Одни называют их этичными хакерами, другие — будущими преступниками. Но кто они на самом деле? RT Documentary исследует тестеровщиков на проникновение — вдохновителей кибербезопасности.
В последние годы кибербезопасность превратилась в очень сложную задачу.
Сегодняшняя кибербезопасность — это очень сложная задача, в которой участвуют специалисты с различным академическим и профессиональным образованием. Тестеровщики проникновения, или пентестеры, кажутся самыми загадочными персонажами.
Их работа идентична работе хакеров: они ищут уязвимости в компьютерных системах и проводят кибератаки, направленные на эти уязвимости. Единственная разница в их целях. В то время как хакеры делают это ради нанесения ущерба и получения прибыли, пентестеры стремятся укрепить кибербезопасность организации.
Скептики полагают, что разница в целях неуловима: они говорят, что человеку может быть трудно оставаться на ‘хорошей’ стороне, когда ставки на ‘неправильной’ стороне возрастают. Однако эксперты по кибербезопасности настроены более позитивно. Они настаивают на том, что большинство пентестеров не имеют ничего общего с киберпреступностью, и говорят, что ставка на ‘хорошей’ стороне также заманчива. По данным Cyberseek, портала рынка труда для ИТ-специалистов, средняя зарплата тестировщиков уязвимостей составляет 100 000 долларов.
RT Documentary пообщался с экспертами по кибербезопасности из разных стран, чтобы узнать их мнение о пентестерах.
Хорошие парни или плохие парни?
С юридической точки зрения основное различие между пентестерами и хакерами заключается в том, что последние нарушают закон, а первые, напротив, помогают защитить кибер-мир от противоправных действий.
«Конечно, это все романтизировано! — говорит пентестер Иван Ботанов. -Я не называю себя хакером! Я думаю о хакере как о человеке, занимающемся незаконной деятельностью. Я называю себя, ну … пентестером! Я не нарушаю закон. Напротив, я помогаю сделать Интернет лучше».
Этичные хакеры имеют доступ к обширным ресурсам для изучения и совершенствования своих навыков и даже для поиска высокооплачиваемой работы. Например, онлайн-лаборатории, такие как HackTheBox, предоставляют тестерам уязвимостей доступ к интернет-серверам, используемым хакерами. Такие платформы позволяют пентестерам искать бреши, мешать хакерам взламывать и разрушать инфраструктуру, красть данные пользователей и т. д.
«Есть предложения о работе для пентестеров хакерского уровня и выше, — продолжает Иван Ботанов. — Есть шанс, что вам предложат работу на основе вашей записи о взломах HackTheBox. Если вы абсолютный новичок и не знаете, где искать, академия HackTheBox научит вас бесплатно. Вот как попасть в пентест и взлом. Какой путь выбрать — решать вам. Навыки пентестера, скорее всего, откроют двери киберпреступности. Думаю, можно так сказать. Это зависит от вашей этики, вашего воспитания и того, зачем вам это нужно».
Отдел кибербезопасности
«Что касается разницы между белыми и черными ‘шляпами’, они стремятся найти уязвимости, — говорит Анастасия Тихонова, руководитель отдела комплексного мониторинга угроз Group-IB. — Просто одни хотят помочь компании, а другие — нанести ущерб!»
«Белые хакеры» или «белые шляпы» — еще одна метафора, используемая для описания тестеров на проникновение. По мнению экспертов по кибербезопасности, эти парни, похоже, играют роль киберпограничников, защищая кибер-объекты организаций от вторжений. Как и реальные военнослужащие, испытатели проникновения проходят регулярное обучение, которое позволяет им совершенствовать свои навыки на практике.
Например, обучение может включать в себя команду, имитирующую неопределенную атаку с целью и неизвестным временем запуска. Представители мира киберпреступности считают, что такое обучение не позволяет отделить пентестеров от хакеров.
«Уполномоченные из InfoSec имеют две команды: красную и синюю. Красные атакуют, Синие защищаются, — говорит практикующий хакер в интервью RT Documentary. — Речь идет о том, как ты развиваешься: в нападении или защите. Это разные направления, как бы абсурдно это ни звучало. Защитник не может обязательно атаковать, и наоборот».
Хакер — это что подразумевает? Быть хакером означает иметь свободу и свободу действий, а также желание … уничтожить систему! В сегодняшней реальности действительно нет такого понятия, как хакер. Все говорят, что они вымерли. Итак, все они специалисты по информационной безопасности, как мы их обычно называем.
Осталось не так много исследователей, интересующихся философией хакеров и ее романтикой. Многие переходят черту и становятся жестче и злее. Остальные становятся ‘белее’. Это зависит от личности и ситуации. Большинство делает это ради денег. Но некоторые работают ради развлечения. Это просто позиция, которой должны придерживаться профессионалы.
«Независимо от того, IT это или нет, вы профессионал, вкладываете в это время, а это самый ценный ресурс. Вы делаете это для того, чтобы сказать: «Ребята, смотрите! Я это сделал!» Определенно такие люди есть. Они очень взволнованы, когда им удается внедриться в систему. Это круто … действительно круто! Но вы должны подняться до этого. Год или два упорной работы не помогут. Это очень трудный путь».
«Не все так романтично и мило, как люди думают … что хакеры чертовски богаты. Да, есть миллионеры, но для того, чтобы заработать свой первый миллион, требуются огромные усилия, много оборудования и так далее».
Хотя искусство пентестера и хакера требует времени, энергии и таланта и требует одних и тех же навыков, выбор между двумя профессиональными путями зависит от личности и моральных принципов.
«Кстати, важно отметить, что у специалиста по информационной безопасности другая психология. Это не так, как у хакера или злоумышленника, — говорит Дмитрий Градарь, руководитель отдела информационной безопасности банка.
«Кто такой хакер? Во-первых, исследователь … Но те, кто исследует информационные системы, отличаются от тех, кто их защищает, потому что им достаточно изучить систему, найти брешь и проникнуть в нее».
В сфере безопасности существует неизвестное количество переменных, значительное количество дыр в Интернете, появляются эксплойты и т. д., И вам необходимо правильно расставить приоритеты для рисков. Нанимать хакеров рискованно. Хакер — это тот, кто уже на темной стороне. Кто знает, что он сделает, если обнаружит брешь в организации. Если он нарушит закон, он, скорее всего, сделает это снова, особенно когда его дразнят нарушениями информационной безопасности».
Перевод статьи «Ethical Hackers: Cyber Security Masterminds or Potential Criminals?»