Мы привыкли слышать, что хакеры делают плохие вещи, за ними обязательно охотятся правоохранительные органы и карьера взломщика может закончиться за решеткой. Этот набор стереотипов формировался много лет, поэтому многие новички считают их правдивыми.
В статье мы разрушим мифы профессии хакера и расскажем о направлении этичного хакинга. Разберемся, можно ли заработать на легальном взломе, какие навыки для этого нужны и поделимся советами эксперта.
Что такое баг баунти
Bug Bounty — собирательное название программ поощрений за поиск багов и уязвимостей. Компании разного уровня заинтересованы в том, чтобы хакеры не пользовались пробелами в системе безопасности для обогащения, а отправляли отчеты им и зарабатывали на этом.
К примеру, в начале ноября стали известны подробности схемы покупки дешевой подписки Telegram Premium. Оказалось, что исследователи безопасности нашли баг, который позволял оформлять премиум-услугу бесплатно. Они использовали его для заработка, и мессенджер потерял на этом от 3 до 5 млн долларов.
В качестве альтернативы можно было подать отчет по программе Telegram Bug Bounty и заработать минимум несколько тысяч долларов. Размер вознаграждения колеблется от 100 до 100 000$, но за уязвимость критического уровня, скорее всего, исследователи получили бы достойное вознаграждение.
В случае с багом в Телеграме «белые» хакеры пошли другим путем. В итоге они получили много денег и тысячи жалоб от недовольных клиентов, которым мессенджер обнулил подписки в конце октября.
Программы Bug Bounty есть преимущественно у крупных IT-компаний, которые заинтересованы в том, чтобы сохранить репутацию и защитить персональные данные клиентов от утечки. Например, платежный сервис VK Pay платит до 1,8 млн рублей за уязвимости разного характера. В программе четко описаны критерии для принятия отчетов, домены для анализа и другие данные.
Аналогичные программы есть у Google, Facebook*, Amazon, Discord, Microsoft и других брендов. С ними выгоднее работать, чем с локальными компаниями, потому что шансы получить вознаграждение в случае успешного принятия отчета гораздо выше.
Человеку без технического образования может показаться, что компании платят исключительно за критические уязвимости, и повторить результаты опытных коллег невозможно. На самом деле, для периодического заработка на Bug Bounty необязательно знать в совершенстве Python, JavaScript или другие языки программирования. Достаточно владеть базовыми инструментами вроде анализаторов кода и понимать принципы работы разных типов уязвимостей.
В интервью медиа Skillbox один из багхантеров отметил, что умеет писать несложный код, но даже такой уровень знаний обеспечивает постоянные приглашения в закрытые программы Bug Bounty, куда не берут случайных людей.
Часть задач по поиску уязвимостей можно автоматизировать. У специалистов по безопасности пользуются спросом анализаторы кода вроде PVS-Studio, которые сканируют ошибки и помогают определить направление для проверки уязвимостей.
Компании больше всего заинтересованы в том, чтобы закрывать критические баги. Они готовы щедро платить за это, но новичкам будет сложно их обнаружить. Расстраиваться не стоит — заработать можно и на небольших уязвимостях.
К примеру, хакер обнаружил маленькую уязвимость с параметром utm_source в конструкторе интернет-магазинов Shopify, которая позволяла украсть cookies пользователя или создать фишинговую страницу. Компания посчитала, что проблема не влияет на конфиденциальность, но выплатила бонус в размере 700$.
Пример Shopify наглядно демонстрирует, что зарабатывать на багхантинге можно и без знания языка программирования. Для обнаружения уязвимостей межсайтового скриптинга (XSS) достаточно понимания принципов работы сетевых протоколов.
Компаниям интересно работать с отчетами по уязвимостям любого уровня, но есть две главные метрики, которые влияют на получение оплаты:
- Возможность повторения сценария атаки.
- Влияние на стабильность проекта.
Если инженеры компании не смогут использовать уязвимость на практике, багхантер останется без выплаты. Что касается уровня критичности, то все зависит от конкретного кейса. Например, если в ходе атаки получится узнать никнейм пользователя, вряд ли за это заплатят.
Юрий
Независимый багхантер
Для заработка на Bug Bounty достаточно базового знания JS, HTML, умения отличать GET от POST. Навыки разработчика будут полезны в работе: человек, который понимает, как все должно работать правильно, с большой вероятностью заметит уязвимость.
Я думаю, легче всего найти уязвимости типа CSRF. Они много еще где остались и являются максимально легкими для понимания новичками, но и награда за них минимальная.
Поиск уязвимостей можно сделать основным видом занятости. Много хакеров за счет этого живут и не испытывают никаких финансовых проблем. Здесь большую роль играет уровень хакера и его опыт.
Где искать программы баг баунти?
Интерес к Bug Bounty как инструменту для манимейкинга высокий, но медийность ниши на просторах СНГ низкая. Поэтому многие пользователи даже не знают, что можно заработать на поиске багов и уязвимостей.
В бурже есть площадки, которые работают более 10 лет и успешно помогают найти точки соприкосновения между исследователями безопасности и компаниями. Новичкам обязательно стоит добавить их в список повседневных инструментов.
На какие ресурсы обратить внимание:
- HackerOne. Самая популярная платформа с большим каталогом Bug Bounty программ. С помощью нее этичные хакеры могут отправить отчет об уязвимостях, а компании — отреагировать на них.
- Bugcrowd. Краудсорсинговая платформа работает в 30 странах мира. В каталоге доступно 332 программы от проектов разного уровня.
- HackenProof. Сервис для поиска уязвимостей в криптопроектах. С помощью него хакеры отправили более 7 1000 отчетов на сумму 842 000$.
- Standoff 365. Свежая платформа с упором на рынок СНГ. Ее можно назвать мини-соцсетью для багхантеров. Здесь есть каталог программ, профили хакеров, рейтинг пользователей и другие фишки.
Мониторинг профильных площадок помогает оперативно замечать новые программы и быть в числе первых исследователей безопасности, которые начнут поиск уязвимостей раньше других.
Ресурсы для багхантеров также помогают прокачивать скиллы. Можно проанализировать, какие типы уязвимостей находят опытные специалисты и перенять их опыт для получения аналогичных результатов в будущем.
Юрий
Независимый багхантер
Мои ТОП-3 площадки для Bug Bounty:
1. HackerOne.
2. Bugcrowd.
3. Standoff365.
Это по миру, но в СНГ лучшая, по моему мнению — Standoff365.
Не всегда это бывает выгоднее, но это, наверное, единственный способ сдать уязвимость просто, правильно, без последствий и получить за это баунти.
В моей практике, если дело доходило до приглашения модератора, он всегда вставал на мою сторону. Я начинал спорить только в том случае, если уверен, что был прав. Площадке невыгодно портить отношения ни с кем, поэтому они стараются делать все по справедливости. Обычно сразу видно, кто прав, кто виноват.
Просто так взять и отказаться платить за уязвимость компания не может. Если хакер принес репорт в соответствии с политикой программы, то выплата должна быть назначена. Другое дело, если хакер эксплуатировал уязвимость или раскрыл ее детали для СМИ — тогда могут и не заплатить. Чтобы дело доходило до суда — такого я не видел.
Сколько можно заработать на Bug Bounty
Когда новички спрашивают, сколько можно заработать на арбитраже, они могут получить стандартный ответ: от нуля до миллионов долларов. С доходом от Bug Bounty аналогичная ситуация.
В 2018 году площадка HackerOne проводила опрос и выяснила, что для большинства исследователей безопасности поиск багов и уязвимостей — хобби, а не основная специализация. Они занимаются этим преимущественно в свободное время.
HackerOne позволяет отслеживать публикацию отчетов хакеров. Из них можно сделать вывод, что специалисты ведут активность без перерыва. За месяц может набраться несколько десятков репортов, и это только маленькая часть данных в общем доступе.
По результатам масштабного исследования HackerOne отчиталась о том, что только за 2020 год участникам программ Bug Bounty выплатили вознаграждений на 40 млн долларов. 9 членов сообщества заработали на платформе более $1 млн с 2019 года, а топовый хакер преодолел отметку в $2 млн в 2020 году.
В интервью Skillbox, которое мы отмечали раньше, багхантеры говорят о непостоянности дохода. В один месяц они могут заработать 10 000$, а в другой 100$. Эта ситуация очень напоминает качели в арбитраже трафика, но то, что новички могут заработать, — это факт.
В некоторых случаях вознаграждение может достигать суммы с тремя нулями, но такие деньги зарабатывают опытные специалисты. Новичкам не стоит рассчитывать на быстрый профит.
Юрий
Независимый багхантер
Ситуация с размером выплат меняется, хоть и не быстро. Выплаты увеличили в единицах программ. Но есть и исключения. Например, на площадке Standoff365 объявили награду в 10 млн рублей за реализацию недопустимого события — кражи денег со счетов компании, что даже по меркам зарубежных площадок является большой суммой.
Размер выплат по каждой программе индивидуален. Помню, как один иностранец благодарил площадку за новый дом, когда получил что-то около 100 000$ за день. Репорты, оцененные в 20 000$-30 000$, уже не являются на площадках чем-то удивительным.
Выводы и советы эксперта
Багхантинг — интересная, но специфическая ниша в манимейкинге. Порог входа низкий, и начинающие специалисты часто переоценивают свои силы или допускают грубые ошибки. К примеру, они считают, что компания обязательно должна заплатить за баг. Но как показывает практика, все зависит от особенностей конкретной ситуации. Некоторые багхантеры завершают карьеру из-за конфликтов, связанных с тем, что проект отказывается выплачивать вознаграждение.
Важно понимать, что если на сайте компании нет официальной оферты с конкретными обязательствами, любые программы поощрений носят необязательный характер. А вот если соглашение есть и хакер сможет найти критическую уязвимость, за невыплату вознаграждения можно подать в суд.
Компания может не оплатить потраченное время, если посчитает поведение специалиста некорректным. И ни в коем случае нельзя выкладывать информацию о том, как воспроизвести баг до получения разрешения от разработчиков проекта.
Юрий
Независимый багхантер
Мои советы новичкам:
1. Определите цель взлома и разберитесь, как тут все работает.
2. Не стесняйтесь общаться с другими хакерами, интересоваться и расспрашивать их, возможно, вместе ломать.
3. Читайте Телеграм-каналы и ресурсы на тему информационной безопасности.
Ниша Bug Bounty в СНГ только начинает свое стремительное развитие: появляются новые багхантеры и площадки. Вообще круто видеть в багбаунти что-то новое и революционное, как, например, недопустимые события. За рубежом такого пока нет.
Bug Bounty будет развиваться — это гарантировано. Я думаю, в ближайшее время мы увидим рост количества программ и размера баунти. Возможно, дождемся от государства определенных законов в этой сфере, что упростит жизнь багхантерам, площадкам и программам. Самих багхантеров станет очень много, с хакерами проблем не будет.
Участие в Bug Bounty может стать источником дополнительного дохода, но сделать его основной специализацией получается не у всех. В то же время, не в каждой нише можно получить несколько тысяч долларов за 1-2 дня работы.
Количество статей:
1398
Рейтинг автора:
126
поделиться:
Читайте также:
-
Как клоачить без страхов, потери времени и денег?
-
Зарабатываем на дорвеях для Ютуба — прибыльные кейсы, обзор генераторов
-
Антиспам плагины для WordPress
-
В какое время выкладывать посты в Instagram
-
«Spark Ads неэффективны для продвижения внешних ссылок»: разбор TikTok Spark Ads
-
Как легко стартовать в арбитраже трафика через YouTube
Комментарии (0)
Читатели еще не оставили комментарий, будьте первым
