Ethisches Hacken: Wie man Systeme hackt und trotzdem legal Geld verdient

Wer ist ein Hacker? Die meisten Leute, die weit davon entfernt sind zu programmieren, sind bösartige Kriminelle, die in Bankensicherheitssysteme einbrechen, um Geld zu stehlen. So etwas wie Hugh Jackmans Charakter aus Swordfish Password, der die Vernam-Chiffre durchbricht, um 9,5 Milliarden Dollar aus dem Regierungsfonds zu stehlen.



Sie können legal ein Hacker sein. Solche Spezialisten werden Pentester oder "ethische Hacker" genannt. Sie müssen nur genau wissen, was während der Penetrationstests getan werden kann und was nicht. Andernfalls kann es zu echten Problemen mit dem Gesetz kommen. Wir haben kürzlich den Ethical Hacker- Kurs gestartet. In diesem Artikel werden wir darüber sprechen, wie man hackt, gutes Geld verdient und trotzdem keine Probleme mit dem Gesetz hat. Gehen.

---

Was einen Hacker nach dem Recht der Russischen Föderation bedroht

Lassen Sie uns zunächst über die Probleme sprechen, mit denen ein Hacker konfrontiert sein kann. Fast alle Straftaten im Zusammenhang mit dem Einbruch in Systeme und dem Zugang zu ihnen beziehen sich auf drei Gesetze: 

• Über personenbezogene Daten (Nr. 152-FZ).
• Zu Information, Informationstechnologie und Informationsschutz (Nr. 149-FZ).
• Über Urheberrecht und verwandte Schutzrechte (Nr. 5351-1).

Verstöße gegen diese Gesetze können verwaltungs- und strafrechtlich geahndet werden. 



Nach Art. 13. Der Verwaltungskodex der Russischen Föderation (Verwaltungsverstöße im Bereich Kommunikation und Information) für die Offenlegung von Informationen mit eingeschränktem Zugang, Verstöße gegen das Verfahren zur Speicherung, Verwendung und Verbreitung personenbezogener Daten kann mit einer Geldstrafe von 300 bis 20.000 Rubel geahndet werden. Dies ist für Einzelpersonen. Für juristische Personen ist die Höhe der Geldbuße viel höher.



Es betrifft hauptsächlich Personen, die Zugang zu solchen Informationen haben, und Organisationen, die personenbezogene Daten von Kunden sammeln. 

Ein Online-Shop sammelt beispielsweise einen Kundenstamm mit Namen, Telefonnummern und E-Mails. Und der listige Manager beschließt, die Datenbank zu sammeln und für den weiteren Verkauf an die Seite zu kopieren.



Wenn eine solche Handlung keinen ernsthaften Schaden angerichtet hat und der Manager keine Beschwerden bei den Strafverfolgungsbehörden erhalten hat, kann die Straftat gemäß Art. 13.11, Ziffer 8 des Verwaltungsgesetzbuches der Russischen Föderation. Die Strafe für ihn ist eine Geldstrafe von 30.000 bis 60.000 Rubel.

In Bezug auf das Strafrecht bedrohen die folgenden Artikel des Strafgesetzbuchs der Russischen Föderation in den meisten Fällen einen Hacker-Übeltäter:

• . 146 « ». . , , .
• . 272 « ». , . — .
• . 273 «, ». «» — , 273.

. . , , , . , .

• . 274 « , - ». , . 2010 20 .
• Kunst. 274.1 des Strafgesetzbuches der Russischen Föderation "Rechtswidriger Einfluss auf die kritische Informationsinfrastruktur der Russischen Föderation." Die Situation ist absolut die gleiche wie bei Art. 274. Es gibt einfach keine gerichtliche Praxis.

Nach Art. 272 und 273 können Sie eine Geldstrafe von bis zu 500.000 Rubel und eine reale Laufzeit von bis zu 5 Jahren erhalten. Und in besonderen Fällen - bis zu 7 Jahren. Um einen Fall zu initiieren, sollten Sie eine Sicherheitslücke finden und versuchen, sie auch ohne kriminelle Absicht zu nutzen.

Pentester: Unterschiede zu einem Hacker

Ein Pentester ist ein Hacker, der völlig legal und im Rahmen des Gesetzes arbeitet. Das Wesentliche seiner Arbeit ist die Suche nach Schwachstellen in Sicherheitssystemen.

Es gibt jedoch mehrere wesentliche Unterschiede:

1. Entwickler sind sich der Aktionen eines Pentesters bewusst. Alle Aktionen zur Suche nach Schwachstellen werden entweder im Rahmen einer speziellen Vereinbarung oder mithilfe von Bug Bounty-Programmen ausgeführt. Wir werden etwas später darüber sprechen.
2. , . . — k. , , — . , , .
3. — . Bug Bounty . .

Im Wesentlichen unterscheidet sich ein Pentester von einem Hacker durch eine Reihe von Regeln, die er befolgt.



Pentester arbeitet ausschließlich an Bug Bounty-Programmen oder nach Unterzeichnung eines Vertrags mit dem Unternehmen. Aufgrund der Tatsache, dass der Prozess der Penetrationstests selbst mit der Aufhebung des Schutzes verbunden ist, ist das Verfahren sehr formalisiert.







Sie können eine Sicherheitslücke nicht einfach finden und ihren Besitzer darauf hinweisen. Weil Sie dafür eine sehr reale Gebühr bekommen können.

2017 18- BKK. — , (20 30 ). , , .



, . , . «» . .



Die Geschichte endete gut. Es erhielt eine große Resonanz in den Medien, Benutzer haben einfach die Facebook-Bewertung des Unternehmens herabgesetzt. Und da das Unternehmen angeblich jedes Jahr über eine Million Dollar für den Datenschutz ausgibt, hat die Suche nach einem so dummen Fehler, dass jeder ihn ausnutzen kann, seinen Ruf zerstört.

Der Typ hatte gute Absichten - er wollte auf das Loch im Ticketverkaufssystem hinweisen und es deutlich demonstrieren. Gleichzeitig können seine Handlungen dennoch als Sicherheitsverletzung eingestuft werden. Und das ist ein Strafverfahren.



Technisch gesehen war das Unternehmen völlig korrekt darin, die Anklage gegen ihn zu erheben. Was auch immer der Typ vorhatte, er hat das Gesetz gebrochen. Und nur der öffentliche Aufschrei rettete ihn vor dem eigentlichen Begriff.

Bug Bounty: Wie man richtig teilnimmt

Die meisten großen Unternehmen führen Bug Bounty aus - spezielle Programme, in denen Software- oder Website-Unternehmen Belohnungen für gefundene Schwachstellen anbieten. Für Unternehmen ist es rentabler, für die gefundenen Fehler zu bezahlen, als sich mit den Folgen von Exploits und Schwachstellen zu befassen.



Die meisten dieser Programme werden auf HackerOne und BugCrowd gehostet . 



Hier sind zum Beispiel Bug Bounty-Programme von Google API , Nginx , PayPal , GitHub , Valve . Die durchschnittliche Prämie für jeden in diesen Programmen gefundenen Fehler beträgt 1.000 US-Dollar. Es gibt eine große Anzahl kleinerer Unternehmen, die 50 bis 100 US-Dollar pro Fehler anbieten. 



Sogar das Pentagon hat Bug Bounty gestartet ! Es ist nur ein Traum für einen Hacker, sich in das Sicherheitssystem des Pentagons zu hacken und sogar Geld dafür von der US-Regierung zu bekommen. 



Aber selbst die veröffentlichte Bug Bounty bedeutet nicht, dass Sie überall Löcher brechen und suchen können. In der Beschreibung des Programms schreiben die Eigentümer vor, welche Sicherheitslücken berücksichtigt werden. 



Zum Beispiel gibt Uber eine sehr detaillierte Erklärung, was in ihrem Bug Bounty-Programm enthalten ist und was nicht.



Das Unternehmen möchte Schwachstellen in Datenzugriffs- und Speichersystemen, Phishing-, Zahlungs- und Abrechnungsmöglichkeiten sowie nicht autorisierte Aktionen des Benutzers und der Mitarbeiter des Unternehmens finden. Das Programm enthält jedoch keine allgemeinen Anwendungsfehler, Betrugsberichte, Fehler bei der Arbeit mit sozialen Netzwerken und E-Mail-Newsletter. 



Mit Sinn für Humor ist jedoch alles in Ordnung mit ihnen. Denn unter den unbezahlten Aktionen gibt es Folgendes:

Betreten Sie die Uber-Büros, werfen Sie überall Chips, setzen Sie ein paar hungrige Waschbären frei und entführen Sie ein verlassenes Terminal auf einer unverschlossenen Arbeitsstation, während die Mitarbeiter abgelenkt sind.



Betreten Sie ein Uber-Büro, werfen Sie überall Chips , setzen Sie ein paar hungrige Waschbären frei und greifen Sie nach einem freien Terminal oder Arbeitsbereich. während die Mitarbeiter verwirrt sind.

Je detaillierter Bug Bounty beschrieben wird, desto leichter kann ein Pentester verstehen, was „erprobt“ werden kann und was es nicht wert ist, getan zu werden.



Gleichzeitig gibt es allgemeine Regeln, gegen die nicht verstoßen werden kann. Wenn beispielsweise Sicherheitslücken in Benutzerdatenbanken gefunden werden, können Sie nicht versuchen, persönliche Daten herunterzuladen. Selbst wenn Sie an dem Programm teilnehmen, kann dies als Verstoß gegen das Gesetz angesehen werden. Denn hier werden die Rechte von Nutzern verletzt, mit denen Bug Bounty nichts zu tun hat.







Auch der russische Markt für Penetrationstests entwickelt sich aktiv. Es gibt bereits eine Reihe wichtiger Akteure, die mit großen Unternehmen zusammenarbeiten. Zum Beispiel Digital Security, STC Vulkan, Group-IB, BI.ZONE, Kaspersky Lab. Die Konkurrenz auf dem Markt ist jedoch immer noch recht gering, sodass Sie bequem und individuell arbeiten können.



Einige große Unternehmen wie Gazprom oder Bankenorganisationen schaffen separate interne Abteilungen für Pentester, um vertrauliche Daten nicht an Dritte weiterzugeben.



Daher gibt es für einen Pentester mehrere Möglichkeiten:

• Treten Sie einem dieser großen Unternehmen bei. Das Hauptplus ist ein stabiles Gehalt und das Fehlen selbst hypothetischer Probleme mit dem Gesetz. Aber gleichzeitig wird es nicht funktionieren, viel Geld zu verdienen, wie es viele Pentester anstreben. 
• Öffnen Sie einen einzelnen Unternehmer oder arbeiten Sie unter einem Vertrag. Das Hauptvorteil ist, dass der Spezialist den Preis selbst festlegt. Gleichzeitig müssen Sie im Rahmen der Arbeitsbeziehungen eng mit Anwälten zusammenarbeiten, um sich von der rechtlichen Seite zu versichern. Und Konkurrenten schlafen nicht.
• Bug Bounty. — . , . , , Bug Bounty.

Es ist einfach, an Bug Bounty teilzunehmen. Im Wesentlichen ist eine Nachricht über den Start eines Programms ein offenes Angebot, das jeder Benutzer annehmen kann. Sie können sofort mit der Arbeit beginnen - für Ihre Teilnahme ist keine zusätzliche Zustimmung erforderlich. 



Um sich gegen unehrliche Unternehmen abzusichern, empfehlen wir, die Websites HackerOne und BugCrowd durchzuarbeiten. Registrieren Sie sich einfach und senden Sie Fehlerberichte über sie. 



Die einzige Regel besteht darin, die Programmbeschreibung ausführlich zu lesen. Wenn ein Unternehmen schreibt, dass es für Datenbankschwachstellen bezahlt, müssen Sie nur dort suchen. Selbst wenn Sie irgendwo anders einen Fehler finden, werden Sie nicht dafür bezahlt. Im Gegenteil, Probleme können beginnen. 

2015 Instagram. Ruby-, . 



, PostgreSQL. 60 Instagram Facebook. , — — «password» «instagram».    



Amazon Web Services, 82 S3. : Instagram, SSL-, API-, email-, iOS Android. , Instagram. 



Facebook. 2500 . , Bug bounty Facebook . , .

Das Befolgen der vorgeschriebenen Bug-Kopfgeldpunkte ist daher nur ein Muss. Ansonsten kann man keinen Bonus bekommen, sondern einen Vorwurf.

Was ein Pentester kann

Ein Pentester ist sowohl ein "Universalsoldat" als auch ein hochspezialisierter Spezialist. Er muss über umfassende Kenntnisse in vielen Bereichen der Programmierung und gleichzeitig über fundierte Kenntnisse in einem oder mehreren Bereichen verfügen.



Im Allgemeinen wird angenommen, dass der Junior Penetrator über folgende Kenntnisse verfügen sollte:

• Verwaltung von Windows, Linux;
• Kenntnisse in einer oder mehreren Programmierungen: Python, PHP, Perl, Ruby, JavaScript, Bash;
• HTML-Kenntnisse;
• grundlegende Netzwerkprotokolle (TCP / IP, ICMP) / Netzwerkdienste (Proxy, VPN, Samba, AD);
• Protokolle: HTTP, FTP, DNS, SSH;
• SQL-Datenbanken (DDL, DML usw.), MySQL, SQL Server, PostgreSQL, Oracle.

Es ist nicht notwendig, alles perfekt zu wissen, aber Sie müssen mindestens Grundkenntnisse über die oben genannten PL, Protokolle und Datenbanken haben.



Sie müssen auch lernen, wie Sie Penetrationstestprogramme wie BurpSuite, SqlMap, Nmap, IP Tools und Acunetix verwenden. 



Aus diesem Grund wird empfohlen, Penetrationstests für Spezialisten durchzuführen, die bereits einen bestimmten Hintergrund in der Entwicklung oder im Testen haben. Denn auch für den Junior-Level ist der Wissensbedarf einfach enorm. 

Wo man als Pentester studieren kann

Und schließlich haben wir einige beliebte Ressourcen zusammengestellt, in denen Sie alle Informationen erhalten, die Sie für den Pentesterberuf benötigen:

• Hackaday. , , . , .
  
  
• EC-Council CEH. , CEH. .
  
  
• Cybrary. . , .
  
  
• Beruf Ethischer Hacker von Skillfactory . Wir selbst haben kürzlich einen umfangreichen 10-monatigen umfassenden Kurs gestartet, in dem wir alle Feinheiten und Tricks von Penetrationstests vermitteln. Echte Pentester teilen ihre Erfahrungen und helfen in der Praxis, Schwachstellen in Software- und Webprojekten zu finden.

Und noch ein paar Seiten, auf denen Sie Ihre praktischen Fähigkeiten verbessern können:

• HackThis !! - Hier können Sie Ihre Hacking-Fähigkeiten im Spielemodus verbessern und gleichzeitig lernen, wie es geht. 
• Root me - über 380 praktische Aufgaben für den Pentester: vom Anfänger bis zum Profi.
• Try2Hack ist eine der ältesten Ressourcen für das Pentesting. Für die Grundstufe - genau das Richtige.
• Webgoat ist eine realistische, auf Lektionen basierende Umgebung, in der Sie die Grundlagen des Penetrationstests erlernen und das Wissen sofort in die Praxis umsetzen können. 
• Google Gruyere — , . , .
• OverTheWire — . 50 , .

Laut Inside the Mind einer Hacker- Forschung gelten Penetrationstests heute als noch rentabler als böswilliges Hacken. Unternehmen zahlen gut für diejenigen, die Schwachstellen in ihren Systemen finden - viele Hacker müssen einfach nicht in das Darknet eintauchen, wenn sie offiziell und rechtlich nicht weniger verdienen können. 



Wenn Sie Pentester werden möchten, ist der Weg frei. Aber ein guter Pentester zu werden, der Zehntausende von Dollar im Monat verdient, ist viel schwieriger. Es sieht eher nach Kunst als nach Handwerk aus. Bist du bereit für das? Fahre fort!



Mit dem HABR-Gutscheincode erhalten Sie zusätzlich 10% auf den auf dem Banner angegebenen Rabatt.

• Profession Ethical Hacker von Skillfactory
• Online-Bootcamp für Data Science
• Schulung des Data Analyst-Berufs von Grund auf
• Data Analytics Online Bootcamp
• Data Science
• «Python -»

• Data Scientist -
• 450
• Machine Learning 5 9
• : 2020
• Machine Learning Computer Vision