🚀💳 Trustee Plus - більше ніж криптогаманець з європейською платіжною карткою. Спробуй 👉
Вікторія ГорбікІсторії
31 березня 2025, 09:00
2025-03-31
«Хакери можуть рухатися та керувати системою так, як цього ніхто не задумував». Усе (або майже все) про «білий» хакінг від людини, яка побувала по обидві сторони барикад
Один 32-річний український розробник з Ужгорода до повномасштабного вторгнення понад 10 років мирно працював у багатьох компаніях, створював різне ПЗ для своїх замовників та й не подумував про іншу долю. Проте з лютого 2022 року повномасштабне вторгнення перевернуло його життя та роботу, як й у багатьох українців. Чоловік увійшов до хакерської спільноти, проте обрав «білу» сторону сили.
Про те, що привабило його в цій сфері, чим «чорні» відрізняють від «білих» чи «етичних» хакерів, на що в майбутньому може розраховувати фахівець, хантер під ніком «stopwar» розповів dev.ua.
Один 32-річний український розробник з Ужгорода до повномасштабного вторгнення понад 10 років мирно працював у багатьох компаніях, створював різне ПЗ для своїх замовників та й не подумував про іншу долю. Проте з лютого 2022 року повномасштабне вторгнення перевернуло його життя та роботу, як й у багатьох українців. Чоловік увійшов до хакерської спільноти, проте обрав «білу» сторону сили.
Про те, що привабило його в цій сфері, чим «чорні» відрізняють від «білих» чи «етичних» хакерів, на що в майбутньому може розраховувати фахівець, хантер під ніком «stopwar» розповів dev.ua.
За крок до межі
Перші поштовхи зазирнути «за лаштунки» IT-системи чоловік відчув ще під час навчання в університеті. Саме тоді, близько 10 років тому, вивчаючи системи технічного захисту інформації, він заклав у голові основи безпеки інформації, вивчаючи сучасні ідеї про підслуховувачі, «жучки» та інші технічні напівшпигунські засоби за старими методичками 90-х років. Наприклад, студенти досліджували, як за допомогою лазерних променів можна зчитати акустичні хвилі з вікон і так підслухати розмову, яка ведеться в кабінеті.
Тоді, на момент закінчення університету у 2015 році, випускникам ніхто не пояснював, куди вони могли б влаштуватися на роботу, а терміну «білий хакер» взагалі не існувало. Як розповідає фахівець, випускники його групи й він сам пішли працювати програмістами у приватні компанії, але в процесі роботи періодично проскакувало, що треба щось зламати чи розібратися, як працюють певні технології. Так він, ще не розуміючи нічого про «етичний» хакінг, почав долучатися до цієї сфери, періодично змінюючи основні місця роботи та працюючи в кількох великих міжнародних компаніях.
«Людей, які йдуть у розробку, програмістів, а саме „трушних“ айтівців зазвичай обʼєднує те, що їх компʼютерний світ приваблює більше, ніж світ навкруги», — впевнений хакер.
Проте, за його словами, серед них є дві категорії фахівців:
ті, хто намагається слідувати правилам і розробляють програмне забезпечення, щоб керувати комп’ютерами та системами,
ті, хто намагається йти іншим шляхом проти правил, щоб зрозуміти, як працює система, та обійти її.
«Тому що ми розуміємо: тут сила, і треба якось нею скористатися», — говорить програміст.
Нова система блокування інтернет-ресурсів — це механізм для призупинення будь-якого сайту в Україні — білий хакер
Точка відліку — війна
З лютого 2022 року на початку повномасштабного вторгнення вся гільдія українських айтівців почала брати участь у спротиві, зокрема, DDos-ити російські сайти.
«Тоді це був мейнстрім, але я не міг зрозуміти, в чому фішка, бо не такі критичні то були ураження», — згадує розробник.
Він пояснив, що для нього залишалося незбагненним, навіщо «укладати» сайти, які через годину-дві або навіть добу-дві «піднімуть» і вони знов будуть продовжувати працювати.
Саме тоді разом з однодумцями «stopwar» зрозумів, що можна викачати та видалити дані. Одним із перших «бойових» досвідів було, коли хакери зламали систему однієї російської компанії й надрукували на їхніх принтерах заклики, зупинити війну. Так із початком повномасштабного вторгнення цікавість програміста хакінгом збіглась із реальною можливістю спробувати себе в цій сфері.
Хто кришує вебкам-моделей в Україні. Розповідає «білий хакер» Микита Книш
На «світлу» сторону сили
Говорячи про «чорну» та «білу» його сторони, «stopwar» згадує слова свого колеги, фахівця з кібербезпеки: «Хакер і так етичний. Не етичний кіберзлочинець». Резюмуючи, програміст додає, що взагалі термін «хакер» позитивний, і лише ЗМІ та фільми його спотворили.
«Хакери — це люди, які розуміють, як працює система, краще ніж ті, хто створив цю систему. Вони можуть рухатися в ній, керувати нею так, як цього ніхто не задумував», — підкреслює він.
Відповідно до цього терміну, за словами «stopwar»:
«чорні хакери» — злочинні елементи, які намагаються нажитись, зламуючи системи компаній;
«білі» або «етичні хакери» — шукають вразливості, щоб допомогти часто заради самого факту допомоги, щоб зробити цей світ кращим, або за певну винагороду, чи гроші, але дотримуючись принципу не наробити шкоди та отримавши доступ до системи;
«сірі хакери» — майже як «білі», але спеціалісту компанії не давали дозвіл проникати в систему, проте він залазить у середину та знаходить вразливості.
І хоча сам програміст починав, якщо можна так сказати, з «чорної» сторони, а саме зламу російських вебсайтів, згодом зрозумів, що йому ближче ідея дійсно приносити користь і зробити світ трішки краще. Саме це привело його на «світлу» сторону сили.
Хакери з групи Lazarus атакували слідом за Bybit ще одну криптобіржу. Як постраждала OKX
Де працюють баг-хантери
Розробник вирішив перемкнутись і обрав нішу, де можна використати свої знання легально. Тобто — стати баг-хантером — «білим» хакером, який шукає баги в системах різних компаній за грошову винагороду.
Він розповів із власного досвіду, як діють подібні фахівці. Зокрема, перше, що робить хантер — бере участь у різних програмах Bug Bounty. Подібні програми пропонують вебсайти та компанії-розробники програмного забезпечення для пошуку помилок і вразливостей у своїх системах. У підсумку баг-хантери, які знайшли місця в системі, схильні до уражень, отримають грошову винагороду.
Компанії на кшталт Amazon чи Netflix можуть самі запрошувати «білих» хакерів, влаштовувати відкриті або закриті заходи чи розміщувати пропозиції про Bug Bounty на відповідних міжнародних платформах. Зокрема, це:
Bugcrowd — краудсорсингова платформа безпеки, заснована у 2012 році, а з 2019 року вона є однією з найбільших компаній, що займаються розкриттям помилок і вразливостей в Інтернеті. На платформі можна знайти повний краудсорсинговий список винагород за помилки та програми розкриття вразливостей з усього Інтернету, підготовлені спільнотою хакерів.
HackerOne— компанія, що спеціалізується на кібербезпеці, зокрема на управлінні стійкістю до атак. На платформі компанії розміщують програми винагород за помилки та залучають хакерську спільноту для покращення стану безпеки своїх систем. Також на платформі наведено список відомих програм винагород за помилки зі сторінки можливостей.
Intigriti— провідна європейська платформа послуг тестування на проникнення. На платформі наведено список загальнодоступних програм винагороди за помилки. Крім того, тут пропонують Bug Bounty для самої платформи Intigriti. Детальну інформацію про винагороди за послуги пошуку помилок на платформі можна знайти тут.
Деякі компанії в Україні також влаштовують Bug Bounty, зокрема, періодично подібні програми проводять:
Prozorro— одне з перших держпідприємств, яке реалізувало подібні програми в Україні, і з 2019 року проводять Bug Bounty на постійній основі. Розмір винагороди стартував від $500.
Компанія «Хостинг Україна» — найбільших хостинг-провайдерів на українському ринку. Компанія запустила програму винагород за знайдені вразливості в системі і пропонувала винагороду у $1000 за вразливості.
ПриватБанк— за словами «stopwar», банк пропонував популярну Bug Bounty програму декілька років тому. І зараз в них на сайті можна знайти пропозицію отримати $1000 за результативні сигнали про вразливості. Проте хакер говорить, що за відгуками спільноти, у банку з цим зараз «все повільно».
Онлайн-платформа з українськими коріннями Grammarly, яка на основі штучного інтелекту допомагає у спілкуванні англійською мовою, пропонує хакерам до $100 000 винагороди в обмін на виявлення критичних уразливостей безпеки: потрібно пробратись на сервер компанії, прочитати в базі даних на певній сторінці код та відправити його в репорті компанії. Крім того, в компанії повідомляють, що оплачують й інші вразливості.
Північнокорейські хакери націлились на розробників-фрілансерів, зокрема українських, під виглядом рекрутерів
На що варто звернути увагу «білим» хакерам
Деякі компанії, за словами фахівця, наприклад, як Facebook, працюють лише напряму. Google теж донедавна так працював, але тепер компанія перейшла на Bugcrowd. Netflix, наприклад, завжди працює через HackerOne, хоча раніше був на іншій платформі. Розробник пояснює, що співробітництво з платформами знімає певне навантаження з компаній, зокрема, з опрацювання багатьох низькоякісних репортів, які надсилають хантери з описами багів.
Крім того, платформи беруть на себе й інші функції:
визначають винагороди за критичністю багу та перераховують гроші хантерам;
слідкують за тим, хто з хантерів першим знайшов той чи інший баг (про що одразу сповіщають фахівців), бо саме перший отримає винагороду;
зʼясовують суперечки між компаніями та хакерами у випадку непорозумінь щодо критичності багу, першочерговості хантера та розміру винагороди;
показують статистику вдалих репортів по компанії, з чого можна зробити висновок щодо її доброчесності у виплатах.
Певною проблемою для «етичних» хакерів є недобросовісні компанії, які не виправляють критичні баги по кілька місяців і відповідно не оплачують винагороду хантерам, які знаходять його. «Це дуже погана ознака, і ред-флаг для хантерів, що з такими компаніями працювати не варто, бо скоріше за все платити вони не будуть», — підкреслив програміст.
«stopwar» розповів, що сам нещодавно отримав запрошення на одну приватну програму Bug Bounty на пошук багів. Фахівець знайшов десяток цікавих, але простих уражень, і одне критичне. І через три тижні отримав повідомлення, що саме цей критичний баг був знайдений ще пів року іншим хантером.
За словами фахівця, якщо хантер знайшов дуже круту вразливість, то може її в кілька разів дорожче продати на чорному ринку.
«Але якщо ви ведетеся на це, то, звісно, ви перейшли вже на темну сторону», — додає він.
5 реальних прикладів хакерських атак за допомогою ШІ, які маніпулювали страхом або довірою людей та виманювали в них гроші або інформацію
Про вразливості
Говорячи про вразливості, то здебільшого вони залежать насамперед від специфіки роботи компанії. Загалом:
Критичними багами вважають:
доступ до бази даних,
виконання коду на серверах компаній,
кража персональної інформації людей, тобто номерів телефонів, адрес тощо.
Не критичні, наприклад, отримати безплатно функціонал, за який треба платити.
«Дуже часто баги — це речі, які можна знайти за допомогою звичайного браузера», — додає програміст.
Як обрати компанію
Перш ніж починати шукати баги, «stopwar» завжди ментально будує модель роботи компанії відповідно до її специфіки та намагається зрозуміти, що вона хоче захистити.
Зазвичай він розповів, що сам намагається шукати вразливості в тих продуктах, якими користується кожен день, бо так витрачає менше зусиль, щоб познайомитися з системою роботи. Проте, за словами програміста, йому також цікаво отримати приватне запрошення до Bug Bounty, бо, найімовірніше, поки що мало людей шукає там баги, і є більша ймовірність їх знайти та отримати винагороду. Крім того, він зауважує, що чим складніша система, тим більше багів.
«Дійсно проблема не в тому, щоб обрати сферу, а знайти компанію, яка готова платити за ці баги», — додає розробник.
Українські хакери знищили мережу російського інтернет-провайдера Nodex та викрали дані
Про гроші
«stopwar» бере участь у програмах на вищевказаних платформах, а також періодично на закритих заходах, які влаштовують різні компанії. Винагорода різниться залежно від умов, які виставляють компанії, що дозволяється робити хакерам, а що ні, де можна шукати баги. Винагорода може доходити до декількох мільйонів доларів за критичні вразливості.
Наприклад, за критичний баг, знайдений на Prozorro «stopwar» отримував близько 28 000 грн. Це була перша платформа, з якої він починав. Пізніше перемкнувся на інші. Крім того, він згадує, що саме на цій платформі він особисто знайшов найбільшу кількість багів і потрапив до рейтингу хантерів на Prozorro. На Netflix програміст знайшов близько 10 різних критичних баґів високого і вищого рівня.
Строки виплат також можуть варіюватись від компанії до компанії. Програміст говорить, що на його власному досвіді Netflix може відповісти та виплатити винагороду за день, з деякими компаніями доводиться вести листування щодо репорту інколи тижнями чи місяцями.
Крім того, є й інші особливості у виплатах, наприклад, деякі компанії за кілька знайдених критичних вразливостей подвоюють суму винагороди. Проте в іншому випадку кілька знайдених багів компанія може обʼєднати в один, пояснюючи це тим, що в них одна причина.
Особисто у «stopwar» хантерство не є основним джерелом доходу. Він працює офіційно програмістом в одній компанії, а хакінгом займається у вільний час.
Він поділився, що в місяць за допомогою хантерства міг заробляти інколи до $10 000, але це не стабільний щомісячний дохід. Найдорожчу винагороду за баг, наприклад, йому виплатила компанія Netflix: $3000 + $1000 бонусом.
Хантер поділився, що за минулий рік 30% часу він займався хакінгом і 30% приділяв роботі, решта часу пішла на вирішення особистих справ. Отриманий дохід розподілився навпіл. За його словами, якщо відсоток доходу отриманого від роботи та хакінгу змістить у бік 30%/70% відповідно, то фахівець буде готовий перейти повноцінно до хакінгу.
Що може чекати «білого» хакера в майбутньому
Крім участі у програмах Bug Bounty, хартери можуть також робити певні дослідження, зокрема, шукати баги в опенсорсних та інших продуктах і отримувати за це гроші. Або ця інформація може стати підставою для розробки окремого продукту чи рішення.
Дехто з хантерів отримує можливість перейти на роботу до держструктур, проте «stopwar» говорить, що там він би працювати не зміг і не хоче. Але сам хотів би потестувати «Дію» чи якусь іншу державну програму.
Завдяки українським хакерам і міжнародному розслідуванню було зірвано постачання до рф через Індію підсанкційного військового обладнання на мільйони євро
Українського хакера REvil Ярослава Васинського засудили до майже 14 років ув'язнення та багатомільйонного штрафу. 15 цікавих фактів про нього
Техаський суд засудив україського хакера Ярослава Васинського, який був пов’язаний з угрупованням REvil (відомої також як Sodinokibi), брав участь у понад 2500 хакерських атаках та вимаганні у жертв понад $700 млн викупу, до 13 років і семи місяців ув’язнення. Крім того, хакеру доведеться сплатити штраф у $16 млн.
dev.ua вибрав 15 цікавих фактів про українського хакера.
(текст від 24 грудня 2021 року)
«Росіяни завжди хочуть когось трахнути». Микита Книш розповів FT, як українські хакери видавали себе за дівчат, зламували камери відеоспостереження та россайти заради перемоги
Видання Financial Times опублікувало статтю про роботу українських хакерів у війні проти рф, засновану на розмові з українським білим хакером Микитою Книшем. Він, як і сотні інших хакерів, допомагає боротися із російськими загарбниками в кіберпросторі. Наводимо адаптований переклад матеріалу.
