Чем отличаются «черные» и «белые» хакеры, почему посредники в переговорах компаний со взломщиками только усложняют задачу и как самоуверенность «безопасников» приводит к кибератаке — об этом в интервью «Компании» на условиях анонимности рассказал хакер, занимавшийся взломами 10 лет.
Почему в свое время вы пошли по пути хакерских атак, хоть и «белых»? Мотивировали деньги или благородный посыл?
— В начале основной мотивацией было изучение устройства взламываемых систем. Я не занимался поиском какого-то сервера для взлома, а, скорее исследовал замеченные потенциальные «дыры» на ресурсах, которые представляют для меня персональный интерес.
Так что во времена бытности «белым» хакером финансовая сторона вопроса меня интересовала довольно мало.
Этичным, «белым хакером» или «белой шляпой» (от англ. White Hat) называют специалистов, которые помогают компаниям находить и устранять «дыры» в их защите.
«Белые шляпы» отличаются от «черных» (Black Hat) тем, что ищут уязвимости для того, чтобы помочь разработчикам сделать продукт более защищенным.
Со временем интерес к IT-безопасности немного сместился и заниматься взломами стало скучно. Сейчас я проектирую и администрирую сетевые инфраструктуры. В мою работу входит, в том числе предотвращение возможных негативных сценариев, включающих в себя взлом, а также разработка решений, которые уменьшают от него урон.
Как выбирали «жертв»? Стратегия атаки продумывается заранее?
— Если говорить о субкультуре White Hat, то цели для взлома в большинстве случаев выбираются по двум параметрам: сумма объявленной награды за найденную уязвимость со стороны сервиса и класс сложности ее нахождения.
Есть хакеры, которые набивают портфолио и кошелек кучей мелких, легких в нахождении и исправлении, а потому и дешевых уязвимостей. А есть те, кто предпочитает срывать «крупный куш», предварительно «хорошенько повозившись».
Довольно часто хакеры покупают специальные «шифровальщики» для атак у своих «коллег». Вы пользовались их услугами?
— С «шифровальщиками» я не работаю и даже не общаюсь с теми, кто работает, потому что это относится к «черному» взлому.
В «белом» — есть большое количество софта, помогающего в исследовании, но иногда не обходится и без самостоятельного написания некоторых небольших утилит. Да и я слишком параноик, чтобы верить в то, что в чужом софте, исходников которого я не видел, нет «закладок».
Все заказчики исправно платят?
— В случае White Hat заказчиками взлома выступают сами компании, так что «не платить» — как минимум, некрасиво. Да и отказ приведет к тому, что с ними перестанут сотрудничать «белые» хакеры, а все найденные уязвимости в их инфраструктуре по итогу будут торговаться в «черной» среде.
Однако совсем недавно был случай, когда Telegram отказался платить человеку, нашедшему несколько серьезных уязвимостей, и просто начал его игнорировать.
После атаки в игру иногда вступают профессиональные переговорщики, представляющие компанию. Есть ли от них толк или организациям лучше пытаться найти компромисс самостоятельно?
— Иногда они все только усложняют. Более того, цель «сохранить деньги компании» у переговорщиков далеко не всегда приоритетная. Как правило, они все же рекомендуют платить выкуп, а не обращаться в полицию и не пытаться выбраться из ситуации самостоятельно.
На фоне увеличения числа кибератак страховые компании начали активно предлагать компаниям защиту от хакерских взломов. Помогает ли она?
— В большинстве случаев, да. Естественно, при условии надежности самой страховой компании. Однако киберстрахование покрывает только кейсы удаленного взлома. С покрывающими офлайн-взлом предложениями мне встречаться не доводилось.
На ваш взгляд, почему крупные компании с высоким доходом и большим штатом «безопасников» все равно становятся жертвами взлома?
— Вкратце — из-за самоуверенности. Не всегда количество перерастает в качество.
Каким бы большим ни был штат «безопасников», и как бы ни тренировались в защите от хакеров работники, все они — люди. И против них на стороне взломщиков играет эволюция: именно социальность сделала нас настолько развитыми, чтобы далеко уйти в развитии от остальных животных. И именно игрой на социальных «струнах» производятся большинство корпоративных взломов, будь они по заказу самой корпорации для поиска уязвимых мест и составления рекомендаций по устранению, или в целях «черного» шпионажа.
А существуют компании или организации, атаки на которые вы не совершите ни под каким предлогом?
— Думаю, нет. Как говорил какой-то злодей в одном из художественных произведений: «У каждого человека есть цена. Даже если эта цена — жизнь его близких». Если кто-то будет угрожать моим близким или друзьям, я приложу все свои знания, чтобы спасти их, даже если моей текущей компетенции не хватит для непосредственного взлома.
Изменила ли пандемия взаимодействие с организациями-«жертвами»?
— Мое — нет, поскольку моя деятельность находится немного в другой плоскости. В самой отрасли «белого» взлома, думаю, поменялось не так много: участие в программах по поиску уязвимостей за вознаграждение, как правило, не требует личного контакта, так что тут пандемия никак не могла помешать. Офлайн-диагностика предприятий обычно проводится как временное устройство сотрудников проверяющей организации в штат проверяемой.
Так что здесь тоже мало что могло измениться. Разве что самих компаний-клиентов могло стать чуть меньше. Впрочем компании, нуждающиеся в таких услугах, относятся к отраслям, которые могут не прекращать работу даже в период пандемии. И вместо личной коммуникации с некоторыми сотрудниками-«жертвами» приходится использовать онлайн-связь, включая телефонные звонки.
Боятся ли хакеры ареста? Как вы относитесь к их задержанию?
— Есть хорошая русская поговорка: «от тюрьмы и от сумы не зарекайся», а также другая — «был бы человек, а статья найдется». Тем более в последнее время законодательство, включая сферу интернета, выстраивается так, что привлечь по статье можно практически кого угодно.
К задержанию других хакеров отношусь сдержано и скептически. Иногда анализирую кейсы поимки и либо мысленно хвалю силовиков за находчивость, либо тоже мысленно упрекаю пойманных хакеров за беспечность.
Уходят ли из «черного» хакинга добровольно?
— Вполне. Ну, если только ты не работаешь на правительство или, например, наркокартель. В этих случаях уйти добровольно, мягко говоря, посложнее. Но к White Hat оба этих случая все равно не относятся.
Далеко не все взломщики занимаются своей работой для причинения вреда, объясняет технический эксперт «Роскомсвободы» и Privacy Accelerator Вадим Мисбах-Соловьев. «Многие хакеры работают в фирмах, предоставляющих услуги выявления уязвимостей и консультаций по их устранению, “фрилансят” во всевозможных “BugBounty-программах” — где крупные компании выплачивают вознаграждения за нахождение уязвимостей и сообщение о них», — объяснил он «Компании».
Приходилось ли иметь дело с политическими заказами? Насколько они прибыльны для хакеров?
— Не интересовался, сколько это может принести денег, подозреваю, что довольно много. Но я не замахивался. Не в последнюю очередь из-за глобалистических взглядов — я против деления человечества на отдельные народы или расы. Политические взломы в большинстве случаев направлены именно на то, чтобы сделать другому народу или правительству хуже.
Впрочем, в какой-то мере политики я коснулся относительно недавно. До хакерского сообщества еще до освещения этой темы в СМИ дошла информация, что некоторые части инфраструктуры Фонда борьбы с коррупцией (деятельность организации признана экстремистской и запрещена на территории России – прим. ред.) из-за невнимательности его «айтишников» были настроены так, что любой человек в интернете мог не только изучить устройство и содержание инфраструктуры, но и изменить ее. Я тогда «хулиганить» не стал, но ради интереса сам немного поисследовал объекты системы.
В современном мире война ведется не всегда с помощью пуль. Возможна ли в ближайшем будущем глобальная кибервойна?
— Кибервойны происходят постоянно. В частности, с участием российских, китайских, американо-канадских и европейских команд. Не всегда связанных с правительствами. Но жертвами могут становиться как власти некоторых стран, так и инфраструктуры, влияющие на жизнь простых жителей. К примеру, взломы энергосистем.
Что порекомендуете тем, кто захочет пойти по вашему пути?
— Не терять интереса к исследованию и изучению. Знания математики и логики очень помогают в компьютерной части взломов, а знание психологии и смежных с ней областей — во «взломе» людей.
Компаниям бессмысленно зарекаться от хакеров, а самим хакерам - от тюрьмы
Хакеры — это не всегда история про легкие деньги и обход закона. Поиски лазеек в коде для некоторых становятся увлекательной головоломкой и тренировкой ума.