CEO Hacken, международной компании в сфере кибербезопасности и организатора bug-bounty-марафона Hacken Cup и форума кибербезопасности HackIT 4.0 (Киев, 8–11 октября), Дмитрий Будорин — о том, кто такие белые хакеры и зачем бизнес открывает им доступ к своим продуктам.
Белый хакер использует те же знания и инструменты, что и хакер-злоумышленник, пытаясь взломать IT-систему компании. Вот только белые хакеры работают с разрешения владельцев систем и соблюдают законы. Их цель — не похитить информацию или нанести вред компании, а наоборот, помочь устранить уязвимости.
Отдел IT-безопасности использует результаты этих тестов для устранения уязвимостей, что значительно снижает риск настоящего взлома и утечки ценных данных.
Взломай себя сам
Кибератаки становятся все более изощренными, поэтому игра на опережение — эффективная стратегия. IT-безопасность можно рассматривать как своеобразную гонку между плохими и хорошими парнями. Первые используют уязвимости системы против компаний, вторые же — помогают компаниям не стать жертвами первых.
Отсюда и названия: черные хакеры, которые действуют против интересов организаций, и белые хакеры (на сетевом сленге — white hat, «хакеры в белых шляпах»), которых организации нанимают сами.
Белые хакеры — ключевой актив организаций, готовых подвергнуть свою систему безопасности испытанию для обнаружения уязвимостей.
Bug bounty — признанный формат
Крупные технологические компании, включая Facebook, Apple и Microsoft, организовывают bug-bounty-программы, предлагая белым хакерам за вознаграждение взломать систему и найти уязвимости. Эти компании знают, что платить этичным хакерам — значительно дешевле, чем разгребать итоги реальных атак.
Отчеты о найденных уязвимостях содержат полный сценарий действий, необходимых для воспроизведения атаки, что позволяет компаниям своевременно исправить уязвимости, и, усилив защиту, исключить риск подобных атак. От того, насколько найденная уязвимость критична, зависит сумма вознаграждения, которую выплачивает компания.
Например, в 2018 году за самую слабую уязвимость Facebook платит от $500, верхняя граница выплаты не регламентирована. Пентагон и армия США также используют bug-bounty-программы для поиска уязвимостей в публичных сетях. Этому примеру в 2017 году последовали и ВВС США, объявив о своей публичной программе «охоты на баги».
Пассивные методы защиты больше не работают
Ни один антивирус не обеспечивает абсолютную безопасность. Значительная часть успешных кибератак строится на использовании «уязвимостей нулевого дня» — тех, которые становятся известны раньше, чем производитель софта успеет выпустить патч, а антивирусы — обновить базу.
Даже самая незначительная уязвимость может быть использована для взлома системы. Единственное решение — поиск уязвимостей и их устранение. Тут на помощь и приходят белые хакеры: они находят уязвимости и позволяют компаниям исправить их до того, как ими заинтересуются киберпреступники.
Безопасных систем не существует
В мае белые хакеры из Аргентины нашли уязвимость в приложении Signal для Windows и Linux, который считается одним из самых безопасных мессенджеров в мире. Суть уязвимости — при переходе на ссылку с вредоносным кодом этот код автоматически запускался на компьютере получателя и разными способами пытался собрать конфиденциальные данные.
Оказалось, при обновлении разработчики случайно удалили фрагмент кода, что и спровоцировало уязвимость.
Поскольку лазейку нашли белые хакеры, они предоставили организации всю информацию, которая позволила быстро исправить уязвимость. Мессенджер Signal по-прежнему считается самым секьюрным. И вряд ли кто станет спорить, что в этом помогло решение компании открыть доступ к поиску уязвимостей белыми хакерами.
Этой осенью в Киеве выступит сооснователь мессенджера Signal, Мокси Марлинспайк, который расскажет подробнее о политике безопасности в компании. Это пройдет в рамках форума HackIT, который состоится 8–11 октября. Говорят, когда у Сноудена просят рекомендаций касательно безопасного софта, он отвечает: «Используйте что угодно от Мокси Марлинспайка», — так что, вероятно, доклад Мокси будет действительно полезным.
Как происходит «белый» взлом
Для начала белый хакер собирает информацию об организационном устройстве компании, выясняя, какие сети, IP-адреса и доменные имена ей принадлежат. Далее следует составление списка сервисов, которые можно использовать «извне»: мобильных приложений, веб-сервисов и элементов сетевой инфраструктуры.
После этого хакер ищет и тестирует внешние уязвимости. Если есть риск, что тест приведет к сбоям в работе системы, специалисты компании готовятся оперативно восстановить работу.
Абсолютно все тесты проходят по согласованию с заказчиком, а результаты строго документируются. Кроме этого, заказчик выбирает сам, какие из элементов системы тестировать.
Как правило, задачей белого хакера является также создание документированной методологии, которую можно повторно использовать для оценки безопасности сети. Эти данные включаются в отчет.
Как нанять белого хакера
Некоторые крупные компании предпочитают нанимать этичных хакеров в штат, чтобы поиск уязвимостей проводился постоянно.
Большой бизнес требует у кандидатов наличия сертификата Certified Ethical Hacker (CEH) от Совета ЕС, рекомендуемый минимум для найма белого хакера. Сертификат CEH гарантирует, что специалист разбирается в социальной инженерии, SQL-инъекциях, троянах, червях, вирусах и других формах атаки. Кандидаты должны также продемонстрировать знание криптографии, тестирования на проникновение, брандмауэров и прочее.
Если бизнес нанимает внешнего подрядчика для сдельной работы, обязательно готовится соглашение о конфиденциальности и определяются области IT-системы, которые не должны быть задействованы во время запланированного «взлома».
Где найти белого хакера
Вариантов два: запустить собственную bug-bounty-программу либо найти белого хакера на специальных платформах.
Создание собственной программы требует разработки стандартов и правил, наличия ресурсов для поиска лояльных и квалифицированных участников и организации самого мероприятия. Это может занять много времени и потребовать значительного бюджета.
Второй способ — найти исполнителей на платформе белых хакеров, например, HackenProof. Как именно строится сотрудничество между бизнесом и белыми хакерами, можно узнать на форуме HackIT 8–11 октября в Киеве. Событие будет посвящено новым технологиям в контексте кибербезопасности. Например, на ивенте состоится панельная дискуссия о взломе криптобиржи, которую в прямом эфире будет транслировать блогер Майкл Гу (основатель YouTube-канала Boxmining, посвященного блокчейну и криптовалютам). В рамках мероприятия также пройдет bug-bounty-марафон Hacken Cup.
В программе форума — двухдневная конференция, день практических тренингов, день нетворкинга, соревнования для белых хакеров. В общей сложности на конференции выступят более 50 спикеров.
Вероятно, в ближайшие несколько лет на наших глазах произойдет бум белого хакерства, ведь все больше компаний и организаций стремятся сотрудничать с этичными хакерами, а все больше программистов стремятся получить навыки этичного взлома. Все движется к тому, что уже в ближайшие пять лет баг-баунти станет залогом выживания бизнеса.
По материалам HackIT
Белый хакер использует те же знания и инструменты, что и хакер-злоумышленник, пытаясь взломать IT-систему компании. Вот только белые хакеры работают с разрешения владельцев систем и соблюдают законы. Их цель — не похитить информацию или нанести вред компании, а наоборот, помочь устранить уязвимости.
Отдел IT-безопасности использует результаты этих тестов для устранения уязвимостей, что значительно снижает риск настоящего взлома и утечки ценных данных.
Взломай себя сам
Кибератаки становятся все более изощренными, поэтому игра на опережение — эффективная стратегия. IT-безопасность можно рассматривать как своеобразную гонку между плохими и хорошими парнями. Первые используют уязвимости системы против компаний, вторые же — помогают компаниям не стать жертвами первых.
Отсюда и названия: черные хакеры, которые действуют против интересов организаций, и белые хакеры (на сетевом сленге — white hat, «хакеры в белых шляпах»), которых организации нанимают сами.
Белые хакеры — ключевой актив организаций, готовых подвергнуть свою систему безопасности испытанию для обнаружения уязвимостей.
Bug bounty — признанный формат
Крупные технологические компании, включая Facebook, Apple и Microsoft, организовывают bug-bounty-программы, предлагая белым хакерам за вознаграждение взломать систему и найти уязвимости. Эти компании знают, что платить этичным хакерам — значительно дешевле, чем разгребать итоги реальных атак.
Отчеты о найденных уязвимостях содержат полный сценарий действий, необходимых для воспроизведения атаки, что позволяет компаниям своевременно исправить уязвимости, и, усилив защиту, исключить риск подобных атак. От того, насколько найденная уязвимость критична, зависит сумма вознаграждения, которую выплачивает компания.
Например, в 2018 году за самую слабую уязвимость Facebook платит от $500, верхняя граница выплаты не регламентирована. Пентагон и армия США также используют bug-bounty-программы для поиска уязвимостей в публичных сетях. Этому примеру в 2017 году последовали и ВВС США, объявив о своей публичной программе «охоты на баги».
Пассивные методы защиты больше не работают
Ни один антивирус не обеспечивает абсолютную безопасность. Значительная часть успешных кибератак строится на использовании «уязвимостей нулевого дня» — тех, которые становятся известны раньше, чем производитель софта успеет выпустить патч, а антивирусы — обновить базу.
Даже самая незначительная уязвимость может быть использована для взлома системы. Единственное решение — поиск уязвимостей и их устранение. Тут на помощь и приходят белые хакеры: они находят уязвимости и позволяют компаниям исправить их до того, как ими заинтересуются киберпреступники.
Безопасных систем не существует
В мае белые хакеры из Аргентины нашли уязвимость в приложении Signal для Windows и Linux, который считается одним из самых безопасных мессенджеров в мире. Суть уязвимости — при переходе на ссылку с вредоносным кодом этот код автоматически запускался на компьютере получателя и разными способами пытался собрать конфиденциальные данные.
Оказалось, при обновлении разработчики случайно удалили фрагмент кода, что и спровоцировало уязвимость.
Поскольку лазейку нашли белые хакеры, они предоставили организации всю информацию, которая позволила быстро исправить уязвимость. Мессенджер Signal по-прежнему считается самым секьюрным. И вряд ли кто станет спорить, что в этом помогло решение компании открыть доступ к поиску уязвимостей белыми хакерами.
Этой осенью в Киеве выступит сооснователь мессенджера Signal, Мокси Марлинспайк, который расскажет подробнее о политике безопасности в компании. Это пройдет в рамках форума HackIT, который состоится 8–11 октября. Говорят, когда у Сноудена просят рекомендаций касательно безопасного софта, он отвечает: «Используйте что угодно от Мокси Марлинспайка», — так что, вероятно, доклад Мокси будет действительно полезным.
Как происходит «белый» взлом
Для начала белый хакер собирает информацию об организационном устройстве компании, выясняя, какие сети, IP-адреса и доменные имена ей принадлежат. Далее следует составление списка сервисов, которые можно использовать «извне»: мобильных приложений, веб-сервисов и элементов сетевой инфраструктуры.
После этого хакер ищет и тестирует внешние уязвимости. Если есть риск, что тест приведет к сбоям в работе системы, специалисты компании готовятся оперативно восстановить работу.
Абсолютно все тесты проходят по согласованию с заказчиком, а результаты строго документируются. Кроме этого, заказчик выбирает сам, какие из элементов системы тестировать.
Как правило, задачей белого хакера является также создание документированной методологии, которую можно повторно использовать для оценки безопасности сети. Эти данные включаются в отчет.
Как нанять белого хакера
Некоторые крупные компании предпочитают нанимать этичных хакеров в штат, чтобы поиск уязвимостей проводился постоянно.
Большой бизнес требует у кандидатов наличия сертификата Certified Ethical Hacker (CEH) от Совета ЕС, рекомендуемый минимум для найма белого хакера. Сертификат CEH гарантирует, что специалист разбирается в социальной инженерии, SQL-инъекциях, троянах, червях, вирусах и других формах атаки. Кандидаты должны также продемонстрировать знание криптографии, тестирования на проникновение, брандмауэров и прочее.
Если бизнес нанимает внешнего подрядчика для сдельной работы, обязательно готовится соглашение о конфиденциальности и определяются области IT-системы, которые не должны быть задействованы во время запланированного «взлома».
Где найти белого хакера
Вариантов два: запустить собственную bug-bounty-программу либо найти белого хакера на специальных платформах.
Создание собственной программы требует разработки стандартов и правил, наличия ресурсов для поиска лояльных и квалифицированных участников и организации самого мероприятия. Это может занять много времени и потребовать значительного бюджета.
Второй способ — найти исполнителей на платформе белых хакеров, например, HackenProof. Как именно строится сотрудничество между бизнесом и белыми хакерами, можно узнать на форуме HackIT 8–11 октября в Киеве. Событие будет посвящено новым технологиям в контексте кибербезопасности. Например, на ивенте состоится панельная дискуссия о взломе криптобиржи, которую в прямом эфире будет транслировать блогер Майкл Гу (основатель YouTube-канала Boxmining, посвященного блокчейну и криптовалютам). В рамках мероприятия также пройдет bug-bounty-марафон Hacken Cup.
В программе форума — двухдневная конференция, день практических тренингов, день нетворкинга, соревнования для белых хакеров. В общей сложности на конференции выступят более 50 спикеров.
Вероятно, в ближайшие несколько лет на наших глазах произойдет бум белого хакерства, ведь все больше компаний и организаций стремятся сотрудничать с этичными хакерами, а все больше программистов стремятся получить навыки этичного взлома. Все движется к тому, что уже в ближайшие пять лет баг-баунти станет залогом выживания бизнеса.
По материалам HackIT