Hackeo ético: cómo hackear sistemas y seguir ganando dinero legalmente

¿Quién es un hacker? La mayoría de las personas que están lejos de la programación son delincuentes viciosos que irrumpen en los sistemas de seguridad de los bancos para robar dinero. Algo como el personaje de Hugh Jackman de Swordfish Password, que rompe el cifrado Vernam para robar $ 9.5 mil millones del fondo del gobierno.



Puedes ser un hacker legalmente. Estos especialistas se denominan pentesters o "hackers éticos". Solo necesita saber bien qué se puede hacer durante las pruebas de penetración y qué no. De lo contrario, puede tener problemas bastante reales con la ley. Recientemente lanzamos el curso Ethical Hacker , y en este artículo hablaremos sobre cómo hackear, ganar buen dinero y aún no tener problemas con la ley. Vamos.

---

Lo que amenaza a un pirata informático según la ley de la Federación de Rusia

Primero, hablemos de los problemas que puede enfrentar un hacker. Casi todos los delitos relacionados con irrumpir en sistemas y acceder a ellos se relacionan con tres leyes: 

• Sobre datos personales (No. 152-FZ).
• Sobre información, tecnología de la información y protección de la información (No. 149-FZ).
• Sobre derechos de autor y derechos afines (No. 5351-1).

La violación de estas leyes puede enfrentar responsabilidad administrativa y penal. 



Según el art. 13. Código Administrativo de la Federación de Rusia (Delitos administrativos en el campo de las comunicaciones y la información), por revelar información con acceso limitado, la violación del procedimiento para almacenar, usar y distribuir datos personales puede enfrentar una multa de 300 a 20,000 rublos. Esto es para individuos. Para las personas jurídicas, el monto de la multa es mucho mayor.



Se refiere principalmente a las personas que tienen acceso a dicha información y a las organizaciones que recopilan datos personales de los clientes. 

Por ejemplo, una tienda en línea recopila una base de clientes con nombres, números de teléfono y correos electrónicos. Y el astuto administrador decide recopilar la base de datos y copiarla para su posterior venta a un lado.



Si tal acción no causó daños graves y el gerente no recibió quejas ante los organismos encargados de hacer cumplir la ley, el delito puede calificarse según el art. 13.11, cláusula 8 del Código Administrativo de la Federación de Rusia. El castigo para él es una multa de 30.000 a 60.000 rublos.

En cuanto a la ley penal, los siguientes artículos del Código Penal de la Federación de Rusia en la mayoría de los casos amenazan a un pirata informático malhechor:

• . 146 « ». . , , .
• . 272 « ». , . — .
• . 273 «, ». «» — , 273.

. . , , , . , .

• . 274 « , - ». , . 2010 20 .
• Arte. 274.1 del Código Penal de la Federación de Rusia "Influencia ilegal en la infraestructura de información crítica de la Federación de Rusia". La situación es absolutamente la misma que con el art. 274. Simplemente no existe una práctica judicial al respecto.

Según el art. 272 y 273 puede recibir una multa de hasta 500.000 rublos y un plazo real de hasta 5 años. Y en casos especiales, hasta 7 años. Además, formalmente, para iniciar un caso, encontrar una vulnerabilidad e intentar utilizarla incluso sin intención delictiva.

Pentester: diferencias con un hacker

Un pentester es un hacker que trabaja de forma totalmente legal y dentro del marco de la ley. La esencia de su trabajo es buscar vulnerabilidades en los sistemas de seguridad.

Pero existen algunas diferencias importantes:

1. Los desarrolladores conocen las acciones de un pentester. Todas las acciones para buscar vulnerabilidades se llevan a cabo bajo un acuerdo especial o utilizando programas Bug Bounty. Hablaremos de ellos un poco más tarde.
2. , . . — k. , , — . , , .
3. — . Bug Bounty . .

Esencialmente, un pentester se distingue de un hacker por un conjunto de reglas que sigue.



Pentester trabaja exclusivamente en programas Bug Bounty o después de firmar un contrato con la empresa. Debido al hecho de que el proceso de prueba de penetración en sí está asociado con la rotura de la protección, el procedimiento está muy formalizado.







No puede simplemente encontrar una vulnerabilidad de seguridad y señalarla a su propietario. Porque por esto puedes conseguir una carga muy real.

2017 18- BKK. — , (20 30 ). , , .



, . , . «» . .



La historia terminó bien. Recibió una gran respuesta en los medios, los usuarios simplemente bajaron la calificación de Facebook de la compañía. Y con la compañía supuestamente gastando más de un millón de dólares en protección de datos cada año, encontrar un error tan estúpido que cualquiera podría explotar simplemente destruyó su reputación.

El tipo tenía intenciones nobles: quería señalar el agujero en el sistema de venta de entradas, demostrándolo claramente. Pero al mismo tiempo, sus acciones aún pueden calificarse como una brecha de seguridad. Y este es un caso criminal.



Técnicamente, la empresa tuvo toda la razón al presentar los cargos en su contra. Cualesquiera que sean las intenciones del tipo, violó la ley. Y solo la protesta pública lo salvó del término real.

Bug Bounty: cómo participar correctamente

La mayoría de las grandes empresas ejecutan Bug Bounty, programas especiales en los que las empresas de software o sitios web ofrecen recompensas por las vulnerabilidades encontradas. Es más rentable para las empresas pagar por los errores que encuentran que lidiar con las consecuencias de exploits y vulnerabilidades.



La mayoría de estos programas están alojados en HackerOne y BugCrowd . 



Por ejemplo, aquí están los programas Bug Bounty de Google API , Nginx , PayPal , GitHub , Valve . La prima promedio por cada error encontrado en estos programas es de $ 1,000. Hay una gran cantidad de empresas más pequeñas que ofrecen entre 50 y 100 dólares por error. 



¡Incluso el Pentágono lanzó Bug Bounty! Es solo un sueño para un pirata informático piratear el sistema de seguridad del Pentágono e incluso obtener dinero del gobierno de los EE. UU. 



Pero incluso el Bug Bounty publicado no significa que pueda romper y buscar agujeros en cualquier lugar. En la descripción del programa, los propietarios prescriben qué vulnerabilidades se considerarán. 



Por ejemplo, Uber ofrece una explicación muy detallada de lo que está incluido en su programa Bug Bounty y lo que no.



La empresa quiere encontrar vulnerabilidades en los sistemas de acceso y almacenamiento de datos, phishing, oportunidades de pago y facturación, acciones no autorizadas por parte del usuario y empleados de la empresa. Pero el programa no incluye errores generales de aplicación, informes de fraude, errores en el trabajo con redes sociales y boletines informativos por correo electrónico. 



Sin embargo, con sentido del humor, todo está bien para ellos. Porque entre las acciones impagas se encuentran las siguientes:

Entrar en las oficinas de Uber, tirar patatas fritas por todas partes, soltar un montón de mapaches hambrientos y secuestrar una terminal abandonada en una estación de trabajo sin llave mientras el personal está distraído Entrar en la



oficina de Uber tirando patatas fritas por todas partes, soltando un montón de mapaches hambrientos y agarrando una terminal o lugar de trabajo vacante. mientras que los empleados están confundidos.

Cuanto más detalladamente se describa la recompensa de errores, más fácil será para un pentester comprender qué se puede "probar y probar" y qué no vale la pena hacer.



Al mismo tiempo, existen reglas generales que no se pueden violar. Por ejemplo, si se encuentran vulnerabilidades en las bases de datos de los usuarios, no puede intentar descargar ningún dato personal. Incluso si participa en el programa, esto puede considerarse una violación de la ley. Porque aquí se violan los derechos de los usuarios, a los que Bug bounty no tiene nada que ver.







El mercado ruso de pruebas de penetración también se está desarrollando activamente. Ya tiene varios actores importantes que trabajan con grandes corporaciones. Por ejemplo, Seguridad digital, STC Vulkan, Group-IB, BI.ZONE, Kaspersky Lab. Pero la competencia en el mercado sigue siendo bastante baja, por lo que puede trabajar de forma bastante cómoda e individual.



Algunas grandes empresas como Gazprom u organizaciones bancarias crean divisiones internas separadas de pentesters para no revelar datos confidenciales a terceros.



Por tanto, existen varias posibilidades para un pentester:

• Únase a una de estas grandes empresas. La principal ventaja es un salario estable y la ausencia de problemas incluso hipotéticos con la ley. Pero al mismo tiempo, ganar mucho dinero, como se esfuerzan muchos pentesters, no funcionará. 
• Abrir un empresario individual o trabajar bajo contrato. La principal ventaja es que el especialista fija el precio él mismo. Pero al mismo tiempo, tendrá que trabajar en estrecha colaboración con los abogados en el marco de las relaciones laborales para asegurar desde el lado legal. Y los competidores no están dormidos.
• Bug Bounty. — . , . , , Bug Bounty.

Es fácil participar en Bug Bounty. De hecho, de hecho, un mensaje sobre el inicio de un programa es una oferta abierta que cualquier usuario puede aceptar. Puede comenzar a trabajar de inmediato; no se requiere ningún consentimiento adicional para su participación. 



Para protegerse contra empresas deshonestas, recomendamos trabajar a través de los sitios HackerOne y BugCrowd. Simplemente regístrese y envíe informes de errores a través de ellos. 



La única regla es leer la descripción del programa con gran detalle. Si una empresa escribe que paga por las vulnerabilidades de la base de datos, solo necesita buscar allí. Incluso si encuentra un error en otro lugar, no se le pagará por ello. Por el contrario, pueden comenzar los problemas. 

2015 Instagram. Ruby-, . 



, PostgreSQL. 60 Instagram Facebook. , — — «password» «instagram».    



Amazon Web Services, 82 S3. : Instagram, SSL-, API-, email-, iOS Android. , Instagram. 



Facebook. 2500 . , Bug bounty Facebook . , .

Por lo tanto, seguir los puntos de recompensa de Bug prescritos es solo una necesidad. De lo contrario, no puede obtener una bonificación, sino una acusación.

Lo que un pentester debería poder hacer

Un pentester es tanto un "soldado universal" como un especialista altamente especializado. Necesita tener amplios conocimientos en muchas áreas de la programación y al mismo tiempo habilidades profundas en una o más áreas.



En general, se cree que el Junior Pentester debe tener los siguientes conocimientos:

• administración de Windows, Linux;
• conocimiento de una o más programación: Python, php, Perl, Ruby, JavaScript, Bash;
• conocimiento de HTML;
• protocolos de red básicos (TCP / IP, ICMP) / servicios de red (Proxy, VPN, Samba, AD);
• protocolos: HTTP, FTP, DNS, SSH;
• Bases de datos SQL (DDL, DML, etc.), MySQL, SQL Server, PostgreSQL, Oracle.

No es necesario saberlo todo a la perfección, pero es necesario tener al menos conocimientos básicos de los PL, protocolos y bases de datos anteriores.



También debe aprender a usar programas de pruebas de penetración como BurpSuite, SqlMap, Nmap, IP Tools y Acunetix. 



En realidad, es por eso que se recomienda acudir a las pruebas de penetración para aquellos especialistas que ya tienen cierta experiencia en desarrollo o pruebas. Porque incluso para el nivel Junior, la cantidad de conocimiento requerido es simplemente enorme. 

Dónde estudiar como pentester

Y finalmente, hemos recopilado varios recursos populares donde puede obtener toda la información que necesita para la profesión de pentester:

• Hackaday. , , . , .
  
  
• EC-Council CEH. , CEH. .
  
  
• Cybrary. . , .
  
  
• Profesión Hacker ético de Skillfactory . Nosotros mismos hemos lanzado recientemente un curso integral a gran escala de 10 meses, donde enseñamos todas las complejidades y trucos de las pruebas de penetración. Los pentesters reales comparten su experiencia y, en la práctica, ayudan a encontrar vulnerabilidades en software y proyectos web.

Y algunos sitios más en los que puede mejorar sus habilidades prácticas:

• HackThis !! - aquí puede actualizar sus habilidades de piratería en el modo de juego y aprender a hacerlo al mismo tiempo. 
• Root me - más de 380 tareas prácticas para el pentester: desde principiante hasta profesional.
• Try2Hack es uno de los recursos más antiguos para la práctica de pentesting. Para el nivel básico, lo mismo.
• Webgoat es un entorno tutorial realista donde puede aprender los conceptos básicos de las pruebas de penetración e inmediatamente poner el conocimiento en práctica. 
• Google Gruyere — , . , .
• OverTheWire — . 50 , .

Según Inside the mind of a hacker research, las pruebas de penetración ahora se consideran incluso más rentables que la piratería maliciosa. Las empresas pagan bien a quienes encuentran vulnerabilidades en sus sistemas; muchos piratas informáticos simplemente no necesitan sumergirse en la Darknet si de manera oficial y legal no pueden ganar menos. 



Si quieres convertirte en un pentester, el camino está abierto. Pero convertirse en un buen pentester que gana decenas de miles de dólares al mes es mucho más difícil. Parece más un arte que un oficio. ¿Estás listo para esto? ¡Entonces adelante!



Y el código de promoción HABR le dará un 10% adicional al descuento indicado en el banner.

• Hacker ético de profesión de Skillfactory
• Bootcamp en línea para ciencia de datos
• Formación de la profesión de analista de datos desde cero
• Bootcamp en línea para análisis de datos
• Data Science
• «Python -»

• Data Scientist -
• 450
• Machine Learning 5 9
• : 2020
• Machine Learning Computer Vision