Где и сколько зарабатывают «белые хакеры»

109
13 голосов
Содержание

Хакер из нашей северной столицы Link (t.me/linkkss), нашедший уязвимость в PayPal в знак благодарности получил от компании $70 000.

С чего все началось

Он рассказал, что информатика его всегда очень интересовала, ему было интересно заниматься «взломом», но без ущерба для кого-то, а для улучшения программ и сервисов. Автор предлагал создателям разнообразных сайтов испытать защищенность их разработок, но чаще всего получал отказ.

Но Link не прекращал поиски и в свои 15 лет нашел в известном магазине веб-камеры, к котором мог получить доступ любой человек. Он предупредил владельцев и те все самостоятельно исправили, отказавшись от предложенной помощи.

Он продолжал искать подобные уязвимости и сообщать о найденных проблемах владельцам совершенно бесплатно. Но в 2015 году Link узнал о bug bounty (вознаграждении от ИТ-компаний, за выявленные уязвимости). Он прошел регистрацию в HackerOne, где разработчики приложений искали таких взломщиков как он для нахождения уязвимостей.

HackerOne - заработок на поиске уязвимостей

На этом сервисе зарегистрировано множество очень известных организаций, вплоть до Министерства обороны США. На этой платформе за работу хакерам могут платить реальными деньгами, либо фирменными продуктами, иногда ограничиваются простой благодарностью. Организации проводят мероприятия (открытые или закрытые), где хакерам можно проверить себя во взломе.

По прошествии 90 дней со дня обнаружения уязвимости хакеры рассказывают о ней сообществу, подробно описывая что они нашли и как.  Свои первые $100 Link получил за взлом и доступ к файлу readme.txt. Для него это было совершенно просто, а оплата стала приятным бонусом.

Диапазон выплат на HackerOne разделен по уровням критичности найденной уязвимости. Опыт в поиске критических уязвимостей у Linka практически отсутствовал, образование по профилю тоже, он-самоучка (штудировал статьи, спрашивал на форумах и чатах, применял все на практике, изучал открытые отчеты на HackerOne, использовал тренажеры на разных сервисах, например Hack The Box )

Сейчас Link находится на 37 месте в рейтинге специалистов по поиску уязвимостей HackerOne по всему миру.

Самые распространенные уязвимости

  1. Сложно разделить уязвимости по популярности, но самые распространенные это SQL-инъекции, SSRF и RCE.
  2. Есть компании, знающие об уязвимостях, но не делающие с этим знанием ничего. Link нашел уязвимость у компании, продающей электронику в нашей стране, она так и не исправлена, хотя прошло уже несколько лет.
  3. Появление уязвимостей чаще всего связано с халатностью или отсутствием достаточного опыта программистов. Однако и у профессионалов они бывают. Поэтому не существует абсолютно безопасных систем.

Как найти уязвимости

Алгоритм поиска уязвимостей Link объясняет так:

  1. Изучение структуры сети (вручную или с помощью специальных сервисов),
  2. Получение информации об узлах, образующих сеть,
  3. Использование сканеров уязвимостей,
  4. Проверка реальности наличия уязвимости.

Link часто получает предложения начать работать «черным» хакером.  Чаще всего просят взломать банк или интернет-магазин, но не думают о последствиях. Link против этого и не хочет иметь проблем с законом.

Этика «белых хакеров»

Белые хакеры дают информацию об уязвимостях только членам компании, где она обнаружена.

Link придерживается принципа «не навреди», он никогда не крадет данные и не может «положить» сервер. Это нарушает этику и преследуется по закону и правилам HackerOne.

Цели на будущее

Link хочет развиваться, изучать новые технологии и «ломать» с целью помочь сервису, а не навредить. Помогая сервисам, хакеры делают компании безопасными для обычных людей и получают возможность заработать на любимом занятии.

Комментарии

Нет комментариев. Ваш будет первым!
Загрузка...