Дали наистина е оправдано да бъдат наказвани хакери, ако са направили нещо ползотворно, като например отстраняване на проблеми с киберсигурността? (снимка: CC0 Public Domain)
Много хора вярват, че хакерите-злодеи, които проникват в компютърни мрежи злонамерено, трябва да получат процент от откраднатите средства и да не бъдат подлагани на наказателно преследване, ако върнат по-голямата част от плячката си. В продължение на тази мисъл все повече хора стигат до убеждението, че организацията, в която работят, има интерес да наеме т.нар. бели хакери или да въведе програма за награждаване на добронамереното хакване.
Ако кибер-злодеите върнат откраднатото, те не бива да бъдат преследвани и дори е добре да бъдат възнаградени, вярват 48% от запитаните в анкета на Naoris Protocol, която се проведе в каналите на социалните медии и партньорските общности през декември. Участвалите в проучването работят в областта на киберсигурността, CeFi, DeFi и традиционните Web2 и Web3 – или се интересуват от тези области.
Темата е силно дискусионна: други 38% в проучването не са съгласни с идеята за възнаграждаване на злосторниците. Все пак буди размишления въпросът дали наистина е оправдано да бъдат наказвани хакери, когато те всъщност са направили нещо ползотворно, като например отстраняване на проблеми с киберсигурността.
Naoris Protocol казва, че все повече хора подкрепят ролята на етичните хакери, които работят в рамките на правилата на дадената организация. Паралелно с това все повече компании въвеждат програми за награждаване за етично хакване – т.нар. bug bounty. Това дори се вписва като важна част от бюджетите за киберсигурност.
Показателно е, че през 2020 г. общата стойност на наградите за открити слабости възлиза на 223 милиона долара. Според изследователската компания ATR, сега се очаква този пазар да нараства с по около 54% всяка година и да достигне 5,5 милиарда долара до 2027 г.
Награда за връщане на откраднатото
В някои случаи нещата се случват по естествен път. Хакната организация предлага на кибер-злосторниците да им плати, ако разкрият как са успели да пробият защитите ѝ и съответно върнат откраднатите пари или ресурси.
Така например, LodeStar Finance – компания, която загуби около 6,9 милиона долара при хакване в края на миналата година, поиска връщането на средствата с „щедро възнаграждение по договаряне“ като част от споразумение с хакерите. Poly Network щеше да се раздели с 600 милиона долара, когато предложи награда на кибербандитите, в резултат на което повечето пари бяха върнати.
Офертата не винаги се приема добре. Например, Qubit Finance предложи 2 милиона долара награда след хакване на стойност 80 милиона долара, но офертата беше игнорирана. По същия начин Harmony предложи $1 милион на кибер-бандитите, които я хакнаха, но и нейната оферта не беше приета. Това може да се дължи на факта, че хакерите са в състояние да правят по-големи печалби, използвайки системи за крипто-пари, които им позволяват да скрият историята на своите транзакции.
Подобна мярка е много спорна. Самата идея да откраднеш пари и после да искаш награда, за да ги върнеш, е неприемлива, казва Моника Овракова, основател и главен изпълнителен директор на Naoris Protocol. „Това си е кражба, която е злонамерена. Да го приемем за нормално би означавало да насърчим хакването, превръщайки го в легитимна бизнес-практика. Само защото хакерът е благоволил да върне част от откраднатото не означава, че това е добра практика“.
По-скоро партньорство с етичните хакери
Паралелно с това интересът към партньорства с етични хакери нараства равноускорително. Много организации търсят начин да постигнат договорености с „пен-тестери“, които да изследват защитата и уязвимостите на ИТ инфраструктурите в компаниите. Други подхождат алтернативно: организират срочни или безсрочни програми за възнаграждаване при добронамерено хакване.
Част от уменията на белите хакери, които се ценят високо, са пространното познаване на сигурността в съвременния кибернетичен свят. На практика това са квалифицирани специалисти по киберсигурност с разбиране за мрежите, компютрите, защитата, социалния инженеринг.
Същевременно от тях се очаква да са наясно с разнообразието от мотиви, които злонамерените хакери биха могли да имат. При наличието на предварителна договореност за използване на услугите на бял хакер от него се изисква да води детайлен журнал на своите действия и откритията си. Важно е всичко при етичното хакване да се документира, за да се оценят по-правилно киберрисковете.
Разбира се, неизменна част от уговорката между белите и хакери и техните клиенти е запазването на конфиденциалност, подчертават експертите по киберсигурност.
Това с наградите е доста сериозна измама при бъговете с по-ниска опасност. Лично съм изпращал два бъга на фейсбук, когато имаха награда. Казаха ми, че не са бъгове и не заслужават заплащане. След три месеца ги поправиха.