Спецпроекты

ИБ-компания заманивает хакеров на работу, рассылая им зашифрованные жесткие диски с биткоинами и котиками

Безопасность Пользователю Бизнес Кадры Техника

Компания Red Balloon Security из сферы информационной безопасности ищет кандидатов со способностями к взлому. Она рассылает им зашифрованные винчестеры, на которых есть немного биткоинов и несколько фотографий котов, и тех, у кого получается добраться до денег, приглашает на второй этап собеседования. С заданием справляется лишь 1% соискателей.

ИБ-компания нанимает хакеров

ИБ-компания Red Balloon Security из США придумала оригинальный способ тестирования кандидатов на работу. Она отправляет им зашифрованные жесткие диски с биткоинами внутри, и если получателям удается разблокировать их, то они приглашаются на второй этап собеседования.

По информации издания Business Insider, на каждом жестком диске зашифровано 0,1337 биткоина (около $4960 на момент публикации материала). Сумма выбрана не случайно, поскольку «1337» - это цифровое написание сленгового слова «leet», которое в переводе с одноименного интернет-сленга (Leet Speak) означает «elite» (элита – англ.). В 2010 г. сумму в $1337 (98,7 тыс. руб. по курсу ЦБ на 19 января 2021 г.) выплачивала Google в качестве вознаграждения за поиск уязвимостей в своих продуктах (bug bounty).

В случае успеха соискатель получает эти деньги и приглашается на второй этап собеседования в Нью-Йорк, где у Red Ballon Security находится штаб-квартира. Заработанную сумму он может потратить на билет.

Как это работает

Идея теста принадлежит основателю Red Ballon Security – уроженцу Китая Анг Цую (Ang Cui). По его словам, он позволяет выявлять соискателей, обладающих навыками и энтузиазмом, соответствующими требованиям к работе.

Посылка от Red Balloon Security

В коробке, которую получают желающие работать в Red Ballon Security, действительно лежит 3,5-дюймовый жесткий диск, однако в 2021 г. далеко не у всех есть системные блоки для подключения накопителя в таком форм-факторе. Для решения вопроса использования HDD на любых ПК отправитель кладет в коробку еще и специальный USB-адаптер, а вместе с ним – упаковку конфет Nerds («Ботаники», – англ.).

Также коробка содержит письмо-инструкцию, раскрывающую всю суть теста. Red Balloon Security не создает десятки кошельков с 0,1337 биткоина на каждом – кошелек всего один, а кандидатов несколько, и тот, кто первый взломает жесткий диск с ключом к этому кошельку, тот и победит. На винчестере могут находиться и другие файлы, в том числе фотографии котиков, которые, как сказано в письме, ключа к решению задачи не содержат.

redball602.jpg
Инструкция к тесту

На взлом жесткого диска у каждого соискателя есть всего семь дней с момента получения посылки. В письме прямо сказано, что для взлома, вероятно, придется воспользоваться не только программными, но и аппаратными средствами, то есть, буквально, паяльником (You might want to do some soldering).

Для чего нужен такой тест

Red Balloon Security разработала свой неортодоксальный хакерский тест, чтобы заинтересовать потенциальных соискателей и попутно найти людей с необходимыми навыками для работы в компании, рассказал Business Insider Анг Цуй. «Мы небольшая компания, мы ищем очень узкого специалиста по безопасности, и у нас нет огромного количества энергии, которую можно тратить на просмотр каждого резюме», – отметил он.

Red Balloon Security, которую Анг Цуй основал в 2011 г., специализируется на безопасности Интернета вещей, также известной как безопасность встроенных систем. Фирма специализируется на защите от хакеров, пытающихся взломать устройства, подключенные к Интернету – от обычных принтеров и камер видеонаблюдения до динамиков и детских кроваток на базе Amazon Alexa.

Анг Цуй, СЕО Red Balloon Security

Из-за своей узкой направленности фирма сталкивается с дилеммой набора персонала, типичной для кибербезопасности: ее область специализации включает в себя совершенно новые технологии, поэтому не существует единой системы образования или карьеры, обеспечивающей отдельный резерв талантов. Цуй сказал, что технический тест предназначен для отбора людей, обладающих хакерским ноу-хау, которые могут научиться решать проблему, с которой они, вероятно, никогда раньше не сталкивались. «Мы – одна из немногих компаний в мире, которые этим занимаются, помимо различных спецслужб. Это не то, чему учат в школах», – подытожил глава Red Balloon Security.

Эффективность теста

Анг Цуй уточнил, что рассылает жесткие диски практически всем желающим работать в его компании. Но, по его словам, лишь 1% из них справляется с поставленной задачей, и в результате за десять лет существования компании в ее штат вошли 29 человек, шестеро из которых устроились на работу в 2020 г., пройдя его испытание. «Если я отправлю от 150 до 200 фунтов жестких дисков (68-90,7 кг – прим. CNews), я, как правило, получу в штат одного человека. Это достойное вложение», – прокомментировал Анг Цуй.

Как давно Анг Цуй практикует свой метод поиска сотрудников, он уточнять не стал. Однако существует доказательство того, что этому методу как минимум больше четырех лет. Пользователь Twitter под ником ikcnioch (@enchoilada) из Хабокена (штат Нью-Джерси, США) 7 октября 2016 г. опубликовал пост о том, что получил такую посылку от Red Balloon Security.

redball604.jpg
Анг Цуй практикует свой метод поиска соискателей годами

Единственное, в своем сообщении ikcnioch указал, что в посылке вместо жесткого диска был смартфон на Linux. По словам пользователя, кошелек с биткоинами был зашифрован в недрах его встроенной памяти.

Аналогичный пост в Twitter опубликовал и пользователь Mudge (@dotMudge), но немного позже, в конце июля 2017 г.

redball605.jpg
HDD в посылках Red Balloon Security появились в 2017 году, до этого были смартфоны

В посылке, которую получил Mudge, смартфона уже не было – только жесткий диск, адаптер, письмо и конфеты.

Возможно, навыки, полученные при прохождении теста, пригодятся соискателям в решении проблемы, с которой столкнулся программист из Сан-Франциско Стефан Томас (Stefan Thomas). В середине января 2021 г. CNews писал, что он поместил свой криптокошелек с более чем 7000 биткоинами ($259,6 млн) в нем на флешку IronKey с системой шифрования данных и забыл пароль от нее. У него было всего 10 попыток подобрать ключ к накопителю прежде, чем тот перезапишет все данные, и восемь из них Томас уже использовал.