Взламываю «админки» на заказ, получаю до $5 тыс. Как я стал «белым хакером»

Сергей Харюк работает «белым хакером» в Hacken.

Вместе с командой они имитируют атаки киберпреступников.

Так они выясняют, где в системах компаний слабые места и как их защитить.

В партнерском материале Сергей рассказал, кто такой «белый хакер», где научиться этой профессии и почему ее ценят на Западе больше, чем в Украине.

Учителя отпускали меня с уроков, и я помогал им с компьютерами.

Сергей Харюк.

Впервые я познакомился с компьютером в пять лет.

У моего двоюродного брата я поиграл в Pac-Man − и с тех пор тоже захотел компьютер.

Но получил я его спустя 10 лет, уже в старших классах.

В 5 лет я переехал с семьей в село, где пришлось забыть об «инновациях».

Меня спасала «Компьютерная энциклопедия профессора Фортрана», которая помогла узнать IT ближе.

Книгу сверстали в виде ноутбука: ее можно было открыть и представить, что ты печатаешь текст или играешь.

Параллельно я вдохновлялся фильмами о хакерах и высоких технологиях: «Пароль “Рыба-меч”», «Матрица», «Хакер».

В восьмом классе в нашу школу привезли компьютеры, и я наконец-то добрался до них.

Ученикам достались компьютеры на процессорах Intel Celeron, а учителю − на топовом в то время Pentium 4.

За год я разобрался, как работают операционные системы и несколько раз переустановил их.

Еще я пробовал писать код на языках Basic и Pascal, но у меня не было системных знаний и получалось плохо.

За мои старания меня свободно пускали к учительскому компьютеру.

К десятому классу я ходил в школу как на работу − учителя плохо пользовались компьютерами, и я помогал им печатать тексты, сканировать документы.

В одиннадцатом классе областная администрация проверяла школу целый месяц, и мне приходилось готовить отчеты.

Домой я приходил только к ночи.

После школы я переехал в Киев и стал работать в две смены: днем на парковке, а ночью охранником на рынке.

Начитавшись книг и статей в интернете, я решил получить профильное образование.

Поступил в Компьютерную академию «Шаг» и спустя месяц начал искать работу.

В одной из email-рассылок с вакансиями мне попался номер ICQ (мессенджер, популярный в 2000-е.

− Прим.

ред.), и я написал на него.

Сергей Харюк с командой Hacken.

Так я познакомился с Сергеем Зинченко − он предложил работу, и с тех пор мы лучшие друзья.

Я стал системным администратором: помогал чинить компьютеры в клубах, где люди сидели за виртуальными игровыми автоматами.

После пяти лет работы системным администратором я стал вирусным аналитиком в Zillya.

В компании я обновлял базы антивирусов и изучал, как ведут себя вирусы.

Так я решил узнать больше о хакерстве.

Вместе с друзьями мы начали проверять, как можно взломать системы защиты.

Поначалу мы брали заказы на стороне, а затем решили создать компанию.

Однако стартап быстро прогорел − нам не хватило опыта, чтобы получать стабильную прибыль.

Компанию закрыли, и затем я перешел в Hacken.

Наша работа похожа на игру: одни хакеры «атакуют», а другие «защищаются».

Работа «белых хакеров» похожа на игру двух команд: «красных» и «синих».

«Красные» имитируют действия настоящих хакеров: они ищут уязвимости в системе и через них пытаются получить доступ к компьютеру.

Затем они говорят «синей» команде, где эти уязвимости и как от них защититься.

Еще мы помогаем компаниям связываться с «белыми хакерами» на платформе hackenproof.

Она работает так: компания публикует заявку, чтобы «белые хакеры» атаковали ее сайты и сервера.

Если они найдут уязвимости, то расскажут о них.

Сергей Харюк с командой Hacken.

За слабую уязвимость, например, если удастся раскрыть IP-адрес, компания заплатит $100.

За серьезную уязвимость вроде взлома «админки» компании им заплатят $5 тыс.

Иногда «белые хакеры» работают офлайн − например, приезжают в коворкинг и за несколько часов проверяют там все компьютеры.

И если находят уязвимости или ошибки, то рассказывают о них разработчикам.

После такого марафона все остаются на вечеринку.

Сколько зарабатывают «белые хакеры».

В украинских компаниях «белые хакеры»-новички получают от $300, а опытные ребята − до $6 тыс.

Средняя зарплата в стране держится на уровне $2,7 тыс.

− это меньше, чем у разработчиков или в Dev.

Ops (эти специалисты проверяют код от разработчиков.

− Прим.

ред.), поэтому белые хакеры часто меняют профессию или сферу на более прибыльную.

Украинскому рынку есть куда расти, и уже сейчас вакансий в сфере кибербезопасности стало больше, чем 10 лет назад.

На фрилансе некоторые «белые хакеры» могут зарабатывать от $500 до $5 тыс.

в месяц.

Но такие заработки нестабильны: сегодня у тебя есть заказы, а завтра уже нет.

Поэтому многие специалисты предпочитают работать в компаниях, где платят одинаково каждый месяц.

Сергей Харюк с командой Hacken.

Иногда слышу, что «черные хакеры» могут зарабатывать миллионы.

Но на свободе «белые хакеры» могут учиться и со временем получать больше денег, чем «черные».

Допустим, средняя зарплата «белого хакера» − $5 тыс.

в месяц.

Если он захочет нечестно заработать $250 тыс., то ему грозит срок до 10 лет.

За это время в тюрьме хакер потеряет $600 тыс.

Но людей все равно тянет на риск.

А без «черных хакеров» у «белых» не было бы работы.

Как стать «белым хакером».

Чтобы работать с информационной безопасностью, нужно разбираться в компьютерных сетях, операционных системах, мобильных и веб-приложениях.

Полезно уметь программировать, чтобы автоматизировать сканирование на уязвимости.

Неплохо знать основы криптографии, а иногда и прикладной математики.

«Белые хакеры» могут выбрать три направления:.

Пентестеры (от англ.

penetration testers) − проверяют, как можно взломать операционные системы.

Подойдет тем, кому хочется нарушать правила.

«Расследователи» − выясняют, например, из-за чего произошел взлом: ищут его следы и доказательства.

Подойдет тем, кто любит правила.

Аналитики безопасности − мало общаются с людьми, но следят за возможными атаками на компьютеры компании.

Это труд для тех, кто внимателен и может разобраться в больших объемах данных.

Сергей Харюк с командой Hacken.

Если человек без опыта хочет стать «белым хакером», то он может пройти базовые курсы и стать стажером.

Стажировки проводят и в Hacken.

io: если новичок показал себя с хорошей стороны, то мы возьмем его в команду.

Главное, чтобы стажер практиковался и слышал советы от коллег.

Не советую учиться на «белого хакера» в вузах − их программы устаревают еще до того, как по ним начинают учиться.

Один из бывших студентов сказал мне: «За три месяца работы в Hacken.

io я узнал больше, чем в университете».

В Hacken.

io я руковожу «белыми хакерами» − мы имитируем кибератаки.

На фрилансе я делал проекты для Hacken.

io − ведь уже давно знал некоторых ребят оттуда.

Проверял безопасность мобильных приложений, узнавал, насколько легко проникнуть в компьютеры компаний.

Чем дольше я работал с Hacken.

io, тем больше хотел присоединиться к команде.

Я передал им резюме, и меня приняли.

Сейчас я стал лидером атакующих хакеров.

Мы проверяем, насколько хорошо работает защита в компаниях и объясняем, как ее улучшить.

Еще я узнаю, что стало причиной инцидентов и как защититься в будущем.

Однажды в Hacken.

io был такой случай: к нам обратилась украинская финтех-компания − ее сеть взломали через компьютер одного из сотрудников.

Он узнал об этом через неделю, когда с его счета сняли все деньги.

Оказалось, что сотрудник хранил все пароли, номера телефонов и почтовые адреса в одном месте − поэтому хакеры украли его деньги и продолжали следить за сетью компании.

Так выглядит рабочее место «белого хакера».

Найти преступников так и не удалось.

Компания испугалась новой атаки и стерла всю информацию на компьютере.

Нам удалось частично восстановить данные и сравнить их с теми угрозами, с которыми уже сталкивались.

Так мы помогли компании понять, что случилось и как от этого защититься.

Иногда сотрудники не знают простые правила информационной безопасности.

Недавно один из сотрудников Soft.

Serve открыл письмо с подозрительным файлом − и хакеры получили удаленный доступ к компьютеру и попали в сеть компании.

Они похитили, а затем опубликовали исходные коды проектов и личные данные сотрудников.

«Белых хакеров» ценят на Западе больше, чем в Украине.

К «белым хакерам» в Украине относятся неоднозначно.

В наших компаниях считают, что сначала нужно следить за пожарной безопасностью и налогами, ведь инспекторы приходят регулярно.

А вирус может попасть на компьютер всего лишь один раз, и то не всегда.

В других странах к кибербезопасности относятся иначе.

По отчету IBM, в 2020 году по всему миру компании потеряли в среднем $3,86 млн из-за утечек данных.

Поэтому руководители готовы потратить пару тысяч долларов на «белых хакеров».

Даже если в компании есть свои «красные» и «синие» команды, им все равно нужны те, кто проверит систему со стороны.

Поэтому к нам часто приходят заказы из Сингапура, Индонезии, Китая, стран Ближнего Востока, Европы и США.

Сейчас количество вакансий для «белых хакеров» в Украине растет.

Но, как правило, их открывают те компании, которые работают на западные рынки.

Там ценят наших специалистов − час работы «белого хакера» в США стоит от $25 в час, в Украине − $3.