По разные стороны силы: Могут ли хакеры быть «черными» и «белыми»?

Обывателю удобно, когда мир делится на «черное» и «белое», и отличить добро от зла можно быстро и легко. Однако современный информационный мир постепенно стирает границы привычных вещей и понятий. Место честных граждан в информационной среде занимают преступники, а на место преступников приходят герои, готовые сражаться за справедливость и спокойствие. И если раньше «белые» хакеры существовали в голливудских фильмах, то сегодня «хактивизм» набирает обороты. Эксперты в области кибербезопаности рассказали Digital.Report, как хакеры могут быть «хорошими» и «плохими».  

Сергей Котов, эксперт по информационной безопасности компании «Аладдин Р.Д.»

Может ли быть хорошим пулемет? Ответ зависит от вашего расположения относительно дульного среза и настроения пулеметчика (хотя, вполне можно себе представить автоматический аппарат, самостоятельно выбирающий и поражающий цели).

 Можно выделить два основных свойства пулемета. Первое – «могу стрелять, могу не стрелять». Второе – эффективность, которая определяется технологичностью и включает множество параметров: стоимость, удобство переноски, массу, скорострельность, прицельную дальность, кучность, начальную скорость пули, могущество боеприпаса и т.д., и т.п.

Это вам ничего не напоминает в контексте хакера? И субъективное представление о нем зависит от нашего отношения и оценки – каковы цели, каковы средства (если не исходить из «цель оправдывает…»), какова эффективность достижения первых с использованием вторых?

В конце концов, даже воровство мы (или, как минимум, многие из нас) иногда склонны оправдывать благими целями – помните такие фамилии, как Сноуден или Ассанж? Но с другой стороны баррикад многие считают, что нет им оправдания. Кстати, даже у англичан есть какая-то темная история про хорошего преступника Робина.

 Само понятие «криминал» меняется со временем (причины оставим за пределами рассмотрения). Вполне, как кажется, достойный пример – спекулянты. Было время, и не слишком давно, когда их преследовали, судили, сажали и даже расстреливали в отдельных случаях. Сейчас отношение, по крайней мере, со стороны закона, совершенно другое. Например, словосочетание «валютный спекулянт» сейчас звучит гордо, и гордость эта прямо пропорциональна доходам. Другой вопрос – общественная польза от их существования. Но и тут не все однозначно. Можно придумать и пользу. Например, биржевые спекулянты «снижают волатильность на рынке» всяческих бумаг (акций, долговых расписок и т.п.), хотя и это не совсем правда, но такого определения оказывается вполне достаточно для общественного уважения и отсутствия законных оснований для преследования (при условии уплаты налогов, конечно).

Почему же многие вздрагивают при слове ХАКЕР? Может быть это – попытка создать жупел для использования в своих корыстных целях. Может быть лучше придать им общественно полезную функцию (хотя бы по аналогии со спекулянтами)? Например, WikiLeaks снижает волатильность на рынке государственных секретов (надеюсь, никто не думает, что такого рынка не существует), который, на мой взгляд, даже более материален, чем рынок ценных бумаг, стоимость которых определяется «объективной» истерикой спекулянтов.

Уже предлагал такую парадигму, которую можно коротко определить русской пословицей: «На то она и щука…».

Или так. Хакерство — высокоинтеллектуальный и весьма квалифицированный род деятельности, направленный на поддержание безопасности компьютерных систем, отстаивание гражданских свобод и экономического благополучия граждан (в отличие от спекулянтов, которым свойственна только последняя из перечисленных функция, да и то в отношении самих себя).

Возможен такой порядок. Хакер находит уязвимости в действующих компьютерных системах и сообщает о том, как он это сделал владельцу системы и контролирующему органу (никто же не возражает против Pen-тестирования и даже против оплаты такой работы). За достойное вознаграждение, конечно. Почему нет? Пусть это будет сделано открыто, и информация доведена оперативно, чтобы владелец системы успел принять меры. Не устранил в срок – регулятор примет свои меры. Нет, не оштрафует. Просто, например, опубликует информацию (на первый раз). Взломали, скажем, защиту музыкального сервиса Sony – будьте добры, уважаемая Sony, уплатите штраф за нарушение прав потребителя на качественный продукт и приведите защиту в порядок. Вышла пиратская копия фильма Universal Pictures – пожалуйте, уважаемая компания, в суд, но уже в качестве ответчика. Пользователям счастье – нет нужды разбираться, что тебе продали. И вообще – дело ли пользователя разбираться в контрафакте – он не эксперт. А то сейчас, в некоторых странах, человека, купившего вполне на вид приличный диск или скачавшего песенку с вполне себе симпатичного сайта, могут и «привлечь». Т.е. фирма хочет получать доходы и ради этого готова поставить тех, от кого она эти доходы получает, в известную физкультурную позу? Пусть совершенствуют защиту! Кто-то скажет, что все это – за счет потребителя. Ну а сегодняшняя ситуация (потери со счетов, потери времени на то, чтобы доказать – не верблюд ли я и т.п.) — за чей?

Например, банки. Проводящие формально и поверхностно Pen-тесты, скажем, в рамках комплайнса PCIDSS, потом спокойно перекладывают ответственность на клиентов (не стесняясь заявлять «наша главная цель – удовлетворение потребностей клиентов). Хакеры вполне способны поменять ситуацию.

Польза же очевидна. Клиенты взломанной информационной системы будут знать об опасности пользования ею. Страховые компании будут в курсе повышения риска и отреагируют повышением ставок. Владелец информационной системы будет реально заинтересован в приведении в порядок своей защиты максимально оперативно (имидж и страховые ставки). И у так называемых хакеров (придумают им какое-нибудь благозвучное название, если это раздражает) отпадет необходимость продавать на нелегальном рынке свои инструменты. И правоохранителям легче. И загрузка судов антипиратскими делами уменьшится. И налогооблагаемая база увеличится. И в легальный оборот будут вовлечены высококвалифицированные (всегда дефицитные) трудовые ресурсы. У студентов многих вузов появится дополнительный стимул к учебе. Ведь информационных систем становится все больше. Хватит у регулятора сил на их прямой контроль? Такая вот благостная картина.

Хакер и преступник – не одно и то же (по крайней мере, далеко не всегда одно и то же).

Любую энергию (включая ядерную) можно использовать в мирных целях – это закон природы.

Использование «энергии» не в мирных целях должно караться. Конверсия – весьма полезный и актуальный процесс. Не стоит ограничивать ее переделкой старых стратегических ракет под коммерческую нагрузку.

Чаба Краснаи, менеджер по продукту компании Balabit

Вообще, в хакерских атаках есть плюсы: они провоцируют создание креативных решений для компьютерного оборудования, выявляют проблемы или ограничения в программировании. Больше хакеров — больше креативности, и лучше мир. Как бы то ни было, хакерские атаки в наше время обычно приводят к незаконной деятельности, хотя это не всегда намеренно. «Белым» хакерам нужно еще сильно постараться, чтобы убедить молодежь, что «правильные» методы взлома — отличное хобби и способ заработать.

Но в то же время закон должен бороться с киберпреступностью, потому что это всегда зло. Обратимся к реальным аналогичным ситуациям, которые происходят вокруг нас: вы можете быть экспертом по безопасности и увлекаться техниками взлома (что законно), а можете быть грабителем, за которым охотится полиция. Все отличия в намерениях.

Владимир Лебедев, директор по развитию бизнеса Stack Group

 

 

 

 

 

Если хакеров приравнивать к киберпреступникам, то по одному этому определению они не могут быть «хорошими», так как результат их деятельности носит противоправный характер. Однако специалисты в области ИТ и ИБ, обладающие соответствующими компетенциями «хакера», безусловно, могут решать конструктивные задачи. Например, так называемый «белый хакинг» используется компаниями для независимой оценки своего уровня защищенности, когда за вознаграждение компания привлекает таких специалистов (или вообще объявляет конкурс, направленный на неопределенный круг лиц), например, для попытки «взлома» собственных ресурсов, и по результатам таких попыток оценивает фактический уровень своей защищенности. Подобный «белый хакинг» широко распространен как услуга тестирования на проникновение, которую предоставляют сейчас многие провайдеры услуг по информационной безопасности.
Также распространено привлечение специалистов с компетенциями хакера правоохранительными органами для пресечения противоправной деятельности реальных киберпреступников.

 Роман Кобцев, директор по развитию ЗАО «Перспективный мониторинг» (входит в ГК ИнфоТеКС)

Хакер – это тот, кто специализируется на информационной безопасности. То есть технический специалист, исследователь, который занимается вопросами защищенности информационных систем, программного обеспечения или электронного оборудования, и умеет обходить механизмы безопасности этих систем. Он не хороший и не плохой, все определяется его поступками. Если слесарь вскрывает замок, чтобы впустить в дом забывшего ключи хозяина, то мы говорим о профессионале, который помогает людям. Если же целью слесаря была кража, значит, перед нами преступник, представляющий опасность для общества. Та же ситуация и с хакерами. Если говорить о том, насколько эффективно хактивисты могут противостоять преступникам в Сети, то хактивисты зачастую, с точки зрения закона, являются теми же киберпреступниками. Например, ст. 272 УК РФ предусматривает ответственность за неправомерный доступ к охраняемой законом компьютерной информации. Бороться с преступностью — прерогатива, в первую очередь, правоохранительных органов, иначе мы можем скатиться в анархию. Хотя во времена острейшей нехватки специализированных кадров в правоохранительных органах, соблазн использования хактивистких движений в благих целях защиты общественных интересов очень велик. Но нужно понимать, что это палка о двух концах. И история знает печальные примеры на эту тему, в том числе и в других сферах.

Рискуют ли компании, которые прибегают к услугам «белых» хакеров. Но ведь компании прибегают не к услугам белых хакеров, а к услугам специализированных компаний, имеющих в своем штате технических специалистов соответствующей квалификации. Этих сотрудников действительно можно назвать белыми хакерами. И риски здесь не выше, чем в любых других аспектах аутсорсинга информационной безопасности или информационных технологий. Технический специалист, который взламывает вашу информационную систему для проверки ее надежности, не более опасен, чем ваш сотрудник, эту систему эксплуатирующий. Все зависит от мотивации: и если есть нацеленность на кражу конфиденциальных данных или нарушения работоспособности системы, то и тот и другой в состоянии нанести одинаковый ущерб. Если мы вспомним, то все крупнейшие аварии на промышленных объектах, приведшие к масштабным экологическим и социальным последствиям, в подавляющем большинстве случаев произошли по вине халатности персонала. И даже атаки хакеров на промышленные объекты эксплуатировали в первую очередь нарушение регламентов сотрудниками предприятий (несанкционированное использование флэшки, несанкционированный выход в интернет и т.д.). Так лучше пусть под вашим контролем специалисты, белые хакеры, проверят уязвимость системы, покажут слабые места и дадут рекомендации по повышению защищенности системы, чем потом произойдет инцидент, к которому вы не будете готовы.

Нужно ли мотивировать работников, чтобы обеспечить защиту от служебных злоупотреблений? Конечно, у нас, как компании, в штате которой состоит несколько десятков высококвалифицированных технических специалистов, этому вопросу уделяется большое внимание. Во-первых, людей с сомнительной репутацией мы на работу не берем, проверяем их заранее. Во-вторых, мотивируем: нужно обеспечить ребят интересными проектами, и тогда вероятность хулиганства с их стороны будет минимальна. Есть и ряд других мер из сферы управления персоналом. Статистика исследований по утечкам информации показывает, что инсайдеры внутри компании крадут данные гораздо чаще, чем сотрудники аутсорсинговых компаний.

Директор учебного центра SearchInform Алексей Дрозд

Если говорить в целом о хакерах, то можно ответить, что да, часть их выполняет положительные задачи.

Как и в любом сообществе, здесь есть разделение на две стороны: Black Hat – плохие (проще, киберпреступники) и White Hat – хорошие хакеры. Последние ратуют за повышение информационной безопасности, разрабатывают и отдают в пользование бесплатные инструменты, проводят собственные конференции и обучают специалистов по ИБ. К примеру, можно вспомнить «отечественный» инструмент Intercepter-NG.

Также «хорошие хакеры» проявляются после новостей о масштабных утечках. Например, у крупных почтовых сервисов. Когда в сеть попали данные о логинах\паролях к учетным записям Gmail, Яндекс почты и др., нашлись те, кто организовал бесплатный сервис, который давал возможность проверить свой почтовый аккаунт на предмет «угона». Здесь обнаруживается и положительная сторона подобных взломов. Ведь по сути кибепреступники, взломавшие сервис и выложившие информацию в Сеть, лишний раз напоминают всем остальным, что абсолютной безопасности не существует. Поэтому, доверяя что-либо стороннему ресурсу, не стоит полагаться в вопросах защиты только на него.

Важный вопрос – мотив. Если с киберпреступниками все более-менее понятно, то движущая сила «хороших хакеров» ясна не всем. Отчасти это идейная, бескорыстная помощь ИБ-сообществу. Но деньги никто не отменял. Компании-гиганты отрасли уже давно работают с white hat-сообществом на взаимовыгодных условиях.

Так, известный многим, международный форум по практической безопасности Positive Hack Days, проводимый компанией Positive Technologies, собирает ведущих безопасников и хакеров со всех стран, чтобы обсудить актуальные вопросы ИБ. Другие компании также проводят курсы этичного хакинга, конференции и конкурсы (CTF). В частности, существуют так называемые программы вознаграждений за найденные уязвимости (такие как Bug Bounty). Если благодаря такой программе не удастся заманить хакера в компанию (некоторые все-таки предпочитают независимость даже очень престижной работе), то хотя бы можно обнаружить и обезопасить себя от возможных проблем с продуктом. Получается, в каком-то смысле, у White Hat источников заработка хватает.

Не стоит забывать и о набирающем обороте «правительственном заказе». «Правительственные хакеры» – не миф, и они все чаще мелькают в новостях. Но попасть в их ряды, очевидно, проще со «светлой стороны».