Слово «хакер» обычно ассоциируется с образом преступника, взламывающего программы для их пиратского распространения, проникающего сквозь системы безопасности, чтобы навредить какой-нибудь компании или ворующего данные ради вымогательства. Однако не все хакеры занимаются чем-то подобным. Среди них есть значительный процент тех, кто работает в прямо противоположном направлении. Они точно так же ищут уязвимости, открывающие возможности для несанкционированных действий – но не для того, чтобы использовать их, а чтобы указать на них владельцу сайта или сервиса и наметить пути их устранения. Называется это направление этичным или белым хакингом, и по мере того, как традиционные, преступные хакеры становятся всё более изобретательными, спрос на таких специалистов стабильно растёт.
Что представляет собой этичный хакинг
Любой сайт, программа, приложение или онлайн-сервис состоит из множества фрагментов кода. Сколько бы времени и усилий ни было потрачено на отладку, ошибки всё равно практически неизбежны, и чем сложнее код, тем они более вероятны. Большинство из них неприятны, но не представляют собой серьёзной проблемы. Однако более крупные просчёты могут дать злоумышленнику возможность украсть конфиденциальную информацию пользователей или самой компании, получить контроль над системой или уничтожить критически важные данные. Целенаправленный поиск таких ошибок с целью их дальнейшего устранения и называется этичным или белым хакингом. Это своего рода проверка кода на прочность, чтобы сделать его более устойчивым к атакам настоящих злоумышленников.
Как работают этичные хакеры
Некоторые компании и некоммерческие организации публично предлагают заранее фиксированные награды за обнаружение брешей в своих системах кибербезопасности. Зачастую это весьма внушительные суммы – однако для бизнеса такие траты часто оказываются более предпочтительными, чем проблемы, к которым может привести успешная хакерская атака. Иногда организации специально нанимают экспертов по ИТ-безопасности для проверки своих программных продуктов или держат их в своём штате на постоянной основе. Иногда такие специалисты самостоятельно ищут уязвимости, чтобы в дальнейшем сообщить о них владельцам сайтов или сервисов.
Многие организации готовы платить хорошие деньги за обнаружение таких слабых мест – какие именно, зависит от финансовых возможностей компании и серьёзности проблемы. По данным на 2021 год, за выявление уязвимости малой опасности выплачивали в среднем $150, а за замеченные критические бреши выплаты бывают и $3000, и больше. Иногда выпадает и действительно экстраординарная удача – например, в феврале 2022 за обнаруженную в блокчейн-системе Ethereum ошибку, позволявшую создать бесконечное число токенов, выплатили $2 млн.
Если смотреть на то, сколько в России получают штатные специалисты этого типа, то по данным на 2020 год медианная зарплата составляла 120 тыс. рублей, а у экспертов высокого уровня – 200 тыс. и больше.
Кому стоит задуматься об этичном хакинге как о профессии
Для того, чтобы работать в этой области, недостаточно обладать познаниями в программировании – необходимы также определённый склад ума и специфичные черты характера. В первую очередь это, конечно, терпение, потому что анализ кода на ошибки – работа монотонная и кропотливая. В поисках уязвимости могут пройти часы, дни и недели. Вам должен нравиться сам процесс разбора – иначе можно выгореть и надолго потерять работоспособность. При этом эта работа далека от механической – специалист по безопасности должен учиться думать, как злоумышленник и искать нестандартные способы преодоления защиты. Так или иначе, это очень перспективное направление – преступлений в сфере ИТ совершается всё больше, и спрос на тех, кто умеет им препятствовать, только растёт.