PanPlan

1000 бизнес идей 2021 года

Как заработать хакеру в 2020 году

как заработать хакеру

Как заработать хакеру? Ответ – поиском уязвимостей. Эта работа сравнима со срывом джекпота крупной лотереи. Вы можете как стать обладателем суммы со множеством нулей, так и оказаться за решеткой. Причем здесь не столько нужно словить «фарт», сколько знать, что можно делать, а чего делать не стоит.

Именно объяснению того, как можно поступать, и как поступать не стоит, посвящен этот обзор.

Как заработать хакеру на поиске уязвимости (Bug hunting)

Этичным хакингом называют законную форму взлома, которая помогает находить «белые пятна» чужих систем. После о недочетах сообщают разработчикам, за что получают вознаграждение. Такая работа является официальным заработком «белых хакеров»

В противовес им, существуют и «черные хакеры», применяющие свои знания и умения вне законного поля. Именно они и являются преступниками, взламывающими системы для получения наживы, либо просто для самоутверждения.

Bug Bounty

Это программа, запущенная ведущими представителями IT-рынка и правительствами развитых стран, используемая во всем мире для обнаружения уязвимостей. Существует программа с начала 2000-ных годов. ЕЕ идея в том, чтобы не ловить преступников, а перетянуть их на «светлую сторону». Благодаря этому множество черных хакеров получило возможность зарабатывать легально, а количество нелегалов сократилось до минимального уровня.

Суть программы состоит в следующем:

Разработчики объявляют о начале тестирования собственного ПО и о сумме премиальных за обнаруженные «белые пятна».

Информационную инфраструктуру (устройство, программа, приложение) прощупывают те, кто хочет узнать, как заработать хакеру. Этих тестировщиков называют пентестерами. Иногда тестировка проходит в закрытом режиме, то есть приглашения получают отобранные разработчиками хакеры.

Где находить задания

Задания можно получить на одной из двух крупных платформ

В этих сервисах помещаются все программы, которым необходима проверка, а зарегистрированным тестировщикам разрешено выбирать те задания, которые им наиболее интересны. На каждой из этих платформ сегодня работают десятки тысяч экспертов по инфобезопасности, представляющих почти все страны мира.

Эти сервисы используются не только для проверки программных продуктов коммерческих компаний. Государственные структуры также пользуются услугами сервисов. Что говорить, если даже Пентагон использует HackerOne для проверки своего ПО.

Сколько можно заработать

Заработок в Баг Баунти может быть более чем высоким. К примеру, в 2018 году компанией HackerOne был опубликован отчет, согласно которому найденная уязвимость в среднем оплачивалась почти 2 тысячами долларов США. За 4 года компания выплатила экспертам более 17 миллионов долларов за 50 000 обнаруженных уязвимостей.

Как лучше не поступать

Теперь об обратной стороне медали. Не нужно превращать поиск уязвимостей в азартную игру, или метод нелегального получения дохода.

Именно незаконные методы проникновения в систему по своему желанию, или заданию не чистых на руку предпринимателей (конкурентов или просто преступников) являются причиной того, что вас могут арестовать и посадить за решетку с конфискацией всего имущества.

Пример из жизни

Не все компании участвуют в программе Баг Баунти. Молодой хакер был арестован за то, что обнаружил уязвимость веб-ресурса венгерского крупного перевозчика ВКК. Он, использовав «инструменты для разработчика» в браузере немного изменил исходный код страницы, что позволило снизить стоимость билетов на 15 центов. Несмотря на то, что молодой исследователь не ставил своей целью узнать, как заработать хакеру, а честно рассказал администрации об уязвимости, компания подала на него в суд.

Следовательно – не хотите оказаться за решеткой, ищите белые пятна только в рамках программы Bug Bounty, где каждая из процедур регламентирована. Даже проникновение с целью «попробовать себя», а потом попросить вознаграждение, может окончиться плачевно. В IT-сфере это называют термином Grey Hat, серый хакинг.

То есть с теми, кто участвует в программе проблем не будет?

Случается и такое. К примеру, специалистом по безопасности Synack, Уэсли Вайнбергом было обнаружено несколько уязвимостей в Инстаграм, что позволило ему получить доступ к конфиденциальной информации соцсети. Если за первую уязвимость ему выплатили, то вторая и третья стали причиной его плохого сна, поскольку сотрудники Фейсбук увидели в его действиях нарушение правил Баг Баунти. То есть он не должен был «рыться» в системных и пользовательских данных.

Отечественное законодательство

Нелегальному взлому систем в нашем законодательстве посвящены 3 статьи УК. Причем предусмотрен не только штраф, но и реальные сроки за решеткой. Мало того, в России этичный хакинг вообще не предусмотрен, точнее его границы слишком размыты, поэтому любой взлом может быть расценен как противозаконный.

Даже если вы не собираетесь узнать, как заработать хакеру незаконным взломом, а просто тренируете навыки или обучаетесь, не нужно проводить необдуманную разведку директорий ресурсов, использовать прокси чтобы манипулировать запросами и т.д.

Зарабатываем в легальном поле

Для того чтобы работать легально, необходимо скрупулезно изучить правила участия в конкурсе, запущенном той или иной компанией. Отечественные компании часто выдвигают дополнительные требования, к примеру, в конкурсе могут участвовать только граждане РФ, или налоговые резиденты государства.

Важно!!! Целью конкурса должны быть общественно полезные результаты, а не материальное обогащение. Если это не так, то такой конкурс можно считать преступной деятельностью.

Кроме того, конкурс должен описывать срок проведения и продукты, которые будут подвергнуты тестированию.

Заработки белых хакеров

По информации российского багхантера Ивана Григорова, некоторые топ-багхантеры говорят, что заработать 25 тысяч USD за месяц не является проблемой. Еще одному багхантеру Марку Литчфилду удалось за месяц заработать свыше 47 тысяч USD.

Иногда тестируемые компании платят и вовсе невероятные суммы. К примеру, в 2017 году в Майкрософт объявили о тестировании Windows, максимальная премия в котором составляла 250 тысяч USD. Необходимо было определить уязвимости гипервизора и ядра Microsoft Hyper-V, дающие возможность удаленного исполнения кода.