29 мая 2021

🕵 Обучение кибербезопасности: как этичному хакеру заработать на вольных хлебах?

Penetration Tester at company Future Open Technology Group Telegram: @babdulkhayev
Элитные хакеры-фрилансеры могут зарабатывать более миллиона долларов в год, но новичку гарантированные гонорары никто не предложит. Как быть, если вы уже готовы попробовать себя в этичном взломе, но о высшей лиге пока можете только мечтать?
🕵 Обучение кибербезопасности: как этичному хакеру заработать на вольных хлебах?
К сообществу хакеров регулярно присоединяются новые участники, и один из первых вопросов, который у них возникает: «С чего мне начать и как можно заработать деньги на этичном взломе

Для успешной работы вы должны быть знакомы с разнообразными методами и технологиями взлома, терминологией и множеством других вещей.

Все необходимые ресурсы можно найти в интернете, но начинать с нуля карьеру самостоятельного охотника за ошибками в Bug Bounty довольно сложно. Чтобы зарабатывать, сначала придется освоить профессию и сделать себе хоть какое-то имя в сообществе.

Если вы хотите учиться у специалиста с более чем десятилетним опытом, обратите внимание на курс Факультета кибербезопасности образовательной онлайн-платформы GeekBrains.
🕵 Обучение кибербезопасности: как этичному хакеру заработать на вольных хлебах?

В любом случае – выбор способа остается за вами. Если вы предпочитаете самостоятельное обучение по книгам и лекциям в сети, почувствовать себя специалистом сможете примерно через год упорных занятий по 50+ часов в неделю. Поскольку теория без практики мертва, стоит попрактиковаться в хакерстве (или даже принять участие в соревнованиях по взлому) в специальных лабораториях.

Перечислим некоторые из них:

  1. Hack.me
  2. PortSwigger
  3. HackTheBox
  4. HackThisSite
  5. Hax.tor.hu
  6. TryHackMe
  7. pwnable.tw
  8. reversing.kr
  9. ctflearn.com
  10. csaw.io
  11. picoctf.com
  12. w3challs.com
  13. hackthebox.eu
  14. ctf.hackucf.org
  15. cryptopals.com
  16. tryhackme.com
  17. exploit.education
  18. freehackquest.com
  19. www.root-me.org
  20. www.vulnhub.com
  21. ctf.hacker101.com
  22. ctf.komodosec.com
  23. attackdefense.com
  24. Cmdchallenge.com
  25. immersivelabs.com
  26. www.hackthissite.org
  27. ctf.infosecinstitute.com
  28. www.hacking-lab.com
  29. captf.com/practice-ctf
  30. www.hacksplaining.com
  31. junior.stillhackinganyway.nl
  32. academy.hackaflag.com.br

Поскольку к новоиспеченному специалисту по кибербезопасности (этичному или белому хакеру) очередь из заказчиков не выстраивается, практикуясь во взломе и участвуя в соревнованиях, вы также нарабатываете себе портфолио. Времени на это придется потратить немало, но «волонтерство» окупится.

Как можно заработать новичку?

Опытные независимые исследователи безопасности часто имеют солидную клиентуру – такие хакеры-фрилансеры могут зарабатывать миллионы долларов в год. Если вы получили солидный опыт бесплатной работы за портфолио и о высшей лиге пока только мечтаете, начните с участия в программах Bug Bounty. Искать ошибки в информационных системах и получать от компаний вознаграждение – не самый плохой старт для новичка.

Кто они – охотники за багами?
Разбирающиеся в тонкостях кибербезопасности специалисты часто занимаются поиском уязвимостей в информационных системах и различных приложениях – они известны как охотники за ошибками (багами). Существует множество платформ Bug Bounty, где охотники получают вознаграждение за свой труд, даже не являясь штатными сотрудниками компаний или высокооплачиваемыми фрилансерами. Программы Bug Bounty позволяют хакерам обнаруживать и исправлять ошибки до того, как о них узнает широкая публика – таким способом предотвращают инциденты информационной безопасности.

Эти ошибки обычно представляют собой уязвимости системы безопасности, но они также могут включать проблемы с процессами, недостатки оборудования и другие проблемы.

Программы бывают частными (только по приглашениям), когда отчеты остаются конфиденциальными, или общедоступными (к которым может присоединиться любой желающий). Иногда они проходят в течение определенного времени, но чаще не имеют даты окончания. Главный их недостаток – вознаграждение получает только тот хакер, который обнаружит баг первым. Остальные остаются без денег.

Где можно заработать?

О публичных платформах для размещения заказов на поиск уязвимостей мы уже писали. Дополним список несколькими ссылками на корпоративные программы с высоким вознаграждением:

  1. Министерство обороны США
  2. Mail.Ru
  3. IBM
  4. SpaceX
  5. Apple
  6. Facebook
  7. Google
  8. Microsoft
  9. Twitter
  10. DropBox
Крупные компании платят хорошие деньги, но получить их весьма непросто. Начать стоит с более простых задач и относительно небольших гонораров.

Качество отчета

🕵 Обучение кибербезопасности: как этичному хакеру заработать на вольных хлебах?

Важно не только найти проблему, но и составить качественный отчет. Не все отчеты об уязвимостях выглядят одинаково, но все они имеют следующие характеристики:

  1. Подробное объяснение найденной проблемы, включая четкие шаги воспроизведения или действующее подтверждение концепции (POC).
  2. Снимки экрана и/или видео иногда могут помочь службам безопасности воспроизвести проблему. Большинство хакеров предпочитает текстовые описания, но снимки экрана и видео можно использовать как дополнительные материалы.
  3. Воздействие (уровень важности) уязвимости: что может произойти, если эту ошибку используют злоумышленники? Описание важности проблемы поможет специалистам компании расставить приоритеты по реагированию и исправлению.

Пример: Shopify: удаленное выполнение кода на kitcrm с использованием массового обновления клиентов приоритетных продуктов

Бонус

Если вам скучно и вы хотите поиграть в симуляторы хакеров, есть несколько проектов, которые помогут вам присоединиться к миру кибербезопасности, попробовав себя не только в нападении, но и в защите:

  1. Slavehack.com
  2. Hacker-project.com
  3. Hackers-edge.com
  4. S0urce.io
  5. Hackerexperience.com
  6. 2hack.net
  7. Gameofhacks.com
  8. Hackertest.net
  9. Hackerforever.net
  10. hackertyper.net
***

Хочу научиться программировать с нуля, но не знаю, с чего начать. Что делать?

Можно учиться самостоятельно (долго) или пойти на курсы с преподавателями (быстро). Плюс нужно учитывать, что джунов много, конкуренция выше и работодатели повышают порог вхождения при найме на работу. Чтобы получить актуальные знания, мы в proglib.academy запустили курсы:

  • Основы программирования на Python.
  • Профессия Python-разработчик.
  • Алгоритмы и структуры данных.
  • Математика для Data Science.
  • Профессия Data Science.
  • Frontend Basic: принцип работы современного веба.
  • Профессия Фронтенд-разработчик.
  • Обработка естественного языка. Полный курс.

На подходе еще больше 10 курсов для взрослых и детей.

Комментарии

ВАКАНСИИ

Добавить вакансию
Разработчик C++
Москва, по итогам собеседования

ЛУЧШИЕ СТАТЬИ ПО ТЕМЕ