Эксперт по информационной безопасности с опытом в тестовых взломах и тренировочных атаках рассказывает, чем занимается этичный хакер, как им стать и где взять опыт на старте.
Кто такой этичный хакер и чем он отличается от неэтичного
Хакерство — это, по сути, искусство и наука поиска уязвимостей в компьютерных системах.
Хакер — это взломщик, специалист, который находит слабые места в IT-системах и использует их, чтобы получить информацию или что-то сломать. Как правило, киберпреступники, или black-hat-хакеры, получают информацию, чтобы затем шантажировать компанию и обменять данные на деньги. За это киберпреступников разыскивают и наказывают по закону. В России за взломы можно получить штраф до 500 000 рублей или даже сесть в тюрьму на семь лет.
Как можно быть хакером и не нарушать при этом закон? Стать white-hat-взломщиком, или «белым» хакером.
«Белый» хакер — это специалист, который занимается «взломом во имя добра». Этичным хакером можно назвать и пентестера, и специалиста по анализу защищенности, и bug-bounty-хантера, и просто человека, который нашел уязвимость в популярном сайте и написал об этом владельцу. Цель у всех вышеописанных людей — найти уязвимость и помочь ее исправить. Белые хакеры действуют в рамках закона и стараются приносить компании пользу. Одно из главных правил этичного хакера при взломе — как у врачей: «Не навреди».
«Белый» хакер — это специалист по кибербезопасности?
Специалист по кибербезопасности — очень широкое понятие, под которое попадает много разных профессий. Как правило, эти специалисты берут на себя широкий спектр обязанностей: защита сетей, защита отдельных устройств, мониторинг инцидентов, анализ хакерских атак, администрирование СЗИ (средств защиты информации) и операционных систем, разработка нормативных документов. Пентест или имитация взломов, чтобы найти уязвимости, тоже часто входит в список их задач.
Чем занимается «белый» хакер
«Белый» хакер изучает информационную систему, собирает инструменты, которыми будет проводить атаки, проводит их, находит уязвимости, пишет о них подробный отчет с рекомендациями.
Я работаю в компании «Ростелеком-Солар» в отделе исследований и разработки сценариев киберучений. Мы разрабатываем киберполигон и проводим на нем киберучения. Наш департамент создает виртуальные копии компании из определенного сектора экономики: банковский, промышленный, энергетический или корпоративный. Затем на этой виртуальной инфраструктуре специалисты из компании-заказчика с нашей помощью оттачивают свои навыки в реагировании на инциденты, в хакинге, в настройке информационных систем, в разворачивании СЗИ, а также в командной работе и написании отчетов.
За счет разнообразия компаний, учений, специалистов и секторов каждый день на работе — особенный. Самое интересное — это тренировка команд защиты, потому что нужно не просто «атаковать» и пентестить их, но и автоматизировать все атаки, так как параллельно может быть использовано 10–15 инфраструктур по 30–50 устройств в каждой. Мои задачи на работе — интереснейшее поле для творчества и применения своих навыков из разработки, пентеста, автоматизации и защиты инфраструктуры.
Главный стереотип о профессии хакера — скорость. В реальности быстро действуют только новички и самоубийцы. В любой реальной хакерской деятельности есть планирование, выжидание, анализ, стратегия и только в самом-самом конце можно бегать пальцами по клавиатуре и проводить атаку, которую вынашивал неделями. Хакинг похож на работу детектива: поспешные выводы и необдуманные действия только вредят делу.
А еще мы не сидим в капюшонах в помещении. Только если очень холодно!
Что нужно знать и уметь этичному хакеру
Требования к этичным хакерам будут разными в зависимости от проекта и заказчика. Чтобы начать, хакеру нужны следующие навыки:
- Уметь администрировать операционные системы и базы данных. Чтобы проводить тестовые атаки, нужно хорошо знать системы, которые вы планируете взламывать. Разбираться нужно в ОС Linux, Windows, iOS, Android. Также полезно владеть SQL, чтобы работать с базами данных.
- Работать с фреймворком Metasploit. Он включает в себя тысячи инструментов для поиска и эксплуатации уязвимостей.
- Знать веб-прокси Burp Suite, инструмент Hashcat. Они помогут находить слабые места в веб-сайтах и взламывать пароли.
- Уметь программировать. Начать можно с популярного Python. Он поможет понимать, как устроен код сервисов и систем, которые вы взламываете, а также писать автоматизированные пентесты.
- Знать английский язык. Пригодится, чтобы читать техническую документацию, учебные материалы и кейсы, а также общаться с зарубежными заказчиками.
С чего начать обучение на хакера
Убедитесь, что вы действительно этого хотите. Чтобы проверить, насколько вам действительно интересна профессия, можно начать с бесплатных ресурсов. Найти все, чтобы научиться взлому, можно в GitHub-репозитории Awesome Ethical Hacking Resources. Здесь собраны книги, курсы, сайты и YouTube-каналы для начинающих хакеров. Когда вы решились, что будете профессиональным белым хакером, можно обратиться к специализированным курсам, поступить на магистратуру по кибербезопасности или продолжить собирать знания самостоятельно.
Используйте платные и бесплатные ресурсы по максимуму. Я, как представитель касты самоучек, за комбинированный стиль. Если я вижу, что какой-то метод или источник информации дает мне пользу, я выжимаю из него максимум. Получаю нужные мне знания в универе — учусь. Получаю пользу из YouTube-канала — подписываюсь. Получилось угадать с курсами и мне там помогают — отлично, заверните два. В жизни все решают ресурсы, и знания — это такой же ресурс. А откуда я его добываю: из шахты, из карьера или из онлайн-курсов, — это уже не имеет значения. Такой у меня подход.
Ищите сообщество. В самом начале пути у меня не было окружения, которое подсказало бы, куда двигаться. Я хватался за все подряд, до чего мог дотянуться. Позже я нашел свое сообщество, духовных наставников, которые помогли настроить мой компас, за что я им безмерно благодарен. В этом плане курсы и университет дают достаточно сильный толчок, потому что предлагают не просто знания, а маленькую команду заинтересованных лиц, которые будут друг друга подтягивать. Это дорогого стоит.
Где этичному хакеру взять опыт перед первой работой
На первой работе в кибербезопасности к вам, как новичку, скорее всего не будут предъявлять завышенных требований. Нескольких учебных или самостоятельных проектов будет достаточно, чтобы начать искать задачи.
Где можно получить опыт?
Виртуальная лаборатория. Ее можно развернуть на своем компьютере в домашних условиях и потренировать разные виды атак. Для этого подойдут платформы TryHackMe, HTB, DVWA, bWAPP.
Capture the Flag (CTF) — это соревнования, участники которых ищут доказательства взлома системы («флаг»). Они бывают командными и одиночными. CTF — это хороший способ потренироваться, но нужно помнить, что он развивает в вас конкретные навыки, а не масштабное видение.
Задачи от компаний. Несколько лет назад я случайно, занимаясь совершенно другим проектом, обнаружил «дыру» в безопасности госструктуры одной из скандинавских стран. Сначала ничего не трогал, только изучал. Где-то неделю собирал информацию, прослушивал трафик, попутно составлял отчет на английском языке. Со скринами, логами и разделом о потенциальных рисках. В нем описал, что я мог бы сделать, но, так как не знаю законодательства этой страны, не могу проверить гипотезу. После переписки по почте компания разрешила мне некоторые некритичные действия — гипотеза подтвердилась. Дыра была закрыта, а в ответ мне прислали «огроооомную благодарность» и пожелали удачи:) Такие задачи редко приплывают в руки сами, но их можно поискать на сайтах крупных компаний, которые нередко объявляют хакатоны и вознаграждения за найденные уязвимости.
Три совета начинающим хакерам
- Нет «правильного» пути. Зато есть путь, который приносит удовольствие и удовлетворяет результатами, выбирайте его.
- Формируйте вокруг себя профессиональное окружение. Один в поле не воин, как бы он не был скроен.
- Не сдавайтесь, когда опускаются руки. Все получится.
Где искать работу «белому» хакеру
«Белый» хакер может быть пентестером в штате компании или фрилансером, который делает разовые тестовые атаки для разных заказчиков, В первом случае путь стандартный — идем на hh.ru, Хабр.Карьеру и ищем подходящие вакансии по запросам «Pentester», «Penetration tester».
Если вы хотите работать с разными компаниями за вознаграждение (метод bug bounty), поискать задачи можно на сайтах HackerOne, Bugcrowd и Synack.
Сколько зарабатывают этичные хакеры
Средняя годовая зарплата этичного хакера в США — 84 тыс. долларов в год (это 7 тыс. долларов или 494 тыс. рублей в месяц). На hh.ru в феврале 2023 года зарплаты белых хакеров варьируются от 140 тыс. до 250 тыс. рублей, на Хабр.Карьере — от 200 тыс. до 500 тыс. рублей. На фрилансе можно получать от 22 долларов в час (это чуть больше 3 тыс. долларов в месяц).