что дают за хакерство
Прокурор разъясняет
Её нормами предусмотрена уголовная ответственность за создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации.
Вторая часть статьи устанавливает ответственность за неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре РФ, в том числе с использованием компьютерного ПО либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия.
В то же время уголовная ответственность установлена не только для хакеров, но и для тех лиц, которые должны охранять от них информацию.
Максимальное наказание по статье 274.1 УК РФ предусмотрено в виде лишения свободы на срок до десяти лет.
Осуществлять расследование уголовных дел по статье 274.1 УК РФ уполномочена Федеральная служба безопасности Российской Федерации. В тоже время закон допускает возможность производства предварительного следствия следователями органа, выявившего подобное преступление (СК РФ, МВД РФ).
Прокуратура
Вологодской области
Прокуратура Вологодской области
Уголовная ответственность за хакерство
Её нормами предусмотрена уголовная ответственность за создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации.
Вторая часть статьи устанавливает ответственность за неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре РФ, в том числе с использованием компьютерного ПО либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия.
В то же время уголовная ответственность установлена не только для хакеров, но и для тех лиц, которые должны охранять от них информацию.
Максимальное наказание по статье 274.1 УК РФ предусмотрено в виде лишения свободы на срок до десяти лет.
Осуществлять расследование уголовных дел по статье 274.1 УК РФ уполномочена Федеральная служба безопасности Российской Федерации. В тоже время закон допускает возможность производства предварительного следствия следователями органа, выявившего подобное преступление (СК РФ, МВД РФ).
Что дают за хакерство
Статья 272. Неправомерный доступ к компьютерной информации
наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.
Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ
наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.
наказываются лишением свободы на срок от трех до семи лет.
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети
наказывается лишением права занимать определенные должности или заниматься определенной деятельностью На срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.
наказывается лишением свободы на срок до четырех лет.
Два приема против взлома
Правительство России внесло в Государственную Думу законопроект, который определяет список так называемых «критически значимых объектов информационной инфраструктуры».
Все они будут включены в специальный реестр, который будет курировать уполномоченный орган федеральной власти. Он пока еще не определен, а вот со списком критически значимых объектов информационной инфраструктуры все более-менее ясно.
Перечень довольно обширный, в него, как следует из текста документа, попадут информационные системы и компьютерные сети государственных органов, оборонной промышленности, здравоохранения, транспорта, связи, кредитно-финансовой системы, энергетики. Не забыта топливная, атомная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность. Силы и подразделения, а также сотрудники, связанные с обнаружением, предупреждением и ликвидацией последствий компьютерных атак также будут присутствовать в специальном реестре.
Все объекты разделят на категории, в основу которых ляжет определение социальной, политической, экономической, экологической значимости, а также обеспечение обороноспособности и безопасности страны. При этом, эксперты не исключают, что спасение «значимых» отчасти будет делом самих «значимых».
Госорганы, юрлица, владеющие объектами, а также операторы связи должны будут самостоятельно либо с привлечением специальных организаций разрабатывать и осуществлять мероприятия по безопасности, говорится в законопроекта. В том числе за свой счет приобретать и устанавливать средства обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России.
Впрочем, поймать компьютерного хулигана за руку и примерно наказать будет непросто, по оценкам экспертов, большинство атак на нашу страну совершается из-за рубежа. За последние годы в мире ущерб от хакеров уже подошел к триллиону долларов и составляет от 0,4 до 1,4 процента мирового ВВП, предупреждает пояснительная записка. Компьютерная атака способна полностью парализовать информационную инфраструктуру государства и вызвать социальную, финансовую или экологическую катастрофу.
Пропаганда ради пропаганды
Еще более циничным выглядит то, как эти списки якобы «пророссийских сайтов» попали в распоряжение «Вашингтон пост». Как сообщила газета «Нью-Йоркер», которой тоже передали эти списки, их предложили редакции некие анонимные доброжелатели. Это группа «The PropOrNot Team», лица в анонимном письме назвавшиеся экспертами, которые ставят «целью выявление пропаганды, особенно российской пропаганды, которая ориентируется на американскую аудиторию». У обозревателя «Нью-Йоркер» сразу вызвало подозрения то, что обвинения в том, что американские сайты «продвигают российскую пропаганду», выдвинула группа анонимов, а их аргументы носят нелогичный и хаотичный характер. Тем не менее «Вашингтон пост» на эту уловку купилась. Вот только купилась ли? На самом деле американские ресурсы, пугая граждан США российскими хакерами и пропагандой, отвлекают внимание отнюдь не от мнимой угрозы. А попросту, прикрываясь пропагандой, умалчивают о тех, кто готовит атаку на чувствительные объекты российской инфраструктуры. Иными словами, потворствуя им.
Хакеры из Италии занимают «почетное» 10-ое место в мировой классификации. Их главной мишенью являются коммерческие компании, а также сайты правительственных учреждений (премьер-министра Италии, Сената и Палаты депутатов). Чаще всего хакеры выбирают в жертвы те структуры, которые проявляли попытки произвести регулирование интернета. Есть, однако, среди местных хакеров и те, которыми движут добрые намерения. К примеру, около месяца назад хакер, известный под псевдонимом Kapustkiy, взломал сайт правительства Италии и похитил базу данных, содержащую информацию о 45 тыс. пользователей, в том числе учетные данные сервисов, находящихся в ведении муниципалитетов страны. При этом на платформе Pasterbin он решил разместить лишь часть похищенной информации, объяснив этот жест желанием предоставить итальянским властям возможность исправить проэксплуатированную им уязвимость, позволяющую производить подобные атаки. Однако законодательство Италии не делает различия между «злыми» и «добрыми» интернет-взломщиками.
Согласно статье 615 Уголовного кодекса Италии, любого, кто попытается нанести урон информационной безопасности страны, будет ожидать срок лишения свободы от 1-го до 3-х лет. Впрочем, учитывая, что многие итальянские хакеры пока еще не достигли совершеннолетия. Для них зачастую применяются альтернативные формы наказания. Например, 16-летнего интернет гения, атаковавшего около года назад сайт одного из итальянских профсоюзов, в качестве взыскания взяли его на один день консультантом для своего сайта.
В Германии наказание за хакерские атаки предусмотрено статьей 303 уголовного кодекса страны. Называется она «компьютерный саботаж». Наказуемо «значительное повреждение обработки данных, представляющих важность для других», а также «удаление, удерживание, повреждение, изменение данных, составление и передача данных или же повреждение и изменение устройства по их передаче или их носителя». Если эти данные «имеют большое значение для чужого производства или предприятия, а также госучреждения», злоумышленникам грозит денежный штраф или тюремный срок до пяти лет. Наказуема также попытка саботажа. Лишение свободы от шести месяцев до десяти лет предусмотрено, если действия преступника приведут к значительной потере имущества или нарушению снабжения населения жизненно важными товарами или услугами, а также в случае угрозы безопасности ФРГ. Такое же наказание грозит совершающим подобные преступления профессионально или в составе банды, долговременно занимающейся компьютерным саботажем.
Статья 202 УК РГ предусматривает наказание за электронный шпионаж. Если кто-то «подготавливает, достает для себя и других, продает, передает другим или распространяет пароли и коды безопасности, а также компьютерные программы, предоставляющие доступ к чужим данным», получит наказание в виде денежного штрафа или тюрьмы до двух лет. Так же наказываются все, кто предоставляет другим незаконный доступ к данным, не предназначенным для чужих, или ворует их, применяя технические средства. За подготовку этих преступлений грозит денежный штраф или лишение свободы сроком до двух лет.
Хакеры в рамках законов РФ
После публикации статьи о моих исследования в качестве Grey hat, в комментариях к статье и в чате Telegram (@router_os) люди стали писать, что я нарушил все законы и меня посадят.
И как обещал, спустя несколько месяцев я пишу эту статью и даже не из камеры СИЗО 🙂 Более того вчера получил очередной сертификат MTCRE.
В Интернете очень много статей о хакерах и отношениях к ним в различных странах. Но я не нашёл ни одной внятной статьи как относятся к хакерам в Российской Федерации в рамках действующих законов. Возможно не там искал, но всё же.
Предлагаю разобраться в разновидностях хакеров более детально в том числе с точки зрения судебной практики в РФ.
Далее будет чисто моё мнение, основанное на моём опыте и информации, полученной из открытых источников.
Поэтому хотел бы увидеть Ваше мнение и замечания в комментариях.
На сегодняшний день существуют три типа хакеров:
White hat или Этичный хакер
Чаще всего это наёмные специалисты по безопасности в задачи которых входит поиск уязвимости в компьютерных системах по заказу или техническому заданию владельца системы.
Их также называют — пентестеры.
В большинстве случаев они имеют профильное образование. Фанатиков своего дела среди них не много. Они делают то, чему их научили и что их попросили сделать. Выше головы не стараются прыгнуть.
Так же к White hat можно отнести участников конкурсов и программ на подобии «Bug Bounty».
Главная мотивация: гарантированное вознаграждение за их работу.
Black Hat или киберпреступник
Это те супер злодеи, которых привыкли видеть в различных фильмах и о которых рассказывают по ТВ.
Как правило это те же высококвалифицированные специалисты, как и этичные хакеры, но могут быть без высшего образования и имеющие корыстную личную мотивацию. Например, стырить очередную базу и продать её в Даркнете.
Действия «Чёрных шляп» почти во всём мире вне закона. Шанс озолотиться на много выше, чем у «Белой шляпы», но и риск уехать в места не столь отдалённые тоже высок.
Они всегда имеют преступный умысел.
Grey hat
Хоть цвет у этих шляп промежуточный, но они в корне отличаются от киберпреступников и этичных хакеров.
Обычно это молодые люди, которые ещё верят в справедливость в этом мире и готовы безвозмездно помогать другим. С неподдельным любопытством изучают исследуемую IT систему.
В случае обнаружения какой-то уязвимости, которой могут воспользоваться злоумышленники, пытаются повлиять на её дальнейшее развитие:
Природа человека такова, что каждый хочет признания в обществе.
Но, «Кто людям помогает — тот тратит время зря.» (Шапокляк). Поэтому не получив желаемого признания, студенты снимают «Серую шляпу».
Дальше у бывших альтруистов несколько путей:
Я познакомился с оборудованием Микротик ещё в 2015 году, когда устроился на работу в организацию, в которой применялось это оборудование. Но сеть была построена крайне отвратительна (например, каждый сегмент сети NATился имея прямые линки) и я стал изучать микротик с цель правильного строительства сети.
Через год я сменил работу и Микротик ко мне стал попадать на много реже. Но я продолжил в вялом режиме ковырять эту систему.
Не имея материальной выгоды от знаний RouterOS я в 2018 сдал экзамен MTCNA и вчера получил MTCRE
Рано или поздно любопытство к Mikrotik у меня угаснет, если не появится профессиональный интерес.
Пираты
Они, по сути, относятся к киберпреступникам. Да и подавляющее большинство далеки от ИТ, но я должен их упомянуть в рамках этой статьи.
Всё же их цель своровать контент, деактивировать защиту и перепродавать, не отчисляя вознаграждений владельцу контента. Тем более их судят по «хакерским» статьям.
Закон РФ о хакерах
В нашей стране разрешено всё, что явно не запрещено.
Что запрещено для хакеров прописано в четырёх статьях 28 главы Уголовного Кодекса. Давайте по порядку рассмотрим их.
272 УК РФ «Неправомерный доступ к охраняемой законом компьютерной информации»
Не всю информацию охраняет закон. То есть чтобы информация стала охраняемой, то о ней должно упоминаться в законодательном акте.
Если кто-то проник к Вам на комп и стырил Вашу курсовую работу, то его не могут привлечь по этой статье.
Какую именно информацию охраняет закон:
Так же любая информация может стать «охраняемой законом», в случае если владелец информации предпринял все необходимые меры, чтобы защитить её. (ст. 6 закона N 149-ФЗ от 27.07.2006 N 149-ФЗ «Об информации. »).
Если злоумышленник взломал Ваш сайт с логином «admin» и паролем «123» и на главной странице разместил неприличную картинку, то по ст. 272 УК РФ его привлечь нельзя, даже учитывая, что у него был преступный умысел.
Требование обновлять ПО на роутере является обязательным условием для защиты информации.
273 УК РФ Создание, использование и распространение вредоносных компьютерных программ
Под эту статью попадают, разумеется, все вирусы и кряки для программ, которые нейтрализуют защиту ПО.
А вот программы для пентеста – очень спорный момент. К таким программам в обязательном порядке пишут аннотацию, что её можно использовать только с согласия владельца информационной системы. Но если судебной власти понадобится, то не составит особого труда назвать эту программу вредоносной.
При любом раскладе по этой статье должны поймать с поличным при создании, использовании или осознанном распространении этих программ. Либо чистосердечное признание.
А так как наши следователи в подавляющем большинстве не сильны в IT, то в приговоре по этой статье часто фигурирует строка:
«В судебном заседании подсудимый признал себя виновным в предъявленном ему обвинении по ст. 273 ч. 1 УК РФ полностью и ходатайствовал о постановлении приговора в особом порядке, без проведения судебного разбирательства.»
Поэтому если коллекция кряков хранится на вашем диске, то это не основание привлечения по этой статье.
274 УК РФ Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
Привлечь по этой статье можно только если деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб.
Честно говоря, я не нашёл судебную практику по ней… Либо плохо ищу, либо в РФ не научились её применять.
274.1 УК РФ Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации
Та же ситуация. Теорию по этой статье можно найти здесь habr.com/ru/post/346372
Пример из моей практики
После очередного релиза «личного кабинета клиента банка» разрабы допустили баг, который при переводе денег с карты на счёт не проверял наличие этих денег на карте. Обычный клерк, который умеет кликать мышкой углядел этот баг. Накликал себе некоторую сумму. Причём делал это и на работе и у себя дома без всяких VPN.
Сам лично снимал эти деньги в банкомате. Так как суточный лимит по карте был установлен в 25000 рублей, то он это делал несколько дней подряд, пока эту багу не обнаружили в банке.
Когда его нашли и предложили добровольно вернуть бабло без обращения в полицию (всё-таки косяк банка и СБ банка это понимала), то он пошёл в отказ, мол не мои проблемы, что ваша система бабло раздаёт.
Чувака осудили как раз по ч.1 ст. 272 УК РФ, так как он осознано неправомерно модифицировал охраняемую законом банковскую информацию.
Ущерб
Даже если в деяниях хакера не установлен состав преступления, то ущерб можно получить в гражданском порядке (ГК РФ Статья 1064).
Например, если бы я обновил прошивку на дырявом Mikrotik и он «окирпичился», то владелец этого роутера (после отказа в возбуждении УД) может подать на меня в суд в гражданском порядке и попросить суд взыскать с меня этот ущерб.
Заключение
По сути хакера в РФ могут привлечь к уголовной ответственности только по двум статья и только при следующих обстоятельствах:
Согласно законам РФ «Серые шляпы» не могут случайно стать уголовниками. Для этого у них должен быть преступный умысел и быть достаточно тупыми в IT и правовом плане. Ведь осуждённых реальных хакеров в РФ практически нет.
И меня в рамках законов РФ нельзя привлечь к уголовной ответственности за то, что я внёс изменения в фаервол маршрутизатора, даже если кто-то понёс от этого действия ущерб…
Но не забываем, что следователи и суды в РФ могут выносить любые решения, которые могут не дружить со здоровым смыслом и часто напоминают
Этичный хакинг: как взламывать системы и при этом зарабатывать легально
Кто такой хакер? Большинство людей, которые далеки от программирования, представляют перед собой злостного преступника, взламывающего системы безопасности банков, чтобы украсть деньги. Что-то вроде героя Хью Джекмана из фильма «Пароль — “Рыба-меч”», который взламывает шифр Вернама, чтобы украсть из правительственного фонда 9,5 млрд. долларов. Здесь сосредоточимся на правовой стороне взлома, а если ваши представления навеяны именно фильмами, для вас мы подготовили подробный обзор профессии специалиста по кибербезопасности.
Хакером можно быть и легально. Легальных хакеров называют пентестеры, или «этичные хакеры». Вот только нужно хорошо знать, что можно делать во время тестирования системы на проникновение, а что — нельзя. Иначе можно получить вполне реальные проблемы с законом. Совсем недавно мы запустили курс «Этичный хакер», и в этой статье мы поговорим, как заниматься хакингом, зарабатывать на этом неплохие деньги и при этом не иметь проблем с законом. Поехали.
Что грозит хакеру по закону РФ
Для начала поговорим о проблемах, которые могут свалиться на хакера. Практически все правонарушения, связанные со взломом систем и получения доступа к ним, касаются трех законов:
Согласно ст. 13. КоАП РФ (Административные правонарушения в области связи и информации), за разглашение информации с ограниченным доступом, нарушение порядка хранения, использования и распространения персональных данных может грозить штраф от 300 до 20 000 рублей. Это для физических лиц. Для юридических лиц размер штрафа гораздо больше.
В основном она касается людей, которые имеют доступ к подобной информации, и организаций, которые собирают персональные данные клиентов.
К примеру, интернет-магазин собирает клиентскую базу с именами, номерами телефонов и email-ами. А ушлый менеджер решает собрать базу и скопировать ее для дальнейшей продажи на сторону.
Если подобное действие не стало причиной серьезного ущерба, а на менеджера не поступило жалоб в правоохранительные органы, то правонарушение может быть квалифицировано по ст. 13.11 п. 8 КоАП РФ. Наказание за него — штраф в размере от 30 000 до 60 000 рублей.
Что касается уголовного законодательства, то хакеру-злоумышленнику в большинстве случаев грозят следующие статьи УК РФ:
Небольшое отступление. Пентестеры также используют сторонние программы для взлома систем безопасности и получения доступа к закрытой информации. Легальных программ для взлома не существует, поэтому компания, которая заказывает пентестинг, должна в письменной форме дать добровольное согласие на использование сторонних программ. Также пентестеры обычно подписывают соглашение о неразглашении сведений, полученных в ходе атак.
Пентестер: отличия от хакера
Пентестер — это хакер, который работает полностью легально и в рамках закона. Суть его работы — поиск уязвимостей в системах безопасности.
Но есть несколько серьезных отличий:
Пентестер работает исключительно по программам Bug Bounty или после заключения контракта с компанией. Из-за того, что сам процесс пентестинга связан со взломом защиты, процедура очень формализованная.
Нельзя просто найти уязвимость в системе защиты и указать на нее владельцу. Потому что за это можно получить вполне реальное обвинение.
В 2017 году 18-летний хакер нашел уязвимость в системе безопасности венгерской транспортной компании BKK. Баг был простой — с помощью инструментов для разработчика в браузере парень изменил исходный код страницы, вписав свою цену на билет (20 центов вместо 30 евро). Валидация цены не проводилась ни на сервере, ни на стороне клиента, поэтому хакер смог купить билет за эту цену.
После этого он обратился к представителям компании, раскрыв всю информацию об уязвимости. Но получил не благодарность, а уголовное дело. Транспортная компания «обиделась» и подала на него в суд. Парня арестовали.
История закончилась хорошо. Она получила большой резонанс в СМИ, пользователи просто обрушили рейтинг компании в Facebook. А с учетом того, что компания якобы тратила свыше миллиона долларов на защиту данных каждый год, обнаружение такого глупого бага, которым мог воспользоваться любой человек, просто уничтожило ее репутацию.
У парня были благородные намерения — он хотел указать на дыру в системе продаж билетов, наглядно продемонстрировав ее. Но при этом его действия все равно можно квалифицировать как взлом системы безопасности. А это уголовное дело.
Формально компания была полностью права, выдвигая ему обвинения. Какими бы ни были намерения парня, он нарушил закон. И от реального срока его спас только общественный резонанс.
Bug Bounty: как участвовать правильно
Большинство крупных компаний ведут Bug Bounty — специальные программы, в которой компании-разработчики ПО или сайтов предлагают вознаграждение за найденные уязвимости. Компаниям выгоднее платить за найденные ошибки, чем разбираться с последствиями, к которым могут привести эксплойты и уязвимости.
Большинство таких программ размещены на сайтах HackerOne и BugCrowd.
К примеру, вот программы Bug Bounty от Google API, Nginx, PayPal, GitHub, Valve. Средний размер премии за каждый найденный баг в этих программах — 1000 долларов. Есть огромное количество компаний поменьше, которые предлагают 50-100 долларов за ошибку.
Даже Пентагон запускал Bug Bounty! Это же просто мечта для хакера — взломать систему защиты Пентагона, да еще и получить деньги за это от правительства США.
Но даже опубликованная Bug Bounty не означает, что можно ломать и искать дырки где попало. В описании программы владельцы прописывают, какие именно уязвимости будут рассматриваться.
К примеру, Uber дает очень подробное объяснение, что входит в их программу Bug Bounty, а что — нет.
Компания хочет найти уязвимости в системах доступа и хранения данных, возможностей фишинга, оплаты и счетов, несанкционированных действий со стороны пользователя и сотрудников компании. Но в программу не входят общие баги приложения, отчеты о мошенничестве, баги в работе с соцсетями и email-рассылкой.
Впрочем, с чувством юмора у них все нормально. Потому что среди неоплаченных действий есть и следующее:
Entering the Uber offices, throwing crisps everywhere, unleashing a bunch of hungry raccoons, and hijacking an abandoned terminal on an unlocked workstation while staff are distracted
Входить в офис Uber, разбрасывая везде чипсы, выпуская кучу голодных енотов и захват свободного терминала или рабочего места, пока сотрудники сбиты с толку.
Чем подробнее описана Bug bounty, тем проще пентестеру понять, что можно «пробовать на зуб», а чего делать не стоит.
При этом есть общие правила, которые нарушать нельзя. К примеру, при обнаружении уязвимостей в базах данных пользователей нельзя пытаться скачать какие-либо личные данные. Даже при участии в программе это может быть расценено как нарушение закона. Потому что здесь нарушаются права именно пользователей, к которым Bug bounty не имеет никакого отношения.
Российский рынок пентестинга тоже активно развивается. На нем уже есть ряд крупных игроков, которые работают с большими корпорациями. К примеру, Digital Security, НТЦ «Вулкан», Group-IB, BI.ZONE, «Лаборатория Касперского». Но конкуренция на рынке еще довольно невысокая, так что можно вполне комфортно работать и индивидуально.
Некоторые крупные компании вроде «Газпрома» или банковских организаций создают отдельные внутренние подразделения пентестеров, чтобы не раскрывать конфиденциальные данные сторонним организациям.
Поэтому для пентестера есть несколько возможностей:
Чтобы подстраховаться от нечестных компаний, рекомендуем работать через сайты HackerOne и BugCrowd. Просто зарегистрируйтесь и подавайте заявки с обнаруженными багами через них.
Единственное правило — очень детально читать описание программы. Если компания пишет, что платит за уязвимости баз данных, то искать нужно только там. Даже если вы найдете баг где-нибудь еще, то за него не заплатят. Даже наоборот — могут начаться проблемы.
Уэсли Вайнберг в 2015 году нашел одну из самых серьезных брешей в защите Instagram. В ходе пентестинга он обнаружил Ruby-уязвимость, которая позволила ему запустить удаленное воспроизведение произвольного кода.
Это позволило ему прочитать файлы конфигурации, которые содержали доступы к базе PostgreSQL. Там были 60 аккаунтов сотрудников Instagram и Facebook. Как утверждает Вайнберг, взломать их не составило труда — большинство паролей были крайне слабыми — вроде «password» или «instagram».
Далее он получил доступ к нескольким ключам Amazon Web Services, которые ассоциировались с 82 бакетами S3. И в этих бакетах было настоящее сокровище для хакера: исходные коды Instagram, SSL-сертификаты, API-ключи, данные email-сервера, ключи подписей для приложений iOS и Android. Можно сказать, что пентестер получил полный доступ ко всем секретным материалам Instagram.
Он честно сообщил об этой находке представителям Facebook. За один баг ему действительно выплатили 2500 долларов. Но также он получил обвинение в несанкционированном доступе к аккаунтам сотрудников, бан в программе Bug bounty от Facebook и угрозу уголовного преследования. Хотя уголовное дело не было возбуждено, нервы пентестеру потрепали изрядно.
Так что следование прописанным пунктам Bug bounty — это просто обязательно. Иначе можно получить не премию, а обвинение.
Что должен уметь пентестер
Пентестер — это одновременно «универсальный солдат» и узконаправленный специалист. Ему нужно обладать широкими знаниями во многих отраслях программирования и при этом глубокими навыками в одной или нескольких сферах.
В целом считается, что Junior-пентестер должен обладать следующими знаниями:
Также нужно научиться использовать программы для пентестинга вроде BurpSuite, SqlMap, Nmap, IP Tools и Acunetix.
Собственно, именно поэтому в пентестинг рекомендуют идти тем специалистам, у которых уже есть определенный бэкграунд в разработке или тестировании. Потому что даже для уровня Junior количество необходимых знаний просто огромно.
Где учиться на пентестера
И напоследок мы собрали несколько популярных ресурсов, на которых можно получить всю необходимую информацию для профессии пентестера:
Если вы хотите стать пентестером — путь открыт. Но вот стать хорошим пентестером, который зарабатывает десятки тысяч долларов в месяц, намного сложнее. Это уже больше похоже на искусство, а не на ремесло. Готовы к такому? Тогда вперед!
А промокод HABR даст вам получить дополнительные 10% к скидке указанной на баннере.