"Белые" хакеры, кто вы?

​Платформа HackerOne, объединяющая более 160 тысяч специалистов в области информационной безопасности, опубликовала исследование 2018 Hacker Report, в котором приняли участие около 1700 зарегистрированных в организации "белых" или дружественных хакеров, специализирующихся на поиске уязвимостей с целью их устранения.

Опрос проливает свет на некоторые интересные факты из жизни так называемых баг-хантеров или охотников за "багами" – ИБ-специалистов, которые участвуют в мероприятиях Bug Bounty и за деньги находят слабые места в программном обеспечении и бреши в киберзащите сайтов.

Исследование показало, что почти 58 процентов хакеров – самоучки. Менее пяти процентов опрошенных заявили, что получили хакерские навыки в учебной аудитории, хотя половина респондентов изучали информатику в вузе на уровне бакалавриата или магистратуры.

Более трети зарегистрированных в HackerOne сообщили, что хакерская деятельность для них – хобби, которым они занимаются в свободное от основной работы время. В то же время примерно 12 процентов опрошенных зарабатывают благодаря Bug Bounty от 20 тысяч долларов в год и больше, а три процента баг-хантеров сказали, что подобные мероприятия приносят им годовой доход свыше 100 тысяч долларов. Причем это не рекорд - самые высокооплачиваемые (таковых среди опрошенных оказалось 1,1%) получают более 350 тысяч долларов в год.

Примерно для четверти хакеров премии в рамках Bug Bounty составляют как минимум 50% от их годового заработка, а почти для 14% - это основной источник доходов.

Также в рамках исследования были сопоставлены премии баг-хантеров и средние зарплаты инженеров-программистов из одних и тех же стран. Сравнение показало, что лучшие индийские хакеры - самая многочисленная подгруппа по числу участников HackerOne - получают в 16 раз больше среднего разработчика софта в Индии. Впечатляющим разрыв в заработках оказался также в Аргентине -  в 15,6 раз, Египте - в 8,1 раз, Гонконге - в 7,6 раз, Филиппинах - в 5,4 раз и Латвии - в 5,2 раза.

В целом же из опроса выяснилось, что ведущие "белые" хакеры HackerOne получают в 2,7 раза больше штатных программистов. В развитых странах, таких как США, Канада и Германия, разница в годовой зарплате у разработчиков ПО и охотников за ИБ-уязвимостями не столь внушительная - примерно двукратная. В самом конце списка - Израиль и Хорватия, где выплаты в рамках Bug Bounty превышают средние зарплаты программистов в 1,5 и 1,6 раза.

Интересно, что россияне оказались в тройке лидеров по числу участников HackerOne, наряду с Индией и США, хотя доля РФ и существенно меньше - около 6% против 23% и 20% у индусов и американцев. Также в топ-5 - Пакистан и Великобритания - от каждой из этих стран на платформе зарегистрировано по 4% хакеров.

Из статистики HackerOne следует, что больше всего баг-хантерам платят США: в 2017 году американские компании перечислили борцам с уязвимостями почти 16 миллионов долларов. С существенным отставанием на втором месте Канада (более 1,2 млн долларов), за которой следует Германия (458 тыс. долларов). Россия - на четвертой строке с суммой выплат за 2017 год в 308 тысяч долларов.

Учитывая численное преимущество, неудивительно, что больше всего денег по результатам проведенных HackerOne мероприятий в 2017 году собрали американцы и индусы - свыше 4 и 3 миллионов долларов соответственно. Практически одинаковые результаты у австралийских и русских баг-хантеров - около 1,3 миллиона долларов. Кроме того, в десятку лучших вошли Великобритания, Гонконг, Швеция, Германия, Аргентина и Пакистан: за найденные уязвимости хакеры из этих стран получили премии на общую сумму от 916 до 647 тысяч долларов.

Несмотря на внушительные суммы, которые фигурируют в исследовании, опрос показал, что деньги для хакеров не самый главный мотиватор, хотя и существенный. На вопрос, "Почему вы занимаетесь компьютерными взломами?" 14,7 процента респондентов ответили, что ради возможности научиться новому и усовершенствовать свою технику. Также более 14% хакеров признались, что делают это просто ради развлечения и спортивного азарта. Финансовый стимул оказался только на четвертом месте. Среди других лидирующих причин - продвинуться по карьере, сделать добро, помочь и защитить других.

Своей самой "любимой" целью для взлома подавляющее большинство хакеров назвали веб-сайты - более 70 процентов оттачивают свои умения именно на них. Среди популярных - взлом API (программный интерфейс приложения, интерфейс прикладного программирования), продуктов, которыми хакеры пользуются сами, Android-приложений, различных операционных систем и IoT-устройств.