Хакеры как зарабатывают деньги

Содержание

Россиянам предложили зарабатывать на легальном хакерстве. Как это работает

Из-за бегства из России тысяч IT-специалистов и ухода крупных зарубежных компаний, в том числе из сферы кибербезопасности, в стране образовались дефицит кадров и угроза ослабления «цифровой обороны». Минцифры предложило справиться с этим, поддержав белых хакеров, находившихся раньше где-то на периферии в роли фрилансеров. Для этого придётся создать отечественные платформы для поиска уязвимостей и выплаты вознаграждений энтузиастам. Как изменится роль белых хакеров в подсанкционной России, как зарабатывают на «взломах» и насколько это легально — в материале «Секрета».

Кто такие белые хакеры и почему их не ищет киберполиция

В массовом сознании понятие «хакер» часто ассоциируется с какими-то полуподвальными помещениями со множеством компьютеров, за которыми сидят злые и коварные люди в балаклавах — именно так рисуют хакеров на различных фотостоках. В реальности это люди, неотличимые от прочих «айтишников-удалёнщиков». Но вот между собой они действительно различаются — методами и целями работы.

ЗАРАБОТОК ХАКЕРА [netstalkers]

Хакеры-киберпреступники — это те, кто обратил свои навыки в сфере информационных технологий для получения выгоды за счёт обмана, шантажа и вреда другим интернет-пользователям и компаниям. Киберпреступники создают и распространяют вирусы всех мастей, взламывают аккаунты, крадут персональную информацию и деньги, а также ищут уязвимости в корпоративных сетях, с помощью которых можно застопорить работу предприятий и вымогать деньги за разблокировку.

Но поиском уязвимостей можно заниматься и в благих целях. Этичные, или белые, хакеры за вознаграждение или из чистого энтузиазма помогают компаниям находить и устранять бреши в их защите и продуктах для пользователей. При этом белые хакеры стараются не наносить вреда своим взломом: например, они не будут проверять устойчивость к DDoS-атакам в разгар рабочего дня или использовать найденную уязвимость для блокировки систем и IT-продуктов.

Хакеров-плохишей также называют black hats — «чёрные шляпы», в то время как этичные хакеры носят название white hats — «белые шляпы». Пресловутые балаклавы грабителей тут ни при чём — термин пришёл в эту сферу из вестернов, где хорошие парни носили светлые ковбойские шляпы, а плохие — чёрные.

Цветовая дифференциация шляп

Кроме белых и чёрных, нередко встречаются серые хакеры — gray hats. Они взламывают системы без преступных намерений, но далеко не всегда при этом действуют по запросу компаний. При этом, если им в руки попадутся данные, которые можно продать или выгодно использовать, они не преминут это сделать. Белые хакеры без официального объявления компании об участии в программе вознаграждения искать уязвимости не полезут — даже если взломщик никак не использовал попавшую ему в руки информацию и не принёс значительного вреда корпоративной сети, компании, которые не просили о таком виде услуг, вполне могут подать на него в суд.

Внутри хакерского сообщества есть и другие цветовые маркеры. Например, «зелёными шляпами» называют хакеров-новичков, которые активно учатся практиковать хакинг на специальных ресурсах, но пока не обладают опытом и навыками для самостоятельного плавания. «Синими шляпами» называют тех, кто разово решил взломать кого-то из мести и не интересуется хакингом за пределами этой задачи. А «красные шляпы» сделали своей целью поиск и наказание чёрных хакеров.

Как стать белым хакером

Белыми хакерами обычно становятся люди с образованием в сфере компьютерных наук и информационной безопасности. Нередко они учатся хакингу самостоятельно по открыто публикуемым на профильных ресурсах методичкам и по отчётам о выявленных уязвимостях.

Что почитать

Существуют даже книги, обучающие этичному хакингу. Среди них:

Jon Erickson, Hacking: The Art of Exploitation;
Patrick Engebretson, The Basics of Hacking and Penetration Testing;
Peter Kim, The Hacker Playbook;
Georgia Weidman, In Penetration Testing;
James Corley, Hands-On Ethical Hacking and Network Defense.

Но с учётом того, как быстро меняется ландшафт в сфере информационных технологий, любая книга и методичка на эту тему устаревают раньше, чем дописываются. Чтобы отвечать современным вызовам, гораздо важнее постоянно заниматься собственными исследованиями, обмениваться опытом и изучать чужие кейсы.

Мнение эксперта
Сергей Новиков
заместитель директора глобального центра исследований «Лаборатории Касперского»

Какого-то специализированного образования для белых хакеров нет. Как правило, это самоучки или продвинутые эксперты в области Computer Science или Cybersecurity. У каждого своя история. В основном белые хакеры — это люди, интересующиеся технологиями, разработкой, анализом программного кода.

Кто-то мог попробовать себя на тёмной стороне, но понял, что у него нет желания нарушать закон, всю жизнь бояться и прятаться. По сути, белый или этичный хакер и есть специалист по кибербезопасности. Формальное отличие в том, что специалист по кибербезопасности в классическом понимании проектирует защитную инфраструктуру и защитные технологии, в том время как белый хакер пытается найти в этих системах уязвимости в этических и законных целях.

Вместе с тем не все компании согласны иметь дело с дилетантами на постоянной основе. Для того чтобы стать тестировщиком в крупной компании, занимающейся кибербезопасностью, свои умения нужно подтвердить. Отвечая запросам рынка на различных профессиональных и образовательных ресурсах, таких как HackerOne, SkillFactory, Coursera и других как грибы появлялись специализированные курсы, которые предлагали научить этичному хакингу с нуля.

С подобными курсами за спиной и практическими навыками уже можно попробовать свои силы не только в свободном плавании.

Мнение эксперта
Евгений Волошин
директор блока экспертных сервисов BI.ZONE

(Для компаний) нет профессии «белый хакер», есть «специалист по тестированию на проникновение», или «пентестер». Без профессионального образования крайне сложно попасть на эти ставки, ведь для этого нужны как минимум знания основ кибербезопасности, умение работать с инструментами для проведения пентестов, знание векторов атак. Также необходимо постоянно развиваться и подтверждать навыки в международных центрах сертификации.

Конечно, чтобы участвовать в программах, не нужны международные сертификаты, но скорость нахождения уязвимостей тесно связана с прокачкой знаний и опыта. Платформы Bug Bounty (вознаграждения за поиск уязвимостей. — Прим. ред.) — это отличный инструмент для тренировки и дополнительная строчка в резюме, если уязвимость была найдена.

Что такое программа Bug Bounty: компании-участники формируют свои правила, в которых обычно указаны срок программы и денежное вознаграждение в зависимости от типа найденной уязвимости. После того как независимый исследователь нашёл уязвимость, он должен сформировать отчёт по прописанным в программе условиям и сдать его на проверку через платформу. Далее проходит валидация, и, если компания признаёт уязвимость, исследователю перечисляют средства. На платформе публикуется много программ с разной стоимостью уязвимостей, и у багхантера всегда есть выбор. Нередки случаи, когда ребят приглашают в штат пентестерами те компании, для которых эти уязвимости были найдены.

Тестирование уязвимостей — на порядок менее сложная работа, чем защита от возможных угроз. Чтобы взломать сеть, достаточно знать одну работающую методику и одну уязвимость, а чтобы её защитить — все возможные способы взлома, которыми её могут протестировать на прочность.

Именно поэтому задачи по поиску багов компании нередко предпочитают отдавать на аутсорс энтузиастам — выплатить разовое вознаграждение за одну найденную уязвимость дешевле, чем постоянно держать на зарплате специалиста, который в случае правильно выстроенной защиты брешь может и не найти.

У нас в пентесте работают специалисты, которые могут оценивать безопасность существующих продуктов и процесса их разработки, исследовать пререлизные версии продуктов по заказу разработчика, проводят тестирование на проникновение, например в сеть заказчика и т. д. Работа в большой компании позволяет обратиться к коллегам, специализирующимся на узких областях, собрать команду под конкретный проект.

При этом держать личный штат белых хакеров внутри какой-то организации нужно далеко не всем крупным компаниям. Чаще всего такими ресурсами и компетенциями обладают вендоры, специализирующиеся на информационной безопасности. Классический белый хакер, если можно так сказать, скорее одиночка.

Несмотря на существующее мнение, что в вольные белые хакеры идут недоучки, которым не хватает мастерства, чтобы официально работать в кибербезопасности, на деле такой закономерности нет. Неверным было бы и считать, что белыми хакерами становятся те, кто по своим способностям не дотягивает до чёрных.

Различия между чёрными и белыми хакерами лишь в том, какую сторону выбрал человек. Мы не можем утверждать, кто «круче» или «слабее». Просто белый хакер выбрал легальный, этический путь реализации своих способностей. В сфере кибербезопасности работает множество высококлассных экспертов, они помогают совершенствовать системы безопасности, гарантировать защищённость различных решений.

Мнение эксперта
Евгений Волошин
директор блока экспертных сервисов BI.ZONE

Независимыми исследователями нередко выступают люди с профильным образованием в сфере кибербезопасности. Многие ребята, которые трудоустроены, также являются участниками программ Bug Bounty. Конечно, у каждого исследователя за плечами разный опыт. Это своего рода тестирование на проникновение, где можно принять участие, пройдя регистрацию на платформе. Компании видят ценность: это простой способ для построения процесса непрерывного поиска уязвимостей и свежий взгляд на защищённость без увеличения штата сотрудников.

В целом же набор инструментов и методов, которые используют пентестеры, чёрные и белые хакеры, схож. Это публичные и платные хакерские утилиты и программы для пентеста, которые работают как «продукты двойного назначения» — и для взлома, и для поиска уязвимостей с целью улучшения безопасности. Киберпреступники, правда, зачастую оказываются в более выгодном положении за счёт выхода на чёрные рынки, где можно купить новые и ещё неизвестные защитникам программы и методики взлома. Но рано или поздно выявляют и их.

Иногда уязвимость находится почти случайно, а иногда хакеры всерую берутся исследовать защиту интересующих систем и проверять наличие брешей. Найдя уязвимость, рекомендуется сразу сообщить о ней владельцу продукта, сайта или сети, не публикуя эту информацию в открытый доступ до тех пор, пока ошибка не будет исправлена.

При этом неэтичным считается требовать деньги в первом же письме, особенно если какое-либо вознаграждение за поиск уязвимости в официальных материалах компании не фигурирует. А вот обсудить премию, когда владелец убедится в реальности обнаруженной угрозы, вполне реально — многие идут навстречу и поощряют энтузиастов за помощь.

Где ищут заказы

Долгое время одним из самых популярных и востребованных ресурсов у белых хакеров всего мира, в том числе из России, была международная платформа HackerOne. На ней представлены программы Bug Bounty от многих крупных IT-компаний.

Российские игроки, в том числе «Яндекс», «Лаборатория Касперского», VK и Тинькофф банк предлагали вознаграждения именно через этот агрегатор. Для компаний такие программы — это шанс избежать многомиллионных затрат и репутационного ущерба в случае реального взлома.

Однако с началом военных действий на Украине HackerOne, чей головной офис базируется в Сан-Франциско, отказалась выплачивать заслуженные вознаграждения хакерам из России и Белоруссии, мотивируя это санкциями. Их награды платформа пообещала придержать или перечислять Детскому фонду ООН (ЮНИСЕФ).

А 25 марта компания объявила о приостановке возможности участия в программе Bug Bounty для российской «Лаборатории Касперского» на неопределённый срок. Как пояснила компания в своём твиттере, страница вознаграждения «Лаборатории Касперского» стала недоступна для исследователей, а существующие средства и обсуждения зарегистрированных уязвимостей оказались заморожены.

С уходом крупнейшей посреднической площадки перед вольными пентестерами из России и Белоруссии остро встал вопрос о том, как продолжать работу в условиях санкций. Есть альтернативные западные площадки, но с ними точно так же есть сложности в проведении транзакций в подсанкционные страны. Так что исследователям российских систем остаётся вручную искать программы вознаграждений непосредственно от компаний.

Ситуация осложнилась и для владельцев корпоративных сетей, ведь многие игроки из сферы кибербезопасности также покинули российский рынок, а IT-специалисты массово начали эмигрировать из страны. В итоге умельцев, способных закрывать дыры и искать бреши в информационных защитах, стало сильно меньше, а оставшиеся потеряли удобный способ связи с потенциальными заказчиками.

Чтобы как-то мотивировать российских айтишников оставаться и работать на родине, правительство задумалось об их господдержке. Позднее Минцифры заявило о готовности поддержать также белых хакеров и распространить на них те льготы, которые ранее ввели для IT-специалистов. Кроме того, министерство предложило ввести прямую финансовую поддержку и субсидировать программы Bug Bounty и проведение пентестов для крупных компаний, которые будут пользоваться услугами белых хакеров.

Между тем российские IT-компании уже готовятся импортозаместить ушедший HackerOne. В 2022 году в России планируется запуск сразу трёх платформ Bug Bounty: от компаний кибербезопасности «Киберполигон», BI.ZONE и Positive Technologies (PT).

Источник: secretmag.ru

Как начинают хакеры зарабатывать деньги

Все наверное задают себе вопрос: Сколько зарабатывают хакеры или как начинают хакеры зарабатывать деньги? Хотя пентестер это не то что хакер, но это первый шаг и скажу вам он самый правильный. Мы часто видим по ящику что какой-то хакер взломал базу какой-нибудь фирмы или украл миллионы и так далее. Сегодня я развею вам иллюзии о том как в действительности зарабатывают хакеры и пентестеры.

Взламывают и крадут
Делают это легально, почти легально.

Ниже я описал методы как стать хакером и как они зарабатывают. После прочтения вы поймете что к чему сводится.
Есть четыре основных шага на пути становления хакера.
И так вот эти 4 ступеней крутизны. Эти шаги происходят следующим образом:

Сбор информации

Чем больше вы знаете о цели, легче будет для вас влиять на неё. Легкое влияние, в свою очередь позволит вам воспользоваться получением более подробной информации , больше влияния и больше информации и так далее, и далее пока вы ну узнаете все об этой цели! То-есть вы становитесь партнером его жизни так как знаете о цели все!

Сканирование

Во-первых информация собирается, теперь ты должен узнать информацию, доступную на этот момент. Это достигается путем сканирования . Он используется, чтобы узнать, является ли хост в сети, что порт открыт, а затем найти уязвимость или структурную слабость, если вы сможете. Ни одна система не является непобедимой! Так как есть криптонит для каждого супермена. Сканирования грубо говоря и есть криптонит системы.

Сниффинг

Включает себя находить слабость и высматривать все, что вы можете из уязвимостей системы. Высматривание паролей системы, имена пользователей, секреты обычно то что скрывает человек от других глаз. В Kali Linux сниффинг методами обладают Wireshark, Ettercap и т.д.
Научитесь этому и компании будут просить вас исправить их недоработки, а это немалые деньги.

Эксплуатация

Теперь этап набора! Вы знаете информацию, слабости системы и пароли. Настало время, чтобы пустить все к действию. Все что злоумышленник собрал в последние 3 шага пускает в ход атакуя системы или организации. Его триумф будет когда взлом будет осуществлен и он может сказать компании «Вы слабаки», а затем компании просят советы о том, как это исправить, и тут течёт бабло и слава.

«Ничто в мире не является неуязвимым, непобедимость иллюзия используема на людей, чтобы они смотрели в другую сторону»

10 комментариев

Earnesshuh :

Я считаю, что это очень интересная тема. Давайте с Вами пообщаемся в PM. — 28000 руб. в неделю на рекламе или

Источник: codeby.net

Как зарабатывают киберпреступники: дипфейк-боссы и цифровое вымогательство

С каждым годом инструменты для организации кибератак становятся все более доступными, дешевыми и простыми в использовании. Сегодня средние месячные затраты на самые простые средства взлома составляют порядка $34, тогда как доход от них составит более $25 тыс. Это позволяет мошенникам с минимальным опытом и ресурсами атаковать как рядовых пользователей, так и крупные корпорации. Директор компании «Антифишинг» Сергей Волдохин рассказал, как эволюционируют киберугрозы и как научиться быстро реагировать на изменения — на технологическом и на психологическом уровне.

Читайте «Хайтек» в

Эволюция взлома

За последние 15–20 лет технологии стали более доступными: секвенирование генома в начале 2000-х стоило $2,7 млрд, а теперь — всего $300, новый iPhone XR сегодня стоит дешевле, чем «раскладушка» Motorola в 1996 году. Для того, чтобы натренировать простую нейросеть, уже не требуется профессиональное оборудование — достаточно ноутбука и базовых знаний программирования.

Доступное железо, дешевое ПО и стабильный рост числа интернет-пользователей стали драйверами цифровизации, но в то же время открыли новые возможности для кибермошенников. По данным Национальной ассоциации международной информационной безопасности, только в России число кибератак с 2013 по 2019 годы выросло в 16 раз.

В большинстве случаев мошенники используют автоматизированные скрипты или дешевое вредоносное ПО. Например, вредоносную программу Ovidiy Stealer пару лет назад можно было приобрести всего за 700 рублей: она позволяет перехватывать и пересылать пароли и другие конфиденциальные данные. Сегодня примерно за такую же сумму на популярных форумах продают ее усовершенствованную версию. В дарк-вебе можно найти еще более широкий ассортимент инструментов для взлома. В целом, по оценкам Deloitte, примитивные атаки обходятся злоумышленникам в $34 в месяц, при этом приносят такие инструменты около $25 тыс. ежемесячно.

Аналитики TrendMicro, которые изучали подпольный рынок инструментов для кибервзломщиков, обнаружили, что мошенники пользуются огромной инфраструктурой. Это не только пакеты арендованных ботнетов, которые состоят из тысячи зараженных устройств, но и абузоустойчивые регистраторы, хостинги и DNS-провайдеры, зарегистрированные в Белизе, на Сейшелах и Каймановых островах, а также собственные in-house дата-центры и виртуальные серверы, ежедневно мигрирующие из одного ЦОДа в другой.

Это огромный теневой бизнес с различными моделями монетизации, рассчитанными на мошенников разного уровня: от суперпрофи до новичков. Злоумышленники не только используют все более мощные инструменты, они также первыми берут на вооружение новые технологии. Когда число IoT-устройств в мире начало расти, мошенники научились подключать чужие домашние видеокамеры, термостаты и другие бытовые приборы к ботнетам. Авторы атак не только сами использовали технологию, но и начали продвигать ее в своем сообществе — это привело к созданию одного из самых мощных ботнетов — Mirai. Незащищенные IoT-девайсы стали еще одним вектором атак для хищения данных — например, в 2017 году хакеры получили доступ к сетевой инфраструктуре казино, используя подключенный к сети аквариум.

Дипфейк-боссы и цифровое вымогательство

Нейросети и дипфейки также стали применяться киберпреступниками еще до того, как это стало мейнстримом. Алгоритмы на базе машинного обучения помогают быстрее сканировать данные и находить уязвимости в системах, а также эффективно управлять ботнетами.

ИИ решает для злоумышленников как тривиальные задачи, например, обходить CAPTCHA или генерировать пароли, так и проводить более сложные атаки — крупные кибергруппировки в большинстве случаев используют ИИ и большие данные для проведения своих «спецопераций». Один из громких примеров — использование голосового дипфейка для кражи денег. Преступники применили систему синтеза речи и сгенерировали запись, взяв за основу голос одного из региональных топ-менеджеров крупной компании. Дипфейк оказался настолько убедительным, что руководство организации не заметило подмены и выполнило требования фальшивого босса, который попросил перевести на некий счет $243 тыс. По данным Pindrop, с 2013 по 2017 годы число случаев голосового мошенничества выросло на 350%, при этом только в одном из 638 случаев применялись технологии синтеза речи.

Популярность криптовалют также помогает мошенникам: в последние годы выросла популярность вирусов-вымогателей и вирусов-шифровальщиков, которые блокируют доступ к данным до тех пор, пока жертва не заплатит выкуп в биткоинах. По оценкам Accenture, в 2018 году борьба с цифровыми вымогателями обходилась компаниям в $646 тыс., причем годом ранее этот показатель был на 21% меньше.

Впрочем, такие атаки ведут не только к финансовым и репутационным потерям. Так, в сентябре в больнице Дюссельдорфского университета одна из пациенток не смогла получить экстренную помощь из-за того, что клиника приостановила работу в результате атаки вируса-вымогателя.

Многие атаки стали возможны благодаря пандемии: используя «вирусный» инфоповод, мошенники манипулировали жертвами. Рекордный рост попыток кибервзлома зафиксировали в ФБР, Интерполе, Microsoft и других крупнейших корпорациях, во многих крупных банках, в том числе и в России. По некоторым оценкам, случаи использования одних только вирусов-вымогателей подскочили на 800% в период пандемии. Крупнейшие атаки на Twitter, Honda, Garmin и Marriott произошли в этом году. Это связано не только с манипуляциями на теме пандемии, но и повышенной психологической уязвимостью — а именно этим обусловлен успех многих кибератак.

Фишинг как скрытая угроза

Фишинг как сервис. Появляется все больше сервисов, которые работают по модели Phishing-as-a-Service. За условные $30 в месяц мошенник оформляет подписку на вредоносное ПО и запускает свой «бизнес». Ему не приходится изобретать сценарии для атак, создавать фальшивые лендинги и контент — за него уже выполнили часть работы. Остается лишь выбрать жертву и инициировать атаку.
«Омниканальный» фишинг. Современные мошенники не ограничиваются одним письмом на электронную почту: они одновременно присылают SMS, звонят по телефону, отправляют сообщения в мессенджерах, то есть работают по омниканальной модели. Определяют, где находится целевая аудитория, и идут ей навстречу. Например, используют чаты в онлайн-играх: в период пандемии число таких атак выросло на 54%. Злоумышленники не просто забрасывают жертву оповещениями, они прорабатывают детальный сценарий воздействия на разных уровнях.
Фишинг от имени руководителей. Мошенники выстраивают многоуровневые схемы: для начала захватывают учетные записи сотрудников, используя приемы социальной инженерии или находя уязвимости почтовых серверов. Затем они определяют, какие аккаунты принадлежат людям на руководящих позициях, и уже от их имени запускают рассылку писем. Поскольку они имеют доступ к конфиденциальным данным топ-менеджмента, мошенникам проще создавать убедительные сообщения, например, вести переговоры с партнерами или давать поручения сотрудникам. По такой сложной схеме работает, например, группировка Pawn Storm, которая охотится за данными высокопоставленных лиц.
Фишинг как начальный вектор кибератаки. Сам по себе украденный аккаунт не всегда представляет ценность для злоумышленника. Получая доступ к системе с помощью фишинга, мошенники запускают целевое вредоносное ПО или простейших шифровальщиков. Фишинг помогает быстрее проникнуть в инфраструктуру, тогда как поиск и эксплуатация технических уязвимостей потребовали бы больше времени и ресурсов.

Догнать и перегнать

Из-за постоянной эволюции фишинга технических мер и универсальных правил защиты от мошенников, которые можно применить и выучить раз и навсегда, не существует. Помочь может только постоянная практика и мониторинг трендов, причем это касается и других видов киберугроз, которые тоже постоянно эволюционируют. Организация технических мер защиты — это задача специалистов по информационной безопасности, но от рядовых сотрудников компании тоже зависит, насколько успешной будет «оборона».

Чек-лист. Что нужно сделать каждой компании, чтобы защитить бизнес от киберпреступников

Следите за трендами: какие технологии используют киберпреступники, какие уязвимости эксплуатируют, какую риторику выбирают при общении с жертвами, какие актуальные инфоповоды используют и какие психологические векторы задействуют, чтобы заполучить доверие.
Регулярно обновляйте ПО и применяйте все доступные вам технические меры защиты.
Организуйте имитированные атаки для своих сотрудников, не ограничивайтесь только теоретическим обучением.
Помните, что вы всегда можете стать целью атаки, и думайте на несколько шагов вперед. Учитывайте, что когда о методе атаки уже пишут СМИ, технологию уже растиражировали и остановить ее внедрение будет сложно. Новые приемы мошенников не сразу получают широкую огласку, а об инцидентах знают только инсайдеры — стоит найти источники такой информации и первыми узнавать о будущих угрозах.

Источник: hightech.fm

Как хакеры зарабатывают в интернете?

Хедеры — мошенники, производящие операции с банковскими картами и счетами с целью незаконного обогащения. Именно они, а не хакеры воруют деньги у людей. Эта информация актуальна для всех пользователей сети, так как такая опасность может грозить каждому.

Тем не менее хакеры являются участниками этой схемы. Именно у них кардеры перекупают необходимую для взлома страниц и аккаунтов информацию. Дело в том, что сами они этим не занимаются в связи с нехваткой ресурсов или времени. Но хакеры могут перепродать им такую информацию, как сведения о банковской карте, Ф. И. О., адрес потенциальной жертвы.

Всё это они могут получить с общедоступных сайтов и интернет-магазинов. Одними из товаров хакера для кардера становятся логи с компьютеров пользователей. Их цена обычно составляет сумму от 10 до 200 рублей, и они могут позволить кардеру подделать данные для индивидуальной системы распознавания того банка, в котором зарегистрирована используемая карта. Полезными для мошенников могут оказаться также и менее распространяемые данные: страховка и ее номер, социальные карты и, как ни удивительно, чеки. Любой, хотя бы отчасти значимый документ может использоваться в качестве подтверждающего при оплате какой-либо покупки или выводе средств.

Источники дохода для хакеров

К наиболее популярным товарам, пользующимся спросом у хакеров, относятся также взломанные аккаунты в социальных сетях или на электронной почте, дающие доступ к данным компьютера, хранящимся в облаке, сканы и личные данные.

Отсканированные документы, которые могут заполучить злоумышленники, могут позволить им не только управлять электронными кошельками, но также воровать пришедшие по почте покупки, приобретенные через интернет. Также они могут использовать ваши документы для оформления покупок на себя. Бронирование номеров в гостиницах, заказов в ресторанах и т. п. Кроме того, именно такие сайты, на которых пользователь оставляет свои паспортные данные, чаще всего используются в качестве базы для поиска хакерами полезной информации, особенно если этим данным уже есть несколько лет. И эти данные уже более прибыльны для хакеров, ведь расценки на такой вид «товара» гораздо выше, чем на остальные. Официальные документы сложнее достать, так что и ценники выше: от 200 до 600 рублей.

Но еще дороже могут обойтись данные для доступа к компьютеру, стоимость которых составляет от 2 до 10 долларов, и они могут использоваться для деятельности мошенников от лица другого человека, что позволяет им самим оставаться анонимными. Это может привести как к обычной краже, так и к появлению нежелательных и незаконных переписок с ваших устройств или взлому важных сайтов и систем. Последняя ситуация — самая неприятная, так как в процессе следствия найти владельца устройства проще всего, но пользователю будет крайне сложно оправдаться.

Крупной составляющей в хакерском бизнесе оказываются аккаунты пользователей социальных сетей, которые потом могут продаваться рекламщикам. Торговля аккаунтами — массовое явление, а причина тому — невнимательность пользователей сети.

Адресный взлом

Как ни удивительно, но хакеры могут действовать и по заказу. Это уже адресный взлом. Однако это более сложный процесс, так как для этого необходимо использовать специальный инструментарий, и эти инструменты бывают разными для отдельных аккаунтов. Важной чертой здесь является и умение толкать жертв на совершение определенного алгоритма действий.

Однако в этой сфере много тех, кто только притворяется хакером, поэтому можно заказать взлом, а получить мошенническую схему и остаться без денег. Стоимость настоящего адресного взлома может составлять сумму от 2 тыс. рублей. Столько обычно стоит взлом аккаунта в социальной сети. Дороже выйдет взлом сайта или DDOS. Это также стандартная практика для хакеров, но стоит она уже в районе 300 долларов за одни сутки доступа.

Хакеры с криптовалютой

Сфера криптовалют пока еще остается новой и неразработанной в должной мере для деятельности хакеров. Однако даже сейчас они уже работают в этой области. Ими уже разработано несколько способов для краж электронной валюты с кошельков пользователей сети, а также для добычи номеров их счетов и кошельков.

Создание и ведение ненастоящих биржевых сайтов является одним из самых популярных способов мошенничества в сфере криптовалют на сегодняшний день. В этом способе хакеров привлекает его простота. Другой подобный способ — создание онлайн-майнеров, которые мошенники потом могут встраивать в коды популярных сайтов для заработка криптовалюты. В результате их действий пользователи таких сайтов теряли заработанные там виртуальные деньги в пользу изменившего код мошенника при открытии сайта через свои браузеры.

Крупные хакерские сети и законная деятельность хакеров

Самыми уважаемыми среди хакеров считаются не одиночки, а те, кто работают в группах. За счет общей поддержки у них появляется возможность осуществлять более крупную деятельность, такую как взлом официальных банковских систем или правительственных сайтов.

Белые хакеры — особый их вид. Они действуют законно, не скрываясь от полиции, а сотрудничая с ней и с крупными компаниями. Их основная работа состоит в том, чтобы находить уязвимые места в деятельности компаний, их товарах, действуя по их же заказу. Такая деятельность часто приносит им крупный доход.

Интересно также и то, что такие хакеры часто проводят конференции, открытые собрания и съезды, а сами они имеют возможность стать известными. И тем не менее даже они могут осуществлять не вполне законную деятельность, выявляя такие слабые стороны крупных компаний не для них самих, а для специальных государственных служб. Причем цена такой работы будет уже гораздо выше.

Источник: useron.ru

Этичный хакинг: как взламывать системы и при этом зарабатывать легально

Кто такой хакер? Большинство людей, которые далеки от программирования, представляют перед собой злостного преступника, взламывающего системы безопасности банков, чтобы украсть деньги. Что-то вроде героя Хью Джекмана из фильма «Пароль — “Рыба-меч”», который взламывает шифр Вернама, чтобы украсть из правительственного фонда 9,5 млрд. долларов. Здесь сосредоточимся на правовой стороне взлома, а если ваши представления навеяны именно фильмами, для вас мы подготовили подробный обзор профессии специалиста по кибербезопасности.

Хакером можно быть и легально. Легальных хакеров называют пентестеры, или «этичные хакеры». Вот только нужно хорошо знать, что можно делать во время тестирования системы на проникновение, а что — нельзя. Иначе можно получить вполне реальные проблемы с законом.

Совсем недавно мы запустили курс «Этичный хакер», и в этой статье мы поговорим, как заниматься хакингом, зарабатывать на этом неплохие деньги и при этом не иметь проблем с законом. Поехали.

Что грозит хакеру по закону РФ

Для начала поговорим о проблемах, которые могут свалиться на хакера. Практически все правонарушения, связанные со взломом систем и получения доступа к ним, касаются трех законов:

О персональных данных (№ 152-ФЗ).
Об информации, информационных технологиях и защите информации (№ 149-ФЗ).
Об авторском праве и смежных правах (№ 5351-1).

Согласно ст. 13. КоАП РФ (Административные правонарушения в области связи и информации), за разглашение информации с ограниченным доступом, нарушение порядка хранения, использования и распространения персональных данных может грозить штраф от 300 до 20 000 рублей. Это для физических лиц. Для юридических лиц размер штрафа гораздо больше.

В основном она касается людей, которые имеют доступ к подобной информации, и организаций, которые собирают персональные данные клиентов.

К примеру, интернет-магазин собирает клиентскую базу с именами, номерами телефонов и email-ами. А ушлый менеджер решает собрать базу и скопировать ее для дальнейшей продажи на сторону.

Если подобное действие не стало причиной серьезного ущерба, а на менеджера не поступило жалоб в правоохранительные органы, то правонарушение может быть квалифицировано по ст. 13.11 п. 8 КоАП РФ. Наказание за него — штраф в размере от 30 000 до 60 000 рублей.

Что касается уголовного законодательства, то хакеру-злоумышленнику в большинстве случаев грозят следующие статьи УК РФ:

Ст. 146 УК РФ «Нарушение авторских и смежных прав». Компьютерные программы находятся под защитой авторского права. Поэтому любое изменение кода программ, редактирование функционала, создание или использование крякнутой версии попадают под эту статью в том числе.
Ст. 272 УК РФ «Неправомерный доступ к компьютерной информации». Основная статья, по которой могут привлечь хакера. Ведь взлом системы безопасности — это и есть неправомерный доступ к компьютерной информации.
Ст. 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ». Написал «трояна» — привет, статья 273.

Небольшое отступление. Пентестеры также используют сторонние программы для взлома систем безопасности и получения доступа к закрытой информации. Легальных программ для взлома не существует, поэтому компания, которая заказывает пентестинг, должна в письменной форме дать добровольное согласие на использование сторонних программ. Также пентестеры обычно подписывают соглашение о неразглашении сведений, полученных в ходе атак.

Ст. 274 УК РФ «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей». Формально статья есть, но реальной судебной практики по ней почти нет. С 2010 года в России по ней возбуждено не более 20 дел.
Ст. 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации». Ситуация абсолютно та же, что и со ст. 274. Судебной практики по ней просто нет.

Пентестер: отличия от хакера

Пентестер — это хакер, который работает полностью легально и в рамках закона. Суть его работы — поиск уязвимостей в системах безопасности.
Но есть несколько серьезных отличий:

Разработчики в курсе про действия пентестера. Все действия по поиску уязвимостей ведутся либо по специальному договору, либо с помощью программ Bug Bounty. О них поговорим чуть позже.
Пентестер только ищет уязвимости, а не собирается использовать их. Тут есть тонкий момент. Обнаружить дыру в системе хранения данных — с этим все оk. А вот попытаться скачать конфиденциальные данные, протестировав эту дыру, — это уже срок. Пентестер должен указать на дыру разработчикам и указать на возможность, как можно ее использовать, но не пробовать делать это самостоятельно.
Заработок пентестера — полностью белый. Выплаты по Bug Bounty или оплата по договору абсолютно легальны. Так что визитов из налоговой можно не бояться.

Пентестер работает исключительно по программам Bug Bounty или после заключения контракта с компанией. Из-за того, что сам процесс пентестинга связан со взломом защиты, процедура очень формализованная.

Нельзя просто найти уязвимость в системе защиты и указать на нее владельцу. Потому что за это можно получить вполне реальное обвинение.

В 2017 году 18-летний хакер нашел уязвимость в системе безопасности венгерской транспортной компании BKK. Баг был простой — с помощью инструментов для разработчика в браузере парень изменил исходный код страницы, вписав свою цену на билет (20 центов вместо 30 евро). Валидация цены не проводилась ни на сервере, ни на стороне клиента, поэтому хакер смог купить билет за эту цену.

После этого он обратился к представителям компании, раскрыв всю информацию об уязвимости. Но получил не благодарность, а уголовное дело. Транспортная компания «обиделась» и подала на него в суд. Парня арестовали.

История закончилась хорошо. Она получила большой резонанс в СМИ, пользователи просто обрушили рейтинг компании в Facebook. А с учетом того, что компания якобы тратила свыше миллиона долларов на защиту данных каждый год, обнаружение такого глупого бага, которым мог воспользоваться любой человек, просто уничтожило ее репутацию.

У парня были благородные намерения — он хотел указать на дыру в системе продаж билетов, наглядно продемонстрировав ее. Но при этом его действия все равно можно квалифицировать как взлом системы безопасности. А это уголовное дело.

Формально компания была полностью права, выдвигая ему обвинения. Какими бы ни были намерения парня, он нарушил закон. И от реального срока его спас только общественный резонанс.

Bug Bounty: как участвовать правильно

Большинство крупных компаний ведут Bug Bounty — специальные программы, в которой компании-разработчики ПО или сайтов предлагают вознаграждение за найденные уязвимости. Компаниям выгоднее платить за найденные ошибки, чем разбираться с последствиями, к которым могут привести эксплойты и уязвимости.

Большинство таких программ размещены на сайтах HackerOne и BugCrowd.

К примеру, вот программы Bug Bounty от Google API, Nginx, PayPal, GitHub, Valve. Средний размер премии за каждый найденный баг в этих программах — 1000 долларов. Есть огромное количество компаний поменьше, которые предлагают 50-100 долларов за ошибку.

Даже Пентагон запускал Bug Bounty! Это же просто мечта для хакера — взломать систему защиты Пентагона, да еще и получить деньги за это от правительства США.

Но даже опубликованная Bug Bounty не означает, что можно ломать и искать дырки где попало. В описании программы владельцы прописывают, какие именно уязвимости будут рассматриваться.

К примеру, Uber дает очень подробное объяснение, что входит в их программу Bug Bounty, а что — нет.

Компания хочет найти уязвимости в системах доступа и хранения данных, возможностей фишинга, оплаты и счетов, несанкционированных действий со стороны пользователя и сотрудников компании. Но в программу не входят общие баги приложения, отчеты о мошенничестве, баги в работе с соцсетями и email-рассылкой.

Впрочем, с чувством юмора у них все нормально. Потому что среди неоплаченных действий есть и следующее:

Entering the Uber offices, throwing crisps everywhere, unleashing a bunch of hungry raccoons, and hijacking an abandoned terminal on an unlocked workstation while staff are distracted

Входить в офис Uber, разбрасывая везде чипсы, выпуская кучу голодных енотов и захват свободного терминала или рабочего места, пока сотрудники сбиты с толку.

Чем подробнее описана Bug bounty, тем проще пентестеру понять, что можно «пробовать на зуб», а чего делать не стоит.

При этом есть общие правила, которые нарушать нельзя. К примеру, при обнаружении уязвимостей в базах данных пользователей нельзя пытаться скачать какие-либо личные данные. Даже при участии в программе это может быть расценено как нарушение закона. Потому что здесь нарушаются права именно пользователей, к которым Bug bounty не имеет никакого отношения.

Российский рынок пентестинга тоже активно развивается. На нем уже есть ряд крупных игроков, которые работают с большими корпорациями. К примеру, Digital Security, НТЦ «Вулкан», Group-IB, BI.ZONE, «Лаборатория Касперского». Но конкуренция на рынке еще довольно невысокая, так что можно вполне комфортно работать и индивидуально.

Некоторые крупные компании вроде «Газпрома» или банковских организаций создают отдельные внутренние подразделения пентестеров, чтобы не раскрывать конфиденциальные данные сторонним организациям.

Поэтому для пентестера есть несколько возможностей:

Присоединиться к одной из таких крупных компаний. Главный плюс — стабильная зарплата и отсутствие даже гипотетических проблем с законом. Но при этом заработать много денег, как стремятся многие пентестеры, не получится.
Открыть ИП или работать по договору. Главный плюс — специалист сам устанавливает цену. Но при этом придется тесно сотрудничать с юристами в рамках трудовых отношений, чтобы подстраховаться с юридической стороны. Да и конкуренты не дремлют.
Работать исключительно на Bug Bounty. Главный плюс — свобода графика и возможность заработать много. Но всегда есть риск, что специалисту просто не заплатят за обнаружение бага. Впрочем, никто не запрещает работать и по договору, и в программах Bug Bounty.

Чтобы подстраховаться от нечестных компаний, рекомендуем работать через сайты HackerOne и BugCrowd. Просто зарегистрируйтесь и подавайте заявки с обнаруженными багами через них.

Единственное правило — очень детально читать описание программы. Если компания пишет, что платит за уязвимости баз данных, то искать нужно только там. Даже если вы найдете баг где-нибудь еще, то за него не заплатят. Даже наоборот — могут начаться проблемы.

Уэсли Вайнберг в 2015 году нашел одну из самых серьезных брешей в защите Instagram. В ходе пентестинга он обнаружил Ruby-уязвимость, которая позволила ему запустить удаленное воспроизведение произвольного кода.

Это позволило ему прочитать файлы конфигурации, которые содержали доступы к базе PostgreSQL. Там были 60 аккаунтов сотрудников Instagram и Facebook. Как утверждает Вайнберг, взломать их не составило труда — большинство паролей были крайне слабыми — вроде «password» или «instagram».

Далее он получил доступ к нескольким ключам Amazon Web Services, которые ассоциировались с 82 бакетами S3. И в этих бакетах было настоящее сокровище для хакера: исходные коды Instagram, SSL-сертификаты, API-ключи, данные email-сервера, ключи подписей для приложений iOS и Android. Можно сказать, что пентестер получил полный доступ ко всем секретным материалам Instagram.

Он честно сообщил об этой находке представителям Facebook. За один баг ему действительно выплатили 2500 долларов. Но также он получил обвинение в несанкционированном доступе к аккаунтам сотрудников, бан в программе Bug bounty от Facebook и угрозу уголовного преследования. Хотя уголовное дело не было возбуждено, нервы пентестеру потрепали изрядно.

Так что следование прописанным пунктам Bug bounty — это просто обязательно. Иначе можно получить не премию, а обвинение.

Что должен уметь пентестер

Пентестер — это одновременно «универсальный солдат» и узконаправленный специалист. Ему нужно обладать широкими знаниями во многих отраслях программирования и при этом глубокими навыками в одной или нескольких сферах.

В целом считается, что Junior-пентестер должен обладать следующими знаниями:

администрирование Windows, Linux;
знание одного или нескольких языков программирования: Python, php, Perl, Ruby, JavaScript, Bash;
знание HTML;
основные сетевые протоколы (TCP/IP, ICMP) / сетевые службы (Proxy, VPN, Samba, AD);
протоколы: HTTP, FTP, DNS, SSH;
базы данных SQL (DDL, DML и т. д.), MySQL, SQL Server, PostgreSQL, Oracle.

Также нужно научиться использовать программы для пентестинга вроде BurpSuite, SqlMap, Nmap, IP Tools и Acunetix.

Собственно, именно поэтому в пентестинг рекомендуют идти тем специалистам, у которых уже есть определенный бэкграунд в разработке или тестировании. Потому что даже для уровня Junior количество необходимых знаний просто огромно.

Где учиться на пентестера

И напоследок мы собрали несколько популярных ресурсов, на которых можно получить всю необходимую информацию для профессии пентестера:

Hackaday. Популярный портал с советами по взлому систем, новостями из мира пентестинга, практическими гайдами и просто огромным количеством полезностей. Подойдет как для новичков, так и для опытных пентестеров.
EC-Council CEH. Комплексные курсы по этичному хакингу, после которых можно получить сертификат CEH. Считаются одними из самых сильных курсов по пентестингу в мире.
Cybrary. Бесплатная платформа с кучей курсов по информационной безопасности. Хорошо подойдет новичку, который только начинает разбираться в пентестинге.
Профессия Этичный хакер от Skillfactory. Мы сами недавно запустили масштабный 10-месячный комплексный курс, где обучаем всем премудростям и хитростям пентестинга. Реальные пентестеры передают свой опыт и на практике помогают находить уязвимости в ПО и веб-проектах.

HackThis!! — здесь можно прокачивать умения взлома систем в игровом режиме и одновременно обучаться этому.
Root me — свыше 380 практических заданий для пентестера: от новичка до профи.
Try2Hack — один из самых старых ресурсов для практики пентестинга. Для базового уровня — самое оно.
Webgoat — реалистичная среда с уроками, где можно обучаться основам пентестинга и сразу же использовать знания на практике.
Google Gruyere — выглядит как обычный сайт, но в нем специально оставлено много дыр в безопасности. Отлично подходит тем, кто начинает изучать пентестинг.
OverTheWire — один из топовых сайтов для обучения пентестинга в игровом режиме. 50 уровней сложности и активное сообщество, где можно спросить совета.

Если вы хотите стать пентестером — путь открыт. Но вот стать хорошим пентестером, который зарабатывает десятки тысяч долларов в месяц, намного сложнее. Это уже больше похоже на искусство, а не на ремесло. Готовы к такому? Тогда вперед!

А промокод HABR даст вам получить дополнительные 10% к скидке указанной на баннере.

Профессия Этичный хакер от Skillfactory
Онлайн-буткемп по Data Science
Обучение профессии Data Analyst с нуля
Онлайн-буткемп по Data Analytics
Обучение профессии Data Science с нуля
Курс «Python для веб-разработки»

Eще курсы

Курс по аналитике данных
Курс по DevOps
Профессия Веб-разработчик
Профессия iOS-разработчик с нуля
Профессия Android-разработчик с нуля
Профессия Java-разработчик с нуля
Курс по JavaScript
Курс по Machine Learning
Курс «Математика и Machine Learning для Data Science»
Продвинутый курс «Machine Learning Pro + Deep Learning»