Той е само на 23 години, студент по "Информатика“ в Пловдивския университет "Паисий Хилендарски“, но вече спокойно може да се нареди сред едни от най-големите имена в бранша. Определя себе си като "етичен хакер“, или казано на IT език – White Hat (Бяла Шапка). Срещали сме ви с него и преди, когато той ни разказа защо киберсигурността е толкова важна за бизнеса. Днес, Ангел Цветков отново е при нас, за да ни разкаже защо "етичното хакерство“ набира все по-голяма популярност, доходоносна дейност ли е и какви умения трябва да притежаваш, за да се превърнеш в хакер на доброто. - Вие определяте себе си като "етичен хакер", какво означава това? Разкажете ни повече за работата на етичния хакер!- Белият хакер е експерт по компютърна сигурност, чиято цел е да не допуска проникване в информационни системи и кражба на данни или други подобни престъпления. Етичните хакери знаят какви оръжия и методи ползват компютърните престъпници, знаят как действат, как атакуват те и затова успяват да им попречат. В България тази работа в последно време започва да става все по-известна, но все още изостава в сравнение с останалата част на Европа. А от своя страна Европа е много по-назад от Съединените щати. Хубавото е, че все повече фирми и организации в България наемат хора на тази позиция, която в наши дни е крайно нужна на големите, и не само, компании. Белите хакери никога не използват уменията си за лоши цели, а винаги за защита на мрежовите системи.Етичният хакер, наричан още "бяла шапка" (White Hat), от друга страна, е компютърен специалист, който прониква в системите, за да тества сигурността им. Т.е. става въпрос за хора, които извършват тестове, търсейки уязвимости на информационните системи в рамките на договорно споразумение и не рядко, работейки за дадена компания също като външни консултанти по сигурността.
- Разбирам, че това е нещо, което започва да набира все по-голяма популярност, освен че е и доста интересно. А доходоносно ли е? - За жалост в България все още това не е официална професия и не може да се каже колко доходоносно е това. Фирмите у нас все още не осъзнават какви могат да бъдат загубите от една хакерска атака, какви заплахи крие тя, затова тепърва тази професия започва да навлиза с високо темпо. В големите компании у нас вече има изградени специализирани звена, които се грижат за сигурността на системите. Много от тях разчитат на тренирани специалисти, за които това е основната дейност. За радост на всички нас, има изградени онлайн платформи, където може да се практикува етичното хакерство, напълно легално. Големи компании обявяват парични награди за намиране на "БЪГ-уязвимост" в тяхната система. Да не говорим, че има компании, които обявяват парични награди от 100 до 100,000$ (USD). Дотук сами можем да си отговорим дали това е доходоносно и къде :)
- Какво представляват тези платформи, какво се изисква, за да започнеш работа с тях? - Платформите са световни и са напълно безплатни за всички, които искат да пробват уменията си с някоя голяма компания. Тук ще открехна вратата само към една, наречена HackerOne. Всеки може безплатно да се регистрира там. Има набор от световноизвестни компании, отворени за всички, както и обявените парични награди към тях за намиране на уязвимост. За да си избереш да тестваш някоя платформа, ти трябва да подпишеш онлайн-договор в който се съгласяваш, че извършените от теб тестове ще останат напълно анонимни, както и при евентуално намерена уязвимост данните, намерени от теб ще останат конфиденциални и ще бъдат предадени непременно на мениджъра на компанията. От тяхна страна пък, те се съгласяват да ти изплатят всичко в рамките на споразумението. Всеки "БЪГ" си има парична стойност, обявена по-рано от тях.
- Вие печелил ли сте от тази платформа и ако да – каква сума, ако не е тайна? - Да, всъщност печеля доста периодично от там, дори последният ми открит БЪГ беше преди 2 седмици, като от Сингапурска компания ми платиха 10,000$ (USD) за намерената уязвимост.
- Вярно ли е, че българските ИТ специалисти са нископлатени у нас? На какво се дължи това? - Всъщност не, не е вярно. Не всички програмисти са на една и съща длъжност. Българските ИТ специалисти са добре платени. Най-добре платени са в държави като САЩ и Канада.
В Европа програмист и адвокат живеят на едно ниво, в България програмистите живеят по-добре и от адвокатите. Има много по-нископлатени програмисти като например в Украйна, Индия и т.н. Не работим евтино. Работим за по-малко пари от американците, но имаме и по-нисък стандарт от тях. В България програмист може да изтегли кредит и да си купи апартамент и кола и знае, че ще го изплати за разлика от Америка, там не е толкова лесно.
- Понеже открехнахме вратата и към другия вид хакерство - Black Hat - ще ни разкажете ли малко повече за него и защо избрахте да сте от страната на добрите? - Ще разкажа накратко. Black Hat рязко се разграничава с нашите идеали. Това е черен тип хакерство, там няма нищо легално и етично. Това е престъпната страна на "хакерството".
За да бъдеш Black Hat, ти трябва да наречеш себе си престъпник. Подобно и на другите престъпления, тук няма нищо различно. Ако ти предложат 50,000 лв, за да убиеш човек? Ще си кажеш - много пари, нали? А ако ти предложат 25,000 лв, за да кажеш, че се готви убийство? Кое би избрал? Готов ли си да наречеш себе си престъпник? Хакерството е въпрос на морал и лоялност. Именно вътрешната настройка и липсата на престъпни наклонности е и нещото, което отличава етичните хакери от противниците им, тъй като наборът от инструменти, на които разчитат двете страни фактически са едни и същи. Етичните хакери са хора с морални ценности, които искат да направят всичко възможно да живеем в един по-сигурен свят.
- А бил ли сте някога Black Hat и дали са ви предлагали такава работа? Не, никога не съм бил Black Hat, освен навремето когато "хаквахме" онлайн игрите, за да бъдем по-силни от другите. И да, предлагали са ми такава работа.
- България се слави с едни от най-добрите кадри в IT областта, не случайно най-добрите ни специалисти са привлечени в чужди компании, особено извън България, където и заплащането на този вид труд е доста високо. Има ли търсене на "етични хакери" на българския трудов пазар? Българските компании оценяват ли стойността, която може да добави един "етичен хакер" към продукта им, или това все още не е толкова разпространено в България? - Мнозинството от хора в България според мен не осъзнават важността от информационна сигурност. Може би защото тук не се налага работа с лични данни в толкова голяма степен. Всичко е в ръцете на хората, които определят парите за такава защита, защото те трябва да пазят обществото и инфраструктурата на страната. Ако се даде гласност на проблема, хората ще разберат за какво става дума, още повече, че това е голям проблем в световен мащаб. Но без финансиране няма как да има и развитие. Макар че в последно време, както виждате, все повече софтуерни фирми започват да предлагат "сертифициране" по кибер сигурност, както и етично хакерство, именно с тази цел. Надявам се след въвеждането на GDPR регламента повече хора да научат важността от сигурността на личните данни. За жалост българските компании започват да оценяват стойността на един такъв предлаган продукт едва след като стане късно или по-скоро след като станат обект на хакерска атака. В България има само една и единствена фирма за момента, която се занимава с такъв тип дейност и предлага такава услуга, а именно компанията TAD GROUP.
- Какво бихте посъветвал всички, които искат да се занимават с етично хакерство? - Много хора, получили повече или по-малко задълбочени знания, изграждат убеденост в способностите си, граничеща със самозабравяне. В курсовете, които се предлагат, не се научават кой знае колко много нови неща. Освен техническите инструменти и подходи, в тези курсове се преподават и неща като подреденост на действията, информираност, управление на конфликти, рапортни линии и т.н., които човек, вглъбен в своите знания и самоувереност, пропуска. Той става прекалено убеден в способностите си и много лесно може да бъде привлечен към другата страна. Обученията няма да ви научат как да станете супер хакер. Това е занаят, който се учи в реални условия. Да бъдеш "етичен хакер" е наука и ценност, която се учи с години. Съветвам хората, които по някаква причина избират този вид дейност, винаги да си поставят цели, това е наука която се изучава цял живот. Подобно на програмист, не се става за ден, два, година,.. Човек се учи цял живот.
Обикновено човек се самообучава, но оттам нататък вече е въпрос на морал, лоялност и избор. Искам да кажа на всички, тръгнали в началото по този дълъг път, много внимателно помислете над това какъв искате да бъдете, дали искате да използвате уменията си за нещо ново, добро или ще сложите марката "престъпник" на челото си. Бъдете Етични!