Бизнес на взломах: как выглядит индустрия этичного хакинга в России
С усилением участия технологий в бизнесе, растут и возможности для атаки. Ущерб российских компаний от кибератак в 2021 году составил 116 млрд. рублей. С февраля 2022 года объем хакерских атак на российские организации по разным оценкам увеличился от трех до восьми раз. Скандалы об утечках стали заметны даже обывателям.
Феномен российского хакерства появился в 90-х и стал «брендом», достиг огромного масштаба в наши дни. Когда компьютеры были роскошью, а власти не считали действия в сети реальными преступлениями, появились первые русские хакеры, которые взламывали сайты ради забавы или легкой наживы.
Затем появились первые форумы и первые сообщества. Популярным стал журнал «Хакер», еще бумажный, который публиковал разные способы взломов и писал про кардеров (мошенники с платежными картами). Хулиганский стиль издания и свободный язык, заходил подросткам на ура. Но главное — статьи заставляли искать информацию в интернете, сделали тему популярной и доступной.
2010-ые годы принято считать временем бурного развития, бизнесмены могли обрушить сайты конкурентов, чтобы устроить убытки, а параллельно появлялись «звезды» — крупные киберпреступления на миллиарды рублей. Позже, с небольшим отставанием, появились и «добрые хакеры» на сетевом языке «белые шляпы» (а традиционные хакеры, соответственно, «черные шляпы»).
Этичные хакеры сегодня — это полноценное комьюнити, с традициями и сленгом.
Движение зародилось в США в 1980-х, когда хакеров начали привлекать вооруженные силы для тестирования ИТ-инфраструктур своих объектов. Первую методику этичного взлома с целью улучшить безопасность в интернете предложили американские программисты и исследователи компьютерной безопасности Dan Farmer и Wietse Venema. Они впервые протестировали системы вручную и собрали свои инструменты в одну программу.
История не знает первого русского белого хакера, но предполагаю, что он появился в ответ на запрос бизнеса на защиту, вместе с первым пентестом.
Пентест — рenetration test — это тест на проникновение, который ничем не отличается от вторжения злоумышленника. Специалист начинает разведку, затем взламывает один из элементов защиты, проникает и закрепляется в системе. Хакер ищет и использует уязвимости IT-инфраструктуры компании, чтобы скачать данные, получить доступ к финансам или документации.
«Белая шляпа» делает то же самое, но только чтобы выявить слабые места системы раньше злоумышленника.
Вместо того чтобы заниматься злодеяниями пентестеры, как наёмные охотники за уязвимостями и багами, получают оплату за то, что находят проблемы и рассказывают, как их устранить и лучше защититься.
Молодые талантливые люди с техническим складом ума любят показать уязвимость технологий и свою способность выявлять их, поэтому профессия этичного хакера так привлекательна. «Я работаю белым хакером, защищаю данные, деньги и репутацию компаний в сети» — звучит как интересная профессия.
Кроме того, это греет самолюбие. Вряд ли в других сферах можно резко проснуться знаменитым. Команде разработчиков нужно много лет трудится над одним продуктом, а пентестер может попасть, например, в зал славы Google за один удачный проект.
Оружие пентестера — опыт, креатив и насмотренность. Он может ударить в одну точку и найти критическую уязвимость, о которой заговорят все.
У многих входом в профессию становится увлечение CTF — это командная игра с прикладными задачами по взлому. Начиная с решения простых задач и, переходя к более сложным, приходит понимание, из чего состоит мир кибербезопасности и какую пользу можно принести миру, владея разными техниками взлома.
Сломай меня, если сможешь: какие атаки существуют и как их имитация помогает защититься
Большие компании с активами, за которые можно потребовать солидный выкуп, обязательно находятся под вниманием серьезных хакерских группировок, которые будут использовать любую возможность для компрометации.
Представьте, аноним присылает вашей секретарше букет с запиской и таинственным сюрпризом на флешке.
99,9% российских секретарш под властью эмоций и любопытства вставляют флешку в компьютер прямо на рабочем месте, чтобы скорее узнать, что еще ей приготовил тайный поклонник. Через секунду она расстроится, удивится или ничего не поймет, но это будет совершенно неважно, потому что хакеры уже начали продвижение вглубь внутренней сети компании и этот процесс необратим.
Это инструмент социальной инженерии — социотехническая атака, цель которой получить первичный доступ в сеть. Это и мошенники, которые звонят из банка, в разговорном варианте имеет одно название — фишинг.
Чтобы проверить на практике, каким способом злоумышленники проникнут внутрь сети, насколько легко им будет, сработают ли меры защиты, бизнес заказывает взлом самого себя — имитацию атаки.
Например, мы недавно проводили проект, где получили максимальные права доступа к системе через камеру на ресепшене. Мы выписывали сами себе пропуски на вход, контролировали все видеонаблюдение компании. После этого дали рекомендации по защите — как отладить внутренние процессы мониторинга инцидентов информационной и физической безопасности.
Такие сложные инсценировки рекомендованы далеко не любому бизнесу, а только тому, кто закрыл базовые потребности безопасности. Сначала нужно убедиться, что ИТ-инфраструктура покрыта проверками и защищена. Если в компании есть много сайтов, сервисов и приложений, то начать можно, с автоматизированного сканирования. Далее перейти к анализу защищенности руками специалистов по информационной безопасности.
И только когда все «дыры» в широком понимании закрыты, можно переходить к более сложным упражнениям — имитации настоящей атаки. После этого ИБ-отдел исправит оставшиеся сложные уязвимости. Так, после каждой проверки компания будет становиться все неприступнее.
Еще один пример проникновения: офисное здание, где сотрудники используют свои логины и пароли от компьютеров для авторизации в корпоративной Wifi-сети.
Для проникновения через Wifi нужны учетные данные. Чтобы получить их, пентестеры готовят несколько сценариев фишинговой рассылки. Рассылку быстро заметит служба безопасности и примет меры, поэтому действовать нужно быстро. Отправить письма и ждать пока кто-то внесет данные, затем пробовать попасть во внутреннюю сеть. Для этого можно заехать во двор и парковаться максимально близко к зданию, чтобы Wifi ловился из машины. Часть команды фишит, а часть в машине ждёт данные. Попасть во внутреннюю сеть таким образом нам удалось меньше чем за 20 минут.
Такая проверка помогает компании правильным образом настроить корпоративный Wi-Fi, отладить модель реагирования на подобные угрозы и дополнительно обучить сотрудников распознавать фишинг.
Чем больше компания, тем она уязвимее. Ее ИТ-ландшафт напоминает лоскутное одеяло, которое все время достраивается, растет и меняется. Контролировать его безопасность приходится непрерывно и чутко.
Тратить много денег на оборудование, средства защиты, построение процессов и специалистов. Нужны люди, которые будут заниматься мониторингом аномальной активности внутри сети.
Чтобы обеспечить безопасность системы нужен серьезный уровень подготовки специалистов. Они должны мыслить как хакеры, кодить как разработчики, проводить анализ как инженеры. Запрос российского бизнеса на квалифицированных специалистов многократно превышает предложение.
Лидеры отрасли оценивают количество опытных пентестеров в 300 человек в стране, просто сертифицированных специалистов всего в 560, а если считать со всеми фрилансерами разной квалификации, то около 10 000. При населении в 146 млн. человек это очень мало.
Как при таком невыразимом дефиците кадров, многократном росте хакерских атак на бизнес и государство и сложностях с санкционным софтом, которого все в одночасье лишились, индустрия информационной безопасности все еще работает — вопрос риторический.
Этичный хакинг в России
Все системы построены людьми, а им свойственно совершать ошибки, особенно глупые. Белый хакер не может себе позволить мыслить шаблонно, он должен проверять все потенциальные уязвимости, даже если кажется, что их точно не может быть. Часто компания — лидер на рынке, но имеет банальные ошибки в программном обеспечении, которыми могут воспользоваться злоумышленники.
Хорошей практикой считается заказывать тест на проникновение каждый раз у разных исполнителей, чтобы оценивать инфраструктуру свежим взглядом.
Но компании бояться обращаться к неизвестным подрядчикам. Страшно открыть уязвимости непроверенным лицам, пустить их внутрь ИТ-инфраструктуры. Нет гарантии, что подрядчик не использует полученную информацию в своих целях или не оставит закладки в системе. Кто-то физически присутствует во время тестирования, чтобы все контролировать, но это сильно удорожает стоимость проекта. Конечно, договор предусматривает и огромные штрафы и уголовную ответственность за нарушение договоренностей, но заказчики все равно опасаются.
Говорить о своих проблемах публично в этом случае не только неприятно, но и опасно, ведь этим может воспользоваться злоумышленник. Любые проекты по пентесту покрыты множеством соглашений о неразглашении.
Чаще всего лицам принимающим решения сложно оценить компетенции пентестеров до начала проекта в силу специфики работы. Кто-то оценивает сертификаты и опыт работы специалистов, обезличенные отчеты о проведение других тестирований. А кто-то выбирает платить гораздо больше специалистам хуже только потому, что доверяют крупной или «взрослой» компании.
Репутация исполнителя играет важнейшую решающую роль в сфере кибербезопасности. Традиционно балом правит несколько огромных великовозрастных корпораций, которые давно поделили рынок.
Они могут диктовать условия, так как у них уже есть та самая заслуженная репутация и доверие клиентов. Все это делает невозможным появление новых игроков на рынке. Стартап в сфере кибербезопасности — это «ноунейм» на рынке монополистов, это пожалуй, самое сложное из возможных начинаний.
Когда мы открыли компанию, чтобы получить первые контракты, приходилось проводить проекты бесплатно в обмен на рекомендации и разрешение говорить о работе с тем или иным брендом в портфолио. Работать на зачетку с нуля было очень сложно, несмотря на огромный опыт и заслуги в этой сфере в найме.
Использование своих обезличенных отчетов на пресейлах наглядно показывали на что мы способны. Стабильное качество и конфиденциальность во всех пентестах понемногу стали формировать вокруг компании сарафанное радио. Параллельно с этим мы заявляли о себе внутри рынка специалистов, старались выступать на отраслевых мероприятиях, публиковать экспертный контент. Это частично решило проблему с доверием, но полностью убрать ее получается только при личном контакте клиентов с командой.
Теперь мы шутим, что наш стартап широко известен в узких кругах, потому что круг отраслевых специалистов и впрямь достаточно узкий. Но все эти меры как-то помогают расти нам на 300% в год.
Если говорить о трендах развития всей отрасли, то в последние годы появилось много площадок, позволяющих свободным белым хакерам ломать компании по заказу за вознаграждение. Это открытые офферы: вы ломаете, они платят. Похоже на вызов мастера через приложение. Все движется в сторону платформ для краудсорсингового пентеста.
Выгода в том, что оплата происходит за результат, но схема не подходит большому количеству компаний, регулируемых нормативными документами. Они требуют, чтобы тестирование проводил только специальный сертифицированный лицензиат.
Второй тренд — активное внедрение автоматизации в процесс тестирования на проникновение. Развитие решений, которые позволяют моделировать полный цикл атак, используя программных агентов, виртуальные машины и другие средства.
Эти решения практически не представлены на российском рынке и вряд ли когда-либо будут у нас сертифицированы. Но российские исполнители могут автоматизировать свою деятельность, предложив заказчикам более качественную услугу, чем это было раньше.
Например, у нас есть свой продукт подобного назначения. Сейчас им пользуются клиенты, но создавали мы его, чтобы автоматизировать и упростить часть своей работы.
Возможно, когда-то в будущем технологии достигнут такого развития, что получится собрать огромный датасет с информацией обо всех возможных векторах атак и сделать техническое решение, способное воспроизводить эти атаки без участия человека.
Фото: Omar. Aqil, AndreTiny Lakemanaic, Application Online LTD.