Чомусь у нашому суспільстві розповсюджена думка, що спійманого на гарячому хакера неодмінно треба брати на роботу.
Насправді у реальному житті це не так працює.
Чомусь якщо ви у себе в хаті спіймаєте крадія – ви не будете його запрошувати охороняти ваше житло. І Міндіча чомусь не запрошують на посаду міністра фінансів.
Якщо людина вирішила використати наявні знання для здійснення злочину – нехай це навіть складні й унікальні знання – вона є лише злочинцем, який вкрав. Вкрав гроші, токени, крипту, цифрову ліцензцію, інтелектуальні права – не принципово. Ключове слово: “вкрав”.
Мільйони людей дотримуються законів (хоча інколи це непросто) – а от злочинець вирішив не виконувати. Саме для таких хитросраких, які клали на інших людей та їхні інтереси – і придумані закони з кодексами. І вони століттями адаптувалися під нові типи злочинів – хоча майже завжди із запізненням.
У попредньому дописі я розказав як 16-річний підліток з Кривого Рогу, знайшовши вразливість у додатку Нової Пошти, – вкрав посилок на 500 тисяч гривень. У коментарях часто писали: мовляв, такого талановитого хакера треба взяти на роботу до НП.
А що б на таку ідею відреагували ті, хто не отримав свою посилку? А для когось там могло бути щось важливе для здоров’я. Або допомога фронту. Або подарунок дитині чи коханій людині.
Нова пошта, скоріш за все, компенсувала заявлену вартість вкрадених посилок. Але чи багато людей вказують справжню ціну посилки, щоб платити трошечки менше? Ну і плюс витрачений час, зіпсований настрій та тисячі матюків на адресу поштового сервісу.
До того ж, з точки зору суто бізнесу брати на роботу дрібного кібер-злодія – така собі ідея. Так, він знайшов одну чи дві вразливості у додатку. Але сучасний додаток – це великий набір (стек) різних технологій, і не тільки у тому, що встановлено у вас у смартфоні. Ще є АРІ та бекенд. І протоколи передачі даних та шифрування. Маршрутизація, задіяння хмар і ще багато іншого. Кожна з технологій має свої недоліки та вразливості, особливо на їхніх “стиках”.
І загалом мова може йти про сотні можливих вразливостей в екосистемі ОДНОГО додатку. А залатати (“пропатчити”) пару вразливостей можна доволі швидко – і тому немає особливого сенсу заради цього брати на постійну роботу додаткову людину. Тупо нерентабельно.
І головне: “вміти шось ламати” досить рідко (та майже ніколи) не означає “вміти будувати”. Вміти кувалдою розламати стіну – не означає вміти її звести.
Так, хакер, який не просто знайшов вразливість, але і зумів знайти спосіб її використати і навіть монетизувати – дійсно має непогане уявлення про хакінг.
Але у дуже обмеженому, вузькому та специфічному секторі.
У сучасних комплексних системах кіберзахисту організації існують десятки можливих “векторів атак”: по вебу, по Wi-Fi, через мережі, через веб-сервери та веб-сервіси, через хмарну інфраструктуру, через постачальників (supply chain), через додатки, месенджери, VPN та віддалений доступ, “стара добра” соціальна інженерія – і цей список дуже довгий насправді.
Нападники ж переважно “прокачуються” у одному-двох напрямках, як правило – “сусідніх”, близьких технологічно.
А от команді безпеки (Blue Team) потрібно закрити УСІ МОЖЛИВІ точки прориву периметру. І це абсолютно інший не тільки напрям діяльності – але інший Mindset, тобто спосіб мислення. Зовсім інше бачення проблем та способів їх вирішення.
У фільмі Catch me if you can (“Спіймай мене якщо зможеш”) героя Леонардо Ді Капріо, який талановито підроблював банківські чеки та мав феноменальну здатність входити у довіру до людей – зрештою беруть на роботу у ФБР.
Але навіть у голівудському кіні він спочатку кілька років відсидів у тюрмі за свої злочини. Лише після цього герой Тома Хенкса умовив начальство взяти хлопця на стажування – на умовах умовно-дострокового звільнення.
І це є основним правилою людської цивілізації “за кожен злочин обов’язково має бути покарання”. Справедливість. Рівність усіх перед законом – про що ми зараз часто говоримо у нашій країні.
І легендарний Кевін Мітник, якого вважають одним з найперших та найвідоміших хакерів у Світі – також відсидів 5 років у тюрмі (1995-2000), після 23 звинувачень у шахрайстві. І лише потім став легендою, заснував власну кібер-компанію та отримував прибутки від фільмів та книг, заснованих на його злочинній діяльності.
Ну тобто дещо романтизована Голівудом професія “хакер” (“зломщик” у прямому перкладі) – насправді має мало романтичного. Крадіжка чужого завжди залишається крадіжкою. І тому навіть у кібер-світі до кардерів, скімерів та дроповодів - ставляться зневажливо, як до найнижчої касти. Бо вони по суті своєї діяльності – щури. З відповідною ідеологією “хапай все що бачиш” та набором людських якостей рівня кишенькового злодія.
А з такими “талантами” кібер-злодії мало чим можуть бути корисними легальному бізнесу у кіберзахисті мережевих ресурсів компанії.
Тому насправді кіберзлочинців майже ніколи не беруть на легальну роботу.
Це здебільшого міф. Існують кілька виключень, але вони здебільшого про напівлегальну діяльність спецслужб, розвідок чи мутні політичні інтриги.
А загалом “взяти кіберзлочинця на роботу” – це красива казочка для людей, далеких від професії “кібербезпека”.
