Романтизація хакерства, або Чому кіберзлочин – це просто крадіжка
Чомусь у нашому суспільстві розповсюджена думка, що спійманого на гарячому хакера неодмінно треба брати на роботу.
Насправді у реальному житті це не так працює.
Чомусь якщо ви у себе в хаті спіймаєте крадія – ви не будете його запрошувати охороняти ваше житло. І Міндіча чомусь не запрошують на посаду міністра фінансів.
Якщо людина вирішила використати наявні знання для здійснення злочину – нехай це навіть складні й унікальні знання – вона є лише злочинцем, який вкрав. Вкрав гроші, токени, крипту, цифрову ліцензію, інтелектуальні права – не принципово. Ключове слово: «вкрав».
Мільйони людей дотримуються законів (хоча інколи це непросто) – а от злочинець вирішив не виконувати. Саме для таких хитросраких, які клали на інших людей та їхні інтереси – і придумані закони з кодексами. І вони століттями адаптувалися під нові типи злочинів – хоча майже завжди із запізненням.
У попередньому дописі я розказав, як 16-річний підліток з Кривого Рогу, знайшовши вразливість у додатку «Нової Пошти», – вкрав посилок на 500 тисяч гривень. У коментарях часто писали: мовляв, такого талановитого хакера треба взяти на роботу до НП.
А як би на таку ідею відреагували ті, хто не отримав свою посилку? А для когось там могло бути щось важливе для здоров’я. Або допомога фронту. Або подарунок дитині чи коханій людині.
«Нова пошта», найімовірніше, компенсувала заявлену вартість вкрадених посилок. Але чи багато людей вказують справжню ціну посилки, щоб платити трішечки менше? Ну і плюс витрачений час, зіпсований настрій та тисячі матюків на адресу поштового сервісу.
До того ж з точки зору суто бізнесу брати на роботу дрібного кіберзлодія – така собі ідея. Так, він знайшов одну чи дві вразливості у додатку. Але сучасний додаток – це великий набір (стек) різних технологій, і не тільки у тому, що встановлено у вас у смартфоні. Ще є АРІ та бекенд. І протоколи передачі даних та шифрування. Маршрутизація, задіяння хмар і ще багато іншого. Кожна з технологій має свої недоліки та вразливості, особливо на їхніх «стиках».
І загалом може йтися про сотні можливих вразливостей в екосистемі ОДНОГО застосунку. А залатати («пропатчити») кілька вразливостей можна доволі швидко – і тому немає особливого сенсу заради цього брати на постійну роботу додаткову людину. Суто нерентабельно.
І головне: «вміти щось ламати» досить рідко (та майже ніколи) не означає «вміти будувати». Вміти кувалдою розламати стіну – не означає вміти її звести.
Так, хакер, який не просто знайшов вразливість, але і зумів знайти спосіб її використати і навіть монетизувати – дійсно має непогане уявлення про хакінг.
Але у дуже обмеженому, вузькому та специфічному секторі.
У сучасних комплексних системах кіберзахисту організації існують десятки можливих «векторів атак»: по вебу, по Wi-Fi, через мережі, через вебсервери та вебсервіси, через хмарну інфраструктуру, через постачальників (supply chain), через додатки, месенджери, VPN та віддалений доступ, «стара добра» соціальна інженерія – і цей список дуже довгий насправді.
Нападники ж переважно «прокачуються» у одному-двох напрямах, як правило – «сусідніх», близьких технологічно.
А от команді безпеки (Blue Team) потрібно закрити УСІ МОЖЛИВІ точки прориву периметру. І це абсолютно інший не тільки напрям діяльності – але інший Mindset, тобто спосіб мислення. Зовсім інше бачення проблем та способів їхнього розв’язання.
У фільмі Catch me if you can («Спіймай мене, якщо зможеш») героя Леонардо Ді Капріо, який талановито підроблював банківські чеки та мав феноменальну здатність входити у довіру до людей, – зрештою беруть на роботу у ФБР.
Але навіть у голлівудському фільмі він спочатку кілька років відсидів у тюрмі за свої злочини. Лише після цього герой Тома Генкса умовив начальство взяти хлопця на стажування – на умовах умовно-дострокового звільнення.
І це є основним правилом людської цивілізації «за кожен злочин обов’язково має бути покарання». Справедливість. Рівність усіх перед законом – про що ми зараз часто говоримо у нашій країні.
І легендарний Кевін Мітник, якого вважають одним з найперших та найвідоміших хакерів у Світі – також відсидів 5 років у тюрмі (1995-2000), після 23 звинувачень у шахрайстві. І лише потім став легендою, заснував власну кібер-компанію та отримував прибутки від фільмів та книг, заснованих на його злочинній діяльності.
Ну тобто дещо романтизована Голлівудом професія «хакер» («зломщик» у прямому перекладі) – насправді має мало романтичного. Крадіжка чужого завжди залишається крадіжкою. І тому навіть у кіберсвіті до кардерів, скімерів та дроповодів ставляться зневажливо, як до найнижчої касти. Бо вони по суті своєї діяльності – щури. З відповідною ідеологією «хапай все, що бачиш» та набором людських якостей рівня кишенькового злодія.
А з такими «талантами» кіберзлодії мало чим можуть бути корисними легальному бізнесу у кіберзахисті мережевих ресурсів компанії.
Тому насправді кіберзлочинців майже ніколи не беруть на легальну роботу.
Це здебільшого міф. Існують кілька винятків, але вони загалом про напівлегальну діяльність спецслужб, розвідок чи мутні політичні інтриги.
А «взяти кіберзлочинця на роботу» – це красива казочка для людей, далеких від професії «кібербезпека».