Исповедь «белого» хакера: взломать Uber, заработать за неделю 300 тысяч рублей и стать лучшим в Лас-Вегасе
Екатеринбургский защитник информации Александр Берсенёв рассказал «Моментам» о своей работе, зарплате, отличиях хакеров в «белых шляпах» от взломщиков в «черных шляпах», и как обычным людям обезопасить свои соцсети.
О бесплатном интернете
Мне было 14 лет, когда дома появился интернет. Это был 2003 год. Карманных денег хватало примерно на 10 минут в день. Остальную часть дня тратил на поиски способов находиться в интернете, как можно больше. Я узнал, что провайдер не установил расценки на некоторые виды трафика и с помощью «туннелирования», т. е. не посылая платных запросов, можно находиться в интернете бесплатно. Да, это был очень медленный интернет, зато я за него ничего не платил, а в процессе настройки разобрался с различными протоколами, Линуксом и другими узкоспециализированными вещами. Примерно в это же время я начал программировать.
Об университете
Победа на школьной олимпиаде по информатике позволила мне поступить в один из лучших университетов области — в УрГУ на механико-математический факультет. На первом курсе я по-настоящему увлекся хакерством. Любимым языком программирования стал ассемблер, а любимым занятием — обратный инжиниринг программ (это когда по файлу программы пытаешься понять, что она делает). Наш университет выпускает очень много хороших программистов.
О международных конкурсах
На втором курсе вступил в студенческую команду «Хакердом», которая занимается изучением компьютерных технологий и компьютерной безопасностью. В команде было примерно 30 человек, из них пять девушек. Вместе мы выступали в различных CTF соревнованиях (это самый популярный вид соревнований по безопасности). Ездили, конечно, в меньшем составе — где-то по пять человек. Два раза брали главный приз — 4 000 евро на соревнованиях в Париже. Ездили в Лас-Вегас на самые престижные соревнования — DEF CON CTF.
Когда большая часть «Хакердома» окончила университет, мы стали всё меньше участвовать в соревнованиях и всё больше их организовывать. Сейчас мы делаем очные соревнования RuCTF, на которых в этом году собралось 23 команды из 5 стран; а так же онлайновые соревнования RuCTFE, в который в последний раз участвовало более 150 команд из 35 стран.
Об уязвимости и защите
Самые уязвимые сайты — те, которые используют любую популярную систему управления содержимым (CMS). В них постоянно находят дыры. Их нужно постоянно обновлять. А самые неуязвимые, наоборот, те, которые используют только статический контент.
У большинства крупных компаний есть публичные программы вознаграждений за поиск уязвимости на их сайтах. Им выгоднее, чтобы хакеры рассказали об уязвимости им, а не продавали эту информацию на черном рынке.
Чаще всего компании сами просят их взломать. Когда они знают свои уязвимые стороны, им легче защититься. Обычно меня находят через знакомых. Большинство обращаются повторно через несколько лет. Проверка защищённости выглядит так: с компанией заключается договор, я пробую получить доступ к её системам и рассказываю, получилось или нет. Обычно я работаю один, но если заказ большой и его нужно выполнить быстро, то приглашаю еще хакеров. К сожалению, в ближайшем будущем эту услугу нельзя будет оказывать без лицензии, закон уже принят.
О деньгах и интересе
В среднем я зарабатываю примерно 100 $ в час. Зарубежные компании платят примерно в полтора раза больше российских. Я работаю и с теми, и с другими — часто бывает, что владельцы русские, а сами компании зарегистрированы за рубежом.
С крупными иностранными компаниями даже договариваться не нужно — большинство размещают на своих публичных сайтах правила так называемой «программы вознаграждения за уязвимость». В них описывается, что можно делать при взломе, а что нельзя (например, часто нельзя пытаться обманом выведать пароли сотрудников, физически проникать в помещения организации и т.д). Там же указывают размер вознаграждения для типовых уязвимостей. Вот несколько известных иностранных компаний, у которых есть такие программы: Twitter, GitHub, Uber, Coursera, Adobe, Airbnb, Dropbox, Vimeo, Yahoo! , Starbucks.
Кроме денег, при выборе компании, я смотрю на условия тестирования. В первую очередь, я выбираю компании, которые разрешают наблюдать за системным администратором, безуспешно пытающимся выяснить причину странного поведения сервера — это весело.
О взломе Uber
Uber, как и многие другие компании, платит исследователям за найденные уязвимости. Я как-то ехал на Uber домой и решил, а почему бы не попробовать их похакать. За две недели нашёл восемь уязвимостей, за которые Uber заплатил в общей сложности 6 000 $.
Почему другие исследователи не нашли уязвимости Uber раньше меня? Существенная часть поиска уязвимостей — изучение протоколов взаимодействия мобильного клиента с сервером Uber. Эти протоколы не описаны в публичном доступе, поэтому пришлось заниматься обратным инжинирингом приложения Uber для iOS и Android и изменять их так, чтобы они шифровали коммуникации не очень сильно. Это мало кто умеет делать.Особенно интересно было наблюдать за лицами водителей в тот момент, когда они, из-за твоих экспериментов с протоколом, видели у себя в приложении то, чего никогда раньше не было.
О женщинах
Женщин — хакеров не так много. Но они есть. Большинство девушек, которые были со мной в команде «Хакердома» сейчас очень хорошо устроились в отличных IT — компаниях. Сексизма в нашей сфере я не замечал. Относимся друг к другу с уважением, пол не имеет никакого значения.
О защите соцсетей
Социальные сети, вопреки общему мнению, взломать трудно. При условии, что человек принимает меры защиты. Во-первых, обязательно придумайте сложный пароль, во-вторых используйте двухфакторную аутентификацию и антивирус (на самом деле, можно и без него, если обновлять ОС и не запускать подозрительные программы). В третьих, не используйте публичные точки wifi, хотя в новых версиях клиентов для соц. сетей трафик шифруется. В четвертых, внимательно читайте сообщения безопасности браузера.
О видах хакеров
Хакер «в белой шляпе» — тестирует сети и компьютеры, исследует их производительность и определяет их уязвимости для взлома. Обычно такие хакеры взламывают свои собственные компьютеры или компьютеры клиентов, специально нанимающих их для анализа безопасности.Хакер «в чёрной шляпе» — взломщик. Взломщиков менее всего интересует программирование и научная сторона взлома компьютеров. Они часто используют существующие программы, чтобы взломать и узнать важную информацию для личной выгоды, или чтобы нанести ущерб атакуемым компьютерам или сетям.
Хакер «в серой шляпе» — это в какой-то степени хакер «в белой шляпе», который иногда «надевает черную шляпу».
Чтобы стать популярным хакером в «белой шляпе» — нужно найти уязвимость в протоколе шифрования или в библиотеке, которой все пользуются. Или придумать новую технику атаки.
А хакеру в «чёрной шляпе» нужно сесть и, как можно на больший срок, за взлом чего-нибудь.
О Екатеринбурге
В Екатеринбурге крутых хакеров около сотни. На международном рынке уральцы более чем котируются. Те, кто хотели, уже уехали, в Великобританию, Польшу, Германию, Чехию. Остальные работают в ведущих IT-фирмах Екатеринбурга, Санкт-Петербурга и Москвы.