Рассказ Link — хакера из Санкт-Петербурга, который нашёл уязвимость в PayPal и получил от компании около $70 тысяч в знак благодарности.
77 592 просмотров
Меня всегда интересовала информатика, и мне всегда хотелось что-то «сломать», но при этом так, чтобы никто не пострадал, а защита и качество сервисов улучшились.
Я искал разные приложения и сайты и спрашивал у создателей, можно ли проверить их разработки на прочность. Чаще всего мне отказывали. Скорее всего, боялись, потому что такое предложение казалось странным и неприемлемым.
Но я продолжал лазить по интернету и подмечать разные незащищённые места. В 2009 году нашёл в одном из офлайн-магазинов известной торговой сети веб-камеры, к которым мог подключиться любой и перехватить видеосигнал. Мне тогда было 15 лет.
Я сообщил об этом владельцам, они сказали спасибо и закрыли уязвимость. Я предложил им свои услуги в сфере безопасности, но они отказались. А потом их взломали, и они почему-то подумали на меня, хотя это было не так.
Как стать ХАКЕРОМ с нуля. Даркнет
Время от времени я продолжал искать уязвимости вроде открытых баз данных интернет-магазинов, в которых были информация о заказах и персональные данные клиентов, — и связывался с владельцами, чтобы они закрыли дыры.
В 2015 году я узнал про bug bounty (вознаграждение за найденные уязвимости, которое выплачивают ИТ-компании — vc.ru) и зарегистрировался в сервисе HackerOne, глобальной платформе, где создатели различных приложений и сервисов разрешают взламывать свои продукты.
Там зарегистрированы «ВКонтакте», Mail.ru Group, Sony, Adobe и много других известных организаций, включая Министерство обороны США. Они либо платят за найденные «дыры», либо благодарят иначе: могут выслать фирменную футболку или кружку или просто сказать спасибо.
Иногда они устраивают публичные мероприятия: предлагают всем желающим проверить силы во взломе своих сервисов. Иногда — закрытые, для нескольких хакеров.
Вне зависимости от программы, через 90 дней после сообщения владельцу ресурса об уязвимости, взломщики рассказывают о своих находках сообществу: что именно нашли и как им это удалось. Первые $100 я заработал взломав один сервис и получив доступ к файлу readme.txt.
Это было очень просто, и я не рассчитывал, что мне заплатят. Но на HackerOne есть диапазон выплат, который разделён по уровню критичности обнаруженной уязвимости.
Опыта для поиска критичных уязвимостей у меня было маловато, профильного образования тоже не было. Я самоучка: читал разные статьи, сидел на форумах, применял знания на практике.
Есть чаты, в которых сидят хакеры, — спрашивал советы там. Иногда мне помогали просто так, иногда — за процент от вознаграждения.
Кроме того, в то время я читал много открытых отчётов на HackerOne, в которых хакеры описывали, как они обнаружили ту или иную уязвимость.
Чтобы компания приняла отчёт, хакеру нужно доказать, что он действительно нашёл уязвимость, которая может причинить ущерб. Не получится сказать: «Шёл мимо гаража, увидел дырку в стене» — подобный отчёт просто не примут и попросят обосновать, в чём заключается дыра, и какую угрозу она несёт, пусть даже в малой степени.
Хороший отчёт выглядит так: «Я проходил мимо гаража, увидел, что хозяин забыл вытащить ключ из замка, открыл его, зашёл внутрь, ничего не трогал, а потом привёл владельца и показал, как можно попасть в гараж».
В этих отчётах было много полезных данных. Ещё я практиковался на тренажёрах — сервисах вроде Hack The Box, в которых разработчики сознательно оставили дыры.
На HackerOne я занимаю 37 место в мировом рейтинге лучших специалистов по поиску уязвимостей
Деньги и выплаты
Я не считаю, сколько времени трачу на работу. Всё зависит от настроения и объёма задач. Если есть важные дела, занимаюсь ими, если есть свободное время, «охочусь» ради интереса. В месяц я зарабатываю от $2000 до $8000, в среднем — около $5000.
Самые высокие выплаты за уязвимости среди российских компаний — у Mail.ru Group, от $2000 до $4000.
Adobe обычно ничего не платит, просто благодарит. А Sony высылает майки. Но я так ни одной не получил благодаря нашей доблестной таможне.
Свой самый крупный гонорар я получил за взлом для PayPal: за три месяца работы они заплатили мне около $70 тысяч. Но я не гонюсь за деньгами — иногда участвую в бесплатных проектах, чтобы повысить свой уровень.
Какие уязвимости удаётся обнаружить чаще всего
Они всегда разные, их сложно отсортировать по «популярности». Но чаще всего я нахожу SQL-инъекции, SSRF и RCE.
С помощью SSRF потенциальный злоумышленник может обращаться ко внутренней инфраструктуре компании, иногда недоступной даже из глобальной сети.
Для этого достаточно найти уязвимый сервис, обращающийся ко внутренней сети. Этот тип уязвимости может привести к полной компрометации инфраструктуры компании.
SQL-инъекция позволяет получить доступ к базе данных сайта или сервиса, в которой могут храниться логины, пароли и прочие сведения о пользователях, включая данные администратора.
RCE — уязвимость, которая позволяет завладеть сервером и выполнять команды от имени его администратора.
Сложнее всего взламывать сервисы крупных компаний: они тщательнее следят за своей инфраструктурой, плюс сама инфраструктура более сложная и базируется на микросервисах.
Недавно стало известно об утечке пользовательских данных в «Сбербанке». Насколько я знаю, у них всё хорошо с защитой. Злоумышленники обычно ищут заведомо уязвимых жертв.
Некоторые компании знают об уязвимостях, но ничего с ними не делают. Несколько лет назад я случайно обнаружил возможность SQL-инъекции у одного из крупнейших в России продавцов электроники. Уязвимость до сих пор не исправили.
Большинство брешей связаны либо с разгильдяйством программистов и системных администраторов, либо с недостатком у них опыта.
Иногда и очень опытные специалисты пропускают или попросту не успевают залатать дыры в системе безопасности. Против zero day — уязвимостей далеко не все могут бороться. Так что на 100% безопасными могут быть только выключенная система или система, о которой никто не знает.
Кто-то может случайно сделать публичной базу с пользовательскими данными или панель администратора с базой данных. Иногда такие ошибки происходят по невнимательности, когда разработчики забывают отключить некоторые настройки (debug mode) перед публикацией сервиса или обновления.
То есть в «нормальном» режиме доступ к этим сведениям могут получить только сотрудники организации, а доступ оказывается открытым всем пользователям интернета. Другие бреши связаны с техническими нюансами: когда что-то ломается при обновлении системы.
Как искать уязвимости
Если объяснять «на пальцах», поиск уязвимостей выглядит так. Сперва я изучаю инфраструктуру сети — либо вручную, перебирая поддомены, либо с помощью сервисов Shodan и Censys.
Так я получаю информацию об узлах, которые образуют сеть. Глядя на них, я понимаю, где могут скрываться потенциальные проблемы. Использую сканеры уязвимостей — они обращаются к узлу и по ответам находят его слабые места. Затем мне остаётся проверить, действительно ли там есть уязвимость.
Мне регулярно предлагают заняться «чёрной» работой. Чаще всего обращаются знакомые знакомых, которые хотят больших и лёгких денег и при этом не задумываются о рисках.
Самый популярный запрос: «Давай взломаем банк». Они думают, что я могу подчинить себе банкомат, и он будет выплёвывать деньги. Либо предлагают считывать данные о банковских картах.
На втором месте — просьба взломать тот или иной интернет-магазин. Некоторые товарищи хотят взломать сайты букмекерских контор и сервисы бинарных опционов или биткоин-кошельки. Иногда просят взломать страницу во «ВКонтакте», но эта просьба, на удивление, лишь на шестом-седьмом месте по популярности.
Я никогда не соглашался: все подобные предложения незаконны и противоречат моим внутренним принципам.
В 2018 году я познакомился с Андреем Леоновым, который годом ранее нашёл уязвимость в Facebook и заработал $40 тысяч. До знакомства мы много переписывались, а однажды встретились на Zero Nights (крупная российская конференция в сфере информационной безопасности — vc.ru).
Как стать хакером с нуля?
Каждый из нас видел в разных фильмах отрывки, где хакеры без особого труда воровали пароли от пентагона или даже взламывали банковскую систему. В фильме “Крепкий Орешек 4.0” хакерам даже удалось взломать городскую систему управления и взять полный контроль над городом, разумеется, это все возможно, но другое дело в том, что после этого нужно скрываться, что очень проблематично. В данной статье мы подробно поговорим о том, что нужно, чтобы получить первые навыки хакера.
- Личные рекомендации
- Советы новичкам
- Что нужно знать хакеру?
Личные рекомендации
Еще лет пять назад я понял, что хочу быть хакером, и первое, что я сделал – набрал обычный поисковый запрос в Google и нашел множество форумов, где были мои единомышленники. В то время я даже не осознавал, что быть хакером – это не только взламывать пароли, но еще и быть опытным программистом. Если вы станете профессиональным хакером, вы всегда сможете найти легальную работу программистом в серьезных организациях, потому что будете владеть практическими навыками в программировании и всех основных языках программирования. Поэтому первое, что вам нужно сделать – изучить программирование. Это не так сложно, как может показаться на первый взгляд.
Вы можете просидеть целый день за компьютером с набором программ и книг, которых полным полно в интернете и научиться писать целые программы и модернизировать уже существующие. Не теряйте времени на онлайн-игры и прочий мусор, который отнимает его, если вы хотя бы один день посидите и займетесь программированием знаменитой 1С, вы уже сможете менять множество списков и таблиц, а также можете изменить программный код, чтобы файлы отправлялись на ваш компьютер. Таким образом, вы сможете внедрить определенный вирус в организацию и получать все счета и пароли, но для этого нужно время, которого у вас достаточно, Вы ведь наверняка любите сидеть за компьютером.
Вы должны разбираться в интернете, говоря проще – знать, как работает браузер по отношению к серверу, а также понимать, что значит каждый заголовок HTTP. Потратьте определенное время на изучение истории интернета, как он появился, что лежит в его основе, и что означает IP proxy, и вы приблизитесь к своей цели.
Советы новичкам
Вам не быть хакером, если не будете знать, что такое гипертекстовая разметка? Вы не должны думать, что сайты на ucoz, что то из себя представляют, вы должны в идеале владеть CSS и HTML. А знание HTML помогает не просто в строении собственных сайтов, но и во взаимодействии со скриптами PHP, которые достаточно сложные для понимания без основ HTML.
Изучите этикет общения и не разговаривайте на форумах так же, как с друзьями по ICQ. И желательно не задавать вопросов на эту тему на большинстве форумов, причины, я думаю, понятны. Никто не хочет делиться наработанным личным опытом в данной сфере, поэтому разговаривайте вежливо, и задавайте конкретный вопрос, чтобы не получить ответа – “ищи в Google, там есть все!” А также обязательно изучайте английский язык, так как с ним придется взаимодействовать постоянно. В интернете английский общепринят.
Далее вы можете приступать к освоению навыков взлома и технологию атак XSS, но здесь нужны знания HTML и PHP. Обязательно изучите информацию про анонимность, чтобы никто не догадался, что это вы. На данном этапе вы уже можете осваивать кражу номеров ICQ и паролей от Skype.
Хакер – это человек, который мыслит нестандартно, то есть очень креативно и нелогично. Вам придется постоянно самосовершенствоваться и быть готовым к риску. Любую информацию о взломе всегда можно найти в Google или Яндексе, но стоит помнить, что нужно владеть навыками программирования и разбираться в том, что такое интернет и как он работает. Большинство хакеров делятся своим опытом на сайтах, например: codenet.ru и antichat.ru, там вы можете найти единомышленников и обмениваться опытом.
Что нужно знать хакеру?
Набор программ становится решающим моментом в этом деле. Многие думают, что программы продаются за большие деньги. На самом же деле используются стандартные программы, которые нужны при работе с кодами сайтов, даже например, Adobe Dreamweaver, который заметно упрощает работу с CSS и HTML. Нужно уметь разбираться в операционных системах, или windows или *nix.
Потребуются минимальные знания shell команд в данных операционных системах. Также очень важны знания языков программирования: perl и PHP. Изучите javascript, HTML и CSS, без них у вас ничего не получится.
Обратите внимание на программы C++, Visual Basic и Delphi, если вы научитесь писать даже небольшие программы, это будет огромнейшим плюсом. Тренируйте работу в поисковиках, чтобы уметь быстро находить интересующую информацию. По статистике 80% людей даже не могут найти то, что им нужно через Google, но это не распространяется на профессиональных хакеров.
Есть много рассказов о том, что хакеры не используют windows, а отдают предпочтение другим операционным системам. Но дело в том, что почти все сервера – unix системы, поэтому знание *nix помогает больше, чем windows. Предпочтительнее для взломов ставить unix, вместо windows. Переход на Linux нужно делать постепенно, можно поставить данную ОС как дополнительную и постепенно осваиваться.
И вначале своей карьеры даже не вздумайте работать на кого-то, вас могут просто обмануть из-за вашей наивности. Взломать почту на mail.ru практически нереально, потому что она приносит чудовищные доходы своим владельцам, и единственное, что вы получите – наказание.
Они нанимают серьезных специалистов, следящих за работой сервера, поэтому даже не пытайтесь взломать их код и устроить атаку. Но хакер – умный человек, и он прекрасно должен понимать, что можно найти ошибку в голове владельца ящика. Большинство людей легкомысленно относятся к своей почте, поэтому взломать можно проще простого. Например, берете ник владельца почты и ищите его на всех форумах в сети, если найдете аккаунт на форуме – взломать пароль можно без проблем, а далее ввести его к учетной записи на почте.
Желаю всем Вам стать настоящими хакерами!
Источник: luckyfamilyman.ru
Как стать хакером с нуля? Что нужно знать и уметь, где учиться?
Деятельность хакеров – это уже медийный бренд. Суровые «технари» в капюшонах, что днями и ночами «грызут» вражеские системы, а иногда и вовсе «разят» сайты злодеев одной меткой командной строкой – такой стереотип предлагает массовая культура, в первую очередь кинематограф.
Однако, кино и реальность сильно различаются, и если постигать азы хакинга «по фильмам» – велик риск «нажить» проблемы с законом и плохую репутацию раньше, чем получить хоть сколько-нибудь существенный доход.
В этой статье будут разобраны основные ошибки начинающих хакеров, с чего начинается карьера пентестера и какие навыки обязательны для специалиста по тестированию на проникновение.
Кем вы хотите стать
Прежде чем говорить о том, как стать хакером с нуля, важно разобраться с тем, для чего это нужно. Если хакинг рассматривается как сравнительно простой способ быстрого обогащения – то это то же самое, что учиться грабить банки. То есть – прямой путь к уголовной ответственности, независимо того, каких технических высот сможет добиться специалист.