Предоставлено: Джейк Хокинс для The Telegraph
19-летний парень сидел за своим столом, не сводя глаз с экрана. На нем был корпоративный веб-сайт. На первый взгляд это была просто еще одна невзрачная веб-страница, возможно, немного более разреженная, чем красочные платформы социальных сетей, которые он мог бы просматривать.
Но на самом деле американский подросток получил доступ к ТАТ-14. подводная телекоммуникационная кабельная система. До декабря 2020 года этот жизненно важный глобальный торговый канал протянулся более чем на 9 500 миль между Францией, Германией, Данией, Нидерландами, Великобританией и США.
«Я наткнулся на этот веб-сервер. И название было очень интересным. Поэтому я хотел посмотреть, смогу ли я его взломать», — говорит Корбен Лео.
Его метод был поразительно прост: Лео перешел на очень конкретный веб-адрес и дважды обновил страницу. Благодаря до сих пор необнаруженной уязвимости веб-сайт рассматривал его компьютер так, как будто он вошел в систему с учетной записью администратора.
Это дало ему тот же уровень контроля, что и владельцам ТАТ-14, положившим пальцы на артерию трансатлантической торговли в марте 2019 года. И никто не знал, что он там был.
Хак Лео — лишь один из многих. глобальное сообщество исследователей баг-баунти: этичные хакеры, которые исследуют веб-серверы компаний на наличие брешей в безопасности — багов — и затем сообщают о своих выводах владельцам, как правило, в обмен на плату.
«Я мог бы добавить доступ администратора ко всем их учетным записям. Я мог ими управлять, у меня был доступ ко всей внутренней документации кабелей», — говорит Лео. «Все, что было связано с внутренней работой кабеля, его физической структурой, периодами обслуживания».
В то время он еще не был настолько взрослым, чтобы даже купить пиво, он мог бы спровоцировать обвалы фондового рынка, нарушение работы правительств или спровоцированные обвинения в международном шпионаже.
Вместо этого он говорит: «Я сообщил об этом телекоммуникационной компании в рамках их программы безопасности.
«Я не не пытайтесь сделать слишком много, потому что это был подводный кабель. Я боялся, что меня бросят на черный сайт ЦРУ!»
Прибыльное времяпрепровождение
Для самых опытных хакеров вознаграждение за обнаружение ошибок может стать прибыльным времяпрепровождением. Лео, которому сейчас 22 года, утверждает, что заработал «около миллиона долларов» на своих исследованиях. Как квалифицированный ученый-компьютерщик, теперь он руководит собственной фирмой по кибербезопасности, которая сотрудничает с Министерством обороны США.
Глобальная киберпреступность обходится компаниям примерно в 1 триллион долларов (800 миллиардов фунтов стерлингов) в год, согласно Bugcrowd, краудсорсинговой платформе безопасности, которая выступает в качестве посредника между хакерами и компаниями, которым нужны их услуги.
Бизнес-модель выросла вокруг этой цифры: вместо того, чтобы тратить эти деньги на исправление ущерба после события, почему бы не заплатить их тем, кто охотно расскажет вам, где ваши слабые места?
В результате большие деньги плавают по миру баг-баунти. HackerOne, например, заявляет, что в прошлом году выплатила почти 37 миллионов долларов своим 1,5 миллионам участников, или хакерам.
Среди клиентов, обращающихся за хакерскими услугами, — Goldman Sachs, Uber, Twitter и Starbucks, а Bugcrowd работает с Nintendo, Pinterest и даже с компаниями, занимающимися кибербезопасностью, такими как Proofpoint.
Мартен Микос, исполнительный директор HackerOne, описывает компанию из Сан-Франциско как «посредника доверия между хакерами, с одной стороны, и клиентами, с другой». Хакеры, которых он использует, говорит он, — это «люди, которые могут быть бесконечно любопытными».
«Они являются экспертами в области кибербезопасности, они очень целеустремленные, они точно знают, сколько они зарабатывают. Они следят за наградами».
Кейси Эллис, исполнительный директор Bugcrowd, говорит, что схемы вознаграждения за обнаружение ошибок привлекают хитрых и квалифицированных специалистов: «Причина, по которой я основал компанию, заключалась в том, чтобы один человек мог последовательно перехитрить всех потенциальных противников, которые там.»
Австралийский хакер, ставший руководителем, сравнивает Bugcrowd со службой онлайн-знакомств, сопоставляя компании с «людьми, которые могут сломать компьютеры». Мотивы для участия в исследовании Bug Bounty могут быть разными. И HackerOne, и Bugcrowd говорят, что их участники ссылаются на деньги, которые можно заработать, в то время как другие используют их, чтобы создать свой опыт работы в качестве «трамплина» в индустрии кибербезопасности.
«Нацелены на справедливость»
Mickos говорит, что некоторые из участников HackerOne «сосредоточены на справедливости», добавив, что компания отказалась от обслуживания российских и белорусских клиентов после вторжения первых в Украину.
Выплаты участникам могут варьироваться от нескольких сотен фунтов за незначительную ошибку до шестизначной суммы за серьезные ошибки, такие как та, которая привела Лео к ТАТ-14. Эллис из Bugcrowd утверждает, что средняя выплата составляет четыре цифры.
Иногда индустрия может быть противоречивой: в 2019 году Василий Кравец, участник HackerOne, обнаружил две ошибки в игровом программном обеспечении Steam от Valve Corporation. Уязвимость сделала десятки миллионов компьютеров по всему миру уязвимыми для взлома или заражения вирусами. Valve сначала отмахнулась от выводов Кравца, что спровоцировало напряженное противостояние, в ходе которого хакер заявил, что опубликует ошибки. Затем Valve исправила ошибки.
В том же году конкурирующая компания, занимающаяся кибербезопасностью, заявила, что 1 процент лучших участников HackerOne зарабатывает всего около 26 500 фунтов стерлингов в год. Босс HackerOne Микос говорит, что исследование «основано только на фрагменте» данных HackerOne, что указывает на то, что они обычно получают больше за свои усилия.
Во всех разговорах о «белых хакерах», которые хотят «делать добро в мире», есть определенный основной акцент на предлагаемом финансовом вознаграждении. Эллиса смущает предположение, что зарабатывать миллионы на исследованиях в области кибербезопасности — это нечто исключительное. «Если у вас есть возможность сделать это в первую очередь, и вы делали это в течение некоторого времени, миллион долларов на самом деле не так уж сложно», — пожимает он плечами.
HackerOne. говорит, что создала девять миллионеров, а более дюжины других участников заработали более 500 000 долларов за всю жизнь через платформу.
Что касается кабельного хакера Лео, он с радостью признает, что исследования по поиску ошибок «приносят мне абсурдная сумма».
Отвечая на вопрос о будущем, он говорит: «Я хотел бы продолжать делать вознаграждения за ошибки на стороне, а затем запустить стартап. Поэтому я подумывал об обучении разработчиков безопасному коду и создании платформы для этого».
Высококвалифицированные хакеры могли бы зарабатывать на жизнь исследованием ошибок, но как только деньги будут возможно, старая поговорка о браконьерах, ставших егерями, начинает сбываться.
Свежие комментарии