1758
Біле хакерство: навіщо бізнес дозволяє себе зламувати
— Фондовий ринок
CEO Hacken міжнародної компанії в сфері кібербезпеки та організатора bug-bounty-марафону Hacken Cup і форуму кібербезпеки HackIT 4.0 (Київ, 8-11 жовтня), Дмитро Будорін — про те, хто такі білі хакери і навіщо бізнес відкриває їм доступ до своїх продуктів.
Білий хакер використовує ті самі знання та інструменти, що і хакер-зловмисник, намагаючись зламати IT-систему компанії. От тільки білі хакери працюють з дозволу власників систем і дотримуються законів. Їхня мета — не викрасти інформацію або завдати шкоди компанії, а навпаки, допомогти усунути уразливості.
Відділ IT-безпеки використовує результати цих тестів для усунення вразливостей, що значно знижує ризик цього злому і витоку цінних даних.
Зламай себе сам
Кібератаки стають все більш витонченими, тому гра на випередження — ефективна стратегія. IT-безпеку можна розглядати як своєрідні перегони між поганими і хорошими хлопцями. Перші використовують уразливості системи проти компаній, другі ж – допомагають компаніям не стати жертвами перших.
Звідси і назви: чорні хакери, які діють проти інтересів організацій, і білі хакери (на мережевому сленгу — white hat, «хакери в білих капелюхах»), які організації наймають самі.
Білі хакери – ключовий актив організацій, готових піддати свою систему безпеки випробуванню для виявлення вразливостей.
Bug bounty — визнаний формат
Великі технологічні компанії, включаючи Facebook, Apple і Microsoft, організовують bug-bounty-програми, пропонуючи білим хакерам за винагороду зламати систему і знайти уразливості. Ці компанії знають, що платити етичним хакерам — значно дешевше, ніж розгрібати результати реальних атак.
Звіти про знайдені вразливості містять повний сценарій дій, необхідних для відтворення атаки, що дозволяє компаніям вчасно виправити уразливості, і, посиливши захист, виключити ризик подібних атак. Від того, наскільки знайдена вразливість критична, залежить сума винагороди, яку виплачує компанія.
Наприклад, у 2018 році за найслабшу вразливість Facebook платить від $ 500, верхня межа виплати не регламентована. Пентагон і армія США також використовують bug-bounty-програми для пошуку вразливостей в публічних мережах. Цьому прикладу в 2017 році послідували і ВПС США, оголосивши про свою публічну програму “полювання на баги”.
Пасивні методи захисту більше не працюють
Жоден антивірус не забезпечує абсолютну безпеку. Значна частина успішних кібератак будується на використанні «вразливостей нульового дня» — тих, які стають відомі раніше, ніж виробник софта встигне випустити патч, а антивіруси — оновити базу.
Навіть найбільш незначна вразливість може бути використана для злому системи. Єдине рішення — пошук вразливостей і їх усунення. Тут на допомогу і приходять білі хакери: вони знаходять уразливості і дозволяють компаніям виправити їх до того, як ними зацікавляться кіберзлочинці.
Безпечних систем не існує
У травні білі хакери з Аргентини знайшли вразливість в додатку Signal для Windows і Linux, який вважається одним з найбезпечніших месенджерів в світі. Суть вразливості — при переході на посилання зі шкідливим кодом цей код автоматично запускався на комп’ютері одержувача і різними способами намагався зібрати конфіденційні дані.
Виявилося, при оновленні розробники випадково видалили фрагмент коду, що і спровокувало вразливість.
Оскільки лазівку знайшли білі хакери, вони надали організації всю інформацію, яка дозволила швидко виправити вразливість. Месенджер Signal як і раніше вважається найбільш секьюрним. І навряд чи хтось стане сперечатися, що в цьому допомогло рішення компанії відкрити доступ до пошуку вразливостей білими хакерами.
Цієї осені в Києві виступить співзасновник месенджера Signal, Моксі Марлінспайк, який розповість детальніше про політику безпеки в компанії. Це пройде в рамках форуму HackIT, який відбудеться 8-11 жовтня. Кажуть, коли у Сноудена просять рекомендацій щодо безпечного софта, він відповідає: “використовуйте що завгодно від Моксі Марлінспайка”, – так що, мабуть, доповідь Моксі буде справді корисною.
Як відбувається «білий» злом
Спочатку білий хакер збирає інформацію про організаційне влаштування компанії, з’ясовуючи, які мережі, IP-адреси і доменні імена їй належать. Далі іде складання списку сервісів, які можна використовувати «ззовні»: мобільних додатків, веб-сервісів і елементів мережевої інфраструктури.
Після цього хакер шукає і тестує зовнішні уразливості. Якщо є ризик, що тест призведе до збоїв в роботі системи, фахівці компанії готуються оперативно відновити роботу.
Абсолютно всі тести проходять за погодженням із замовником, а результати строго документуються. Крім цього, замовник обирає сам, які з елементів системи тестувати.
Як правило, завданням білого хакера є також створення документованої методології, яку можна повторно використовувати для оцінки безпеки мережі. Ці дані включаються до звіту.
Як найняти білого хакера
Деякі великі компанії вважають за краще наймати етичних хакерів в штат, щоб пошук вразливостей проводився постійно.
Великий бізнес вимагає у кандидатів наявності сертифіката Certified Ethical Hacker (CEH) від Ради ЄС, рекомендований мінімум для найму білого хакера. Сертифікат CEH гарантує, що фахівець розбирається в соціальній інженерії, SQL-ін’єкціях, троянах, хробаках, вірусах та інших формах атаки. Кандидати повинні також продемонструвати знання криптографії, тестування на проникнення, брандмауерів та інше.
Якщо бізнес наймає зовнішнього підрядника для відрядної роботи, обов’язково готується угода про конфіденційність і визначаються галузі IT-системи, які не повинні бути задіяні під час запланованого «злому».
Якщо бізнес наймає зовнішнього підрядника для відрядної роботи, обов’язково готується угода про конфіденційність і визначаються галузі IT-системи, які не повинні бути задіяні під час запланованого «злому».
Де знайти білого хакера
Варіантів два: запустити власну bug-bounty-програму або знайти білого хакера на спеціальних платформах.
Створення власної програми вимагає розробки стандартів і правил, наявності ресурсів для пошуку лояльних і кваліфікованих учасників і організації самого заходу. Це може зайняти багато часу і вимагати значного бюджету.
Другий спосіб — знайти виконавців на платформі білих хакерів, наприклад, HackenProof. Як саме будується співпраця між бізнесом і білими хакерами, можна дізнатися на форумі HackIT 8-11 жовтня в Києві. Подія буде присвячена новим технологіям в контексті кібербезпеки. Наприклад, на івенті відбудеться панельна дискусія про злом криптобіржі, яку в прямому ефірі транслюватиме блогер Майкл Гу (засновник YouTube-каналу Boxmining, присвяченого блокчейну і криптовалютам). В рамках заходу також пройде bug-bounty-марафон Hacken Cup.
У програмі форуму — дводенна конференція, день практичних тренінгів, день нетворкінгу, змагання для білих хакерів. В цілому на конференції виступлять понад 50 спікерів.
Ймовірно, в найближчі кілька років на наших очах відбудеться бум білого хакерства, адже все більше компаній і організацій прагнуть співпрацювати з етичними хакерами, а все більше програмістів прагнуть отримати навички етичного злому. Все рухається до того, що вже в найближчі п’ять років баг-баунті стане запорукою виживання бізнесу.
За матеріалами:
Поділитися новиною
