Руководитель консалтинговой компании по кибербезопасности HackControl Никита Кныш делится ценами на услуги хакеров, рассказывает, какие уязвимости встречаются чаще всего и чем они грозят бизнесу.

Мир уже давно привык к новомодным профессиям, начиная от «инфлюенсеров» и «фасилитаторов», заканчивая «блокчейн-евангелистами» и «бьюти-блогерами». Хакер – это не профессия, как и все то, что я перечислил выше, хакер – это народное название специалиста в области информационной безопасности.

Где искать таких специалистов, как они работают и чем именно занимаются – я расскажу в этой статье. Хакеры бывают «белые» или «черные», и речь тут не о цвете кожи, а о принципах, которыми они руководствуются. Я бы разделил их на этичных хакеров и киберпреступников.

Услуги белых хакеров

Белые или этичные хакеры, к которым относится и моя компания HackControl, оказывают услуги по повышению уровня защищенности информационных систем с ведома и по согласованию с заказчиком в рамках договорных отношений или согласно правилам программы вознаграждения за найденные уязвимости. Сложно?

Давайте проще: белые хакеры взламывают вас и ваши ресурсы (сайт, почту, сеть, систему управления проектами и так далее) с вашего разрешения и за деньги и показывают, как они это сделали, чтобы вы исправили этот баг и вас больше никто не взломал.

Белые хакеры представлены такими компаниями, как ProtectMaster, Cisco Talos, Fireeye и рядом других, у которых можно заказать услуги тестирования на проникновение (далее – пентест), аудит кода, анализ сети, социальную инженерию и так далее.

Либо это могут быть хакеры-одиночки, которых можно найти на сайтах баг-баунти платформ, таких как hackerone.com, bugcrowd.com и других. Они, как правило, работают для поиска критичных уязвимостей с ценой от $3-5 тыс., поэтому браться за пентест им может быть совершенно не с руки. Как правило, такие специалисты имеют сертификаты Certified Ethical Hacker, Offensive Security Certified Professional и другие подобные.

Услуги черных хакеров

Черные хакеры или киберпреступники – это не только те, кто промышляет взломом на заказ. К черным хакерам относятся и те, кто взламывают программное обеспечение, распространяют вредоносное ПО (вирусы, трояны, черви и прочее) или занимаются шантажом и грабежом в киберпространстве.

Хакеры, начиная от похитителей кредитных карт и заканчивая разработчиками «кряков» (программ-взломщиков – прим. ред.) для Microsoft Office являются киберпреступниками, так как подобная деятельность находится вне закона. Они обитают на закрытых или полузакрытых форумах, начиная от Antichat и Exloit.im, заканчивая wwh, darkmoney, коровка.cc и другими. Очень часто такие «специалисты» не заходят во «взломе» дальше получения предоплаты и далее – пишите им долго и упорно – вас внимательно читают.

Сколько стоят услуги хакера?

Белые хакеры предложат вам тестирование на проникновение, или red teaming – взлом ваших систем, – начиная от $3 тыс. и заканчивая миллионами долларов, в зависимости от сложности задачи. Спектр их услуг и цена сильно варьируются по рынку и зависят от компетенции специалистов и размера компании.

Тестирование веб-приложения

Пентест или тестирование на проникновение стоит от $3 тыс. до $20 тыс, в зависимости от сложности сайта или приложения.

Тестирование мобильного приложения

В зависимости от платформы, IOS или Android – от $5 тыс. до $30 тыс., также зависит от сложности.

Социотехническое тестирование

Проверка на внимательность сотрудников (фишинг) – от $1000 до $30 тыс., в зависимости от количества векторов атак и цели.

Аудит смарт-контрактов

Стоимость проверки безопасности для децентрализованных приложений может варьироваться от $5 тыс. до $25 тыс. долларов, в зависимости от количества строк, сложности контракта, функционала и других факторов.

Аудит сети

Wi-fi и локальную сеть проверить на безопасность можно за $3-50 тыс., в зависимости от размера сети.

Защита от DDoS атак

Щит от самого популярного типа атак на отказ в обслуживании обойдется от $100 до $2-3 тыс. в месяц, в зависимости от сложности инфраструктуры.

Поиск закладных устройств, жучков и прослушки

Стоит от $10 до $20 за квадратный метр по полу, стоимость варьируется в зависимости от высоты потолков и заставленности помещения мебелью и декором.

Проверка безопасности компании

Как правило, включает в себя ряд вышеописанных услуг с дополнительной проверкой и настройкой компьютеров и средств коммуникаций персонала. Стартуют такие услуги от $5 тыс., далее – в зависимости от размера компании и паранойи заказчика.

Цены на услуги хакеров на черном рынке

На черном рынке цены на удивление ниже.

Взлом почтового ящика

Взломать ваш почтовый ящик на ukr.net, yandex, mail.ru или Google возьмутся за сумму от $100 до $1500. Для таких целей хакеры, как правило, используют фишинг или перевыпускают привязанную SIM-карту.

Взлом сайта

Взлом корпоративного сайта с целью конкурентной разведки или хищение данных из чужой CRM обойдутся вам от $1500 до $20 тыс.

Услуги вроде «взлом Wi-Fi» или любой другой локальный взлом на черном рынке не закажешь, так как хакеры не хотят раскрывать свое местоположение и не приедут «ломать Wi-Fi» в другой город. Любые вышеуказанные действия черных хакеров незаконны и подпадают под 16 раздел Уголовного кодекса Украины. Также они могут нарушать статьи 361 ККУ, 361-1 ККУ , 190 ч. 3 ККУ и целый ряд других статей Уголовного кодекса, в зависимости от используемых форм и методов.

Взлом или прослушка телефона на заказ

Довольно популярной на черном рынке услугой является взлом или прослушка телефона. Ревнивцы и ревнивицы, а также люди с манией преследования то и дело хотят взломать, прослушать, читать переговоры и переписки с чужих телефонов. Как правило, этим занимаются люди в отношениях из-за недоверия к партнеру.

Маниакальное желание читать или перехватывать SMS-переписку, переписку в WhatsApp, Telegram, Viber и других мессенджерах возникает в головах многих людей.

Купить «программу прослушки» на Android телефон можно от $30 в месяц до астрономических $500 за 30 дней. С iPhone ситуация сложнее: дело в том, что без Jailbreak (взлом прошивки – прим. ред.), не будучи спецслужбой или правоохранительным органом, iPhone прослушать крайне сложно, так как IOS не предусматривает запись звонков и довольно неплохо изолирует приложения друг от друга.

Цены тут на 20-30% выше, и для записи разговоров потребуется Jailbreak, который может быть относительно легко обнаружен. Любой вышеуказанный софт является незаконным, и его применение может быть трактовано как действия, имеющие признаки преступления по статьям 361-1 , 359 ККУ , 163 ККУ или целому ряду других статей Уголовного кодекса.

К слову, в Украине даже часы с камерой и диктофоном или брелок со скрытым диктофоном являются специальными техническими средствами негласного получения информации, за использование которых можно получить вполне реальный срок до семи лет тюрьмы.

Какие уязвимости находят чаще всего?

Я бы выделил три основные:

1. Внедрение вредоносного кода.
2. Некорректная аутентификация и управление сессией.
3. Межсайтовый скриптинг.

Давайте разберем более подробно каждую из них и связанные с этим бизнес-риски, так как часто менеджмент и собственники компании не понимают, чем грозит та или иная уязвимость.

Внедрение вредоносного кода

Данные уязвимости позволяют сделать запись в базу данных сайта, сервиса или приложения. Чем это грозит? К примеру, если бы хакер нашел такую уязвимость на сайте, то он смог бы без особого труда:

• менять любые новости и разделы на сайте, дописывая или удаляя часть данных;
• добавлять или удалять администраторов, редакторов, модераторов;
• разместить свою рекламу, ссылки, текст, код, скрипт;
• продавать ссылки с чужого сайта.

Некорректная аутентификация и управление сессией

Довольно часто встречающаяся уязвимость, как правило, вызвана недостаточной продуманностью логики авторизации или дополнительных проверок сессии. Из интересных примеров эксплуатации сразу вспомнилось про одну биржу, на которой из-за неверного менеджмента сессий в сочетании с IDOR-уязвимостью была возможность сбросить пароль от любого аккаунта, подменив email для восстановления.

То есть злоумышленник мог запросить сброс пароля от аккаунта realuser@somemail.com на почтовик anyemail@somemail.com. Представляете последствия сброса пароля любого пользователя биржи, когда новый пароль придет на email злоумышленника? Также из-за некорректной аутентификации и управления сессией потенциально можно:

• зайти на сайт без логина и пароля (Authentication Bypass);
• зайти на сайт под чужими данными, перехваченными заранее;
• перехватить чужую сессию и выдавать себя за другого пользователя.

Межсайтовый скриптинг

Специфика подобных атак заключается в том, что вредоносный код может использовать авторизацию пользователя в веб-системе для получения к ней расширенного доступа или для получения авторизационных данных пользователя. Вредоносный код может быть вставлен в страницу или через уязвимость в веб-сервере, или через уязвимость на компьютере пользователя.

Тут идея состоит в том, чтобы заставить атакуемый сайт передавать данные на сайт злоумышленника. Что можно сделать с XSS-уязвимостями?

• можно украсть сессию пользователя и зайти под его данными, если это позволяет система;
• можно передавать любые вводимые пользователем данные на сайт злоумышленника (логин, пароль, сообщение, текст);
• можно подменить оригинальный контент сайта и вывести пользователю другую информацию.

Естественно, я описал базовые и чаще всего встречающиеся сценарии использования подобных уязвимостей. Варианты их эксплуатации зависят только от фантазии хакера и уровня его знаний.

Выводы

Приведенный выше список услуг не является исчерпывающим и может варьироваться в зависимости от потребностей клиента. Важно понимать следующие вещи:

1. Ни одна уважающая себя компания не будет оказывать услуги по взлому третьих лиц без их разрешения и ведома. Простыми словами: никто не будет взламывать сайт, телефон или приложение ваших конкурентов, знакомых, третьих лиц. Тут многие с ухмылкой скажут: «смотря сколько предложить», но это легко парируется вопросом: «а за какую сумму вы готовы отсидеть семь лет в украинской тюрьме?»
2. Большинство «заказов» на черном рынке не заходят дальше предоплаты. Разместив такой «заказ», у вас есть риск не только потерять деньги, но и получить обвинение по уголовной статье.
3. Большая часть клиентов приходят уже после взлома и хотят устранить последствия взлома, расшифровать зашифрованные файлы, восстановить утерянные данные. Это так же глупо, как ставить пожарную сигнализацию уже после пожара. Стоимость расследования о причинах взлома с восстановлением данных, как правило, в два-три раза дороже изначального аудита системы.

Заботьтесь о своей безопасности заранее, нанимайте специалистов с опытом и профильными сертификатами и обходите стороной мошенников.

Источник: MC Today