Кто обнаружил брешь в информационной системе Kundelik.kz, которой пользуются тысячи казахстанских школьников и их родителей? Нет, IT-специалист с многолетним опытом работы, а девятиклассник из Алматы. И это не случайно. Школьник – один из тысячи белых хакеров, которые работают по Казахстану на так называемой Bug Bounty-платформе, передает «24KZ».
Уже два года в Казахстане так называемые белые хакеры работают легально. Закон, подписанный Президентом, позволяет тестировать и искать уязвимости почти во всех информационных системах, в том числе государственных. Среди таких мастеров и ученик 9-го класса Алихан Исмагул. Он тот, кто обнаружил брешь в известной в Казахстане образовательной площадке Kundelik.kz. И таких порталов в стране немало.
Алихан Исмагул, ученик 9 класса:
– Вот там нашёл одну уязвимость, её давно уже сдал, уже починили, исправили. Это была критическая уязвимость, и за неё мне дали 100 баллов в Bug Bounty-платформе. Независимые специалисты могут знать даже больше, чем те, кто работает в этих компаниях, и могут помогать устранять эти дыры.
Арыстан Балтин, корреспондент
– Я нахожусь в святая святых ЦАРКА. Это оперативный центр кибербезопасности – самый крупный в Центральной Азии. И в этом кабинете работает несколько десятков киберзащитников-хакеров, которые следят за безопасностью и спокойствием интернет-пространства Казахстана, чтобы каждый житель нашей страны мог спокойно, безопасно пересылать друг другу сообщения, не боясь, что его взломают или прочитают.
К слову, Bug Bounty, которую упомянул школьник Алихан, – это платформа, которая выплачивает вознаграждение за найденные уязвимости. И заработать на этом может практически любой, кто владеет необходимыми навыками.
Олжас Сатиев, руководитель ЦАРКА:
– Мы всё это делаем по трудовому законодательству, мы оформляем договор и платим легально деньги. И написали ребята: «А можно я оформлю договор на родителей?» Начали выяснять, а почему ты на себя не хочешь. Оказывается, выяснилось, что они несовершеннолетние – 15–16-летние ребята. Мы начали выяснять дальше: вот эти молодые школьники, которые занимаются кибербезопасностью, начали узнавать уязвимости в банковских системах, в критических системах и получать за это вознаграждения.
По мнению руководителя Центра анализа и расследования кибератак Олжаса Сатиева, кибербезопасность в республике начала развиваться быстрыми темпами. А белых хакеров уже насчитывается более 3-х тысяч, и они быстро развиваются. Ищут дыры в системах безопасности как в Казахстане, так и за рубежом. Причём слабые места даже в крупных мировых IT-гигантах появляются практически каждый день.
Олжас Сатиев, руководитель ЦАРКА:
– Весь мир уже перешёл к этой прозрачной модели. Есть зарубежные площадки, где можно узнать уязвимость в Facebook, Instagram, в Tesla и получить за это вознаграждение. У нас можно получить вознаграждение от 100 долларов до 5-ти тысяч долларов, то за рубежом, если вы находите критическую уязвимость, могут выплатить 100 тысяч долларов.
Арыстан Балтин, корреспондент:
– А сейчас я нахожусь на специально сконструированном киберполигоне, при помощи которого специалисты в области кибербезопасности ежегодно устраивают соревнования и проверяют себя на профпригодность. Именно в этих условиях белые хакеры могут проверить, насколько велико их мастерство.
Ещё одно юное дарование в сфере хакинга – школьник из Актобе Батырхан Кулдыбаев. Он тоже входит в список этичных (белых) хакеров. Мы спросили у него, как работает алгоритм взлома личного аккаунта или сайта компании. И, как выяснилось, в большинстве случаев причиной доступа к базе данных является обычная невнимательность пользователей.
Батырхан Кулдыбаев, ученик 11 класса:
– Когда ты говоришь человеку, что ты занимаешься кибербезопасностью, то у человека сразу мысль: а как взломать Instagram-аккаунт? Ну, ты же можешь прочитать мои переписки. Люди думают, что у тебя есть большая красная кнопка «взломать», ты её нажимаешь, и всё магическим способом происходит. Но на самом деле это не так. В теоретическом смысле взломать можно всё что угодно. Если мы говорим про Instagram-аккаунт, возможно, тебе необходимо отправить ему фишинг-ссылку или узнать его хобби и подобрать пароль. С сайтами то же самое. Ты собираешь информацию в открытых источниках о сотрудниках: какие у них возможные пароли могут быть, какие сервисы используются, кто писал этот код для этой компании. Возможно, они опубликовали пароли в открытом доступе и забыли удалить. Когда этичный хакер пытается взломать что-то, он подходит индивидуально.
В стране есть компании, готовые заплатить за помощь, к примеру, ученика 9-го класса, но есть и те, кто этого делать не готов. Пока что Алихан – один из тех, кто финансовую сторону своей работы не демонстрирует. А на вопрос, могут ли его в будущем переманить «тёмные силы» даркнета на свою сторону, предложив что-то большее, ответил по-взрослому.
Алихан Исмагул, ученик 9 класса:
– Сам бы я не перешёл даже за большие деньги, потому что это, как-никак, незаконно. И могут тебя легко обнаружить и достать. Важно соблюдать закон, потому что можно сесть в тюрьму, получить большой штраф.
В Казахстане намерены жёстче наказывать за утечки данных. Рассматривается вопрос не только увеличения штрафов, но и ужесточения уголовного наказания.
Авторы: Арыстан Балтин, Ырыстанбек Оспанов
Теги #хакеры #24KZ #школьники #кибербезопасность #избранноеPhone: +7 (7172) 757 485
E-Mail: 24kz@khabar.kz