Сколько получает хакер зарплату

Опубликовано: 07.05.2025

Сколько зарабатывают черные и белые хакеры

Главный герой фильма "Матрица" — Томас Андерсен — днем казался добропорядочным гражданином, а ночью взламывал сети под ником "Нео". Пожалуй, такой стереотипный образ хакера сложился в популярной культуре: хакер — это талантливый программист, который борется с неидеальной системой, совершая дерзкие преступления.

В реальности все менее драматично. Есть черные хакеры — киберпреступники, ворующие чужую интеллектуальную собственность. И есть белые хакеры — специалисты в сфере кибербезопасности, которые вполне легально работают на благо бизнеса и пользователей, получая "белую" зарплату.

Хакерство: терминология

Хакерство — это несанкционированное вторжение в компьютер или сеть. А еще это любой "взлом системы". Например, growth hacker ("хакер роста") — специалист, который находит нестандартные подходы к маркетингу, разработке продукта, развитию команды, стратегиям продаж.

В арсенале "компьютерных" хакеров — подбор паролей, перехват данных, получение доступа к веб-камере устройства, запоминание всех вводимых при помощи клавиатуры символов, кража файлов, внедрение вредоносного ПО и другие механизмы взлома.

Хакеры могут получить доступ к информации на устройстве удаленно или же взломать пароль на украденном или утерянном устройстве. Например, в 2012 году в NASA заявили, что сотрудники агентства потеряли несколько рабочих ноутбуков с важной незашифрованной информацией (часть кода для управления Международной космической станцией). Поэтому обеспечить секьюрность гаджетов, которые хранят личную или коммерческую информацию — критически важно.

"Чтобы защитить персональную информацию на телефоне или планшете, советую хранить ее в запароленных папках. Большинство современных смартфонов имеют такую функцию, но если ее нет, можно воспользоваться приложениями типа Best Secret Folder или Secret Calculator. Защитить телефон от разблокировки поможет надежный пароль или настройка доступа по отпечатку пальца.

Чтобы не потерять контроль над утерянным девайсом, установите приложение для отслеживания геолокации и удаленного управления. Есть бесплатные варианты вроде Find My iPhone (Apple) или Find My Mobile (Samsung), которые предустановлены на устройствах, а есть платные, с более широким функционалом. Например, приложение mySafety для телефона работает даже при отключенном интернете", — рекомендует Сергей Власко, СЕО компании по защите личных вещей "mySafety Украина".

Самые известные хакеры в истории

Кевин Митник

Он удостоился звания самого разыскиваемого компьютерного преступника в истории США "по версии" Министерства юстиции Соединенных Штатов. История Кевина настолько нетривиальна, что легла в основу сценария фильма TakeDown (в русскоязычном прокате — "Взлом").

Митник отбыл годовое заключение в тюрьме после взлома сети Digital Equipment Corporation, после чего был освобожден под надзор на 3 года. Под конец срока надзора он сбежал и был замечен при взломе системы предупреждения национальной обороны Америки. В конечном итоге Митника поймали и дали 5 лет лишения свободы. После выхода из тюрьмы экс-хакер стал популярным спикером на конференциях, посвященных компьютерной безопасности, и основал свой бизнес — Mitnick Security Consulting.

Джонатан Джеймс

Трагическая история хакера под ником c0mrade еще раз показывает, что черное хакерство — разрушительно для всех участников взлома. Еще подростком Джонатан начал взламывать коммерческие и правительственные сети, например, сеть NASA. Юный хакер скачал несколько файлов, включая исходный код Международной орбитальной станции. В наказание за это Джеймс был отправлен за решетку в возрасте 16 лет. После выхода на свободу в 2007 году он вновь попал под подозрение во взломе нескольких сетей крупных частных компаний. Однако Джеймс отрицал свою причастность к этим преступлениям.

По официальным сведениям, Джонатан Джеймс покончил с собой 18 мая 2008 года, полагая, что вновь попадет за решетку в наказание за преступления, которые, по его словам, он не совершал. По другой версии, самоубийство — фальсификация, а на самом деле Джеймс был убит государственными структурами.

Кевин Поульсен

Хакер под никнеймом Dark Dante (Темный Данте) славился своими умениями взламывать и прослушивать телефонные сети. Однажды ради забавы он хакнул телефонную сеть радиостанции и объявил себя победителем конкурса, который получит в качестве приза новенький Porsche.

После взлома федеральных систем и кражи информации о прослушках Поульсен попал в розыск ФБР. Кевин был приговорен к 51 месяцу тюремного заключения и штрафу. После освобождения из тюрьмы в 1995 году бывший хакер перешел на светлую сторону силы: он стал главным редактором журнала Wired, а в 2006 году даже помог правоохранительным органам выявить 744 сексуальных преступника в соцсети MySpace.

"Есть две основные причины, почему многие хакеры становятся черными. Первая — больше денег. Как blackhat вы можете продавать все: доступ к веб-сайтам (shell, rdp, cpanel и т. д.), уязвимости и эксплойты, базы данных сайтов, информацию о банковских счетах и так далее. Несмотря на то, что белые хакеры могут получить доступ к тем же данным, мы рассматриваем это как грязный рынок и грязные деньги, потому что blackhats занимаются кражей. Вторая причина — больше свободы. Черные хакеры склонны думать, что они круче белых: никто не знает их реальной личности; они не ограничены областью действия или политикой программы; получив доступ к системам или сетям, они сохраняют его до тех пор, пока не извлекут максимальную выгоду.

Я рассказал о "клевой" стороне черного хакерства, но есть и обратная сторона.

Например, будучи черным хакером, вы имеете все шансы сесть в тюрьму в любое время. Для белого хакера такой сценарий невозможен.

Как черный хакер, вы не можете публиковать какие-либо записи, выступать на публичных конференциях и иметь резюме, чтобы упомянуть достижения. Будучи белым хакером, вы можете сообщить [о найденной уязвимости] на веб-сайт и получить деньги в соответствии с их программой бонусов.

Вы также можете получить CVE-номер и иметь внушительное резюме со ссылкой на ваши успехи. Возможно, это поможет найти работу в высокотехнологичной компании. Если вы хотите работать в Google, вас обязательно спросят об опыте работы. Как черный хакер, вы не можете упоминать ни один референс, иначе окажетесь в тюрьме. Как белый хакер, вы можете опубликовать свое исследование, стать спикером на конференциях или звездой ток-шоу", — говорит этичный хакер и старший консультант Deloitte Ибрагим Хегази.

Он отмечает, что благодаря белому хакерству можно даже стать миллионером.

Например, Марк Личфилд, известный белый хакер и баг-баунти-охотник, заработал более 500 000 долларов за год. Он просто искал уязвимости на веб-сайтах и ​​сообщал о них.

Благодаря публикациям Марку предложили работу в Oath — компании, которая владеет Yahoo, AOL, TechCrunch и другими брендами.

"Вы можете последовать примеру Марка, участвуя в баг-баунти программах Google, Facebook, Twitter, Uber и других компаний. Google платит $7500 за простую уязвимость XSS. Еще вы можете присоединяться к платформам с бонусами, таким как Hackerone.com, Bugcrowed.com, Synack.com, Hackenproof.com, и начать зарабатывать деньги", — рекомендует Хегази.

Светлая сторона силы

Может показаться, что хакерство — однозначное зло. На самом же деле, умение обходить компьютерную защиту — это только навык, который можно использовать и в благих намерениях.

Белые хакеры — профессионалы в области кибербезопасности, которые обладают тем же набором знаний и умений, что и хакеры-злоумышленники, но, в отличие от последних, используют их, чтобы искать уязвимости компьютерных систем и помогать в их отладке.

Полученную в ходе "ответственного взлома" информацию они передают отделу безопасности, чтобы устранить лазейки, которыми могли бы воспользоваться взломщики-злоумышленники. Белых (или этичных) хакеров также называют "хакерами в белых шляпах" (white hat hackers). Судя по всему, такая аналогия происходит из фильмов о Диком Западе, в которых хорошие парни носили белые шляпы, а плохие парни одевались в черное.

Сегодня белые хакеры стали самым сильным оружием в борьбе с киберпреступниками. Ведь они знают, как проникнуть в безопасность онлайн-инфраструктуры, и используют те же уязвимости, что и "хакеры в черных шляпах". Этичные хакеры — неотъемлемой часть сообщества кибербезопасности.

Как зарабатывают белые хакеры

Черные хакеры обычно зарабатывают на кражах, мошенничестве и вымогательствах. Этичные хакеры используют свои навыки, чтобы оказывать услуги подразделениям безопасности крупных организаций. Они знают, как работают злоумышленники, что помогает предотвратить атаки.

Другой способ, с помощью которого этические хакеры могут заработать себе на жизнь, — участие в легальном поиске уязвимостей во время "bug bounty".

Крупные компании (особенно технические, например, Facebook , Microsoft или Google) предлагают награду белым хакерам, если те находят дыры в безопасности сетей или программного обеспечения.

Так "хакеры в белых шляпах" получают значительные суммы, а бизнес устраняет уязвимость, прежде чем ею воспользуются киберпреступники.

Но организация собственной bug-bounty-программы — это довольно сложно. Чтобы сэкономить ресурсы, компании часто прибегаю к помощи специальных bug-bounty-платформ.

"За несколько лет работы в кибербезопасности я не видел ни одной компании, у которой не было бы уязвимостей. Это могут быть ошибки в собственном коде, уязвимости в ПО сторонних разработчиков, которое использует компания, или ошибки в бизнес-логике. И когда руководство понимает эти риски — это признак зрелости компании.

Чтобы защитить свои продукты и клиентов, нужно найти и устранить баги раньше, чем о них узнают черные хакеры. Для этого стоит привлечь на свою сторону белых хакеров: либо нанять собственный отдел security researchers (самый дорогой вариант), либо через bug bounty программы или платформы.

Bug bounty переводится как "охота на баги": вы назначаете вознаграждение за каждую найденную уязвимость, регламентируете процесс и получаете от белых хакеров помощь в поиске ошибок. Собственные bug bounty программы по силам только компаниям-гигантам, но вот платформы вроде HackenProof доступны почти всем. Их преимущество в том, что вам не придется тратить много ресурсов на организацию процесса, поиск этичных хакеров и другие рутинные моменты. Сотни надежных специалистов со всего мира уже есть на платформе", — объясняет CEO компании в сфере кибербезопасности Hacken Дмитрий Будорин.

Сегодня угроза кибератак — острая как никогда. Поэтому каждой компании и организации, каждому министерству и государственному органу нужно быть начеку, проверить свою безопасность. И этичное хакерство один из лучших способов найти уязвимости в компьютерных системах. Такое сотрудничество помогает бизнесу защитить себя и своих клиентов, а талантливым хакерам дает возможность легального заработка.


Сколько бы они не зарабатывали, труд их нечестен и грязен. Хотя есть некоторая каста благородных хакеров, которые, как Робин Гуды, стремятся восстановить справедливость в этом безумном мире. Но их единицы. В основном это мошенники с криминальным складом ума, либо подневольные трудяги-ботаны на службе спецслужб – сорри, за каламбур. Однако, это все лирика, попробуем примерно воспроизвести цифры которые они имеют от своих преступных трудов.

Известные борцы с хакерскими программами, ребята из «Касперского», говорят, что доходы от хакерской атаки могут превышать расходы на ее организацию аж в 20 порядков. И их доходы растут год за годом, ведь наша жизнь превратилась в сплошное киберпространство – посчитайте сколько сейчас всего различных операций человечеством выполняется на просторах Интернет. Почти все важные дела ведутся по сети, деньги, переписки, обмен информацией и медиа. А там, где есть предложение есть и спрос. Основную массу киберпреступлений конечно занимает кража денег со счетов, карт.

Общая тенденция рынка

По последним данным из открытых источников, которые уже устарели и датируются 2011 годом, мировой объем рынка киберпреступлений был равен сумме в 12,5 миллиардов долларов, что на 5,5 миллиардов больше, чем по данным 2010 года. Неудивительно, если сегодня, в 2016 году, эта цифра в разы увеличилась!

Современный хакер – это не гений программист, таких вообще единицы уникумов. Современный хакер практически не разрабатывает сам свое ПО, он покупает их и использует в своих целях – для этого не надо иметь семь пядей по лбу. Даже от самых дешевых хакерских программ доходы существенные. Сегодня хакер — это больше психолог, маркетолог и мошенник, чем злой гений. Приобретя вредоносную программу, главное, надо суметь ее полноценно использовать, то есть внедрить в стан жертвы, от тут то и используются различные психологические маркетинговые уловки в письмах и рассылках.

Для создания в соцсетях поддельного аккаунта и спамить с него рассылку будет стоить примерно 150-200 долларов. И если хотя бы сотня человек клюнет на приманку и отправят свои данные киберпреступникам, на этом можно заработать от 10 000 долларов – продавая только конфиденциальную информацию, полученную таким путем.

Но основную долю прибыли хакерам приносят троянские программы. Например, простой случай – блокировщик экрана. Компьютер заражают им, да и не только компьютер уже – смартфон, планшет, а потом требуется выкуп за разблокировку. Код троянской программы обычно стоит 1000 долларов США, за разблокировку требуют 100-200 долларов США. Заразив 15-20 пользователей, можно окупить трояна и получать прибыль. Так же можно заработать на троянах-шифровальщиках, правда стоят они дороже – примерно 2000 долларов.

Тяжелая артиллерия этого вида преступлений – банковские трояны. Они обеспечивают доступ к счетам жертвы. Код банковского трояна стоит более 3000 долларов, а средний доход, после его внедрения, в среднем составляет 75 000 долларов.

Миллионеры хакеры

Есть данные, что только в России хакеры зарабатывают более 1 миллиарда долларов в год. Средний хакер имеет примерно 50 000 долларов в год. Большая часть этих денег от российских жертв их атак. В России примерно 20 000 хакеров. Обычно большая их часть в регионах получают 10-20 тысяч долларов в год. Но есть и долларовые миллионеры среди хакеров, их более сотни. Некоторые российские хакерские группировки имеют до 10 миллионов долларов в неделю. Зафиксированная рекордная сумма заработка хакерской группы – 24 и 26 миллионов долларов.

Вторая сторона

Те, кто противостоит хакерам, такие же хакеры, но по другую сторону баррикад – они получают гораздо меньше. Обычная их зарплата 1000-1500 долларов в месяц. В Москве разумеется больше – от 2500 долларов в месяц. Обычно это работники компаний по разработке систем компьютерной безопасности и хакер в спецслужбах.

Общая тенденция гласит что Россия сегодня является абсолютным лидером по количеству киберинцидентов с использованием троянов – это 72% от общего количества инцидентов во всех странах, а доход преступников, в среднем, по словам экспертов, составляет 10 миллионов долларов в неделю.

Наши мошенники целый год воровали коды доступа к банковским счетам под присмотром ФБР. «Оружие» жулья - Zeus, один из самых опасных компьютерных вирусов. Программа нацелена на кражу паролей и личных данных пользователей Интернета, когда они осуществляют платежи в сети.

Двое граждан России – Александр Сорокин и Антон Юферицын – осуждены в США на шесть и десять месяцев лишения свободы соответственно. Помимо этого 23-летний Сорокин должен уплатить штраф 100 долларов, а 26-летний Юферицын – 38,314 тыс. долларов. Не так уж и много, если учесть размер нанесённого ущерба и то, что прокуратура США просила для обвиняемых 20 лет лишения свободы и штраф 500 тыс. долларов.

Сейчас на скамье подсудимых оказалась Кристина Свечинская, весьма симпатичная особа, которую американская пресса немедленно сравнила и с Анной Чапман, и с Анджелиной Джоли, на заре своей карьеры сыгравшей очаровательную, но очень опасную хакершу. Впрочем, Кристина Свечинская – всего лишь пешка, лицо глобальной аферы.

Операцию Trident Breach («Cломать трезубец») ФБР начало год назад. Цель её – пресечь деятельность международной группы хакеров, которая, по предварительным оценкам, украла более 70 млн долларов со счетов клиентов крупнейших банков мира. Главным элементом преступной схемы была почти идеальная троянская программа Zeus. Деньги перечислялись на счета, оформленные на поддельные документы, а затем обналичивались.

При этом многих исполнителей нанимали с помощью рекламы в русскоязычных газетах и социальных сетях. В основном ими были студенты, приехавшие в США на учёбу из России и СНГ. Рекрутеры выходили на тех, кто оформляет визу J-1 на въезд в эту страну, и предлагали немного заработать. Есть среди попавших в руки агентов ФБР и приехавшие по студенческой программе Work & Travel. Собственно, такова история уже упомянутой Свечинской.

В то же время один из завербованных «мулов» (money mules – так преступники называют людей, обналичивающих добычу в банкоматах) оказался осведомителем ФБР. Так спецслужбам удалось выйти на руководителей группы. В США, Великобритании и на Украине арестованы около 50 человек, и среди них много граждан России.

Специалисты по кибернетической безопасности называют Zeus одним из самых опасных компьютерных вирусов. Программа нацелена на кражу паролей и личных данных пользователей Интернета, когда они осуществляют платежи в сети. По данным «Лаборатории Касперского», благодаря простоте конфигурации Zeus только в США заразил 3,6 млн компьютеров.

Главное отличие Zeus от других троянских программ – способность менять код страницы сразу после того, как пользователь введёт адрес, но до того, как сайт появится в окне браузера. В результате на странице появляются новые поля ввода секретных данных – например, PIN-кода карточки, – которые после заполнения пользователем пересылаются злоумышленнику.

Вирусный аналитик «Лаборатории Касперского» Дмитрий Тараканов в аналитическом обзоре «За кем охотится Zeus» характеризует его как сложную программу с огромными возможностями. Попав в систему жертвы, этот троян записывает всё, что пользователь сохраняет, например, ставя галочку «Сохранить пароль». Он также фиксирует последовательность клавиш, которые нажимаются на клавиатуре. Не спасает и ввод данных с виртуальной клавиатуры, которую сегодня используют практически все интернет-банки. В этом случае Zeus каждый раз, когда вы нажимаете левую кнопку мыши, запоминает картинку – область экрана вокруг курсора, чтобы определить, какие клавиши выбираются мышкой.

Троян контролирует все данные, проходящие через браузер. Также злоумышленники могут в удалённом доступе установить на заражённый компьютер нужное им другое программное обеспечение. Пользователи даже не догадываются, что с их компьютеров рассылается спам, что злоумышленник использует их выход в Интернет, чтобы скрыть свою точку доступа во Всемирную паутину. Жертвы могут, сами того не ведая, месяцами участвовать в преступных махинациях.

Самое главное – сегодня любой гражданин, у которого созрел злой умысел, может приобрести себе экземпляр троянской программы Zeus и даже заказать дополнительные опции, которых нет в базовой комплектации. Распространение Zeus прочно встало на коммерческие рельсы. Интересно, что популярность Zeus начала расти в конце 2008 года. Многие программисты и опытные пользователи оказались из-за кризиса без работы и решили попробовать свои силы в интернет-мошенничестве.

Zeus сложен и для антивирусов. Вирусописатели постоянно модернизируют алгоритмы шифрования, что усложняет анализ программы.

Zeus атакует сайты коммерческих структур, причём 10 самых популярных – страницы банков, у которых есть интернет-банкинг. Есть в списке и Paypal.Com, связывающий виртуальные деньги, которыми можно расплатиться в Интернете, с реальными через кредитные или дебетовые карты и другие подобные. Популярен и интернет-аукцион Ebay.Com.

Гражданам России, впрочем, не стоит расслабляться и думать, что опасность грозит только жителям США, Великобритании и других западных стран. В России Zeus также работает с популярными сайтами, связанными с денежными операциями.

Опасность в первую очередь грозит пользователям платёжных сервисов – QIWI, Яндекс.Деньги и WebMoney. Например, в 2008 году оборот сумм, проходящих через систему QIWI (Объединённая система моментальных платежей (ОСМП), составил 7,2 млрд долларов. Соответственно адрес QIWI встречается в большинстве файлов конфигурации Zeus.

«Вредоносные программы, оказавшись на компьютере пользователя ОСМП, перехватывают вводимые пароли и отсылают их своему хозяину, когда пользователь заходит в личный кабинет для управления своим виртуальным кошельком», – указывает в аналитическом обзоре о трояне эксперт «Лаборатории Касперского» Дмитрий Тараканов.

Попал под прицел киберпреступников и сайт Paymentgate.Ru, который является адресом системы компании RBS, ориентированной на работу с интернет-магазинами. Через эту систему зарегистрированные интернет-магазины проводят платежи с пластиковых карт пользователей. В списке популярных у Zeus сайтов и сайт компании БКС, работающей на рынке брокерских услуг. Опасность также представляют сайты компаний, позволяющих играть на валютном рынке Forex.

Чтобы защититься от угрозы из Интернета, ни в коем случае не стоит переходить по незнакомым ссылкам. «Как правило, ссылки на вредоносные программы приходят в сообщениях ICQ (или других клиентов) или в письмах электронной почты. Злоумышленники – неплохие психологи и пользуются вашими слабостями и доверчивостью, чтобы заманить вас на свой вредоносный сайт», – пишет Тараканов. Но стопроцентной гарантии нет никогда.
Справка

Сколько зарабатывают хакеры в России

По данным экспертов в области компьютерной безопасности, среднестатистический российский хакер зарабатывает около 50 тыс. долларов в год. По мнению президента группы компаний Leta Александра Чачавы, российские хакеры в 2009 году заработали около 1 млрд долларов. Большая часть этой суммы получена за счёт отечественных жертв, поскольку в США и Великобритании российских хакеров преследуют всё жёстче. В США ответственность за киберпреступления несут тысячи преступников ежегодно, в то время как в России – пять-семь человек в год.

Количество хакеров гендиректор Group-IB Илья Сачков оценивает примерно в 20 тыс. человек. Доходы разных представителей этой профессии существенно различаются. В регионах технические исполнители могут получать 10–20 тыс. долларов в год, но больше сотни хакеров в России – долларовые миллионеры.

По данным Сачкова, заражение вредоносными программами 1 тыс. персональных компьютеров в России сейчас стоит 20 долларов, стоимость DDos-атаки мощной сетью – 200–500 евро. Разработка троянской программы обойдётся в 980–4900 долларов, минимальная стоимость взлома сайта – 50 долларов, а номера кредитных карт с PIN-кодами продаются от 490 долларов.

Борцы с хакерами зарабатывают гораздо меньше. По данным компании HeadHunter, в августе 2010 года специалистам по информационной безопасности в среднем по стране предлагали зарплату 31 тыс. рублей в месяц (порядка 12 тыс. долларов в год). В Москве средняя зарплата — 72 тыс. рублей в месяц (28 тыс. долларов в год). Что уже лучше, но до хакеров всё равно далеко.


Сообщество HackerOne, на котором зарегистрировано более 160 000 хакеров и которое выплатило им уже $23,5 млн за найденные уязвимости, опубликовало отчёт The 2018 Hacker Report. Это крупнейший в истории опрос этичных хакеров, в котором приняло участие 1698 респондентов. Вместе с результатами приведена интересная статистика.

Ключевые результаты:

  • Награды за найденные баги обеспечивают достойную жизнь топовым хакерам. В среднем по всем странам мира разница в «зарплате» топового хакера и средней по медиане зарплатой программиста составляет 2,7 раза, но в разных странах ситуация отличается. Например, в Индии разница достигает 16х, в Аргентине — 15,6х, в Латвии — 5,2х, в США — 2,7х, по России статистики зарплат не нашлось.
  • Деньги не являются самой главной мотивацией этических хакеров, это лишь четвёртая по популярности (13,1%) причина работы взломщиков. Для большего количества хакеров важнее возможность изучения технологий и хитростей работы (14,7%), возможность решать интересные задачи (14%) и получать удовольствие (14%). Хотя ещё в 2016 году деньги были причиной № 1.
  • Индия (23,3%) и США (19,9%) — два мировых лидера по количеству зарегистрированных хакеров. За ними следуют Россия (6,3%), Пакистан (4%) и Великобритания (4%).
  • Почти каждый четвёртый хакер не сообщал компании о найденной уязвимости, потому что компания не предоставила возможности (канала коммуникации), как сообщать об уязвимостях.
  • Почти 58% всех специалистов по взлому — самоучки. Хотя 50% изучали информатику/программирование в университете, а 26,4% — в школе, но всего лишь 5% сказали, что эти занятия дали им хоть какие-то знания, полезные для хакинга. До сих пор информационная безопасность остаётся довольно редкой специальностью в вузах, но в Сети можно найти достаточно бесплатной информации для самообразования, в том числе полноценные учебники по взлому сайтов (учебник Web Hacking 101 раздают пользователям HackerOne бесплатно). Отличный способ самообразования — изучать отчёты о реальных взломах
  • Примерно 37% участников опроса занимаются взломами как хобби в свободное время, но 12% получают минимум $20k в год от программ вознаграждения, а более 3% зарабатывают от $100k в год, чего вполне достаточно для нормальной жизни в любой стране мира. 1,1% зарабатывают более $350k в год — а такую зарплату практически невозможно получить на обычной программистской работе. Четверть хакеров сказали, что вознаграждения составляют для них минимум 50% дохода, а у 13,7% это 90-100% годового дохода.


Как видим, россияне входят в число лидеров и за год заработали $1 296 018.

Типичный хакер — юный одарённый IT-профессионал до 35 лет. Почти половина всех хакеров не достигла ещё и 25 лет. У 75,1% опыт хакерства составляет всего лишь 1-5 лет.

46,7% хакеров работает профессионально по специальности (специалисты по ИБ или программисты), а 25,3% — студенты. Около 13% сказали, что занимаются взломами полный рабочий день, то есть более 40 часов в неделю.

Любопытная статистика по инструментам, которые используют хакеры. Преимущественно сейчас все специализируются на веб-платформе, то есть взломе веб-сайтов и веб-приложений. Так вот, самые популярные инструменты:

  • Burp Suite, интегрированная платформа для выполнения тестов по безопасности веб-приложений, которая входит в комплект хакерской операционки Kali Linux — 29,3%
  • Инструменты собственной разработки — 15,3%
  • Веб-прокси/сканеры — 12,6%
  • Сканеры сетевых уязвимостей — 11,8%
  • Фаззеры — 9,9%
  • Дебаггеры — 9,7%
  • WebInspect — 5,4%
  • Fiddler — 5,3%
  • ChipWhisperer — 0,8%

Любимые векторы атаки — XSS (28,8%), SQL-инъекции (23,1%), фаззинг (5,5%) и брутфорс (4,5%).

Большинство предпочитают работать в одиночку, хотя многие публикуют результаты у себя в блоге, чтобы получить отзывы коллег, и читают их блоги.

Рассказ Link — хакера из Санкт-Петербурга, который нашёл уязвимость в PayPal и получил от компании около $70 тысяч в знак благодарности.

Меня всегда интересовала информатика, и мне всегда хотелось что-то «сломать», но при этом так, чтобы никто не пострадал, а защита и качество сервисов улучшились.

Я искал разные приложения и сайты и спрашивал у создателей, можно ли проверить их разработки на прочность. Чаще всего мне отказывали. Скорее всего, боялись, потому что такое предложение казалось странным и неприемлемым.

Но я продолжал лазить по интернету и подмечать разные незащищённые места. В 2009 году нашёл в одном из офлайн-магазинов известной торговой сети веб-камеры, к которым мог подключиться любой и перехватить видеосигнал. Мне тогда было 15 лет.

Я сообщил об этом владельцам, они сказали спасибо и закрыли уязвимость. Я предложил им свои услуги в сфере безопасности, но они отказались. А потом их взломали, и они почему-то подумали на меня, хотя это было не так.

Время от времени я продолжал искать уязвимости вроде открытых баз данных интернет-магазинов, в которых были информация о заказах и персональные данные клиентов, — и связывался с владельцами, чтобы они закрыли дыры.

В 2015 году я узнал про bug bounty (вознаграждение за найденные уязвимости, которое выплачивают ИТ-компании — vc.ru) и зарегистрировался в сервисе HackerOne, глобальной платформе, где создатели различных приложений и сервисов разрешают взламывать свои продукты.

Там зарегистрированы «ВКонтакте», Mail.ru Group, Sony, Adobe и много других известных организаций, включая Министерство обороны США. Они либо платят за найденные «дыры», либо благодарят иначе: могут выслать фирменную футболку или кружку или просто сказать спасибо.

Иногда они устраивают публичные мероприятия: предлагают всем желающим проверить силы во взломе своих сервисов. Иногда — закрытые, для нескольких хакеров.

Вне зависимости от программы, через 90 дней после сообщения владельцу ресурса об уязвимости, взломщики рассказывают о своих находках сообществу: что именно нашли и как им это удалось. Первые $100 я заработал взломав один сервис и получив доступ к файлу readme.txt.

Это было очень просто, и я не рассчитывал, что мне заплатят. Но на HackerOne есть диапазон выплат, который разделён по уровню критичности обнаруженной уязвимости.

Опыта для поиска критичных уязвимостей у меня было маловато, профильного образования тоже не было. Я самоучка: читал разные статьи, сидел на форумах, применял знания на практике.

Есть чаты, в которых сидят хакеры, — спрашивал советы там. Иногда мне помогали просто так, иногда — за процент от вознаграждения.

Кроме того, в то время я читал много открытых отчётов на HackerOne, в которых хакеры описывали, как они обнаружили ту или иную уязвимость.

Чтобы компания приняла отчёт, хакеру нужно доказать, что он действительно нашёл уязвимость, которая может причинить ущерб. Не получится сказать: «Шёл мимо гаража, увидел дырку в стене» — подобный отчёт просто не примут и попросят обосновать, в чём заключается дыра, и какую угрозу она несёт, пусть даже в малой степени.

Хороший отчёт выглядит так: «Я проходил мимо гаража, увидел, что хозяин забыл вытащить ключ из замка, открыл его, зашёл внутрь, ничего не трогал, а потом привёл владельца и показал, как можно попасть в гараж».

В этих отчётах было много полезных данных. Ещё я практиковался на тренажёрах — сервисах вроде Hack The Box, в которых разработчики сознательно оставили дыры.

Я не считаю, сколько времени трачу на работу. Всё зависит от настроения и объёма задач. Если есть важные дела, занимаюсь ими, если есть свободное время, «охочусь» ради интереса. В месяц я зарабатываю от $2000 до $8000, в среднем — около $5000.

Самые высокие выплаты за уязвимости среди российских компаний — у Mail.ru Group, от $2000 до $4000.

Adobe обычно ничего не платит, просто благодарит. А Sony высылает майки. Но я так ни одной не получил благодаря нашей доблестной таможне.

Свой самый крупный гонорар я получил за взлом для PayPal: за три месяца работы они заплатили мне около $70 тысяч. Но я не гонюсь за деньгами — иногда участвую в бесплатных проектах, чтобы повысить свой уровень.

Они всегда разные, их сложно отсортировать по «популярности». Но чаще всего я нахожу SQL-инъекции, SSRF и RCE.

С помощью SSRF потенциальный злоумышленник может обращаться ко внутренней инфраструктуре компании, иногда недоступной даже из глобальной сети.

Для этого достаточно найти уязвимый сервис, обращающийся ко внутренней сети. Этот тип уязвимости может привести к полной компрометации инфраструктуры компании.

SQL-инъекция позволяет получить доступ к базе данных сайта или сервиса, в которой могут храниться логины, пароли и прочие сведения о пользователях, включая данные администратора.

RCE — уязвимость, которая позволяет завладеть сервером и выполнять команды от имени его администратора.

Сложнее всего взламывать сервисы крупных компаний: они тщательнее следят за своей инфраструктурой, плюс сама инфраструктура более сложная и базируется на микросервисах.

Недавно стало известно об утечке пользовательских данных в «Сбербанке». Насколько я знаю, у них всё хорошо с защитой. Злоумышленники обычно ищут заведомо уязвимых жертв.

Некоторые компании знают об уязвимостях, но ничего с ними не делают. Несколько лет назад я случайно обнаружил возможность SQL-инъекции у одного из крупнейших в России продавцов электроники. Уязвимость до сих пор не исправили.

Большинство брешей связаны либо с разгильдяйством программистов и системных администраторов, либо с недостатком у них опыта.

Иногда и очень опытные специалисты пропускают или попросту не успевают залатать дыры в системе безопасности. Против zero day — уязвимостей далеко не все могут бороться. Так что на 100% безопасными могут быть только выключенная система или система, о которой никто не знает.

Кто-то может случайно сделать публичной базу с пользовательскими данными или панель администратора с базой данных. Иногда такие ошибки происходят по невнимательности, когда разработчики забывают отключить некоторые настройки (debug mode) перед публикацией сервиса или обновления.

То есть в «нормальном» режиме доступ к этим сведениям могут получить только сотрудники организации, а доступ оказывается открытым всем пользователям интернета. Другие бреши связаны с техническими нюансами: когда что-то ломается при обновлении системы.

Если объяснять «на пальцах», поиск уязвимостей выглядит так. Сперва я изучаю инфраструктуру сети — либо вручную, перебирая поддомены, либо с помощью сервисов Shodan и Censys.

Так я получаю информацию об узлах, которые образуют сеть. Глядя на них, я понимаю, где могут скрываться потенциальные проблемы. Использую сканеры уязвимостей — они обращаются к узлу и по ответам находят его слабые места. Затем мне остаётся проверить, действительно ли там есть уязвимость.

Мне регулярно предлагают заняться «чёрной» работой. Чаще всего обращаются знакомые знакомых, которые хотят больших и лёгких денег и при этом не задумываются о рисках.

Самый популярный запрос: «Давай взломаем банк». Они думают, что я могу подчинить себе банкомат, и он будет выплёвывать деньги. Либо предлагают считывать данные о банковских картах.

На втором месте — просьба взломать тот или иной интернет-магазин. Некоторые товарищи хотят взломать сайты букмекерских контор и сервисы бинарных опционов или биткоин-кошельки. Иногда просят взломать страницу во «ВКонтакте», но эта просьба, на удивление, лишь на шестом-седьмом месте по популярности.

Я никогда не соглашался: все подобные предложения незаконны и противоречат моим внутренним принципам.

В 2018 году я познакомился с Андреем Леоновым, который годом ранее нашёл уязвимость в Facebook и заработал $40 тысяч. До знакомства мы много переписывались, а однажды встретились на Zero Nights (крупная российская конференция в сфере информационной безопасности — vc.ru).

Мы пообщались и договорились вместе искать баги: нам хотелось развиваться. Решили повышать уровень сообща. Постепенно команда выросла до шести человек.

Благодаря командной работе получается достаточно быстро справляться со сложными уязвимостями и выполнять более сложные проекты, которые в одиночку я бы вряд ли взялся делать. Например, аудит систем на наличие уязвимостей.

Я либо искал парней специально, либо находил благодаря случаю. Однажды я нашёл дыру в одной компании и стал искать способ сообщить о ней их разработчикам.

Почти всегда это непростая задача: в техподдержке часто не понимают, о чём идёт речь.

Она консультирует клиентов и обычно отвечает что-то вроде: «Извините, вакансий программистов у нас нет».

В лучшем случае предлагают прогуляться до ближайшего магазина, если речь об офлайн-сети, и показать находку администратору. Так было и в тот раз: я на LinkedIn увидел, что один парень работает в той компании, мы разговорились.

Оказалось, что он там больше не работает, но пообещал рассказать об уязвимости ответственным людям. В итоге проблему решили, и я даже получил небольшое денежное вознаграждение, что для российских компаний скорее редкость.

Слово за слово мы договорились работать вместе — было необходимо автоматизировать часть задач.

Чаще всего мы не раскрываем данные об уязвимостях, если компания, в которой мы их нашли, не желает этого. То есть мы не можем сказать, что, где и как обнаружили: эта информация только для представителей компании.

Кроме того, я использую принцип «не навреди»: для меня недопустимо «положить» сервер или украсть данные. Это считается нарушением этики, преследуется и по закону, и по правилам HackerOne.

Моя цель — помогать компаниям быть безопаснее для пользователей.

И мне интересно развиваться самому, узнавать о новых технологиях. И лучше «ломать» сервисы для пользы, а не во вред: так не только не накажут, но и расскажут об интересных нюансах, связанных с безопасностью, о которых иначе ты бы и не узнал.

Всегда приятно читать истории увлекающихся людей с адекватными принципами в голове, это вдохновляет. Автор молодец, ставлю +.

Когда делаешь добро, главное - успеть сьебаться

В 2017 меня из 2-х компаний так уволили.

Буквально через неделю после устройства на работу, я нашел способ как простому админу получить уровень доступа начальника отдела. Показал начальнице, она сказала: "Ты ничего не видел и не знаешь" и все. Через месяц я нашел дыру через которую можно было слить базу всех сотрудников, работников и клиентов, с номерами, адресами, фотографиями и сканами документов. 1,5 года я стучался во все двери и говорил что проблему нужно решить, тем более что в то время нас постоянно дедосили и сервис падал (а мои доки тоже в базе лежали). В итоге я заскринил, как можно сломать сервис тестирования сотрудников, чтобы тест был пройден на 100% и скинул коллегам (раз дырки не баг, значит фича). Началась буча. Но вместо того, чтобы дать по башке тем кто отвечает за ИБ, всех собак повесили на меня, простого администратора (звонилку), под шумок и все дедосы тоже на меня повесили и весело уволили.

Во второй конторе я был уже не звонилкой, а занимался контролем качества информации в БД. Устроился, я на момент, когда вводили новую вебморду для сервиса. Очень сырую. Часто бывало, что она сбоила и мы откатывались на 2 дня назад, или просто то, что было проверено, некорректно отображалось и т.д. Из-за этого естественно мы не выполняли планы, лишались премий и просто получали по башке. Начальник отдела который админил всю эту шляпу, отчитывался перед вышестоящим руководством, что у них все норм, и это мы козлы, и ему почему-то верили. Наш начальник как не бился оставался крайним. В итоге начальник админов совсем офигев, сказал что-то типа "если все так плохо работает, то скриньте, снимайте видео и шлите репорты". Большинство ошибок же было в стиле, то есть, то нет и фиг знает почему она появлялась, т.е. не зная заранее не заскринить. Ну ок. Я нон-стопом запустил у себя запись экрана, а вечером дома уже нарезал моменты, иногда выяснял из-за чего проблемы и описывал их в отдельном файлике. Короче за 2 месяца стало ясно кто тут горбатый. А начальник админов, которому видимо похваставшись меня сдал наш начальник, затаил на меня обиду. Слили меня через месяц при первых же проблемах в конторе. В один прекрасный день меня вызвал начальник и сказал, что сверху пришло распоряжение уволить меня и еще одного энтузиаста. Предложили уйти самим или найдут за что уволить по статье. Начальник объяснил, что все с подачи начальника админов.

Читайте также: