Чем отличаются белые хакеры от обычных взломщиков

Кто обнаружил брешь в информационной системе Kundelik.kz, которой пользуются тысячи казахстанских школьников и их родителей? Нет, IT-специалист с многолетним опытом работы, а девятиклассник из Алматы. И это не случайно. Школьник – один из тысячи белых хакеров, которые работают по Казахстану на так называемой Bug Bounty-платформе, передает «24KZ».

Уже два года в Казахстане так называемые белые хакеры работают легально. Закон, подписанный Президентом, позволяет тестировать и искать уязвимости почти во всех информационных системах, в том числе государственных. Среди таких мастеров и ученик 9-го класса Алихан Исмагул. Он тот, кто обнаружил брешь в известной в Казахстане образовательной площадке Kundelik.kz. И таких порталов в стране немало.

Алихан Исмагул, ученик 9 класса:

– Вот там нашёл одну уязвимость, её давно уже сдал, уже починили, исправили. Это была критическая уязвимость, и за неё мне дали 100 баллов в Bug Bounty-платформе. Независимые специалисты могут знать даже больше, чем те, кто работает в этих компаниях, и могут помогать устранять эти дыры.

Арыстан Балтин, корреспондент

– Я нахожусь в святая святых ЦАРКА. Это оперативный центр кибербезопасности – самый крупный в Центральной Азии. И в этом кабинете работает несколько десятков киберзащитников-хакеров, которые следят за безопасностью и спокойствием интернет-пространства Казахстана, чтобы каждый житель нашей страны мог спокойно, безопасно пересылать друг другу сообщения, не боясь, что его взломают или прочитают.

К слову, Bug Bounty, которую упомянул школьник Алихан, – это платформа, которая выплачивает вознаграждение за найденные уязвимости. И заработать на этом может практически любой, кто владеет необходимыми навыками.

Олжас Сатиев, руководитель ЦАРКА:

– Мы всё это делаем по трудовому законодательству, мы оформляем договор и платим легально деньги. И написали ребята: «А можно я оформлю договор на родителей?» Начали выяснять, а почему ты на себя не хочешь. Оказывается, выяснилось, что они несовершеннолетние – 15–16-летние ребята. Мы начали выяснять дальше: вот эти молодые школьники, которые занимаются кибербезопасностью, начали узнавать уязвимости в банковских системах, в критических системах и получать за это вознаграждения.

По мнению руководителя Центра анализа и расследования кибератак Олжаса Сатиева, кибербезопасность в республике начала развиваться быстрыми темпами. А белых хакеров уже насчитывается более 3-х тысяч, и они быстро развиваются. Ищут дыры в системах безопасности как в Казахстане, так и за рубежом. Причём слабые места даже в крупных мировых IT-гигантах появляются практически каждый день.

Олжас Сатиев, руководитель ЦАРКА:

– Весь мир уже перешёл к этой прозрачной модели. Есть зарубежные площадки, где можно узнать уязвимость в Facebook, Instagram, в Tesla и получить за это вознаграждение. У нас можно получить вознаграждение от 100 долларов до 5-ти тысяч долларов, то за рубежом, если вы находите критическую уязвимость, могут выплатить 100 тысяч долларов.

Арыстан Балтин, корреспондент:

– А сейчас я нахожусь на специально сконструированном киберполигоне, при помощи которого специалисты в области кибербезопасности ежегодно устраивают соревнования и проверяют себя на профпригодность. Именно в этих условиях белые хакеры могут проверить, насколько велико их мастерство.

Ещё одно юное дарование в сфере хакинга – школьник из Актобе Батырхан Кулдыбаев. Он тоже входит в список этичных (белых) хакеров. Мы спросили у него, как работает алгоритм взлома личного аккаунта или сайта компании. И, как выяснилось, в большинстве случаев причиной доступа к базе данных является обычная невнимательность пользователей.

Батырхан Кулдыбаев, ученик 11 класса:

– Когда ты говоришь человеку, что ты занимаешься кибербезопасностью, то у человека сразу мысль: а как взломать Instagram-аккаунт? Ну, ты же можешь прочитать мои переписки. Люди думают, что у тебя есть большая красная кнопка «взломать», ты её нажимаешь, и всё магическим способом происходит. Но на самом деле это не так. В теоретическом смысле взломать можно всё что угодно. Если мы говорим про Instagram-аккаунт, возможно, тебе необходимо отправить ему фишинг-ссылку или узнать его хобби и подобрать пароль. С сайтами то же самое. Ты собираешь информацию в открытых источниках о сотрудниках: какие у них возможные пароли могут быть, какие сервисы используются, кто писал этот код для этой компании. Возможно, они опубликовали пароли в открытом доступе и забыли удалить. Когда этичный хакер пытается взломать что-то, он подходит индивидуально.

В стране есть компании, готовые заплатить за помощь, к примеру, ученика 9-го класса, но есть и те, кто этого делать не готов. Пока что Алихан – один из тех, кто финансовую сторону своей работы не демонстрирует. А на вопрос, могут ли его в будущем переманить «тёмные силы» даркнета на свою сторону, предложив что-то большее, ответил по-взрослому.

Алихан Исмагул, ученик 9 класса:

– Сам бы я не перешёл даже за большие деньги, потому что это, как-никак, незаконно. И могут тебя легко обнаружить и достать. Важно соблюдать закон, потому что можно сесть в тюрьму, получить большой штраф.

В Казахстане намерены жёстче наказывать за утечки данных. Рассматривается вопрос не только увеличения штрафов, но и ужесточения уголовного наказания.

Авторы: Арыстан Балтин, Ырыстанбек Оспанов