Хакеры: кто они?
Про хакеров ходят разные легенды. Часто их способности обожествляют, приписывая всевозможные небылицы. Некоторые называют их «вселенским злом», обвиняя в непредсказуемости совершаемых ими действий, приводящих иногда к разрушениям.
В этой статье мы попробуем взглянуть на хакеров изнутри, как их видят в самом хакерском сообществе. Постараемся понять, кто же они такие на самом деле.
Вероятно, наша картинка не будет полной, потому что в хакерской среде в почете индивидуализм. Каждый хакер уникален. Тем не менее попробуем разглядеть общие черты, узнать, что их интересует, к чему они стремятся. Заодно постараемся дать ответ, будут ли хакеры востребованы в дальнейшем.
Хакеры — это сорванцы или одержимые люди?
Бытует мнение, что хакеры — это непременно малолетние сорванцы, которые узнали несколько приемов, как взломать несколько программных систем, и демонстрируют свои знания, не задумываясь о последствиях.
Но есть также мнение, что они — «матерые волки», которые атакуют доверчивых пользователей и уводят их деньги с банковских счетов. Это мнение подогревается многочисленными голливудскими фильмами, которым подпевают политики и часть журналистов, гонясь за сенсацией. Так они развешивают ярлыки, не вникая в суть происходящего.
Но сами хакеры предпочитают относить себя к исследователям, которые любят разгадывать головоломки и решать интеллектуальные задачи, требующие технических знаний и навыков. Они настаивают на своем стремлении проявлять смекалку и наблюдательность, учатся добиваться поставленных задач при существующих ограничениях.
Многие хакеры осознают, что их деятельность касается пограничных областей, переступая которые можно нарушить закон. Но большинство хакеров не стремятся к нарушению существующих правил. Они стараются оставаться в «белой зоне», поэтому называют себя «белыми хакерами». Свое занятие они считают увлечением или испытанием новой техники.
Такие оценки получены из результатов исследования, проведенного в 2020 году ведущим хакерским сообществом HackerOne. По их данным, увлеченность хакерством действительно характерна для молодых людей, причем независимо от пола. Поэтому возраст большинства хакеров не превышает 35 лет.
Самая многочисленная группа среди них — это лица возрастной категории «от 18 до 24 лет» — на них приходится 42% участников платформы HackerOne. Активно заниматься хакингом многие начинают уже в возрасте 13–17 лет. Но самый продуктивный, в том числе по объему заработка, период хакерской активности приходится на 25–34 лет.
Возрастная градация хакерского сообщества (HackerOne)
Интересно отметить, что по мере дальнейшего взросления доля хакеров заметно снижается. Хакеров за 50 лет можно уже пересчитать по пальцам. HackerOne оценивает их долю в размере «около 0,5%».
Многие связывают это с «потерей творческой активности», «снижением либидо», но данная оценка может оказаться и ложной. Дело в том, что, как показывают результаты баунти-программ, позволяющих белым хакерам легально зарабатывать подчас очень большие деньги на своих знаниях и умениях, заработок делится очень неравномерно между хакерами. Среди них есть многочисленные вознаграждения небольшого размера, которые приходятся на «проворных», молодых хакеров. Но самые крупные выигрыши принадлежат немногочисленной группе очень опытных и хорошо знающих предмет хакеров.
По неофициальным оценкам, в каждой стране их насчитывается не больше нескольких десятков как максимум. Поэтому возраст хакерству не помеха, считают сами хакеры. Все решает мастерство.
Что привлекает людей заниматься хакингом?
Как показывают результаты исследования, для большинства участников хакинг — это вид творчества в свободное от работы время. Хакинг существует для них прежде всего как хобби.
С возрастом снижение количества активных хакеров также отражает то, что их интересы просто меняются. Почему так происходит? Ответ лежит на поверхности: хакинг отвлекает много времени и требует постоянного изучения новых технологий и продуктов, активного участия в жизни хакерского сообщества, где опытные хакеры делятся знаниями с остальными — ради интереса и признания. Кроме того, хакинг — это еще и постоянное, изматывающее соперничество на скорость выявления уязвимостей. Немногие выдерживают такие «спринтерские» условия. По сути, хакинг — «профессиональный спорт», с таким же трудностями и тревогами.
Ради чего занимаются хакингом (HackerOne)
Почему так много молодых среди хакеров?
Ответ на этот вопрос раскрыт в исследованиях. По данным HackerOne, среди хакеров много студентов, занимающихся изучением дисциплин в ИТ и ИБ. Хакерство помогает им лучше разобраться в предмете, а также заработать репутацию, которая ценится на рынке. Если одни участвуют в конкурсах на профессиональное мастерство и получают там признание, то хакеры-студенты придерживаются аналогичных целей. Высокий рейтинг в байнти-конкурсах работает подчас даже лучше, чем диплом престижного вуза при приеме на работу. Это отмечают сами хакеры.
Третья существенная группа — те, для кого хакинг — содержание их профессиональной деятельности. Неужели это законно, спросят многие. Как ни странно, да. Это связано с новым трендом в развитии концепции безопасности, который наблюдается в различных странах.
Если до недавнего времени законным считалась концепция безопасности, связанная с реализацией только оборонительной тактики, защиты предприятия от вредоносного воздействия извне или против мошенничества, то в последние годы отдельные страны стали непублично переходить к новой, наступательной концепции безопасности. Она не связана с прямым разрушением чужих систем. Но, согласно новой концепции, для сдерживания кибератак принимается допустимым изучать и контролировать программную и аппаратную инфраструктуру конкурирующих или враждебных компаний.
Следующая группа, привлекающая людей заниматься хакингом и оцениваемая в 18–20% от общего числа хакеров, — это вид самозанятости. Кто они? В мире существует немало стран, где из-за низкой деловой активности и невысоких зарплат талантливые люди ищут заработок через хакинг. По сути дела это своеобразная форма аутсорсинга.
Интересно также отметить, что 6%, по данным HackerOne, занимаются хакингом на пенсии. «Любви все возрасты покорны!»
Участие в баунти-программах
Самой яркой страницей хакерского движения являются баунти-программы. Суть их состоит в том, что различные компании приходят на ту или иную хакерскую площадку и заключают договор, согласно которому они обещают выплатить вознаграждения за нахождение определенных уязвимостей.
Если интерес компаний очевиден, то зачем хакеры проходят и участвуют в баунти-проектах, не имея гарантии получения денежной компенсации за потраченное время и силы?
Как показывает практика, они соревнуются между собой не только в знаниях, но и в умении быстро отыскивать необходимую информацию в сети и тиражировать свои достижения.
Исследования подтверждают, что большинство хакеров участвуют в баунти-программах ради получения новых навыков, накопления опыта, практического изучения программных систем. Необязательно эти знания связаны с их непосредственной занятостью. Как рассказывают хакеры в кулуарах тусовок, многие занимаются поиском ошибок, например, ради собственного благополучия. Это относится, в частности, к поиску уязвимостей в финансовых системах, в работе криптобирж и т. д. Хакеры ищут независимые подтверждения надежности тех платформ, где сами хранят собственные средства.
По данным HackerOne, 68% опрошенных хакеров заявили, что участвуют в баунти-программах «ради интереса» (to be challenged). Конечно, многих привлекает и получение вознаграждений. Поэтому вариант «ради денег» выбрали 53% опрошенных. Столько же (51%) участвуют ради глубокого изучения предметной области и технологий.
Причины участия хакеров в баунти-проектах (HackerOne)
Мы уже отмечали, что хакеры считают себя исследователями, поэтому участие «ради удовольствия» (to have fun) отметили 49%. Но велико и число тех, кто ищет новую работу — 44%.
«Быть защищенным» указали 29% опрошенных, отметив свое участие поиском независимых решений и защиты инвестиций.
Примечателен выбор «ради торжества добра в мире» (to do good in the world) — на их долю пришлось 27%, а также «ради помощи другим» (to help others) — 25%. Для кого-то может показаться неожиданным, но многие хакеры обменивают предлагаемое им денежное вознаграждение и отдают его на благотворительность. Это повышение кармы становится все более значимым для хакерского сообщества.
Хакеры и будущее
Развитие ИИ пока практически не затронуло хакерского движения. Более того, принято считать, что продолжающаяся автоматизация систем безопасности не может заменить творческий подход, который способен продемонстрировать только человек.
Фактически 92% этических хакеров уверены, что только люди способны найти уязвимости, не подвластные программным сканерам. Это привлекает хакеров заниматься своим любимым делом, поскольку они уверены, что идут в ногу со временем.
Опубликовано 24.10.2023