что делает хакер в армии
Как ЧВК идут в киберпространство
В последнее время в России начали уделять больше внимания вопросам обеспечения информационной безопасности: в Вооруженных силах создали подразделение войск информационных операций, “Ростех” увеличил расходы на защиту оборонных предприятий от хакерских атак, услуги по обеспечению кибербезопасности начинают предлагать частные военные компании (ЧВК), пишут Михаил Ходаренко и Амалия Заттари на страницах “Газеты”. Однако в стране наблюдается острая нехватка кадров в этой сфере, а молодые специалисты предпочитают уезжать на Запад.
Россия испытывает острую нехватку кадров в области информационной безопасности. Особенно остро недостаток таких специалистов чувствуется в условиях повышающегося запроса на обеспечение информационной безопасности в российских министерствах и других ведомствах, заявила сооснователь “Лаборатории Касперского” и гендиректор группы компаний InfoWatch Наталья Касперская на круглом столе в рамках Международного военно-технического форума “Армия-2017”.
“Полагаю, не стоит напоминать, насколько важна в современном мире информационная безопасность. Подготовка кадров в этой сфере, по сути дела, является особенностью обеспечения суверенитета государства”, — отметила она.
Среди причин нехватки кадров в сфере информационной безопасности Касперская назвала недостаточную подготовку в вузах и отток молодых российских специалистов на Запад, на увеличении которого сказалось в том числе и падение курса рубля. Для того чтобы снизить этот отток, по мнению эксперта, следует ввести экономический заслон: чтобы молодой специалист в случае отъезда за рубеж должен был или рассчитаться за полученное образование в полном объеме, или отработать необходимое количество лет на предприятиях отрасли.
Новые снайперы
Многие российские IT-специалисты идут работать не в государственный сектор, а в коммерческие структуры, а некоторых, убеждена Касперская, вербуют и охотно “берут под крыло” иностранные спецслужбы. Она привела в пример недавний арест в Греции специалиста в IT-сфере Александра Винника, которому инкриминируют хищение четырех миллиардов долларов. “Это даже технически непонятно как сделать”, — сказала Касперская, предположив, что случай Винника является одним из способов вербовки: специалисту в этом случае предлагается альтернатива — либо 25 лет тюрьмы, либо работа на соответствующие спецслужбы.
Сами угрозы информационной безопасности, по мнению эксперта, за последнее время пережили три этапа. 25–30 лет назад, когда компьютеры только появились, вирусы писались любителями ради собственного развлечения. Потом начали появляться индустриальные хакерские группировки, своего рода “информационная мафия”. И в последние десять лет хакерские угрозы стали появляться со стороны государств — разрабатываются боевые вирусы, массированно совершаются информационные атаки.
Реестр программистов в теории может стать неплохим кадровым лифтом, считает директор по проектной деятельности Института развития интернета Арсений Щельцин. Но на практике все иначе: в России не смотрят на нахождение в реестрах, наличие специальных сертификатов и благодарностей, а ключевыми параметрами для нанимателей остаются знание языков программирования, ключевых фреймворков, а также опыт от завершенных проектов, отметил эксперт.
“С другой стороны, такой реестр будет удобен для хантинга из-за рубежа. Представьте, мы сделаем витрину самого дорогого – наших кадров. И используйте как хотите, хотите — в хакерстве обвиняйте, хотите — на работу приглашайте”,— предположил он.
На Западе предложение работы и спрос на российских программистов местами куда выше, чем у нас самих, отметил Щельцин. По его мнению, для сокращения оттока специалистов за границу в России должны открываться зарубежные центры компетенций по безопасности, чтобы дефицит высокооплачиваемой работы компенсировался зарубежными инвесторами, в таком случае эти же специалисты не будут ориентироваться на Запад.
“По мере роста карьеры эти специалисты будут переходить в российские компании на более высокие должности или открывать свой российский или международный бизнес”, — добавил он.
“Сейчас бизнес и даже государство понимают, что, делая один шаг в технологиях, нужно делать еще три в безопасности. Доверяя интернету вещей, блокчейну или мобильным технологиям новые полномочия для совершенствования бизнес-процессов, мы оказываемся в ситуации, когда любая ошибка в безопасности может положить конец этим процессам”, — сказал собеседник.
Спрос на сотрудников в области безопасности растет, появляются новые структуры в госкомпаниях и ответственные руководители в органах власти. “Хороший пример, повышающийся запрос на безопасность в мобильных технологиях, — использование российской мобильной безопасной операционной системы (Sailfish Mobile OS Rus) взамен полюбившихся западных Android и iOS”, — отметил Щельцин.
Майор российских кибервойск
В середине августа об обострении противоборства в киберпространстве заявил секретарь Совета безопасности России Николай Патрушев. По его словам, противостояние в этой сфере перешло от демонстрации технологического превосходства к деструктивному информационному воздействию.
Он также признал, что в этих условиях системы органов государственной власти России демонстрируют свою уязвимость для кибератак.
В январе 2017 года “Коммерсант” опубликовал результаты исследования международной компании Zecurion Analytics, согласно которым Россия вошла в первую пятерку стран по численность и финансированию так называемых кибервойск, которые занимаются шпионажем, кибератаками и информационными войнами. По данным аналитиков и источников газеты на рынке информационной безопасности, численность российских кибервойск насчитывает около тысячи человек, на финансирование которых может ежегодно выделяться около 300 млн долларов.
На первом месте по расходам на кибервойска оказались США (9 тыс. человек, 7 млрд долларов в год), на втором — Китай (20 тысяч человек, 1,5 млрд долларов в год). Однако в Госдуме в том же месяце заявили, что в России кибервойск не существует.
Впервые о необходимости создания в российской армии отдельного киберкомандования заявлял еще весной 2012 года вице-премьер страны Дмитрий Рогозин. Спустя пять лет, в феврале 2017 года глава Минобороны Сергей Шойгу объявил о создании в российских Вооруженных силах войск информационных операций. Отвечая в Госдуме на вопрос о необходимости воссоздания управления, занимавшегося контрпропагандой, министр заявил, что “созданы войска информационных операций, что гораздо эффективнее, сильнее”, отметив, что “пропаганда должна быть умной, грамотной и эффективной”.
Хакеры делают выборы
Сейчас угрозы информационной безопасности зачастую несут в себе не меньшую опасность, чем реальные нападения, однако на данный момент еще не все воспринимают их всерьез, считает руководитель российской частной военной компании (ЧВК) “РСБ-Групп” Олег Криницын. “Все привыкли, что угроза — это человек с автоматом. Но сейчас люди с ноутбуками несут гораздо большую опасность, чем люди с автоматами”, — сказал он.
По словам Криницына, компания стала первой российской ЧВК, которая, помимо разминирования, охраны объектов и разведки, также предлагает услуги по обеспечению информационной безопасности. Киберподразделение в составе “РСБ-Групп” открылось в конце прошлого года и на данный момент является уникальной подобной структурой в России — пока что аналогичной работой занимаются только зарубежные ЧВК.
“Компьютерные преступления становятся все мощнее, и мы к ним не готовы”, — отметил Криницын. По его словам, деятельность IT-специалистов в рамках частной военной компании может быть разнообразна. Это может быть как защита клиентов ЧВК от информационных угроз и кибератак, так и различные антитеррористические операции (атаки подконтрольных террористам ресурсов, получение доступа к их денежным счетам и т.д.), а также защита клиентов от информационных угроз и кибератак.
Криницын не стал уточнять, проводят ли IT-специалисты компании какие-либо операции в рамках борьбы с терроризмом, сославшись на строгую секретность этой деятельности. Один раз ЧВК получила заказ на вмешательство в ход выборов.
Криницын не стал раскрывать, от кого поступил заказ и на избирательный процесс какой именно страны предлагалось повлиять, отметив лишь, что это была не Россия.
По его словам, в “РСБ-Групп” отказались выполнять этот заказ, так как работают исключительно в рамках закона.
Как рассказал Криницын, сейчас за услугами киберподразделения ЧВК обращаются в основном кредитные организации: хакеры по заказу банка атакуют информационные системы, выявляя в них слабые места, защиту которых необходимо усилить. Кибератаками на информационные системы одной организации по заказу ее конкурентов компания не занимается, добавил он.
Егор Зайцев: «За день до трудоустройства я провел кибератаку. Было интересно, как быстро меня обнаружат»
Егор Зайцев учился на разработчика, но закончил вуз без энтузиазма. Открыл кофейню, но она прогорела. Начал изучать веб-разработку и этичный хакинг, и это выстрелило: он погрузился в учебу так, что отдавал ей все свободное время, и теперь работает в крупной компании. Егор рассказал, где брал мотивацию, как проводил первые атаки и почему так важна поддержка комьюнити.
Егор Зайцев, 25 лет
Город: Липецк
Образование: ЛГТУ, «Автоматизированные системы управления»
Предыдущее место работы: «НЛМК-Информационные технологии», администратор баз данных
Новое место работы: ПАО «НЛМК», специалист по кибербезопасности
Что я делал раньше
До того как стать специалистом по кибербезопасности, я интересовался IT, но опыта у меня было немного. Я закончил вуз по специальности «Автоматизированные системы управления». Думал, что уж там-то меня точно всему научат и я стану крутым программистом. Но это была ошибка: мои одногруппники заканчивали школы и лицеи со специализацией в информатике, у них была хорошая база, а я вообще ничего не умел.
Первым языком был С++ — для новичка это очень сложно. Таких как я было 90% студентов в группе. Нам объясняли вещи, которые мы не понимали, мы теряли интерес, списывали у более сильных однокурсников и вышли из университета полными нулями.
C++ — это действительно непростой язык для новичка. Мы подробно рассказывали о его особенностях в этой статье.
У моего отца была своя строительная бригада, и лет с десяти я каждое лето и все каникулы был в ней обычным рабочим — так он учил меня зарабатывать. Благодаря этому я не боюсь работы и умею полагаться на себя. В 2017 году, на четвертом курсе я решил сменить род деятельности и открыть кофейню. Был небольшой бюджет, нашлись единомышленники.
Поначалу все было хорошо: к нам ходили сотрудники соседнего бизнес-центра и банков, студенты вуза. Но потом мы прогорели. Зимой у студентов началась сессия, потом они ушли на каникулы, и случилась серьезная просадка по продажам. Через четыре месяца после открытия нам пришлось закрыться и продать оборудование, чтобы покрыть часть убытков.
Я решил, что пойду в армию и подумаю, что делать дальше. Пошел служить по контракту, чтобы зарабатывать деньги. Понял, что армия вообще не мое, там невозможно думать, там даже говорят: «Думать — это не твое, за тебя уже подумали, а твоя задача — выполнить». Кое-как дослужил два года и вернулся домой с уверенностью, что нужно возвращаться в профессию.
В армии я начал изучать Python. Первый пентест (тестирование системы на уязвимости), можно сказать, у меня был там: подломил чужой Wi-Fi, и полгода у меня был бесплатный интернет.
Вернувшись в Липецк, начал искать работу, связанную с Python, но ничего не нашел. Одногруппник позвал меня к себе работать администратором баз данных.
Параллельно нашел на Udemy подходящий курс за 1 тыс. рублей, он помог мне освоиться в работе. Устроился в компанию «НЛМК-Информационные технологии», у самой НЛМК (крупный международный производитель стали) она была подрядной организацией. Нужно было отслеживать сбои работы в приложениях, привязанных к базам данных, выяснять причины неполадок и корректировать процессы, чтобы у людей все работало на производстве. Также занимался разработкой сертификатов качества, которые нужны для экспорта продукции в Европу, следил за целостностью данных.
Спустя полгода на новом месте я окончательно понял, что это тоже не мое. Со мной работали бабулечки по 70 лет, которые сидели на одном месте всю свою жизнь, и я понимал, что не развиваюсь там. Поэтому поставил себе цель за год изучить что-то новое и уйти в другую сферу.
Как я попал в этичный хакинг
Весной 2021 года я начал изучать веб-разработку на Udemy, а для себя, как хобби, выбрал курс «Этичный хакинг» на SkillFactory. Зарплата была небольшой, в голову лезли сомнения, но я все же решил пойти учиться. К веб-разработке у меня был коммерческий интерес, потому что многие мои однокурсники ушли в эту сферу и хорошо зарабатывали по меркам Липецка, а в кибербезопасности у меня не было знакомых. Честно говоря, даже не думал работать в этой сфере.
Читайте также: Кто такой этичный хакер?
Наткнулся на курс случайно и учиться пошел для себя, потому что мне всегда было интересно заниматься пентестом, но не знал, с чего начинать. В начале учебы базовые знания получил на курсе и параллельно углубился в специфические темы.
До этого у меня было, может быть, три-четыре захода в тему хакинга. А с появлением в моей жизни учебы и комьюнити мне стало безумно интересно. Я мог часами после работы читать и пробовать что-нибудь «ломать», готов был отдавать этому делу все свободное время — в отличие от веб-разработки, где учиться было тяжело и не так интересно. Сложно найти занятие, от которого не будешь уставать, и у меня оно появилось.
Начните с программирования на Python и JavaScript, изучите Linux и Windows и освойте тестирование на проникновение. Скидка до 45% по промокоду BLOG
Учеба — это не только про знания
У меня было понимание, что курс даст хорошую базу. Учеба стала вектором, который задает необходимое направление. По окончании курса можно самостоятельно подготовиться к экзамену OSCP ( Offensive Security Certified Professional — это сертификат пентестеров, предлагаемый Offensive Security ), который подтверждает, что у человека есть компетенции высокого уровня, и позволяет претендовать на хорошую зарплату или работу за границей.
По некоторым модулям была немного поверхностная информация, но нам шли навстречу и дополняли материалы. А вот что мне больше всего нравилось — это окружение. Все занимаются тем же, чем и ты, у них горят глаза, вы вместе все изучаете, пробуете что-то взламывать. В дальнейшем стал плотно общаться с одним из менторов.
Интересно, что у меня никогда не было выдающихся способностей в IT, но учиться именно на этом курсе было легко — наверное, потому что направление мне нравилось. Мне удалось быстро уйти чуть дальше остальной группы: пока сокурсники изучали базовый Python, я уже смотрел, как писать свои эксплойты — это программа, фрагмент кода или последовательность команд, которая использует уязвимости в ПО и применяет их для проведения атаки. Не могу сказать, что было сложно. Мне очень хотелось получить знания в этой области.
Работая удаленно, занимался все свободное время. Если не было дел на работе, то на работе, после работы, по выходным. Родители поначалу относились к этому скептически, были разговоры о том, что я все время учусь, но не видно результата, может быть, копаю не в том направлении. Их можно понять: это люди другого поколения, и им не совсем очевидно, в чем заключается суть работы. Сейчас они видят результат и понимают, что мне правда необходимо постоянно развиваться. Даже иногда говорят, что не разбирают, на каком языке я разговариваю.
Как я стал специалистом по кибербезопасности
Я продвигался и в хакинге, и в веб-разработке, а в июне 2021 года опубликовал на hh.ru резюме по обеим специальностям. В разработке я искал работу уже на уровень middle, потому что знал весь стек, который нужен для этого, плюс имел опыт работы с базами данных. При этом резюме по специальности «Специалист информационной безопасности» не было выдающимся: я написал, что прохожу курс, знаю такие-то темы.
Мне приходили отклики от разных компаний, в том числе крупных — «Газпром», «Сбертех». Я проходил собеседования, выполнял тестовые, но брали специалистов с большим опытом, чем у меня. Я был готов работать за копейки, но удаленно, потому что на новом месте надо было бы снимать жилье, однако на дистант работодатели не соглашались.
Спустя два-три месяца после размещения резюме мне позвонили из центра кибербезопасности ПАО «НЛМК». В разговоре описал все, чему нас учили, дали тестовое. Оно оказалось интересным, я сделал его за час, в отличие от заданий по веб-разработке, на которые уходило полмесяца.
В веб-разрботке бывают и такие истории. Читайте, как Илья Абраомв стал Python-разработчиком, создал сервис, которым пользуется вся компания, и переехал в собственный дом
Было нужно расшифровать лог атаки на корпоративную сеть, объяснить, что обозначают разные event ID в системе Windows (это было легко нагуглить), а затем описать, как бы я взламывал корпоративную сеть. Расписал все пошагово, начал с этапа разведки и закончил затиранием своих следов. Через день со мной связались и пригласили работать.
На учебе в SkillFactory мы были Red Team — теми, кто взламывает системы, а работу предложили в секторе Blue Team — это те, кто защищает от атак (подробно про то, какими бывают хакеры, мы писали в этой статье). Мне интересно все в этой области. К тому же сказали, что я смогу тестировать их систему, подламывать сервера и компьютеры и потом «закрывать» эти дыры, — и я согласился.
Когда взяли, я, конечно, сильно обрадовался — это было именно то что нужно. Мне предоставили возможность самому назвать, сколько хочу получать, пообещали постоянные рост и обучение, раз в год оплата курсов, которые сам выберу. Плюс подразделение достаточно молодое, ему нет и пяти лет. Там немного людей и есть шанс быстро вырасти. У одного из моих коллег оклад за четыре месяца вырос на 30%.
Чем я занимаюсь сейчас
Сейчас мы размещаемся во временном офисе в Липецке, скоро нам достроят отдельное здание, не относящееся к заводу. В целом мы занимаемся безопасностью площадок по всей России, в Европе и в США.
В первый день я получил технику, и руководители сразу стали погружать меня в работу. Было видно, что весь управленческий состав дошел до своих мест именно собственными силами, не по знакомству или как-то еще. Хорошо, что мы все примерно одного возраста, общаемся на «ты», находимся на одной волне.
В качестве первых задач нужно было изучить, как реагировать на инциденты. Инцидент — это либо хакерская атака, либо ложное срабатывание. Например, мы видим подозрительную активность, и надо понять: это злоумышленники, которые ищут уязвимые места нашей сети, или это человек пытается подключиться, чтобы поработать из дома. Берешь кейс, смотришь логи, делаешь анализ и даешь заключение, что это.
На начальном этапе столкнулся с тем, что нужно было работать с большим количеством корпоративных программ, а по некоторым из них довольно скудные данные. Но руководство меня быстро подтянуло. Нас немного в отделе, и мы постоянно обучаемся. Коллектив как одна команда, у всех горят глаза, никто не сидит на месте просто так. Я еще учусь на своем курсе в SkillFactory и все, что там прохожу, применяю в работе.
Было забавно, когда мне дали разбирать кейс по SQL-инъекции (внедрение SQL-кода). Главный специалист спрашивает, знакома ли мне такая атака. А это была первая атака, с которой я столкнулся, и она была моей собственной. Провел ее за день до трудоустройства, чтобы ознакомиться с системой защиты, — было интересно, как быстро меня обнаружат и заблокируют.
В целом же атаки происходят постоянно. Недавно у нас был аудит безопасности от Group-IB и Positive Technologies, они пытались нас взламывать и в отчете отметили высокие показатели защищенности по всем направлениям.
Сейчас у меня есть соратники, с которыми я работаю и учусь в нерабочее время. Однозначно я там, где должен быть. Следующая цель — учиться, пока не стану экспертом в своей области; тогда уже можно будет выбирать новое направление развития. Возможно, стану руководителем, но до этого хочется разобраться во всех деталях.
Тем, кто думает, учиться или нет, я бы сказал, что в IT нет какого-то правильного возраста, чтобы начать. У меня это было 22–23 года, у кого-то — 30, у кого-то — 40.
Думаю, человека нельзя заставить заниматься тем, что ему неинтересно. Должно быть желание, азарт, любовь к своему делу. Если это есть — все получится.
После курса вы сможете претендовать на позицию junior-специалиста по кибербезопасности.
Дандыкин: Россия может «ослепить» отправленный в Черное море «корабль-хакер» ВМС США
Санкт-Петербург, 14 ноября. Черноморские маневры американского штабного корабля USS Mount Whitney могут закончиться провалом, заявил капитан 1-го ранга Василий Дандыкин.
В интервью изданию «ПолитРоссия» он прокомментировал мнение аналитиков, предупреждавших о подготовке крупной провокации против РФ. Авторы указывали, что «корабль-хакер» Mount Whitney, способный взламывать военные системы связи, не просто так появился в Черном море.
Василий Дандыкин, в свою очередь, напомнил, что флагман Шестого флота ВМС США и раньше появлялся в регионе. Хотя он и обладает современным электрооборудованием, его способность навредить боевым системам ВС РФ сомнительна. Если же экипаж Mount Whitney совершит попытку взлома, российские военные могут «ослепить» его специальными средствами радиоэлектронного воздействия.
Один рискованный ход американцев может обернуться для них серьезными проблемами, заметил капитан 1-го ранга, напомнив об инциденте с эсминцем USS Donald Cook Военно-морских сил США.
«Уже был случай с эсминцем «Дональдом Куком», когда силами российских систем РЭБ он лишился «глаз», и у его экипажа началась паника», — заключил Василий Дандыкин.
Флагманский корабль Шестого флота ВМС США USS Mount Whitney вошел в Черное море в начале месяца. В экспертном сообществе маневры связывают с грядущей антироссийской провокацией, в основе которой лежит новый виток эскалации напряженности в Донбассе.
Кто такой этичный хакер?
Этичный хакер моделирует взломы систем безопасности, проводит тесты на уязвимости и придумывает новые способы проверки. Он может почувствовать себя героем сериала «Мистер Робот», который в одиночку противостоит системе, только все его действия будут легальны. Вместе с Иваном Кудрявиным, автором курса «Этичный хакер», разобрались, чем «белый» хакер отличается от «черного» и почему такие специалисты часто работают на фрилансе и какие им необходимы навыки.
Что делает этичный хакер?
Этичный хакер (или «белый» хакер, пентестер) — это специалист по кибербезопасности.
Он проводит пентесты (от penetration test — тест на проникновение), находит и устраняет уязвимости в IT-инфраструктуре компании, которые могут привести к потенциальному взлому. В отличие от обычных хакеров, которых еще называют «черными», он находит баги по запросу бизнеса и официально получает за это деньги.
Чем именно он занимается:
Специалист по информационной безопасности и этичный хакер — это одно и то же?
Не всех специалистов по информационной безопасности можно назвать этичными хакерами. Помимо пентестеров в этой сфере есть специалисты по безопасной разработке и специалисты по сетям. Они настраивают защиту еще на уровне разработки сайтов и приложений или построения систем.
Где нужны этичные хакеры?
Самым большим спросом этичные хакеры пользуются у компаний, которые хранят личные данные клиентов, — интернет-магазины, социальные сети, инвестиционные платформы и другие. А в некоторых сферах, например в банках и здравоохранении, к услугам пентестеров прибегают, чтобы обеспечить соответствие отраслевым стандартам безопасности. Большие корпорации создают целые отделы по кибербезопасности, чтобы не раскрывать конфиденциальные данные сторонним организациям.
Однако не все компании могут позволить себе нанять штатного специалиста. Для большинства представителей малого и среднего бизнеса пентест — это разовая или нерегулярная задача. Поэтому этичные хакеры часто работают на фрилансе или в команде, которая специализируется на кибербезопасности.
Пример задачи
Этичному хакеру нужно проверить уязвимости базы данных клиентов. Он проверяет доступ к серверу и исходным кодам. Смотрит, есть ли уязвимости веб-серверов.
Потом пробует взломать сайт через SQL-код — делает запрос к базе данных. Затем делает межсайтовый скриптинг (XXS) — моделирует атаку на веб-системы. Проверяет, насколько сайт устойчив к произвольному подбору паролей, и пробует получить доступ к системным каталогам, а в конце делает отчет по всем тестам и найденным уязвимостям.
Насколько востребована профессия?
В 2020 году в России на 75% выросло количество преступлений с использованием IT-технологий, а в мире ежегодно случается более полутора миллионов киберпреступлений. Пандемия подстегнула рост и разнообразие кибератак, и, по прогнозам, в 2021 году российская экономика может потерять до 7 трлн рублей в связи с киберпреступностью.
Согласно данным исследования компании Bugcrowd, пентестинг уже считается более прибыльным, чем «черный» хакинг. 70% российских компаний считают защиту данных главной проблемой, связанной с кибербезопасностью.
Сколько получает этичный хакер?
По данным Хабр.Карьеры, медианная зарплата такого специалиста в 2020 году — 120 тыс. рублей. Джуниор может рассчитывать на зарплату от 70 тыс. рублей, мидл будет получать от 120 тыс., а синьор в среднем будет зарабатывать от 200 тыс. рублей.
Что ему нужно знать?
Начните с программирования на Python и JavaScript, изучите Linux и Windows и освойте тестирование на проникновение. Скидка 5% по промокоду BLOG.
Когда появились этичные хакеры?
Первым примером легального взлома систем считается проверка операционной системы Multics ВВС США в 1974 году. В частных сетях заниматься информационной безопасностью с помощью взломов начали в 1990-е после выпуска первого сканера уязвимостей SATAN. При его разработке исследователь Дэн Фармер вручную взламывал сети.
Какие бывают типы хакеров?
Этичных хакеров называют White Hats (белые шляпы), противопоставляя их с киберпреступниками Black Hats (черные шляпы). Это название появилось из вестернов, где хорошие герои носили белые шляпы, а плохие — черные.
Grey Hats (серые шляпы) — серые хакеры проводят взломы как черные, но имеют намерения белых. Они проникают в системы без ведома владельца, чтобы найти уязвимости. Но у них нет намерения навредить: наоборот, они сообщают владельцам о найденных уязвимостях.
Но есть и классификация с другими цветами. В американской военной среде появилось разделение этичных хакеров при пентесте на Red Hats (красные шляпы) и Blue Hats (синие шляпы). Красные хакеры — «дружественная» атакующая команда, а синие — их противники, защитники систем. Такой подход позволяет выявить все возможные уязвимости и обучить команду защитников борьбе с атаками.
Красные шляпы проводят легальные атаки на системы без ограничений, пытаясь взломать их всеми возможными способами. При этом синие шляпы не знают о методах и намерениях красных и защищают инфраструктуру, наблюдая за их действиями.
Позднее в такой структуре пентеста появились и другие команды хакеров. Например, хакеры Green Hats (зеленые шляпы) усиливают защиту с помощью написания кода и изменения дизайна систем. Желтая команда ( Yellow Hats) отвечает за защиту инфраструктуры на стадии ее разработки, фиолетовые ( Purple Hats) вырабатывают лучшую тактику защиты исходя из результатов взлома, а оранжевые ( Orange Hats) следят за взаимодействием команд и помогают им обучаться.
Может ли «черный хакер» стать «белым»?
Что такое Bug Bounty?
Этичные хакеры могут работать как в офисе, так и по системе Bug Bounty, когда на специальных платформах выкладывают задачи и условия, а пентестеры их выполняют и получают вознаграждение. Компаниям проще найти уязвимости заранее и заплатить за это, чем справляться с их последствиями. Для этого они размещают задачи для пентестеров — их можно найти, например, на сайтах HackerOne и BugCrowd.
Нужно ли этичному хакеру специальное оборудование?
Уязвимости в программах и приложениях можно обнаружить, написав код. Но в случае проведения специфичных атак или физического исследования сети этичным хакером понадобятся дополнительные устройства: например, одноплатный компьютер Raspberry Pi, тестовый роутер WiFi Pineapple или флешка Rubber Ducky для выгрузки информации с компьютера.
Как строят карьеру этичные хакеры?
Этичный хакер может стать руководителем подразделения, экспертом в крупной компании или заместителем директора по информационной безопасности. Люди этой профессии редко уходят из специальности, а если уходят, то в какую-то узкую сферу — например в безопасную разработку или безопасность мобильных приложений — и работают вместе с разработчиками.
Этичного хакера могут посадить?
Плюсы и минусы профессии
«Для кого-то плюс в том, что появляется возможность “почувствовать себя хакером”. Но на самом деле, конечно, это не то же самое. Главный плюс — можно найти высокооплачиваемую работу (аналогично сфере DevOps, например).
Из минусов — необходим обширный багаж знаний и опыта из различных направлений IT-сферы. Например, знание языков программирования, сети, виртуализации и т.д. Это достигается за довольно длительное время и с большими усилиями».
В каких случаях становятся «белыми» хакерами?
Как начать?
При активном и обучении освоить профессию можно меньше чем за год.
Вот несколько полезных ссылок для начинающих:
В профессию можно зайти из смежных областей. Например, пентестерами могут стать системные администраторы, которые понимают, что им не хватает знаний для защиты своих систем, или тестировщики. Новые навыки позволят им выйти на новый уровень в профессиональном развитии и повысить свою востребованность. Проще начать будет и разработчикам, ведь у них есть техническая база. С новой профессией они разнообразят пул задач, вырастут в карьере и зарплате, освоят новые технологии.
Этичным хакером может стать и новичок без опыта в сфере. Для начала обучения на курсе SkillFactory «Этичный хакер» не требуется знаний по тестированию или программированию. За 11 месяцев вы попробуете себя в роли нападающей и защищающейся стороны, научитесь проводить атаки на разные типы сетей и настроите свой стенд для тестирования. После прохождения курса вы сможете претендовать на позицию пентестера уровня junior, а наш Карьерный центр поможет вам составить резюме и найти работу.
Даже если после обучения вы передумаете становиться хакером, у вас уже будут знания, нужные в других IT-профессиях. Вы освоите основы устройства Linux и Windows, получите навыки базового администрирования систем, выучите Python и научитесь писать скрипты на Bash и SQL.
После курса вы сможете претендовать на позицию junior-специалиста по кибербезопасности.