил от компаний вознаграждение в общей сумме $130 000.
В России суммы вознаграждений несколько скромнее. Хакер из Екатеринбурга Александр Берсенёв взломал сайт агрегатора такси Uber и за две недели обнаружил восемь уязвимостей. За это компания заплатила ему $6000.
Но не все истории заканчиваются так, как хотелось бы их участникам. Хакер Уэсли Вайнберг в процессе пентестинга обнаружил одну из самых серьезных уязвимостей в популярной соцсети. Эта уязвимость давала возможность запускать удаленное воспроизведение удаленного кода, с ее помощью злоумышленники могли получить почти полный доступ к секретным материалам соцсети. Пентестер сообщил о них руководству, ошибку исправили. К сожалению, Вайнберг не удовлетворился вознаграждением: он рассчитывал получить миллион, а по факту ему предложили 2500 долларов. Специалист обиделся и опубликовал у себя в блоге описание взлома и переписку с отделом безопасности. В итоге хакера обвинили в несанкционированном доступе, забанили на Bug Bounty и угрожали уголовным преследованием.
В сфере ИБ есть проблемы, от которых пентестеры защитить не могут. Речь идет о сливе информации самими сотрудниками компании. Такие утечки чреваты потерей репутации на рынке, потерей основных клиентов и прочими проблемами, вплоть до остановки работы компании. Подозрительную активность сотрудников нужно мониторить не разово, а на постоянной основе. Помочь в этом вопросе может система Staffcop. С ее помощью легко отследить, чем занимался сотрудник в рабочее время, какие сайты посещал, с кем переписывался, какие документы отправлял. При обнаружении аномалий система немедленно оповещает отдел ИБ и руководство компании. А все материалы, полученные от системы в ходе расследования, при необходимости могут быть использованы как доказательства в суде.
С нами можно познакомиться ближе и бесплатно протестировать продукт в течение 15 дней — оставляйте заявку на сайте. А также подписывайтесь на соцсети, где мы разбираем кейсы и отвечаем на основные вопросы по ИБ.