Когда мы слышим термин "хакер", большинство из нас ассоциирует его с киберпреступниками. Однако не все хакеры представляют угрозу. Некоторые компании нанимают их для предотвращения кибератак. Исходя из целей взлома системы, хакеры делятся на "белые" и "черные" шляпы (white hats, black hats). Цвета шляп происходят от старых вестернов, где герои носили белые шляпы, а злодеи — черные.
"Белые шляпы" используют свои навыки для этического взлома, работая над повышением безопасности путем поиска уязвимостей до того, как "плохие парни" смогут ими воспользоваться. Они помогают организациям тестировать и укреплять свои системы, или самостоятельно исследовать проблемы и раскрывать их по этическим соображениям.
Хакеры в черных шляпах проникают в системы незаконно, похищая данные, устанавливая вредоносные программы, а также иным образом нарушая безопасность систем и сетей.
Некоторые хакеры работают по обе стороны этической границы или переходят от одной к другой в силу разных мотивов. В частности, финансовые стимулы могут склонять "белые шляпы" на "темную сторону". Методы, используемые каждой из сторон, также схожи — одни и те же инструменты тестирования на проникновение и технические ноу-хау, просто направленные на разные цели. В этой статье мы разберем главные отличия “черных шляп” от “белых” и поймем как этичный хакинг может стать благом для информационной безопасности современных компаний.
Black Hats vs White Hats — особенности
В то время как грань между этичным и криминальным хакингом кажется четкой, разделение между "белыми" и "черными" шляпами зачастую гораздо менее выражено. Однако ключевые особенности все же есть у обеих групп.
Black Hat
Black Hat хакинг — практика несанкционированного доступа к компьютерной системе с злым умыслом. Такими хакерами могут быть лица, стремящиеся получить доступ к онлайн-аккаунтам и данным других пользователей. Они также могут быть частью организованных групп киберпреступников, которые занимаются кражей личной информации, включая данные о кредитных картах, или сохраняют доступ к данным и компьютеру в обмен на финансовые или социально мотивированные цели. Существуют также спонсируемые государством группировки, которые представляют угрозу критической инфраструктуре и организациям с целью достижения политических или стратегических военных задач.
Хакеры применяют ряд стратегий для достижения своих целей. Действия социальной инженерии, такие как фишинг, используются для компрометации человеческого элемента — самого слабого звена в цепочке кибербезопасности, особенно когда целью является отдельный пользователь.
Эксплуатация известных уязвимостей в технологиях является распространенной практикой и используется для охвата большой группы людей. Спонсируемый государством хактивизм делает шаг вперед и использует бэкдоры, внедренные в технологии, используемые правительством и военными организациями.
С июля 2022 года по июнь 2023-го средний ущерб, который хакеры нанесли крупным российским компаниями, в сравнении с аналогичным предыдущим периодом вырос на треть и составил как минимум 20 млн рублей — и это без учета репутационных потерь. Подобная опасность хакерских атак создает все более очевидную потребность в механизмах противодействиях. И порой для победы над противником нужно использовать его же методы.
White Hat
Хакеры в белой шляпе — профессионалы, официально уполномоченные на обнаружение и эксплуатацию уязвимостей в системе. White hat-хакеры часто трудятся в технологических компаниях, коммерческих организациях и государственных учреждениях, выявляя слабые места в их системах безопасности.
Основной задачей хакеров в белой шляпе является изучение потенциальных угроз безопасности с точки зрения потенциального киберпреступника. После обнаружения уязвимости организация сотрудничает со ИБ-специалистами для разработки и внедрения соответствующих исправлений. Эта деятельность часто входит в более обширную стратегию анализа киберугроз.
Мотивы хакинга могут быть самыми разными. Многие действия "черных шляп" начинаются с относительно невинных намерений — проверка своих навыков, демонстрация себя или "хактивизм" (хакерские действия для выражения политических, социальных или иных активистских взглядов), направленный на выявление уязвимостей. Но подобная активность рискует быстро перейти в зону правонарушений, например, кражу данных или повреждение систем. Финансовые стимулы также могут склонить этичных хакеров к продаже своих навыков преступникам или спецслужбам, действующим в "серой" этической зоне. Даже некоторые элитные хакеры, считающиеся "белыми", иногда занимаются фрилансом, который сомнителен с точки зрения законности.
Методы, используемые "белыми" и "черными" шляпами, также похожи. Они используют одни и те же инструменты тестирования на проникновение, методы разработки эксплойтов, тактику социальной инженерии и глубокие технические знания. Разница заключается лишь в целях — помочь или навредить. Это делает практически невозможным регулирование хакерской деятельности только на основе конкретных методов.
Ожесточенные этические споры разворачиваются и вокруг таких вопросов, как "ответный удар" по злоумышленникам путем взлома их систем или несанкционированного доступа даже из якобы альтруистических соображений. Некоторые "белые шляпы" считают себя вправе нарушать правила, которые, по их мнению, являются устаревшими. Однако взятие цифрового правосудия в свои руки чревато эскалацией и непреднамеренным сопутствующим ущербом.
Несмотря на существование риска неэтичной деятельности, ответственный хакерский подход имеет огромное значение для современной кибербезопасности.
Регулирование и поощрение этичного хакинга
По мере развития “белого” хакинга требуется все больше ясности и стандартов в отношении этой деятельности. Это особенно актуально для России, где хакерские возможности растут, а нормы остаются нечеткими.
В условиях несовершенства законодательной системы, особенно в таких динамичных сферах, как ИТ и ИБ, единственной надежной защитой становится двустороннее соглашение между компанией и этичным хакером. Такую модель используют пентест-специалисты. При пентесте компании поручают “белым” хакерам моделировать реальные атаки, доказывая наличие уязвимостей. Это позволяет выявить проблемы, упущенные в ходе обычного аудита, и повысить уровень безопасности до того, как произойдет инцидент. В договоре четко прописываются способы тестирования, его рамки и другие параметры. Такой подход позволяет избежать возможных рисков при пентесте — как для компаний, так и для хакеров.
Также в мире растёт популярность программ bug bounty, на них мы делали обзор ранее, в ходе которых компания привлекает сторонних “белых хакеров” для тестирования своего ПО или систем на уязвимости за вознаграждение. В отличие от пентестов с привлечением подрядчиков, в случае с bug bounty оплата происходит за обнаруженные уязвимости, а не за время, потраченное ИБ-специалистом. В России интерес к этой практике тоже увеличивается, причем не только со стороны частного сектора, который раньше начал прибегать к ней, но появляется и со стороны госорганизаций — за счет появления программ в объектах КИИ и инициатив Минцифры по легализации этичного хакинга.
Популяризация bug bounty положительно скажется на формировании правового поля для этичных хакеров. Кроме того, эта инициатива может привести в сферу ИБ новых специалистов, которых сейчас не хватает. На сегодняшний день работают такие платфомы как bugbounty.ru, app.bugbounty.bi.zone и bugbounty.standoff365.com. Ничто не мешает «белым хакерам» регистрироваться на всех трёх площадках и участвовать в наиболее выгодных и интересных программах bug bounty.
На данный момент подобные платформы представляют собой наиболее безопасное и удобное взаимодействие между этичными хакерами и компаниями. Участие хакера в программах по поиску уязвимостей за вознаграждение предполагает, что компании, участвующие в проекте, добровольно предоставляют свои ресурсы для выявления потенциальных уязвимостей. Это полностью исключает возможность уголовной ответственности — при условии, что хакер следует предоставленным ему правилам и ограничениям.
Сегодня законодательная обстановка в области этичного хакинга далека от идеала, и формирование адекватного правового фундамента требует времени. Даже при создании соответствующего законодательного основания вероятно останутся слабые места, подлежащие истолкованию не в пользу white hat-хакера.
Для специалистов, размышляющих о том, как начать карьеру хакера и получать вознаграждения за выявление уязвимостей, важно осознавать риски и нюансы этой деятельности.
Заключение
Рост популярности этичного хакинга свидетельствует как об огромной пользе, которую он может принести, так и о рисках, требующих бдительности.
Положительным моментом является то, что ответственный хакерский подход сегодня является важным аспектом кибербезопасности. Обнаруживая недостатки и укрепляя системы до реальных инцидентов, этичные хакеры обеспечивают дополнительный уровень защиты.
Однако размытые границы между этичным и неэтичным хакингом также свидетельствуют о необходимости соблюдать осторожность. Мотивы могут меняться, методы пересекаться, и не всегда ясно, где проходят этические границы. Именно поэтому для того, чтобы хакерство приносило пользу, необходимы более четкие стандарты, профессионализация и сильная этика сообщества.
Этичному хакингу суждено играть еще большую роль в мире киберзащиты. Но для того чтобы он полностью раскрыл свой потенциал, предстоит еще много работы. Соблазн перейти на темную сторону будет существовать всегда. Однако польза от использования хакерской изобретательности в благих целях слишком велика, чтобы ею пренебрегать.
Автор статьи: Глеб Верди, специалист по ИБ «Астрал. Безопасность».