Лабораторна робота №1

Тема: Етничний злом. Хто такі "хакери з білих капелюхів"?

Автор: Захаров Юрій
Есе
Кібератаки стають все більш витонченими, тому гра на випередження -
ефективна стратегія. IT-безпеку можна розглядати як своєрідну гонку між
поганими і хорошими хлопцями. Перші використовують уразливості системи
проти компаній, другі ж - допомагають компаніям не стати жертвами
перших. Звідси і назви: чорні хакери, які діють проти інтересів організацій, і
білі хакери (на мережевому сленгу - white hat, «хакери в білих капелюхах»),
яких організації наймають самі. Білі хакери - ключовий актив організацій,
готових поставити під свою систему безпеки випробуванню для виявлення
вразливостей.

Етичний хакер повинен володіти декількома рисами характеру. По-

перше, терпінням, тому що робота досить монотонна: вивчати код і його
уразливості можна не одну годину і не один день. Людині повинно бути
цікаво довго і докладно розбиратися. По-друге, потрібно вміти радіти
дрібницям: кілька годин або днів роботи можуть завершитися нічим. Оплата
роботи теж не завжди така висока, як у умовних розробників або графічних
дизайнерів. Трудитися доводиться на ентузіазмі, часом радіти скромним
нагород і почуттю власного успіху, щоб не вигоріти. І не менш важливі
гнучкість розуму і допитливість. Людина повинна думати як потенційний
зловмисник: вміти бачити способи використовувати помилку для злому
системи, якісь невраховані моменти застосовувати не за призначенням.
Наприклад, якщо сценарій однієї опції повернути інакше, і це призведе до
отримання доступу до даних.

Етнічний хакер, або білий капелюх - це термін яким позначають

хакера, який спеціалізується на пошуку вразливостей програми або
програмного забезпечення. Багато джерел помилково пов'язують хакерську
етику лише з білими капелюхами, хоча це поняття є ширшим. Назва
як чорних, так і білих капелюхів походить з вестернів, де антагоністичні
ковбої традиційно носять капелюхи цих кольорів. Білі хакери шукають
уразливості на добровільній основі або за плату з метою допомогти
розробникам зробити їх продукт більш захищеним. Тому важливим є
уникнення негативної конотації слова хакер, оскільки їх діяльність це не
обов'язково передбачає порушення законодавства, сам термін хакер — це
швидше спеціаліст високого рівня з роботи інформаційних систем. Тому
доцільніше говорити про «етичних» хакерів і кіберзлочинців.

Існує й ширший розподіл, який є не настільки популярним, проте все ж

використовується. Зокрема, до зазначених вище хакерів додаються:

 Сині капелюхи. Загалом це ті самі білі хакери, тільки в

термінології технологічного гіганта Microsoft, який активно
користується їхніми послугами перед випуском продуктів на ринок. У
деяких колах так ще називають людей, які вирішили хакнути когось із
помсти, а загалом хакінг як такий їх не цікавить.
 Зелені капелюхи. Новачки, в яких недостатньо досвіду, аби
брати участь у програмах Bug Bounty від великих компаній з
 серйозною системою захисту, проте вони практикуються на
спеціалізованих ресурсах.
 Червоні капелюхи. Їхня основна мета – боротися з чорними
капелюхами. Не просто попередити їхні атаки та посилити захист, а й
покарати хакерів-зловмисників, розгорнувши проти них
повномасштабну атаку.

Першою "атакою" білих капелюхів зазвичай вважають перевірку

операційної системи Multics, яка біла проведена повітряними силами США
для використання її як дворівневої операційної системи. По результатам
цього тестування було виявлено що Multics «значно краще, ніж інші
системи», але також вона мала «…вразливості в апаратній безпеці, безпеці
програмного забезпечення та процедурній безпеці». Ці недоліки можна було
виявити за допомогою «відносно малої кількості зусиль». Атака проводилась
в умовах, близьких до реальності, тому і результати показали ті вразливості,
через які в подальшому міг відбутися напад. Учасники атаки виконували як
напади для збору даних, так і прямі атаки, які могли б пошкодити систему.

До 1981 року Нью-Йорк Таймс описував білих капелюхів, як

«шкідливу, але хибно позитивну хакерську традицію». Коли
співробітник NCSS (статистичне програмне забезпечення) виявив
можливість злому пароля, яку він використовував проти клієнтів, компанія
покарала його не за сам злом, а за те, що не повідомив про це раніше. В листі
про догану зазначено, що компанія «…заохочує працівників виявляти слабкі
місця у програмному забезпеченні».
 Вперше ідею перевірки безпеки за допомогою злому сформулювали
Ден Фармер та Вієтс Венема. Маючи на меті покращити рівень
безпеки Інтернету та Інтранету, вони описували те, як вони збирали достатню
кількість інформації про свою ціль, щоб поставити її під загрозу. Також вони
навели декілька конкретних прикладів, як цю інформацію можна
використати для того, щоб отримати контроль над ціллю, та як запобігти
такому нападу. Потім вони зібрали все, що було використано ними для
нападу, в один файл і виклали його в відкритий доступ. Їх програма отримала
назву Security Administrator Tool for Analyzing Networks, або просто SATAN.
У 1992 році ця подія була популярною темою у ЗМІ.

Для великих корпорацій вже стало нормою звертатися по допомогу до

білих капелюхів. Компанія Microsoft навіть заснувала Microsoft BlueHat
Conference, яка присвячена білому хакінгу та інформаційній безпеці,
потрапити на яку можна тільки за запрошенням.

То як відбувається білий злом? Спочатку білий хакер збирає

інформацію про організаційне влаштування компанії, з’ясовуючи, які мережі,
IP-адреси і доменні імена їй належать. Далі іде складання списку сервісів, які
можна використовувати «ззовні»: мобільних додатків, веб-сервісів і
елементів мережевої інфраструктури.
 Після цього хакер шукає і тестує зовнішні уразливості. Якщо є ризик,
що тест призведе до збоїв в роботі системи, фахівці компанії готуються
оперативно відновити роботу.

Абсолютно всі тести проходять за погодженням із замовником, а

результати строго документуються. Крім цього, замовник обирає сам, які з
елементів системи тестувати.

Як правило, завданням білого хакера є також створення

документованої методології, яку можна повторно використовувати для
оцінки безпеки мережі. Ці дані включаються до звіту.

Білі хакери зазвичай знаходять закази на спеціальних платформах,

таких як HackerOne, Bugcrowd, SafeHats та Synack.

Більшість атак відбувається за стандартною схемою. Для початку білий

хакер збирає інформацію про організаційному устрої компанії, з'ясовуючи,
які мережі, IP-адреси і доменні імена їй належать. Далі слід складання списку
сервісів, які можна використовувати «ззовні»: мобільних додатків, веб-
сервісів і елементів мережевої інфраструктури. Після цього хакер шукає і
тестує зовнішні уразливості. Якщо є ризик, що тест призведе до збоїв в
роботі системи, фахівці компанії готуються оперативно відновити роботу.
Абсолютно всі тести проходять за погодженням із замовником, а результати
строго документуються. Крім цього, замовник вибирає сам, які з елементів
системи тестувати. Як правило, завданням білого хакера є також створення
документованої методології, яку можна повторно використовувати для
оцінки безпеки мережі. Ці дані включаються до звіту.

Великі технологічні компанії, включаючи Facebook, Apple і Microsoft,

організовують bug-bounty-програми, пропонуючи білим хакерам за
винагороду зламати систему і знайти уразливості. Ці компанії знають, що
платити етичним хакерам - значно дешевше, ніж розгрібати підсумки
реальних атак. Звіти про знайдені вразливості містять повний сценарій дій,
необхідних для відтворення атаки, що дозволяє компаніям своєчасно
виправити уразливості, і, посиливши захист, виключити ризик подібних атак.
Від того, наскільки знайдена уразливість критична, залежить сума
винагороди, яку виплачує компанія. Наприклад, в 2018 році за найслабшу
вразливість Facebook платить від $ 500, верхня межа виплати не
регламентована. Пентагон і армія США також використовують bug-bounty-
програми для пошуку вразливостей в публічних мережах. За цим прикладом
в 2017 році пішли і ВПС США, оголосивши про свою публічної програмі
«полювання на баги».

Заробіток білих хакерів залежить від багатьох факторів, починаючи від

їх навичок і закінчуючи простою удачливістю. Для багатьох етичний хакинг -
хобі або періодична зайнятість, а не повноцінна робота. Однак в опитуванні
за 2019 рік платформа HackerOne з'ясувала, що вже 7 осіб, переважно
займаючись хакингом, заробили понад $ 1 000 000, ще 13 - $ 500 000, а ще
146 - $ 100 000. BBC в своїй статті пише, що найуспішніші білі капелюхи -
хакери, які можуть отримувати більше $ 350 000 (~ 25 600 000 руб.) на рік, а
в рамках bug bounty програм компанії щомісяця виплачують до $ 50 000 (~ 3
600 000 руб.).
 Замітка для блогу

Перші білі капелюхи.

Першою атакою білих капелюхів можна вважати «перевірку безпеки»

операційної системи Multics, проведену повітряними силами США для
подальшого «використання її, як дворівневої (таємної/дуже таємної)
системи». По результатам тестування Multics виявилась «значно краще, ніж
інші системи», але також вона мала «…вразливості в апаратній безпеці,
безпеці програмного забезпечення та процедурній безпеці». Ці недоліки
можна було виявити за допомогою «відносно малої кількості зусиль». Атака
проводилась в умовах, близьких до реальності, тому і результати показали ті
вразливості, через які в подальшому міг відбутися напад. Учасники атаки
виконували як напади для збору даних, так і прямі атаки, які могли б
пошкодити систему.

Існує декілька відкритих звітів, що описують хакерську етику збройних

сил США.

До 1981 року Нью-Йорк Таймс описував білих хакерів, як потенційно

корисних. Коли співробітник NCSS виявив можливість злому пароля, яку він
використовував проти клієнтів, компанія покарала його не за сам злом, а за
те, що не повідомив про це раніше. В листі про догану (вид дисциплінарного
стягнення) зазначено, що компанія «…заохочує працівників виявляти слабкі
місця у програмному забезпеченні».

Вперше ідею перевірки безпеки за допомогою злому сформулювали

Ден Фармер та Вієтс Венема. Маючи на меті покращити рівень
безпеки Інтернету та Інтранету, вони описували те, як вони збирали достатню
кількість інформації про свою ціль, щоб поставити її під загрозу. Також вони
навели декілька конкретних прикладів, як цю інформацію можна
використати для того, щоб отримати контроль над ціллю, та як запобігти
такому нападу. Потім вони зібрали все, що було використано ними для
нападу, в один файл і виклали його в відкритий доступ. Їх програма отримала
назву Security Administrator Tool for Analyzing Networks, або просто SATAN.
У 1992 році ця подія була популярною темою у ЗМІ.

Рекламна об'ява

Департамент кіберполіції проводить набір кандидатів на вакансії

спецагентів. Зараз поліції потрібні «білі хакери», чий підрозділ був
заснований два роки тому.

Хто такі «білі хакери»:

Білий хакер (етичний хакер, або білий капелюх) – експерт з

комп’ютерної безпеки, який спеціалізується у тестах на проникнення та
інших перевірках інформаційних систем. На відміну від чорних капелюхів
(чорних хакерів), білі хакери шукають вразливості на добровільній основі або
за плату з метою допомогти розробникам зробити їх продукт більш
захищеним.

Назва як чорних, так і білих капелюхів походить з вестернів, де

антагоністичні ковбої традиційно носять капелюхи цих кольорів.

Що відомо про набір:

Керівництво Нацполіції високо оцінило якість виконуваної роботи і

прийняло рішення про збільшення кількості «білих хакерів» у підрозділах
департаменту. Офіційний старт конкурсу відбудеться 10 квітня 2022 року.
Подача електронних заяв на участь у конкурсі відбуватиметься через систему
відбору кадрів до Національної поліції України, яка доступна
за посиланням у розділі «Відкриті конкурси» (пряме посилання буде
доступне після старту конкурсу).

Скільки зароблятимуть «білі хакери»:

Від 25 до 50 тисяч гривень.