Что такое легальный хакинг?

[Carder]

Привет, на связи как всегда Дядя Кардер! Кто такой хакер? Думаю ты представляешь себе злостного преступника, взламывающего системы безопасности банков, чтобы украсть деньги. Что-то вроде героя из Голивудского "кинца" - Хью Джекмана, который взламывает шифр, чтобы украсть из правительственного фонда 9,5 млрд. долларов. Но это далеко от правды.

Читай статью.

Ремарка​

Прикинь, хакером можно быть и легально. Таких челиков называют "пентестеры", или «этичные хакеры». Вот только нужно хорошо знать, что можно делать во время тестирования системы на проникновение, а что — нельзя. Иначе можно получить вполне реальные проблемы с законом.

​

Пентестер: отличия от хакера​

Пентестер — это хакер, который работает полностью легально и в рамках закона. Суть его работы — искать уязвимости и разные баги в системах безопасности. Но есть несколько фундаментальных отличий:

1. Разработчики в курсе про действия пентестера. Все действия по поиску багов и слабых месь ведутся либо по специальному договору, либо с помощью программ Bug Bounty. О них напишу ниже.
2. Пентестер только ищет уязвимости, а не собирается использовать их. Тут есть тонкий момент. Обнаружить дыру в системе хранения данных — с этим все оk. А вот попытаться скачать конфиденциальные данные, протестировав эту дыру, — это уже срок. Пентестер должен указать на дыру разработчикам и указать на возможность, как можно ее использовать, но не пробовать делать это самостоятельно.
3. Заработок пентестера — полностью белый. Выплаты по Bug Bounty или оплата по договору абсолютно легальны. Так что визитов из налоговой можно не бояться.

По сути пентестер это своего рода "терпила", который обладает топовыми навыками хакинга и работает на зарплате 30.000 руб./мес где-нибудь в СНГ. Конечно же в штатах или работая на корпорацию, дела у такого чела обстоят совсем по другому)

Интересный факт​

Кстати, нельзя просто найти уязвимость в системе защиты и указать на нее владельцу. Потому что за это можно получить вполне реальное обвинение. Например если ты нашел способ взломать базу банка, и радостно указываешь на эту проблему владельцу, вместо похвалы ты отправишься на зону.

Для того чтобы иметь доступ к таким махинации, нужен специальный договор.

И вот тебе пример:
В 2017 году 18-летний хакер нашел уязвимость в системе безопасности венгерской транспортной компании BKK. Баг был простой — с помощью инструментов для разработчика в браузере парень изменил исходный код страницы, вписав свою цену на билет (20 центов вместо 30 евро)

Валидация цены не проводилась ни на сервере, ни на стороне клиента, поэтому хакер смог купить билет за эту цену. После этого он обратился к представителям компании, раскрыв всю информацию об уязвимости. Но получил не благодарность, а уголовное дело. Транспортная компания «обиделась» и подала на него в суд. Парня арестовали.

Что умеет пентестер?​

В целом считается, что начинающий пентестер должен обладать следующими знаниями:

• администрирование Windows, Linux;
• знание одного или нескольких языков программирования: Python, php, Perl, Ruby, JavaScript, Bash;
• знание HTML;
• основные сетевые протоколы (TCP/IP, ICMP) / сетевые службы (Proxy, VPN, Samba, AD);
• протоколы: HTTP, FTP, DNS, SSH;
• базы данных SQL (DDL, DML и т. д.), MySQL, SQL Server, PostgreSQL, Oracle.

Не обязательно знать все идеально, но нужно иметь хотя бы базовые знания по вышеуказанным ЯП, протоколам и БД.

Также нужно научиться использовать программы для пентестинга вроде BurpSuite, SqlMap, Nmap, IP Tools и Acunetix.

Собственно, именно поэтому в пентестинг рекомендуют идти тем специалистам, у которых уже есть определенный бэкграунд в разработке или тестировании. Потому что даже для уровня Junior количество необходимых знаний просто огромно.

Итог​

Что тут можно сказать, конечно же Дядя Кардер не верит в таких типов, по крайней мере на просторах родного СНГ. Я уверен что они по вечерам залетают на даркнет, и занимаются привычными (нам) делами. Ведь за зарплату в СНГ нельзя даже прокормить семью. Помни о безопасности, желаю удачи!