Qui est un hacker? La plupart des gens qui sont loin de programmer sont des criminels vicieux qui s'introduisent dans les systèmes de sécurité des banques pour voler de l'argent. Quelque chose comme le personnage de Hugh Jackman du film Swordfish Password, qui brise le chiffre de Vernam pour voler 9,5 milliards de dollars au fonds gouvernemental.
Vous pouvez être un pirate légalement. Ces spécialistes sont appelés pentesters ou "hackers éthiques". Vous avez juste besoin de bien savoir ce qui peut être fait pendant les tests d'intrusion, et quoi non. Sinon, vous pouvez avoir de vrais problèmes avec la loi. Nous avons récemment lancé le cours Ethical Hacker , et dans cet article, nous allons parler de la façon de pirater, de gagner beaucoup d'argent et de ne pas avoir de problèmes avec la loi. Aller.
Ce qui menace un pirate informatique en vertu de la loi de la Fédération de Russie
Tout d'abord, parlons des problèmes auxquels un pirate peut faire face. Presque toutes les infractions liées à l'effraction dans les systèmes et à y avoir accès se rapportent à trois lois:
- Sur les données personnelles (n ° 152-FZ).
- Sur l'information, les technologies de l'information et la protection de l'information (n ° 149-FZ).
- Sur le droit d'auteur et les droits voisins (n ​​° 5351-1).
La violation de ces lois peut entraîner une responsabilité administrative et pénale.
Selon l' art. 13. Code administratif de la Fédération de Russie (infractions administratives dans le domaine des communications et de l’information), pour la divulgation d’informations avec un accès limité, la violation de la procédure de stockage, d’utilisation et de distribution des données à caractère personnel est passible d’une amende de 300 à 20 000 roubles. Ceci est pour les particuliers. Pour les personnes morales, le montant de l'amende est beaucoup plus élevé.
Il concerne principalement les personnes ayant accès à de telles informations et les organisations qui collectent des données personnelles auprès des clients.
Par exemple, une boutique en ligne rassemble une base de clients avec des noms, des numéros de téléphone et des e-mails. Et le gestionnaire rusé décide de collecter la base de données et de la copier pour une vente ultérieure sur le côté.
Si une telle action n'a pas causé de dommage grave et que le gestionnaire n'a pas reçu de plaintes auprès des forces de l'ordre, l'infraction peut être qualifiée en vertu de l'art. 13.11, clause 8 du Code administratif de la Fédération de Russie. La punition pour lui est une amende de 30 000 à 60 000 roubles.
En ce qui concerne le droit pénal, les articles suivants du Code pénal de la Fédération de Russie menacent dans la plupart des cas un pirate informatique malveillant:
- . 146 « ». . , , .
- . 272 « ». , . — .
- . 273 «, ». «» — , 273.
. . , , , . , .
- . 274 « , - ». , . 2010 20 .
- Art. 274.1 du Code pénal de la Fédération de Russie "Influence illégale sur l'infrastructure d'information critique de la Fédération de Russie." La situation est absolument la même qu'avec l'art. 274. Il n'y a tout simplement aucune pratique judiciaire à ce sujet.
Selon l'art. 272 et 273, vous pouvez obtenir une amende allant jusqu'à 500 000 roubles et une peine réelle de 5 ans. Et dans des cas particuliers - jusqu'à 7 ans. De plus, formellement, pour engager une affaire, trouver une vulnérabilité et essayer de l'utiliser même sans intention criminelle.
Pentester: différences avec un hacker
Un pentester est un hacker qui travaille en toute légalité et dans le cadre de la loi. L'essence de son travail est de rechercher des vulnérabilités dans les systèmes de sécurité.
Mais il existe des différences majeures:
- Les développeurs sont conscients des actions du pentester. Toutes les actions de recherche de vulnérabilités sont effectuées soit dans le cadre d'un accord spécial, soit à l'aide de programmes Bug Bounty. Nous en parlerons un peu plus tard.
- , . . — k. , , — . , , .
- — . Bug Bounty . .
Essentiellement, un pentester se distingue d'un hacker par un ensemble de règles qu'il suit.
Pentester travaille exclusivement sur les programmes Bug Bounty ou après avoir signé un contrat avec l'entreprise. En raison du fait que le processus de test de pénétration lui-même est associé à la rupture de la protection, la procédure est très formalisée.
Vous ne pouvez pas simplement trouver une faille de sécurité et la signaler à son propriétaire. Parce que pour cela, vous pouvez obtenir une charge très réelle.
2017 18- BKK. — , (20 30 ). , , .
, . , . «» . .
L'histoire s'est bien terminée. Il a reçu une excellente réponse dans les médias, les utilisateurs ont simplement fait baisser la cote Facebook de l'entreprise. Et avec la société qui aurait dépensé plus d'un million de dollars pour la protection des données chaque année, trouver un bug tellement stupide que n'importe qui pourrait exploiter a détruit sa réputation.
Le gars avait de nobles intentions - il voulait souligner le trou dans le système de vente de billets, le démontrant clairement. Mais en même temps, ses actions peuvent encore être qualifiées de faille de sécurité. Et c'est une affaire criminelle.
Techniquement, la société avait tout à fait raison de porter les accusations contre lui. Quelles que soient les intentions du gars, il a enfreint la loi. Et seule la résonance publique l'a sauvé du vrai terme.
Bug Bounty: comment participer correctement
La plupart des grandes entreprises exécutent Bug Bounty - des programmes spéciaux dans lesquels les sociétés de logiciels ou de sites Web offrent des récompenses pour les vulnérabilités trouvées. Il est plus rentable pour les entreprises de payer pour les bogues qu'elles découvrent que de gérer les conséquences des exploits et des vulnérabilités.
La plupart de ces programmes sont hébergés sur HackerOne et BugCrowd .
Par exemple, voici les programmes Bug Bounty de Google API , Nginx , PayPal , GitHub , Valve . La prime moyenne pour chaque bogue trouvé dans ces programmes est de 1 000 $. Il existe un grand nombre de petites entreprises qui offrent entre 50 et 100 dollars par erreur.
Même le Pentagone a lancé Bug Bounty! C'est juste un rêve pour un pirate de pirater le système de sécurité du Pentagone, et même d'obtenir de l'argent pour cela du gouvernement américain.
Mais même le Bug Bounty publié ne signifie pas que vous pouvez casser et rechercher des trous n'importe où. Dans la description du programme, les propriétaires prescrivent quelles vulnérabilités seront prises en compte.
Par exemple, Uber donne une explication très détaillée de ce qui est inclus dans leur programme Bug Bounty et de ce qui ne l'est pas.
L'entreprise souhaite trouver des vulnérabilités dans les systèmes d'accès et de stockage des données, les opportunités de phishing, de paiement et de facturation, les actions non autorisées de l'utilisateur et des employés de l'entreprise. Mais le programme n'inclut pas les bogues d'application généraux, les rapports de fraude, les bogues dans le travail avec les réseaux sociaux et les bulletins d'information par courrier électronique.
Cependant, avec un sens de l'humour, tout va bien pour eux. Parce que parmi les actions non rémunérées, il y a les suivantes:
Entrer dans les bureaux d'Uber, lancer des chips partout , déchaîner un tas de ratons laveurs affamés et détourner un terminal abandonné sur un poste de travail déverrouillé pendant que le personnel est distrait.Entrée
dans le bureau Uber, dispersant partout des puces, libérant le tas de ratons laveurs affamés et un terminal ou un poste de travail sans saisie, tandis que les employés sont confus.
Plus la prime de bogue est décrite en détail, plus il est facile pour un pentester de comprendre ce qui peut être «essayé et testé» et ce qui ne doit pas être fait.
En même temps, il existe des règles générales qui ne peuvent être violées. Par exemple, si des vulnérabilités sont détectées dans les bases de données des utilisateurs, vous ne pouvez pas essayer de télécharger des données personnelles. Même si vous participez au programme, cela peut être considéré comme une violation de la loi. Parce qu'ici, les droits des utilisateurs sont violés, à qui Bug bounty n'a rien à voir.
Le marché russe des tests de pénétration se développe également activement. Il compte déjà un certain nombre d'acteurs majeurs travaillant avec de grandes entreprises. Par exemple, Digital Security, STC Vulkan, Group-IB, BI.ZONE, Kaspersky Lab. Mais la concurrence sur le marché est encore assez faible, vous pouvez donc travailler confortablement et individuellement.
Certaines grandes entreprises comme Gazprom ou des organisations bancaires créent des divisions internes distinctes de pentesters afin de ne pas divulguer des données confidentielles à des tiers.
Par conséquent, il existe plusieurs possibilités pour un pentester:
- Rejoignez l'une de ces grandes entreprises. Le principal avantage est un salaire stable et l'absence de problèmes, même hypothétiques, avec la loi. Mais en même temps, gagner beaucoup d'argent, comme de nombreux pentesters s'efforcent, ne fonctionnera pas.
- Ouvrez un entrepreneur individuel ou travaillez sous contrat. Le principal avantage est que le spécialiste fixe lui-même le prix. Mais en même temps, vous devrez travailler en étroite collaboration avec des avocats dans le cadre des relations de travail afin d'assurer du côté juridique. Et les concurrents ne dorment pas.
- Bug Bounty. — . , . , , Bug Bounty.
Il est facile de participer à Bug Bounty. En effet, en fait, un message sur le démarrage d'un programme est une offre ouverte que tout utilisateur peut accepter. Vous pouvez commencer à travailler immédiatement - aucun consentement supplémentaire n'est requis pour votre participation.
Pour se prémunir contre les entreprises malhonnêtes, nous vous recommandons de travailler sur les sites HackerOne et BugCrowd. Inscrivez-vous simplement et soumettez des rapports de bogue via eux.
La seule règle est de lire la description du programme en détail. Si une entreprise écrit qu'elle paie pour les vulnérabilités de base de données, il vous suffit de rechercher là -bas. Même si vous trouvez un bogue ailleurs, vous ne serez pas payé pour cela. Au contraire, des problèmes peuvent commencer.
2015 Instagram. Ruby-, .
, PostgreSQL. 60 Instagram Facebook. , — — «password» «instagram».
Amazon Web Services, 82 S3. : Instagram, SSL-, API-, email-, iOS Android. , Instagram.
Facebook. 2500 . , Bug bounty Facebook . , .
Donc, suivre les points de prime Bug prescrits est juste un must. Sinon, vous pouvez obtenir non pas un bonus, mais une accusation.
Ce qu'un pentester devrait ĂŞtre capable de faire
Un pentester est à la fois un «soldat universel» et un spécialiste hautement spécialisé. Il doit avoir de vastes connaissances dans de nombreux domaines de la programmation et en même temps des compétences approfondies dans un ou plusieurs domaines.
En général, on pense que le Penetrator Junior doit avoir les connaissances suivantes:
- administration de Windows, Linux;
- connaissance d'un ou plusieurs programmes: Python, php, Perl, Ruby, JavaScript, Bash;
- connaissance du HTML;
- protocoles réseau de base (TCP / IP, ICMP) / services réseau (Proxy, VPN, Samba, AD);
- protocoles: HTTP, FTP, DNS, SSH;
- Bases de données SQL (DDL, DML, etc.), MySQL, SQL Server, PostgreSQL, Oracle.
Il n'est pas nécessaire de tout savoir parfaitement, mais vous devez avoir au moins une connaissance de base du PL, des protocoles et des bases de données ci-dessus.
Vous devez également apprendre à utiliser des programmes de test de pénétration tels que BurpSuite, SqlMap, Nmap, IP Tools et Acunetix.
En fait, c'est pourquoi il est recommandé de passer aux tests d'intrusion pour les spécialistes qui ont déjà une certaine expérience en développement ou en test. Parce que même pour le niveau Junior, la quantité de connaissances requises est tout simplement énorme.
OĂą Ă©tudier en tant que pentester
Et enfin, nous avons rassemblé plusieurs ressources populaires où vous pouvez obtenir toutes les informations dont vous avez besoin pour le métier de pentester:
- Hackaday. , , . , .
- EC-Council CEH. , CEH. .
- Cybrary. . , .
- Profession hacker éthique de Skillfactory . Nous avons nous-mêmes récemment lancé un cours complet de 10 mois à grande échelle, où nous enseignons toutes les subtilités et astuces des tests d'intrusion. De vrais pentesters partagent leur expérience et, en pratique, aident à trouver des vulnérabilités dans les projets logiciels et web.
Et quelques autres sites où vous pouvez améliorer vos compétences pratiques:
- HackThis !! - ici, vous pouvez améliorer vos compétences de piratage en mode jeu et apprendre à le faire en même temps.
- Root me - plus de 380 tâches pratiques pour le pentester: du débutant au pro.
- Try2Hack est l'une des ressources les plus anciennes pour la pratique du pentesting. Pour le niveau de base - la chose mĂŞme.
- Webgoat est un environnement didactique réaliste dans lequel vous pouvez apprendre les bases des tests d' intrusion et mettre immédiatement les connaissances en pratique.
- Google Gruyere — , . , .
- OverTheWire — . 50 , .
Selon Inside the mind of a hacker research, les tests de pénétration sont désormais considérés comme encore plus rentables que le piratage malveillant. Les entreprises paient bien à ceux qui découvrent des vulnérabilités dans leurs systèmes - de nombreux pirates n'ont tout simplement pas besoin de se plonger dans le Darknet, s'ils ne peuvent pas gagner moins, officiellement et légalement.
Si vous voulez devenir un pentester, la voie est ouverte. Mais devenir un bon pentester qui gagne des dizaines de milliers de dollars par mois est bien plus difficile. Cela ressemble plus à un art qu'à un métier. Es-tu prêt pour ça? Alors vas-y!
Et le code promo HABR vous donnera 10% supplémentaires à la réduction indiquée sur le bandeau.
- Profession Ethical Hacker par Skillfactory
- Bootcamp en ligne pour la science des données
- Former le métier d'analyste de données à partir de zéro
- Bootcamp en ligne sur l'analyse des données
- Data Science
- «Python -»
E