🚚 ♏️ 🔭 倫理的なハッキング：システムをハッキングし、それでも合法的にお金を稼ぐ方法 👨🏿‍🤝‍👨🏽 👉🏻 🌘

ハッカーは誰ですか？プログラミングから遠く離れているほとんどの人は、お金を盗むために銀行のセキュリティシステムに侵入する悪質な犯罪者です。 SwordfishPasswordのHughJackmanのキャラクターのようなもので、Vernamの暗号を破って、政府の資金から95億ドルを盗みます。

あなたは合法的にハッカーになることができます。このような専門家は、ペンテスターまたは「倫理的ハッカー」と呼ばれます。浸透テスト中に何ができるか、何ができないかをよく知る必要があります。そうでなければ、あなたは法律に関してかなり現実的な問題を抱えることができます。最近、Ethical Hackerコースを開始しました。この記事では、ハッキングの方法、利益を上げる方法、そして法律に問題がない方法について説明します。行く。

ロシア連邦の法律の下でハッカーを脅かすもの

まず、ハッカーが直面する可能性のある問題について話しましょう。システムへの侵入とシステムへのアクセスの取得に関連するほとんどすべての違反は、次の3つの法律に関連しています。

個人データについて（No.152-FZ）。
情報、情報技術、情報保護について（No.149-FZ）。
著作権および関連する権利について（No.5351-1）。

これらの法律への違反は、行政上および刑事上の責任に直面する可能性があります。 アートに

よると。 13.ロシア連邦の行政法（通信および情報の分野における行政違反）は、アクセスが制限された情報を開示するために、個人データの保存、使用、および配布の手順に違反すると、300から20,000ルーブルの罰金が科せられる場合があります。これは個人向けです。法人の場合、罰金の額ははるかに高くなります。

これは主に、そのような情報にアクセスできる人々、および顧客から個人データを収集する組織に関係します。

たとえば、オンラインストアは、名前、電話番号、メールで顧客ベースを収集します。そして、狡猾なマネージャーは、データベースを収集し、それをコピーして、さらに販売することにしました。

そのような行動が深刻な損害を引き起こさず、マネージャーが法執行機関に苦情を受け取っていない場合、その犯罪はアートの下で適格となる可能性があります。13.11、ロシア連邦の行政法典の第8項。彼への罰は30,000から60,000ルーブルの罰金です。

刑法に関しては、ロシア連邦の刑法の次の記事は、ほとんどの場合、ハッカーの悪意のある者を脅かしています。

. 146 « ». . , , .
. 272 « ». , . — .
. 273 «, ». «» — , 273.

. . , , , . , .

. 274 « , - ». , . 2010 20 .
アート。ロシア連邦刑法の274.1「ロシア連邦の重要な情報インフラストラクチャへの違法な影響」。状況はアートと全く同じです。274.それに関する法廷慣行は単にありません。

アートによると。272と273では、最大500,000ルーブルの罰金と最大5年の実質期間を得ることができます。そして特別な場合には-最長7年。さらに、正式には、ケースを開始するには、脆弱性を見つけて、犯罪の意図がなくてもそれを使用しようとします。

ペンテスター：ハッカーとの違い

ペンテスターは、完全に合法的に、法の枠内で働くハッカーです。彼の仕事の本質は、セキュリティシステムの脆弱性を探すことです。

しかし、いくつかの大きな違いがあります。

開発者は、ペンテスターの行動に気づいています。脆弱性を検索するためのすべてのアクションは、特別な合意の下で、またはバグバウンティプログラムを使用して実行されます。それらについては少し後で話します。
, . . — k. , , — . , , .
— . Bug Bounty . .

基本的に、ペンテスターは、彼が従う一連のルールによってハッカーと区別されます。

ペンテスターは、バグバウンティプログラムに専念するか、会社との契約に署名した後です。浸透試験のプロセス自体が保護の破れに関連しているという事実のために、手順は非常に形式化されています。

セキュリティの脆弱性を見つけて、その所有者に指摘することはできません。あなたはこれに対して非常に現実的な料金を得ることができるからです。

2017 18- BKK. — , (20 30 ). , , .

, . , . «» . .

話はうまく終わった。それはメディアで大きな反響を呼び、ユーザーは単に会社のFacebookの評価を下げました。そして、同社は毎年データ保護に100万ドル以上を費やしているとされており、誰もが悪用できるような愚かなバグを見つけただけで、その評判が失われました。

その男は高潔な意図を持っていました-彼はチケット販売システムの穴を指摘し、それを明確に示したかったのです。しかし同時に、彼の行動は依然としてセキュリティ違反と見なされる可能性があります。そして、これは刑事事件です。

技術的には、会社は彼に対して起訴することにおいて完全に正しかった。その男の意図が何であれ、彼は法律を破った。そして、公の共鳴だけが彼を本当の言葉から救った。

バグバウンティ：正しく参加する方法

ほとんどの大企業はBugBountyを実行しています。これは、ソフトウェアまたはWebサイトの企業が見つかった脆弱性に対して報酬を提供する特別なプログラムです。悪用や脆弱性の結果に対処するよりも、見つけたバグにお金を払う方が企業にとってより有益です。

これらのプログラムのほとんどは、HackerOneとBugCrowdでホストされています。

たとえば、Google API、Nginx、PayPal、GitHub、ValveのBugBountyプログラムは次のとおりです。これらのプログラムで見つかった各バグの平均プレミアムは1,000ドルです。エラーごとに50ドルから100ドルを提供する中小企業は数多くあります。

ペンタゴンでさえバグバウンティを立ち上げました！ハッカーがペンタゴンのセキュリティシステムをハッキングし、米国政府からお金をもらえるのは夢です。

しかし、公開されたバグバウンティでさえ、どこでも壊れて穴を探すことができるという意味ではありません。プログラムの説明では、所有者はどの脆弱性が考慮されるかを規定します。

たとえば、Uberは、バグバウンティプログラムに含まれているものと含まれていないものについて非常に詳細に説明しています。

同社は、データアクセスおよびストレージシステム、フィッシング、支払いおよび請求の機会、ユーザーおよび会社の従業員による不正なアクションの脆弱性を見つけたいと考えています。ただし、このプログラムには、一般的なアプリケーションのバグ、不正レポート、ソーシャルネットワークや電子メールニュースレターの操作に関するバグは含まれていません。

しかし、ユーモアのセンスがあれば、すべてがうまくいきます。未払いのアクションの中には次のものがあるためです。

、ユーバー事務所に入るどこでもポテトチップスを投げて、空腹のアライグマの束を解き放つ、そしてスタッフが気を取らされている間、ロック解除されたワークステーションに捨てられたターミナルをハイジャック

、房空腹アライグマと発作無料の端末またはワークステーションを解放し、どこでもチップを散乱、ユーバーオフィスへの参入従業員が混乱している間。

バグバウンティが詳細に説明されているほど、ペンテスターは「試行およびテスト」できることと実行してはならないことを理解しやすくなります。

同時に、違反できない一般的なルールがあります。たとえば、ユーザーデータベースに脆弱性が見つかった場合、個人データのダウンロードを試みることはできません。プログラムに参加したとしても、法律違反とみなすことができます。ここではユーザーの権利が侵害されているため、バグバウンティは関係ありません。

ロシアの浸透試験市場も活発に発展しています。すでに大企業と協力している多くの主要なプレーヤーがいます。たとえば、Digital Security、STC Vulkan、Group-IB、BI.ZONE、KasperskyLab。しかし、市場での競争はまだかなり低いので、あなたは非常に快適にそして個人的に働くことができます。

Gazpromや銀行組織のような一部の大企業は、機密データを第三者に開示しないように、ペンテスターの個別の内部部門を作成しています。

したがって、ペンテスターにはいくつかの可能性があります。

これらの大企業の1つに参加してください。主なプラスは、安定した給与と法律に関する仮想的な問題さえないことです。しかし同時に、多くのペンテスターが努力しているように、たくさんのお金を稼ぐことはうまくいきません。
個々の起業家を開くか、契約の下で働きます。主な利点は、スペシャリストが自分で価格を設定することです。しかし同時に、法的な側面から保険をかけるためには、労使関係の枠組みの中で弁護士と緊密に協力する必要があります。そして、競争相手は眠っていません。
Bug Bounty. — . , . , , Bug Bounty.

バグバウンティに参加するのは簡単です。実際、本質的に、プログラムの開始に関するメッセージは、すべてのユーザーが受け入れることができるオープンオファーです。すぐに作業を開始できます。参加するために追加の同意は必要ありません。

不正な企業を防ぐために、HackerOneサイトとBugCrowdサイトを介して作業することをお勧めします。それらを介してバグレポートを登録して送信するだけです。

唯一のルールは、プログラムの説明を詳細に読むことです。会社がデータベースの脆弱性にお金を払うと書いている場合は、そこで検索するだけで済みます。どこかでバグを見つけたとしても、その代金は支払われません。逆に、問題が発生する可能性があります。

2015 Instagram. Ruby-, .

, PostgreSQL. 60 Instagram Facebook. , — — «password» «instagram».

Amazon Web Services, 82 S3. : Instagram, SSL-, API-, email-, iOS Android. , Instagram.

Facebook. 2500 . , Bug bounty Facebook . , .

したがって、規定されたバグバウンティポイントに従うことは必須です。そうでなければ、あなたはボーナスではなく、告発を受けることができます。

ペンテスターができるべきこと

ペンテスターは「普遍的な兵士」であり、高度に専門化されたスペシャリストでもあります。彼はプログラミングの多くの分野で幅広い知識を持ち、同時に1つ以上の分野で深いスキルを持っている必要があります。

一般に、ジュニアペネトレーターは次の知識を持っている必要があると考えられています。

Windows、Linuxの管理。
1つ以上のプログラミングの知識：Python、php、Perl、Ruby、JavaScript、Bash;
HTMLの知識;
基本的なネットワークプロトコル（TCP / IP、ICMP）/ネットワークサービス（プロキシ、VPN、Samba、AD）;
プロトコル：HTTP、FTP、DNS、SSH;
SQLデータベース（DDL、DMLなど）、MySQL、SQL Server、PostgreSQL、Oracle。

すべてを完全に知る必要はありませんが、少なくとも上記のPL、プロトコル、およびデータベースの基本的な知識が必要です。

また、BurpSuite、SqlMap、Nmap、IP Tools、Acunetixなどの侵入テストプログラムの使用方法を学ぶ必要があります。

実際、これが、開発またはテストの特定のバックグラウンドをすでに持っているスペシャリストのために浸透テストに行くことが推奨される理由です。ジュニアレベルでも、必要な知識の量は膨大です。

ペンテスターとして勉強する場所

そして最後に、ペンテスターの職業に必要なすべての情報を入手できるいくつかの人気のあるリソースを収集しました。

Hackaday. , , . , .
EC-Council CEH. , CEH. .
Cybrary. . , .
Skillfactoryの職業倫理的ハッカー。私たち自身が最近、大規模な10か月の包括的なコースを開始しました。このコースでは、浸透テストのすべての複雑さとトリックを教えています。実際のペンテスターは経験を共有し、実際には、ソフトウェアやWebプロジェクトの脆弱性を見つけるのに役立ちます。

そして、実践的なスキルを向上させることができるいくつかのサイト：

HackThis !! -ここでは、ゲームモードでハッキングスキルをアップグレードし、同時にそれを行う方法を学ぶことができます。
私を根付かせてください-ペンテスターのための380以上の実用的なタスク：初心者からプロまで。
Try2Hackは、ペンテストの練習のための最も古いリソースの1つです。基本的なレベルでは、まさにそれです。
Webgoatは、浸透テストの基本を学び、すぐにその知識を実践できる、現実的なレッスンベースの環境です。
Google Gruyere — , . , .
OverTheWire — . 50 , .

ハッカーの調査によると、侵入テストは悪意のあるハッキングよりもさらに有益であると考えられています。企業は、システムに脆弱性を見つけた人に十分な報酬を支払っています。多くのハッカーは、公式かつ合法的にそれ以上の収入が得られれば、Darknetに飛び込む必要はありません。

あなたがペンテスターになりたいのなら、道は開かれています。しかし、月に数万ドルを稼ぐ良いペンテスターになることははるかに困難です。工芸品というよりは芸術のように見えます。これの準備はできていますか？それならどうぞ！

また、HABRプロモーションコードは、バナーに示されている割引にさらに10％を提供します。

倫理的なハッキング：システムをハッキングし、それでも合法的にお金を稼ぐ方法

ロシア連邦の法律の下でハッカーを脅かすもの

ペンテスター：ハッカーとの違い

バグバウンティ：正しく参加する方法

ペンテスターができるべきこと

ペンテスターとして勉強する場所

More articles: