B1bikua 29 мая 2021

🕵 Обучение кибербезопасности: как этичному хакеру заработать на вольных хлебах?

B1bikua

Penetration Tester at company CLICK Uzbekistan Telegram: @b1bikua Блог: https://t.me/b1bikuaBlog Сайт: https://leadnew.xyz
Элитные хакеры-фрилансеры могут зарабатывать более миллиона долларов в год, но новичку гарантированные гонорары никто не предложит. Как быть, если вы уже готовы попробовать себя в этичном взломе, но о высшей лиге пока можете только мечтать?
🕵 Обучение кибербезопасности: как этичному хакеру заработать на вольных хлебах?
К сообществу хакеров регулярно присоединяются новые участники, и один из первых вопросов, который у них возникает: «С чего мне начать и как можно заработать деньги на этичном взломе

Для успешной работы вы должны быть знакомы с разнообразными методами и технологиями взлома, терминологией и множеством других вещей.

Все необходимые ресурсы можно найти в интернете, но начинать с нуля карьеру самостоятельного охотника за ошибками в Bug Bounty довольно сложно. Чтобы зарабатывать, сначала придется освоить профессию и сделать себе хоть какое-то имя в сообществе.

Если вы хотите учиться у специалиста с более чем десятилетним опытом, обратите внимание на курс Факультета кибербезопасности образовательной онлайн-платформы GeekBrains.
🕵 Обучение кибербезопасности: как этичному хакеру заработать на вольных хлебах?

В любом случае – выбор способа остается за вами. Если вы предпочитаете самостоятельное обучение по книгам и лекциям в сети, почувствовать себя специалистом сможете примерно через год упорных занятий по 50+ часов в неделю. Поскольку теория без практики мертва, стоит попрактиковаться в хакерстве (или даже принять участие в соревнованиях по взлому) в специальных лабораториях.

Перечислим некоторые из них:

  1. Hack.me
  2. PortSwigger
  3. HackTheBox
  4. HackThisSite
  5. Hax.tor.hu
  6. TryHackMe
  7. pwnable.tw
  8. reversing.kr
  9. ctflearn.com
  10. csaw.io
  11. picoctf.com
  12. w3challs.com
  13. hackthebox.eu
  14. ctf.hackucf.org
  15. cryptopals.com
  16. tryhackme.com
  17. exploit.education
  18. freehackquest.com
  19. www.root-me.org
  20. www.vulnhub.com
  21. ctf.hacker101.com
  22. ctf.komodosec.com
  23. attackdefense.com
  24. Cmdchallenge.com
  25. immersivelabs.com
  26. www.hackthissite.org
  27. ctf.infosecinstitute.com
  28. www.hacking-lab.com
  29. captf.com/practice-ctf
  30. www.hacksplaining.com
  31. junior.stillhackinganyway.nl
  32. academy.hackaflag.com.br

Поскольку к новоиспеченному специалисту по кибербезопасности (этичному или белому хакеру) очередь из заказчиков не выстраивается, практикуясь во взломе и участвуя в соревнованиях, вы также нарабатываете себе портфолио. Времени на это придется потратить немало, но «волонтерство» окупится.

Как можно заработать новичку?

Опытные независимые исследователи безопасности часто имеют солидную клиентуру – такие хакеры-фрилансеры могут зарабатывать миллионы долларов в год. Если вы получили солидный опыт бесплатной работы за портфолио и о высшей лиге пока только мечтаете, начните с участия в программах Bug Bounty. Искать ошибки в информационных системах и получать от компаний вознаграждение – не самый плохой старт для новичка.

Кто они – охотники за багами?
Разбирающиеся в тонкостях кибербезопасности специалисты часто занимаются поиском уязвимостей в информационных системах и различных приложениях – они известны как охотники за ошибками (багами). Существует множество платформ Bug Bounty, где охотники получают вознаграждение за свой труд, даже не являясь штатными сотрудниками компаний или высокооплачиваемыми фрилансерами. Программы Bug Bounty позволяют хакерам обнаруживать и исправлять ошибки до того, как о них узнает широкая публика – таким способом предотвращают инциденты информационной безопасности.

Эти ошибки обычно представляют собой уязвимости системы безопасности, но они также могут включать проблемы с процессами, недостатки оборудования и другие проблемы.

Программы бывают частными (только по приглашениям), когда отчеты остаются конфиденциальными, или общедоступными (к которым может присоединиться любой желающий). Иногда они проходят в течение определенного времени, но чаще не имеют даты окончания. Главный их недостаток – вознаграждение получает только тот хакер, который обнаружит баг первым. Остальные остаются без денег.

Где можно заработать?

О публичных платформах для размещения заказов на поиск уязвимостей мы уже писали. Дополним список несколькими ссылками на корпоративные программы с высоким вознаграждением:

  1. Министерство обороны США
  2. Mail.Ru
  3. IBM
  4. SpaceX
  5. Apple
  6. Facebook
  7. Google
  8. Microsoft
  9. Twitter
  10. DropBox
Крупные компании платят хорошие деньги, но получить их весьма непросто. Начать стоит с более простых задач и относительно небольших гонораров.

Качество отчета

🕵 Обучение кибербезопасности: как этичному хакеру заработать на вольных хлебах?

Важно не только найти проблему, но и составить качественный отчет. Не все отчеты об уязвимостях выглядят одинаково, но все они имеют следующие характеристики:

  1. Подробное объяснение найденной проблемы, включая четкие шаги воспроизведения или действующее подтверждение концепции (POC).
  2. Снимки экрана и/или видео иногда могут помочь службам безопасности воспроизвести проблему. Большинство хакеров предпочитает текстовые описания, но снимки экрана и видео можно использовать как дополнительные материалы.
  3. Воздействие (уровень важности) уязвимости: что может произойти, если эту ошибку используют злоумышленники? Описание важности проблемы поможет специалистам компании расставить приоритеты по реагированию и исправлению.

Пример: Shopify: удаленное выполнение кода на kitcrm с использованием массового обновления клиентов приоритетных продуктов

Бонус

Если вам скучно и вы хотите поиграть в симуляторы хакеров, есть несколько проектов, которые помогут вам присоединиться к миру кибербезопасности, попробовав себя не только в нападении, но и в защите:

  1. Slavehack.com
  2. Hacker-project.com
  3. Hackers-edge.com
  4. S0urce.io
  5. Hackerexperience.com
  6. 2hack.net
  7. Gameofhacks.com
  8. Hackertest.net
  9. Hackerforever.net
  10. hackertyper.net
***

Едва ли вас заинтересует участие в программах Bug Bounty как форма постоянной занятости на многие годы – в режиме фултайм ошибки без гарантии оплаты ищет только пятая часть вольных хакеров. Прочие повышают уровень и уходят на фриланс, выбрав одну из многих доступных в сфере информационной безопасности специализаций и набрав заказчиков. Если вы хотите узнать о способах заработать на вольных хлебах подробнее, обратите внимание на Факультет информационной безопасности онлайн-академии GeekBrains. Помимо прочего слушателей курса научат работать в программах Bug Bounty, а в число преподавателей входят опытные охотники за уязвимостями.

МЕРОПРИЯТИЯ

Комментарии

ВАКАНСИИ

Добавить вакансию

ЛУЧШИЕ СТАТЬИ ПО ТЕМЕ