Перейти к публикации
  • Rabb1tRun
    Rabb1tRun

    Чем занимается «белый хакер», как им стать и сколько можно заработать

    Рассказ Link — хакера из Санкт-Петербурга, который нашёл уязвимость в PayPal и получил от компании около $70 тысяч в знак благодарности.

    jP3XY7bgbkE.jpg
     

    Меня всегда интересовала информатика, и мне всегда хотелось что-то «сломать», но при этом так, чтобы никто не пострадал, а защита и качество сервисов улучшились. 

    Я искал разные приложения и сайты и спрашивал у создателей, можно ли проверить их разработки на прочность. Чаще всего мне отказывали. Скорее всего, боялись, потому что такое предложение казалось странным и неприемлемым. 

    Но я продолжал лазить по интернету и подмечать разные незащищённые места. В 2009 году нашёл в одном из офлайн-магазинов известной торговой сети веб-камеры, к которым мог подключиться любой и перехватить видеосигнал. Мне тогда было 15 лет.

    Я сообщил об этом владельцам, они сказали спасибо и закрыли уязвимость. Я предложил им свои услуги в сфере безопасности, но они отказались. А потом их взломали, и они почему-то подумали на меня, хотя это было не так.

    gCs4eYgQshg.jpg
     

    Время от времени я продолжал искать уязвимости вроде открытых баз данных интернет-магазинов, в которых были информация о заказах и персональные данные клиентов, — и связывался с владельцами, чтобы они закрыли дыры. 

    В 2015 году я узнал про bug bounty (вознаграждение за найденные уязвимости, которое выплачивают ИТ-компании — vc.ru) и зарегистрировался в сервисе HackerOne, глобальной платформе, где создатели различных приложений и сервисов разрешают взламывать свои продукты. 

    Там зарегистрированы «ВКонтакте», Mail.ru Group, Sony, Adobe и много других известных организаций, включая Министерство обороны США. Они либо платят за найденные «дыры», либо благодарят иначе: могут выслать фирменную футболку или кружку или просто сказать спасибо. 

    Иногда они устраивают публичные мероприятия: предлагают всем желающим проверить силы во взломе своих сервисов. Иногда — закрытые, для нескольких хакеров. 

    Вне зависимости от программы, через 90 дней после сообщения владельцу ресурса об уязвимости, взломщики рассказывают о своих находках сообществу: что именно нашли и как им это удалось. Первые $100 я заработал взломав один сервис и получив доступ к файлу readme.txt. 

    Это было очень просто, и я не рассчитывал, что мне заплатят. Но на HackerOne есть диапазон выплат, который разделён по уровню критичности обнаруженной уязвимости. 

    Опыта для поиска критичных уязвимостей у меня было маловато, профильного образования тоже не было. Я самоучка: читал разные статьи, сидел на форумах, применял знания на практике. 

    Есть чаты, в которых сидят хакеры, — спрашивал советы там. Иногда мне помогали просто так, иногда — за процент от вознаграждения. 

    Кроме того, в то время я читал много открытых отчётов на HackerOne, в которых хакеры описывали, как они обнаружили ту или иную уязвимость. 

    Чтобы компания приняла отчёт, хакеру нужно доказать, что он действительно нашёл уязвимость, которая может причинить ущерб. Не получится сказать: «Шёл мимо гаража, увидел дырку в стене» — подобный отчёт просто не примут и попросят обосновать, в чём заключается дыра, и какую угрозу она несёт, пусть даже в малой степени. 

    Хороший отчёт выглядит так: «Я проходил мимо гаража, увидел, что хозяин забыл вытащить ключ из замка, открыл его, зашёл внутрь, ничего не трогал, а потом привёл владельца и показал, как можно попасть в гараж». 

    В этих отчётах было много полезных данных. Ещё я практиковался на тренажёрах — сервисах вроде Hack The Box, в которых разработчики сознательно оставили дыры. 

    На HackerOne я занимаю 37 место в мировом рейтинге лучших специалистов по поиску уязвимостей 

    Деньги и выплаты 

    Я не считаю, сколько времени трачу на работу. Всё зависит от настроения и объёма задач. Если есть важные дела, занимаюсь ими, если есть свободное время, «охочусь» ради интереса. В месяц я зарабатываю от $2000 до $8000, в среднем — около $5000. 

    Самые высокие выплаты за уязвимости у Mail.ru Group — от $2000 до $4000. Adobe обычно ничего не платит, просто благодарит. А Sony высылает майки. Но я так ни одной не получил благодаря нашей доблестной таможне. 

    Свой самый крупный гонорар я получил за взлом для PayPal: за три месяца работы они заплатили мне около $70 тысяч. Но я не гонюсь за деньгами — иногда участвую в бесплатных проектах, чтобы повысить свой уровень. 

    Какие уязвимости удаётся обнаружить чаще всего 

    Они всегда разные, их сложно отсортировать по «популярности». Но чаще всего я нахожу SQL-инъекции, SSRF и RCE. 

    С помощью SSRF потенциальный злоумышленник может обращаться ко внутренней инфраструктуре компании, иногда недоступной даже даже из глобальной сети. 

    Для этого достаточно найти уязвимый сервис, обращающийся ко внутренней сети. Этот тип уязвимости может привести к полной компрометации инфраструктуры компании. 

    SQL-инъекция позволяет получить доступ к базе данных сайта или сервиса, в которой могут храниться логины, пароли и прочие сведения о пользователях, включая данные администратора. 

    RCE — уязвимость, которая позволяет завладеть сервером и выполнять команды от имени его администратора. 

    Сложнее всего взламывать сервисы крупных компаний: они тщательнее следят за своей инфраструктурой, плюс сама инфраструктура более сложная и базируется на микросервисах. 

    Недавно стало известно об утечке пользовательских данных в «Сбербанке». Насколько я знаю, у них всё хорошо с защитой. Злоумышленники обычно ищут заведомо уязвимых жертв. 

    Некоторые компании знают об уязвимостях, но ничего с ними не делают. Несколько лет назад я случайно обнаружил возможность SQL-инъекции у одного из крупнейших в России продавцов электроники. Уязвимость до сих пор не исправили. 

    Большинство брешей связаны либо с разгильдяйством программистов и системных администраторов, либо с недостатком у них опыта. 

    Иногда и очень опытные специалисты пропускают или попросту не успевают залатать дыры в системе безопасности. Против zero day — уязвимостей далеко не все могут бороться. Так что на 100% безопасными могут быть только выключенная система или система, о которой никто не знает. 

    Кто-то может случайно сделать публичной базу с пользовательскими данными или панель администратора с базой данных. Иногда такие ошибки происходят по невнимательности, когда разработчики забывают отключить некоторые настройки (debug mode) перед публикацией сервиса или обновления. 

    То есть в «нормальном» режиме доступ к этим сведениям могут получить только сотрудники организации, а доступ оказывается открытым всем пользователям интернета. Другие бреши связаны с техническими нюансами: когда что-то ломается при обновлении системы. 

    Как искать уязвимости 

    Если объяснять «на пальцах», поиск уязвимостей выглядит так. Сперва я изучаю инфраструктуру сети — либо вручную, перебирая поддомены, либо с помощью сервисов Shodan и Censys. 

    Так я получаю информацию об узлах, которые образуют сеть. Глядя на них, я понимаю, где могут скрываться потенциальные проблемы. Использую сканеры уязвимостей — они обращаются к узлу и по ответам находят его слабые места. Затем мне остаётся проверить, действительно ли там есть уязвимость. 

    Мне регулярно предлагают заняться «чёрной» работой. Чаще всего обращаются знакомые знакомых, которые хотят больших и лёгких денег и при этом не задумываются о рисках. 

    Самый популярный запрос: «Давай взломаем банк». Они думают, что я могу подчинить себе банкомат, и он будет выплёвывать деньги. Либо предлагают считывать данные о банковских картах. 

    На втором месте — просьба взломать тот или иной интернет-магазин. Некоторые товарищи хотят взломать сайты букмекерских контор и сервисы бинарных опционов или биткоин-кошельки. Иногда просят взломать страницу во «ВКонтакте», но эта просьба, на удивление, лишь на шестом-седьмом месте по популярности. 

    Я никогда не соглашался: все подобные предложения незаконны и противоречат моим внутренним принципам. 

    Команда 

    В 2018 году я познакомился с Андреем Леоновым, который годом ранее нашёл уязвимость в Facebook и заработал $40 тысяч. До знакомства мы много переписывались, а однажды встретились на Zero Nights (крупная российская конференция в сфере информационной безопасности — vc.ru). 

    Мы пообщались и договорились вместе искать баги: нам хотелось развиваться. Решили повышать уровень сообща. Постепенно команда выросла до шести человек. 

    Благодаря командной работе получается достаточно быстро справляться со сложными уязвимостями и выполнять более сложные проекты, которые в одиночку я бы вряд ли взялся делать. Например, аудит систем на наличие уязвимостей. 

    Я либо искал парней специально, либо находил благодаря случаю. Однажды я нашёл дыру в одной компании и стал искать способ сообщить о ней их разработчикам. 

    Почти всегда это непростая задача: в техподдержке часто не понимают, о чём идёт речь. 

    Она консультирует клиентов и обычно отвечает что-то вроде: «Извините, вакансий программистов у нас нет». 

    В лучшем случае предлагают прогуляться до ближайшего магазина, если речь об офлайн-сети, и показать находку администратору. Так было и в тот раз: я на LinkedIn увидел, что один парень работает в той компании, мы разговорились. 

    Оказалось, что он там больше не работает, но пообещал рассказать об уязвимости ответственным людям. В итоге проблему решили, и я даже получил небольшое денежное вознаграждение, что для российских компаний скорее редкость. 

    Слово за слово мы договорились работать вместе — было необходимо автоматизировать часть задач. 

    Этика «белых хакеров» 

    Чаще всего мы не раскрываем данные об уязвимостях, если компания, в которой мы их нашли, не желает этого. То есть мы не можем сказать, что, где и как обнаружили: эта информация только для представителей компании. 

    Кроме того, я использую принцип «не навреди»: для меня недопустимо «положить» сервер или украсть данные. Это считается нарушением этики, преследуется и по закону, и по правилам HackerOne. 

    Моя цель — помогать компаниям быть безопаснее для пользователей. 

    И мне интересно развиваться самому, узнавать о новых технологиях. И лучше «ломать» сервисы для пользы, а не во вред: так не только не накажут, но и расскажут об интересных нюансах, связанных с безопасностью, о которых иначе ты бы и не узнал.




  • Заходи сюда! кошельки, связки, карты! оптом и в розницу!

    У НАС САМЫЕ ПРИЯТНЫЕ ЦЕНЫ! НА ОПТОВЫЕ ЗАКАЗЫ ЦЕНА ВСЕГДА ОБСУЖДАЕМА! WebMoney Формальный аттестат + проверенные документы - 500 руб. Начальный аттестат на Ваши/Наши данные - 2099 т.р. Персональный аттестат - 19999 т.р. Связка вебмани начальный/формальный + Киви + Яндекс ( все на одни данные ) - 3999 т.р.   QIWI Частично идентифицированный кошелек + сканы - 300 рублей. Идентифицированный кошелек на Ваши/Наши данные - 999 рублей. (Идентификация от 10 ш

    InkognitoXXX
    InkognitoXXX
    Продажа карт 22

    Кодграббер Pandora v 2.4 - Полная версия

    Кодграббер Pandora v 2.4 - Полная версия Представляем вашему вниманию прибор Pandora 2.4 Прибор появился на рынке в средине 2017 года За счет не высокой цены и достаточно большого списка, успешно себя зарекомендовал. Упаковка: упаковочный мешочек с коробочкой (внутри сам кодкраббер + инструкция формате а4) Доставка: по Москве кладом, отправка в регионы транспортной компанией; Вы всегда можите написать нам , уточнить всё как пользоваться. Список возможностей и функций: ХА

    MoscowKent
    MoscowKent
    Прочие товары и услуги 18

    Схема по заработку на UBER от 150.000

    И это не галимые промокоды, которые уверен вам где-то впаривали. Длительность: 1 день + саппорт   Я научу как зарабатывать на брут аккаунтах Uber. Работа заключается в предоставлении заказов/поездок нужному водителю без пассажира.  Ваша прибыль это процент от заказа. Как правило 30-50%. Найдя 10 водил, вы сможете брать с каждого минимально 1000 рублей в день. Математику думаю все знают.  Взяв самый хуевый вариант - 5 водителей принесут в день вам 5 тысяч, и 150

    GentleGenry
    GentleGenry
    Схемы заработка 34

    Кардридеры и энкодеры MSR

    К продажам доступны следующие товары: Кардридер «MHT-400» =2000 ₽ ◉ Питание от USB (напрямую от 5V) ◉ Чтение трека #2 ◉ ПО NotePad Энкодер «MSR605X» =9500 ₽ ◉ Питание от USB (напрямую от 5V) ◉ Чтение и запись трека #1, #2, #3 ◉ Количество проводок 500.000 раз ◉ Стандарт Hi-Co и Lo-Co ◉ Карта с магнитной полосой - 10 шт. ◉ Карта для чистки магнитных головок - 1 шт. ◉ ПО для Windows и Mac OS в комплекте  Энкодер «MSR606» =10000 ₽ ◉ Питание от USB (напрямую от 5V) ◉ Чтен

    ProSkimmerMafia
    ProSkimmerMafia
    Скиммеры 28

    Делаем переводы (заливы) WU (western union)

    Залив Western Union Представляю свой сервис по заливам WU, Contact, MoneyGramm Условия честные, можно сказать братские - фифти\фифти (50\50) Предпочитаю работать с людьми с рекомендациями. С новичками форума сделки строго с ЗАЛОГОМ. Залог либо мне на прямую, либо гаранту. Минимальная сумма залива 800$ Перевод делается в течение часа после заключения сделки. Вы получаете код перевода и можете снять его в любом банке. Желательно каждый раз менять банк. По

    Ismailov
    Ismailov
    Заливы на банковские карты 316

    Продажа фальшивых UA, USA, RUS купюр

    Доброго времени суток. Предлагаю Вашему вниманию высококачественные купюры гривны (номинал: 100 грн. и 200 грн.) доллар США (номинал: 100$) рубли (1000, 5000) Цена: 30% от номинала. Мин. заказ  - 50 шт(любой валюты и любого номинала) Доставка: УКР. БЕЛ. РОССИЯ Первые сделки с новыми клиентами готовы проводить через гарант Купюры выполнены в высоком качестве, присутствуют водяные знаки, вклеена магнитная полоса, также купюра имеет рельефную поверхность как в оригинале. Ви

    Баранников
    Баранников
    Прочие товары и услуги 87
  • Заработок на объявлениях

    Тема, которая идеально подойдет для небольшого города и практически не будет требовать вложений, кроме времени Краткая предыстория Наверняка у вашего подъезда есть стенд с объявлениями? Наверняка на нем нахерачены друг на друга непонятные объявления. Или того хуже, рекламная площадка для вашего подъезда вообще не предусмотрена, и реклама засирает рандомное пространство возле него. Посмотрите на эти объявления - причина, по которым их клеят в том, что это работает. В наше время ещё оста

    Integra
    Integra
    Легальный бизнес 5

    Выборочное шифрование трафика в Linux.

    Linux предоставляет огромный набор функций для маршрутизации и инструментов ее конфигурирования. Опытные сисадмины знают об этом и используют арсенал Linux на полную катушку. Но и многие даже продвинутые пользователи не догадываются, сколько удобства могут принести все эти замечательные возможности. Сегодня мы создадим таблицы маршрутизации и опишем правила прохода по ним, а также автоматизируем администрирование этих таблиц. Итак, наши творческие планы: определимся с тем, что нам требуе

    Integra
    Integra
    Социальная инжинерия 1

    Защита WHM / cPanel с помощью плагинов CSF и CXS

    В сегодняшней статье я расскажу вам про два полезных плагина для панели управления хостингом WHM/cPanel, установка и использование которых не только защитит cPanel, но и улучшит безопасность самого хостингового сервера. Я также приведу пару примеров, как с помощью этих плагинов можно отбиться от небольшой DDoS-атаки. Защита cPanel Сама по себе панель управления WHM/cPanel — достаточно надежный и довольно гибкий инструмент для администрирования хостингового сервера, к тому же набор стан

    Rabb1tRun
    Rabb1tRun
    Ботнеты, кодинг, загрузки 3

    Секс тур

    Тему реализовывали в 2017 году. Живая до сих пор, но много нюансов. Работать лучше в паре с девочкой.   С времен финансово кризиса, почему то именно Украина стала меккой, для всякого рода туристов, которым не так интересны достопримечательности. Первое, что встречает бизнесменов и туристов, приехавших в Украину, по пути из аэропорта Борисполь в Киев, — огромные билборды с рекламой стрип-клубов. Подсказка для тех, кто еще не знает или мог позабыть о том, что в нашей стране, как открыто

    human
    human
    Слив схем заработка 4

    В отделениях «Почты России» начали собирать биометрические данные россиян

    Единая биометрическая система (ЕБС) испытывает проблемы с наполняемостью, но эксперты расходятся в оценке того, помогут ли почтовые отделения исправить дело     Отделения «Почты России» стали еще одной площадкой после банков, где начал происходить сбор биометрических данных россиян (изображения лица и записи голоса). Об этом РБК рассказал руководитель дирекции

    rus_d0qstr
    rus_d0qstr
    Юридический раздел 3

    Власти Москвы начнут осуществлять видеонаблюдение через дроны

    Столичные власти объявили тендер по видеомониторингу Москвы с помощью беспилотных летательных аппаратов на сумму 60 миллионов рублей     Департамент информационных технологий (ДИТ) Москвы объявил тендер по видеомониторингу города с помощью беспилотников. В выложенном на сайте госзакупок техническом задании сообщается, что исполнитель должен обеспечить виде

    Integra
    Integra
    Новости 2
×
×
  • Создать...