Программирование • 27 января 2025 • 5 мин чтения

Профессия «белого хакера»: как им стать и какие ещё бывают хакеры

Рассказываем, чем занимается «белый хакер», как им стать и какие карьерные и финансовые перспективы есть у таких специалистов.

Кто такой «белый хакер»?

По данным исследования компании Positive Technologies, в III квартале 2024 года количество кибератак в мире увеличилось на 15% по сравнению с III кварталом 2023 года. В широком смысле все хакеры вне зависимости от их «цветовой дифференциации», в том числе и «белые», занимаются взломами.

При этом важно понимать, что хакерство — это очень широкое понятие, которое не ограничивается взломами исключительно веб-приложений и сервисов, о которых говорят чаще всего. В современном мире взламывают сотовые сети, радиоканалы, умные дома и физические объекты, например ноутбуки, банкоматы и даже электрокары.

Белым хакером называют специалиста, который использует свои навыки и знания для защиты систем от различных угроз. Белые хакеры работают легально и с разрешения владельцев систем: проводят тесты на проникновение, находят и анализируют уязвимости и помогают налаживать и поддерживать безопасность информационной инфраструктуры. Определение «белый» подчёркивает чистоту намерений и добропорядочность.

Компания Positive Technologies организует специальное мероприятие для хакеров — Positive Hack Days. В прошлые годы одним из конкурсов как раз был взлом электрокара. В 2025 году Positive Hack Days пройдут 22–24 мая в Москве в формате международного киберфестиваля.

В противовес белым существуют чёрные хакеры, то есть те специалисты, которые действуют без разрешения, исключительно ради своего профита и наносят урон инфраструктуре компаний или отдельным людям.

Серые хакеры — это специалисты, которые работают между полюсами добра и зла. Они могут попеременно выступать в роли то чёрных, то белых хакеров. Например, это может быть чёрный хакер, который взламывает систему ради некой идеи, а не банального профита. Или белый хакер, который изначально не имеет намерения навредить, но, устав в течение длительного времени официальным путём добиваться закрытия какой-то уязвимости в системе компании, выкладывает её в общий доступ. Но не будем дальше углубляться в этические коллизии.

В 2000-е годы хакерами, как правило, становились хорошие разработчики и администраторы баз данных. В те времена нужные навыки невозможно было получить в университете, приходилось заниматься самообразованием. Сейчас ситуация проще: высшие учебные заведения включают в свои программы необходимые хакерам инструменты и модули «Основы информационной безопасности».

Но университетам по-прежнему тяжело успевать за актуальностью знаний, поэтому на выручку приходят онлайн-курсы продолжительностью несколько месяцев. Учебный процесс объединяет теорию и практику, а в финале слушатели получают не только диплом о профессиональной переподготовке, но и портфолио из нескольких проектов.

Научиться взламывать веб-приложения и освоить востребованную профессию помогает шестимесячный курс «Специалист по информационной безопасности: веб-пентест». Он подойдёт для специалистов с минимальным опытом: студентов техвузов, начинающих пентестеров, системных администраторов и автоматизаторов тестирования. Пройдите бесплатный тест, чтобы понять, достаточно ли имеющихся знаний для прохождения курса.

Навыки и знания белого хакера

Навыки и знания белого хакера во многом зависят от сферы, в которой он работает.

У программистов и девопсов есть огромное количество специализаций, а в целом в информационной безопасности больше 30 различных направлений. Белый хакер должен быть глубоко погружён в свою область — это значит, что и специализаций у них так же много. Например, может быть белый хакер, который специализируется на умных домах, на сотовых сетях или на веб-сервисах, написанных по определённой технологии.

Перечислим минимум, который необходим белым хакерам вне зависимости от специализации:

● Основы администрирования Windows и Linux.
● Владение инструментами для пентестинга и проверки уязвимостей — Wireshark, Metasploit и др.
● Работа с СУБД — системами управления базами данных.
● Сетевое администрирование. Включает понимание принципов работы сетей, включая особенности сетевых протоколов передачи данных, конфигурацию маршрутизаторов и коммутаторов, а также безопасную настройку сетевых соединений.
● Знание языков программирования, например Python, Java, C++ и др. Чтобы понимать, как функционируют системы и программы, и уметь писать собственные скрипты.
● Опыт в разработке и девопс будет плюсом.
● Знание и понимание правовых аспектов. Белые хакеры должны знать действующие законы в области кибербезопасности.

Евгений Бондаренко, старший разработчик, Яндекс Лавка
На самом деле, чтобы стать хакером, человек должен быть очень, очень любопытен. Ему должно быть интересно, как всё на самом деле устроено и как всё работает. Также для хакера важны широкий кругозор и достаточно глубокие познания как в разработке, так и в администрировании.

Чем занимается этичный хакер?

Ответ на этот вопрос прост: с ведома и согласия компании пытается взломать некую систему и найти в ней уязвимости. Для этого он в первую очередь проводит тестирование на проникновение. Но часто методы взлома также заранее определены и согласованы, то есть, условно говоря, компания и хакер заранее договариваются: «Ты можешь попробовать нас взломать, но только так-то и так-то».

Обычно так устроено взаимодействие в рамках программ Bug Bounty: компания выплачивает вознаграждение сторонним специалистам за поиск и обнаружение уязвимостей в системе безопасности.

Источник: gosuslugi

Как правило, сумма вознаграждения зависит от критичности найденной уязвимости. В программе Bug Bounty Минцифры низкие оцениваются до 30 тыс. рублей, высокие — до 300 тыс. рублей, критические — до 1 млн рублей. Источник: gosuslugi

Также белые хакеры создают отчёты о найденных уязвимостях и готовят рекомендации по их устранению. Работающие по трудовому договору могут проводить аудит систем и обучать других сотрудников компании принципам информационной безопасности.

Обязанности специалистов по информационной безопасности и белых хакеров часто совпадают. Источник: hh.ru

Сколько зарабатывают белые хакеры

Зарплата белых хакеров зависит от того, к какой категории они относятся и какими методами предпочитают зарабатывать.

Фрилансеры, которые зарабатывают на грантах. Такие специалисты нигде систематически не работают, они не устроены официально, это фрилансеры, которые зарабатывают исключительно на различных программах Bug Bounty.

Кажется, что это прибыльная ниша, но огромные премии скорее единичные случаи, и нужно учитывать, сколько времени специалист потратил, чтобы получить награду. Миллион за критическую уязвимость, на поиск которой ушло 6–8 месяцев, вряд ли можно считать постоянным и стабильным заработком.

Точно определить, сколько в среднем зарабатывают такие специалисты, не представляется возможным.

Классические инженеры по информационной безопасности. Занимаются установкой антивирусов, следят за использование флешек в офисе и организуют обучение персонала по вопросам кибербезопасности.

По данным сервиса «Работа.ру», средняя зарплата таких специалистов составляет 57 тыс. рублей, максимальная — 183 тыс. рублей.

Высококлассные хакеры или пентестеры, знающие и опытные специалисты по информационной безопасности. Их могут себе позволить в основном только крупные компании, которые занимаются в числе прочего аудитом систем безопасности.

Зарплата таких специалистов примерно близка к уровню разработчиков-сеньоров: в зависимости от региона и компании это в среднем 300–400 тыс. рублей.

Источник: hh.ru

Разброс зарплат в вакансиях действительно большой: даже новичок без опыта может претендовать на сумму в 120 тыс. рублей. Чем больше опыт, тем выше доход. Источник: hh.ru

Евгений Бондаренко

Достаточно ввести в поисковике «название компании Bug Bounty», чтобы посмотреть, есть ли у них такая программа и каковы детальные условия. Из крупных российских компаний они есть у Яндекса, VK и «Госуслуг». На платформе BI.ZONE Bug Bounty размещают программы Ozon, «СберМаркет», Т-Банк, RuStore, «СберИнвестиции» и другие российские компании.

Список актуальных зарубежных программ можно посмотреть, например, на сайте csoonline или на платформе HackerOne.

Хакер может выбрать интересную ему программу с подходящим вознаграждением, посмотреть подробные условия и, если его всё устраивает и есть соответствующий задаче скил и опыт, приступить к проекту. Он будет заниматься тем, что ему интересно, нарабатывать опыт и, возможно, в результате получит крупное вознаграждение.

Карьерные возможности и перспективы

Белый хакер — это в первую очередь классный разработчик и девопс. Проще всего такому специалисту перейти в эти смежные области. Другой путь — продвигаться по карьерному треку СИБА, то есть специализированных отделов информационной безопасности. Они есть в крупных компаниях, и там действительно требуются высококвалифицированные сотрудники. Но чтобы попасть в такую компанию и расти в ней, потребуются опыт и портфолио.

В направлении информационной безопасности сильная гибкость в плане горизонтальной карьеры, а специалисты часто переходят из одной дисциплины в другую. Вертикальный рост тоже есть: можно начать карьеру как джуниор-специалист по веб-пентесту, расти по грейдам, а после стать руководителем и возглавить команду.

Совет эксперта

Евгений Бондаренко

В целом разработка и хакинг — это области высокой синергии. Чем более классный ты разработчик, тем более ты классный хакер. Чем более ты классный хакер, тем больше проблем ты видишь в том, что ты и твоя команда разрабатываете, и можешь эти проблемы решить.

Развитие в этих двух областях даёт специалисту возможность использовать разные карьерные треки и максимально прокачивать навыки. И это не слишком сильное распыление за счёт того, что эти области очень тесно связаны. Если ты занимаешься хакингом, то ты можешь стать высококлассным, глубоким специалистом в своей области разработки и в администрировании. Занимайтесь смежными областями, это прокачает вас как специалиста.

Второй важный совет: ведите пет-проекты, это позволит вам в реальных условиях пробовать какие-то вещи и искать уязвимости. Если у вас нет собственного проекта, то вместо него можно сделать вклад в опенсорс — есть огромное количество различных проектов, которые нуждаются в том, чтобы кто-то пришёл и проверил их безопасность.

Например, если хакеру нравится язык разработки Node.JS, он может в свободное время искать там уязвимости, это и будет его пет-проект. Таким образом он сможет добавить в портфолио опыт поиска и нахождения уязвимостей в крупном проекте, что будет цениться в случае его найма по СИБ-направлению.

Статью подготовили: