Hacker ético: como hackear sistemas e ainda ganhar dinheiro legalmente

imagem



Quem é hacker? A maioria das pessoas que estão longe de programar é um criminoso cruel que invade os sistemas de segurança do banco para roubar dinheiro. Algo como o personagem de Hugh Jackman em Swordfish Password, que quebra a cifra de Vernam para roubar US $ 9,5 bilhões do fundo do governo.



Você pode ser um hacker legalmente. Esses especialistas são chamados de pentesters ou "hackers éticos". Você só precisa saber bem o que pode ser feito durante o teste de penetração e o que não pode. Caso contrário, você pode ter problemas bastante reais com a lei. Recentemente, lançamos o curso Ethical Hacker e, neste artigo, falaremos sobre como hackear, ganhar um bom dinheiro e ainda não ter problemas com a lei. Vai.






O que ameaça um hacker de acordo com a lei da Federação Russa



Primeiro, vamos falar sobre os problemas que um hacker pode enfrentar. Quase todas as ofensas relacionadas à invasão de sistemas e obtenção de acesso a eles estão relacionadas a três leis: 



  • Sobre dados pessoais (No. 152-FZ).
  • Sobre informação, tecnologia da informação e proteção da informação (nº 149-FZ).
  • Sobre direitos autorais e direitos relacionados (No. 5351-1).


A violação dessas leis pode acarretar responsabilidade administrativa e criminal. 



De acordo com o art. 13. Código Administrativo da Federação Russa (Ofensas administrativas no domínio das comunicações e informações), por divulgar informações com acesso limitado, violação do procedimento de armazenamento, uso e distribuição de dados pessoais pode enfrentar uma multa de 300 a 20.000 rublos. Isso é para indivíduos. Para pessoas jurídicas, o valor da multa é bem maior.



Diz respeito principalmente a pessoas que têm acesso a essas informações e organizações que coletam dados pessoais de clientes. 







Por exemplo, uma loja online coleta uma base de clientes com nomes, números de telefone e e-mails. E o astuto gerente decide coletar o banco de dados e copiá-lo para posterior venda.



Se tal ação não causou danos sérios, e o gerente não recebeu reclamações para as agências de aplicação da lei, então o delito pode ser qualificado de acordo com o art. 13.11, cláusula 8 do Código Administrativo da Federação Russa. A punição para ele é uma multa de 30.000 a 60.000 rublos.



Quanto ao direito penal, os seguintes artigos do Código Penal da Federação Russa ameaçam, na maioria dos casos, um hacker malfeitor:



  • . 146 « ». . , , .
  • . 272 « ». , . — .
  • . 273 «, ». «» — , 273.


. . , , , . , .


  • . 274 « , - ». , . 2010 20 .
  • Arte. 274,1 do Código Penal da Federação Russa "Influência ilegal na infraestrutura de informação crítica da Federação Russa." A situação é absolutamente igual à do art. 274. Simplesmente não há prática do tribunal nisso.


De acordo com art. 272 e 273 você pode obter até 500.000 rublos em multas e um prazo real de até 5 anos. E em casos especiais - até 7 anos. Além disso, formalmente, para iniciar um caso, encontre uma vulnerabilidade e tente usá-la mesmo sem intenção criminosa.



Pentester: diferenças de um hacker



Um pentester é um hacker que trabalha de forma totalmente legal e dentro da estrutura da lei. A essência de seu trabalho é buscar vulnerabilidades em sistemas de segurança.

Mas existem algumas diferenças importantes:



  1. Os desenvolvedores estão cientes das ações do pentester. Todas as ações para pesquisar vulnerabilidades são realizadas sob um acordo especial ou usando programas Bug Bounty. Falaremos sobre eles um pouco mais tarde.
  2. , . . — k. , , — . , , .
  3. — . Bug Bounty . .


Em essência, um pentester se distingue de um hacker por um conjunto de regras que ele segue.



Pentester trabalha exclusivamente em programas Bug Bounty ou após assinar contrato com a empresa. Pelo fato do próprio processo de teste de penetração estar associado à quebra da proteção, o procedimento é bastante formalizado.







Você não pode simplesmente encontrar uma vulnerabilidade de segurança e apontá-la para seu proprietário. Porque por isso você pode obter uma cobrança muito real.



2017 18- BKK. — , (20 30 ). , , .



, . , . «» . .



A história terminou bem. Ele recebeu uma grande resposta na mídia, os usuários simplesmente derrubaram a classificação da empresa no Facebook. E com a empresa supostamente gastando mais de um milhão de dólares em proteção de dados todos os anos, encontrar um bug tão estúpido que qualquer um poderia explorar destruiu sua reputação.


O cara tinha intenções nobres - ele queria apontar a falha no sistema de venda de ingressos, demonstrando isso claramente. Mas, ao mesmo tempo, suas ações ainda podem ser qualificadas como uma violação de segurança. E este é um caso criminal.



Tecnicamente, a empresa estava totalmente correta ao apresentar as acusações contra ele. Quaisquer que sejam as intenções do cara, ele infringiu a lei. E apenas a ressonância pública o salvou do termo real.



Bug Bounty: como participar corretamente



A maioria das grandes empresas executa o Bug Bounty - programas especiais nos quais empresas de software ou sites oferecem recompensas pelas vulnerabilidades encontradas. É mais lucrativo para as empresas pagar pelos bugs que encontram do que lidar com as consequências de explorações e vulnerabilidades.



A maioria desses programas está hospedada no HackerOne e BugCrowd



Por exemplo, aqui estão os programas Bug Bounty da API do Google , Nginx , PayPal , GitHub , Valve . O prêmio médio para cada bug encontrado nesses programas é de US $ 1.000. Há um grande número de empresas menores que oferecem US $ 50 a US $ 100 por erro. 



Até o Pentágono lançou o Bug Bounty! É apenas um sonho para um hacker invadir o sistema de segurança do Pentágono e até mesmo conseguir dinheiro do governo dos EUA para isso. 



Mas mesmo o Bug Bounty publicado não significa que você pode quebrar e procurar buracos em qualquer lugar. Na descrição do programa, os proprietários prescrevem quais vulnerabilidades serão consideradas. 



Por exemplo, o Uber dá uma explicação muito detalhada do que está incluído em seu programa Bug Bounty e do que não está.



A empresa quer encontrar vulnerabilidades em sistemas de acesso e armazenamento de dados, phishing, oportunidades de pagamento e cobrança, ações não autorizadas por parte do usuário e funcionários da empresa. Mas o programa não inclui bugs de aplicativos gerais, relatórios de fraude, bugs no trabalho com redes sociais e newsletters por e-mail. 



No entanto, com senso de humor, está tudo bem com eles. Porque entre as ações não pagas estão as seguintes:



Entrando nos escritórios do Uber, jogando batatas fritas em todos os lugares , soltando um bando de guaxinins famintos e sequestrando um terminal abandonado em uma estação de trabalho desbloqueada enquanto a equipe está distraída



. enquanto os funcionários estão confusos.


Quanto mais detalhada a recompensa do Bug for descrita, mais fácil será para um pentester entender o que pode ser “experimentado e testado” e o que não deve ser feito.



Ao mesmo tempo, existem regras gerais que não podem ser violadas. Por exemplo, se forem encontradas vulnerabilidades nos bancos de dados do usuário, você não pode tentar baixar nenhum dado pessoal. Mesmo que você participe do programa, isso pode ser considerado uma violação da lei. Porque aqui os direitos dos usuários são violados, aos quais o Bug bounty nada tem a ver.







O mercado de teste de penetração russo também está se desenvolvendo ativamente. Já tem vários jogadores importantes trabalhando com grandes corporações. Por exemplo, Segurança Digital, STC Vulkan, Group-IB, BI.ZONE, Kaspersky Lab. Mas a competição no mercado ainda é bastante baixa, então você pode trabalhar com bastante conforto e individualmente.



Algumas grandes empresas como a Gazprom ou organizações bancárias criam divisões internas separadas de pentesters para não divulgar dados confidenciais a terceiros.



Portanto, existem várias possibilidades para um pentester:



  • Junte-se a uma dessas grandes empresas. A principal vantagem é um salário estável e a ausência de problemas até mesmo hipotéticos com a lei. Mas, ao mesmo tempo, ganhar muito dinheiro, como muitos pentesters se esforçam, não funcionará. 
  • Abra um empresário individual ou trabalhe sob contrato. A principal vantagem é que o próprio especialista define o preço. Mas, ao mesmo tempo, você terá que trabalhar em estreita colaboração com os advogados no âmbito das relações trabalhistas para garantir do lado jurídico. E os concorrentes não estão dormindo.
  • Bug Bounty. — . , . , , Bug Bounty.


É fácil participar do Bug Bounty. De fato, uma mensagem sobre o início de um programa é uma oferta aberta que qualquer usuário pode aceitar. Você pode começar a trabalhar imediatamente - nenhum consentimento adicional é necessário para sua participação. 



Para se proteger contra empresas desonestas, recomendamos trabalhar por meio dos sites HackerOne e BugCrowd. Basta se registrar e enviar relatórios de bug por meio deles. 



A única regra é ler a descrição do programa detalhadamente. Se uma empresa escrever que paga por vulnerabilidades de banco de dados, você só precisa pesquisar lá. Mesmo se você encontrar um bug em outro lugar, não será pago por ele. Pelo contrário, os problemas podem começar. 



2015 Instagram. Ruby-, . 



, PostgreSQL. 60 Instagram Facebook. , — — «password» «instagram».    



Amazon Web Services, 82 S3. : Instagram, SSL-, API-, email-, iOS Android. , Instagram. 



Facebook. 2500 . , Bug bounty Facebook . , .




Portanto, seguir os pontos de recompensa de Bug prescritos é apenas uma obrigação. Caso contrário, você pode obter não um bônus, mas uma acusação.



O que um pentester deve ser capaz de fazer



Um pentester é um "soldado universal" e um especialista altamente especializado. Ele precisa ter amplo conhecimento em muitas áreas da programação e, ao mesmo tempo, habilidades profundas em uma ou mais áreas.



Em geral, acredita-se que o Juiz Penetrador deve ter os seguintes conhecimentos:



  • administração de Windows, Linux;
  • conhecimento de uma ou mais programação: Python, php, Perl, Ruby, JavaScript, Bash;
  • conhecimento de HTML;
  • protocolos básicos de rede (TCP / IP, ICMP) / serviços de rede (Proxy, VPN, Samba, AD);
  • protocolos: HTTP, FTP, DNS, SSH;
  • Bancos de dados SQL (DDL, DML, etc.), MySQL, SQL Server, PostgreSQL, Oracle.


Não é necessário saber tudo perfeitamente, mas você precisa ter pelo menos um conhecimento básico do PL, protocolos e bancos de dados acima.



Você também precisa aprender a usar programas de teste de penetração como BurpSuite, SqlMap, Nmap, IP Tools e Acunetix. 



Na verdade, é por isso que é recomendado ir ao teste de penetração para aqueles especialistas que já têm uma certa experiência em desenvolvimento ou teste. Porque mesmo para o nível Junior, a quantidade de conhecimento necessária é simplesmente enorme. 



Onde estudar como pentester



E, por fim, coletamos vários recursos populares onde você pode obter todas as informações de que precisa para a profissão de pentester:



  • Hackaday. , , . , .

  • EC-Council CEH. , CEH. .

  • Cybrary. . , .

  • Profissão Ethical hacker from Skillfactory . Nós mesmos lançamos recentemente um curso abrangente em grande escala de 10 meses, onde ensinamos todos os detalhes e truques dos testes de penetração. Pentesters reais compartilham sua experiência e, na prática, ajudam a encontrar vulnerabilidades em projetos de software e web.


E mais alguns sites onde você pode melhorar suas habilidades práticas:



  • HackThis !! - aqui você pode atualizar suas habilidades de hacking no modo de jogo e aprender como fazer isso ao mesmo tempo. 
  • Root me - mais de 380 tarefas práticas para o pentester: do iniciante ao profissional.
  • Try2Hack é um dos recursos mais antigos para a prática de pentesting. Para o nível básico - a própria coisa.
  • O Webgoat é um ambiente de tutorial realista onde você pode aprender os fundamentos do teste de penetração e imediatamente colocar o conhecimento em prática. 
  • Google Gruyere — , . , .
  • OverTheWire — . 50 , .


De acordo com a pesquisa Inside the mind of a hacker , o teste de penetração agora é considerado ainda mais lucrativo do que o hacking malicioso. As empresas pagam bem para aqueles que encontram vulnerabilidades em seus sistemas - muitos hackers simplesmente não precisam mergulhar na Darknet se, oficialmente e legalmente, não puderem ganhar menos. 



Se você quiser se tornar um pentester, o caminho está aberto. Mas se tornar um bom pentester que ganha dezenas de milhares de dólares por mês é muito mais difícil. Parece mais uma arte do que um ofício. Você está pronto para isso? Então vá em frente!



E o código promocional HABR dará a você um adicional de 10% sobre o desconto indicado no banner.



imagem











All Articles