В чем заключается работа хакера

Опубликовано: 17.09.2024

Сегодня поговорим о хакерах: уверен, вы не раз слышали это слово и ассоциировали его с компьютерными гениями, решившими нарушить закон.

А что если я скажу, что изначально этот термин считался уважительным? Если вы всегда хотели поговорить на эту тему и восполнить пробел в знаниях, предлагаю узнать, кто такой хакер и чем он занимается.

Хакер — кто это

Термин происходит от английского слова «to hack», что на русский переводится как « обтесывать , делать зарубы».

В современном понимании хакер — это человек, занимающийся разными видами компьютерного мошенничества: цифровым взломом, выводом из строя оборудования, кражей, подменой, удалением данных.

Чаще всего хакерами движет не спортивный интерес, а возможность быстрого обогащения . Конфиденциальные данные, к которым компьютерный умелец получил доступ, можно выгодно продать заинтересованным в их получении лицам.

К примеру, взломав данные компании А, злодей может выгодно продать их конкуренту и тем самым поможет им вытеснить соперников из бизнеса.

Спросом пользуется и компромат . Хакеры не раз взламывали личные переписки и электронные почтовые ящики звезд шоу-бизнеса, получая доступ к фото и видео интимного характера.

В этом случае обычно действуют так: либо требуют выкуп у жертвы, либо продают информацию желтой прессе.

Всегда ли хакеры были взломщиками

Термин «хакер» появился вместе с первыми компьютерами. В то время так называли гиков , которые могли улучшить работу операционной системы путем создания кода для части ядра.

Им под силу было то, чего не могли многие — например, сбросить пароль администраторской учетной записи. Они находили нестандартный подход к решению сложных задач, за что их уважали в кругах разработчиков.

Спустя время некоторые компьютерные гении стали использовать свои знания в целях быстрого обогащения. Поэтому сегодня под термином «хакер» подразумеваются взломщики, которые нарушают закон своими действиями.

Они стараются найти уязвимости в работе программ, чтобы использовать их для обхода защиты и получения конфиденциальных данных.

Виды хакеров

Как и большинство IT-специалистов, каждый хакер имеет узкую специализацию и не способен взламывать защиту программного обеспечения всеми возможными способами.

Вот несколько наиболее распространенных разновидностей хакеров:

Например, вместо vkontakte.ru мошенники могут использовать схожее по написанию, но отличающееся на одну букву название —vkontahte.ru.

Некоторые вирусы выводят из строя аппаратную часть ПК (это что?), другие — помогают злоумышленникам получить интересующую их информацию, а с помощью третьих у владельцев зараженных устройств вымогаются деньги.

Чем опасны хакеры

По большому счету, хакеры — это умные мошенники , которые используют свои знания с целью обмана доверчивых людей.

личные страницы пользователей в социальных сетях;
компьютеры и смартфоны; ;
аккаунты в онлайн-играх; и мессенджеры (это что такое?);
облачные хранилища;
и многое другое.

Кроме огромного ущерба физическим лицам и организациям, хакеры способны стать причиной настоящей катастрофы . Проникнув в систему энергоснабжения, можно оставить весь город без света.

Но если замахнуться на более серьезные вещи вроде получения доступа на управление атомной электростанции, то плачевных последствий не избежать.

Самое интересное в том, что хакеры за свои деяния хотят получать оплату в криптовалюте (это как?), так как такие транзакции (это что?) крайне сложно отследить.

Кто такие белые хакеры

Но не все так плохо, как может казаться. Например, один программист обнаружил уязвимость в системе защиты платежной системы PayPal и… сообщил об этом напрямую в компанию. Понимая, какой ущерб смог предотвратить бдительный айтишник, в PayPal решили поощрить его чеком на 70 000$.

Это пример белого хакера — специалиста, который занимается взломом для повышения безопасности систем защиты.

Если им удается найти уязвимости, они передают эти данные разработчикам и предлагают рекомендации по их устранению. Такие хакеры не занимаются кражей денег, а работают либо на добровольной основе, либо по найму.

А как стать хакером? Для этого нужно долго и упорно учиться, знать иностранные языки, обладать нестандартным мышлением. В университетах этому не учат, так что все тонкости «профессии» придется постигать самому.

В этой статье я постарался простыми словами объяснить, кто такой хакер и что он делает. Надеюсь, что после прочтения статьи у вас не останется вопросов. В любом случае вы можете спуститься в комментарии и вступить в дискуссию с другими читателями блога KtoNaNovenkogo.ru.

Не забудьте посмотреть видео по теме:

Удачи вам! До скорых встреч на страницах блога KtoNaNovenkogo.ru

Комментарии и отзывы (3)

Не знаю, может ли хакер взять под контроль системы атомной станции, вряд ли управление реактором имеет доступ в интернет. Ну а в сети напороться на этих деятелей ничего не стоит, особенно что касается фишинга, наверно это самый простой способ, который позволяет без особых усилий заполучить логин с паролем.

Ещё нельзя при регистрации на разных ресурсах использовать одни и те же логин с паролем, ведь администраторы этих ресурсов имеют к ним прямой доступ и им ничего не стоит попробовать ввести эти данные в почтовые сервисы или социальные сети, где вы можете быть зарегистрированы.

Конечно, к хакерам отношусь отрицательно, но надо отдать должное их смелости и умению взламывать сайты компаний, которые, казалось бы, просто невозможно взломать.

Ну, правильно, элемент романтизма тут имеется. Не даром же существует журнал Хакер, который весьма популярен у людей близких к программированию.

Чтобы стать хакером, необходимы глубокие знания языков программирования, методов взлома, поиска уязвимостей, устройства сетей, операционных систем и проч. Также у вас должен быть творческий тип мышления. Вы должны быстро адаптироваться под ситуацию, находить нестандартные решения, проявлять креативность.

Если описанные выше навыки можно развить со временем, то чтобы понять, например, устройство MySQL или научиться работать с PGP-шифрованием, придется много учиться. И долго.

Изучить и использовать UNIX-систему, например, Ubuntu или MacOS

Изначально UNIX-системы были предназначены для программистов, разрабатывающих ПО, а не для пользователей, которые никак не относятся к сфере IT. UNIX-системы - это системы, на которых стоит почти весь Интернет, т. к. в качестве сервера в основном используют их же (чаще всего Debian и Ubuntu). Вы не можете стать хакером, не изучив их и не научившись работать с терминалом.

Для пользователей Windows

Если вы используете Windows, для вас есть хорошая новость: не надо удалять текущую систему и форматировать диск. Есть несколько вариантов работы с Linux:

Изучите VirtualBox (программа-эмулятор для операционной системы). Изучив его, вы сможете запускать операционную систему в операционной системе. Звучит страшно, но программа бывает очень полезна.
Установите Linux рядом с Windows. Если вы всё сделаете правильно, загрузчики систем не будут конфликтовать. Делается это довольно просто: есть много мануалов в Интернете.

Изучить язык разметки HTML

Если вы ещё не знакомы с программированием, тогда я вообще не понимаю, что вы делаете на этом сайте тогда у вас есть отличная возможность начать свой путь с изучения Hyper Text Mark-Up Language. Независимо от того, что вы видите на сайте, знайте, что всё это HTML.

Приведу пример использования HTML, пусть он и немного связан с PHP. В начале 2015 года была обнаружена уязвимость в теме WordPress, позволяющая закачивать производные (исполнительные) файлы на сервер. Файл, в котором была найдена уязвимость - admin/upload-file.php. Вот он:

Чтобы сделать форму отправки для этого файла, нужно знать HTML. Отправив файл, который, к примеру, вытаскивает все пароли или даёт доступ к базе данных, вы вольны делать с веб-сервисом всё, что вам угодно.

Итак, знание HTML нужно для того, чтобы:

Искать уязвимости веб-ресурсов.
Использовать эти уязвимости.

Изучить несколько языков программирования

Как мы все знаем, чтобы нарушать правила, нужно для начала знать их. Этот же принцип работает для программирования: чтобы взломать чей-то код, вы должны знать, как работают языки программирования, и самому уметь программировать. Некоторые из наиболее рекомендуемых ЯП для изучения:

Python : это, пожалуй, самый лучший язык для веб-разработки. На нём написаны два крупных фреймворка, на которых создано огромное кол-во веб-приложений, это Flask и Django. Язык хорошо построен и задокументирован. Самое главное, что его очень просто выучить. К слову, много разработчиков используют Python для создания простой и полной автоматизации.
C++ : язык, использующийся в промышленном программировании. Его преподают в школах, вузах. На нём пишутся сервера. Рекомендую начать изучение языков с него, т. к. он содержит в себе все принципы ООП. Научившись работать с ним, вы с лёгкостью освоите другие языки.
JavaScript, JQuery : в основном, практически все сайты используют JS и JQuery. Необходимо знать, что на этих сайтах зависит от JS, например, формы для ввода паролей. Ведь некоторые сайты не дают выделить и скопировать некоторую информацию, не дают скачать файл или просмотреть содержимое, однако, чтобы сделать это, достаточно отключить JS в браузере. Ну а чтобы отключить JavaScript, нужно знать: а) в каких ситуациях работа (защита) сайта зависит от него; б) как JavaScript подключается и какими способами можно блокировать работу скриптов.
SQL : самое интересное. Все пароли, личные данные, хранятся в базах данных, написанных на SQL. Самая распространённая система управления БД - MySQL. Чтобы понять, как использовать MySQL-инъекцию, нужно знать, что такое MySQL-инъекция. Чтобы уловить суть MySQL-инъекции, нужно знать, что такое MySQL-запросы, каков синтаксис этих запросов, каково устройство базы данных, как хранятся данные, что такое таблицы и т. д.

Изучить устройства сетей

Вы должны чётко понимать устройства сетей и принципы их работы, если хотите стать хакером. Важно понять, как создаются сети, понять различие между протоколами TCP/IP и UDP и проч. Узнайте, какой сетью пользуетесь вы. Научитесь настраивать её. Выясняйте возможные векторы атаки.

Имея глубокие знания о различных сетях, вы сможете использовать их уязвимости. Также вам необходимо понять устройство и принцип работы веб-сервера и веб-сайта.

Изучить криптографию

Это неотъемлемая часть обучения. Необходимо понимать алгоритмы различных шифров, например, SHA-512, алгоритм OpenSSL и проч. Также нужно разобраться с хешированием. Криптография используется везде: пароли, банковские карты, криптовалюты, торговые площадки и проч.

Kali Linux: некоторый полезный софт

NMAP :-Nmap (“Network Mapper”) бесплатная open-source программа, которая является предустановленной в Kali. Написана Gordon Lyon (также известен под псевдонимом Fyodor Vaskovich). Она нужна для обнаружения хостов и различных сервисов, создавая таким образом "карту сети". Она используется для проверки сети или аудита безопасности, для быстрого сканирования больших сетей, хотя она отлично работает с одиночными хостами. Программное обеспечение предоставляет ряд функций для исследование компьютерных сетей, включая обнаружение узлов и операционной системы. Nmap использует необработанные IP-пакеты чтобы определить, какие хосты доступны в сети, какие службы (имя и версия приложения) эти хосты предлагают, какие ОС они запускают, какие типы фильтров пакетов/файрволлы используют, а также десятки других характеристик.
Aircrack-Ng :-Aircrack - это одна из самых популярных программ для взлома WEP/WPA/WPA2 протокола. Комплект Aircrack-ng содержит инструменты для захвата пакетов и "рукопожатий", деавторизации подключённых пользователей, создания трафика и инструментов для брутфорса сети и атак по словарю.

В этой статье мы разобрались в основах, без которых вы вряд ли сможете стать хакером. К слову о трудоустройстве. Как правило, люди, занимающиеся информационной безопасностью либо работают фрилансерами, выполняя заказы частных лиц, либо работают на компанию, обеспечивая безопасность хранящихся данных, выполняют работу системного администратора, etc.

Фото DR / Фото DR

Хакеры условно делятся на «белых» и «черных»: первые легально проверяют ИТ-системы, а вторые вламываются в них для кражи информации. О жизни «белого» хакера Forbes рассказала Пола Янушкевич, создавшая свою компанию по информационной безопасности CQURE.

Как вы живете? Приходите в офис каждый день и работаете до вечера? Или вы можете выбирать время и место для работы?

Я бы хотела выбирать место для работы, но не могу. Технически это возможно, но моя роль в компании требует присутствия на территории заказчиков. Поэтому я всегда в поездках, посещаю разные страны. Чтобы провести внутренний пентест, приходится приезжать к заказчикам. Внешний можно проводить хоть на пляже.

Как вы проводите пентесты (тест защищенности ИТ-систем от несанкционированных проникновений)? Вы выбираете подходящее время для кибератаки? Или вы можете тестировать компании в любое время и в любом месте, и тестирование — исключительно технический вопрос?

В итоге все сводится к технике, но есть нюансы. Например, если клиент не работает ночью, лучше провести тест в это время. Когда мы делаем [дневные] пентесты для компаний из США, то можем работать всю их ночь, находясь в Европе, и это нормально. Но, как правило, предпочитаем обычный рабочий день — так проще и все счастливы. Нам не нравится работать всю ночь, но такое случается.

Часто мы тестируем копию сайта или сервиса. Например, недавно мы делали пентест пользовательских приложений для одного банка. Пришлось работать с копией системы, потому что на сайте был огромный трафик. А если при выполнении теста возникнут проблемы, это негативно повлияет на имидж банка.

У вас есть заказчики, которые просят делать настоящие пентесты в режиме реального времени?

В любом случае, нужно проводить оба теста, внутренний и внешний?

Зависит от обстоятельств. Некоторые заказчики не хотят делать тест на проникновение изнутри компании: «Нет, нет, потому что, когда вы будете это делать, вы можете нас взломать». И мы думаем: «Бог мой, и зачем тогда делать пентест?» В таких случаях делаем только внешний тест. Лично мне не кажется это правильным: почему бы не сделать внутренний тест, если делаем внешний? Мы стараемся объяснить, но…

Как стать хакером

Вы начинали с хакерства или всегда были инженером информационной безопасности (ИБ)? Как правильно назвать вашу сферу?

Делала ли я что-то незаконное? Да, но было ли это правонарушением, если никто об этом не знает? А может, ничего такого вообще не было.

Когда у вас появился интерес к этой профессии?

Я всегда работала в сфере безопасности. В технологии я погружалась постепенно. Отвечала за безопасность школьной сети. Тогда мне было 17, я не очень в этом разбиралась, но очень хотела заниматься ИБ. Я искала свой путь. Понимаете, в 17 лет сложно понять, что стоит делать, а что — нет. Есть только то, что хочешь делать: это классно, я хочу этим заниматься. Но хорошо ли это для будущего — я не знала.

И мы не знаем, что с нами будет завтра.

Какую первую операционную систему вы взломали? ОК, протестировали на уязвимость.

Их две было — Windows и Linux.

«Windows была первой системой, которую я взломала». Хороший был бы заголовок…

В то время Windows и Linux использовали разные системы безопасности. Это было время «NT4.0» (операционная система Windows, вышедшая в 1996 году — Forbes). Тогда все знали, что, если не изменить определенный параметр, компьютер взломают. Находить уязвимости было проще. Сейчас хакерские атаки научили нас защищаться, поэтому мы сейчас в несколько лучшем положении.

Какая из ОС лучше и безопаснее: Windows, MacOS, Linux?

В итоге важно, что системы значат для бизнеса. Наиболее используемая операционная система — это Windows, мы все это знаем. Для Mac и Linux тоже существуют программы-вымогатели. Просто они по-другому попадают в систему. Разница есть и в доступности решений. Вопрос в том, есть ли компании и сколько их, которые могут обезопасить вашу систему. Не обязательно создавать реальную угрозу информационной безопасности, но проверка защитной инфраструктуры улучшит эту безопасность и минимизирует риск проникновения в ваши системы.

Что скажете об уровне безопасности B2B-систем в мире? Они готовы к кибератакам?

Абсолютно каждый раз, делая пентест, мы проникаем в систему. Давайте я так это скажу. Взломать можно кого угодно, каждый раз у нас получается их взломать.

И это неудивительно. Потому что есть много вещей, о которых им никто не рассказал. Приемлемого обучения для специалистов по безопасности просто не существует. Разумеется, есть некоторые курсы, тренинги и так далее, но даже если вы платите за университет или обучаетесь бесплатно, как-то еще учитесь, то к кибербезопасности нет прямой дороги. К тому же не все могут позволить себе учиться, а как вы можете стать хорошим специалистом в сфере безопасности, если не можете эту учебу оплатить?

Но никто не будет давать вам образование бесплатно, потому что это очень специфические знания. Это такая естественная ниша. Financial Times предсказывает, что к 2019 году в мире будет потребность в 6 млн специалистов по информационной безопасности, но с современными темпами развития, на рынке будет доступно примерно 4 – 5 млн. Так что для ребят, которые будут на рынке, ситуация замечательная. Все в них нуждаются. И будут нуждаться еще больше, но это, конечно, нездоровый рынок. Есть проблема обучения специалистов по безопасности.

Инженер по кибербезопасности — профессия будущего?

Тогда какой наилучший способ получить ее, если университеты не готовят к ней в должной мере? Онлайн-курсы?

Существует множество бесплатных ресурсов, но предпочтительны, конечно, систематизированные знания. В интернете есть много разных курсов. Они стоят недорого. Можно приобрести такой курс и систематизировать свои знания. Но проблема этих курсов в том, что они больше рассказывают о приемах взлома. И это так называемые «дешевые приемы взлома». И к тому же они тренируются на не очень реалистичных средах. На мой взгляд, лучший способ — самостоятельно обучать специалистов. И это, например, то, что делает наша команда.

Мы делаем это, потому что у нас есть нехватка сотрудников. Появляется все больше проектов, и мы их откладываем, откладываем, потому что времени нет. Мы нанимаем людей с хорошим подходом к работе. Этого достаточно, чтобы получать потрясающие результаты. Все остальное приложится. Мы тестируем их в разных направлениях, отправляем их к нашим инженерам, часто берем на наши мастер-классы, а затем опять проводим тесты — они должны развиваться. У таких студентов есть возможность путешествовать. Или, например, когда мы проводим пятидневный мастер-класс, новый сотрудник может стать дополнительным участником.

Хороший вариант для молодых людей — устроиться в компанию вроде нашей. Но в сфере безопасности надо сделать серьезные вложения, чтобы потом предоставлять фантастический сервис. Поэтому оплата может выглядеть по-разному, но она должна быть. Мы обучаем на контрактной основе, с гарантийным взносом. Позднее деньги за обучение вам вернутся, но зато у вас будет возможность в течение 2-3 лет работать в хорошей команде, проходить тренинги, получать полезные инструменты, знания, видеть реальные среды, по возможности помогать команде. В то же время, мы берем залог за обучение. И это единственный возможный вариант, на мой взгляд.

Мы не можем инвестировать в сотрудника, чтобы потом он сказал: «Ладно, спасибо, до свидания». Чтобы удержать человека в компании, обучите его, помогите ему сформировать ценные навыки и сделайте, чтобы он остался. Но это лишь мое мнение.

Сколько человек сейчас работает в вашей компании?

Это смотря как считать. В штате у нас 20 человек. И 36 контракторов. Но контракторы работают у нас по несколько недель ежемесячно. Так что это практически штатная работа.

А сколько молодых сотрудников?

Около 30 — примерно половина. Этих людей мы обучаем, потому что у некоторых из них совсем нет опыта.

Вы принимаете их на работу сразу после университета?

Да. И это ужасно. Потому что до определенного момента непонятно, с кем вы имеете дело. С виду все хорошо, а потом… Молодое поколение у нас имеет ужасную репутацию, и мы не очень этим довольны. Поэтому выбираем только тех, кто вписывается в команду. Ошибались мы дважды.

У вас есть сотрудники из России?

Пока не было. Но мы сейчас открываем новые рынки, потому что мы видим в этом перспективу. Так что, кто знает, возможно, у нас появится кто-то из России.

Мы почти каждый день слышим о кибератаках с участием российских хакеров. Русские якобы атаковали Трампа, Yahoo, Sony, нет, простите, это Северная Корея нашла уязвимости в инфраструктуре Sony. Действительно ли российские хакеры такие умные и так востребованы в качестве аутсорсеров? Или это просто штампы и заблуждения СМИ?

Нет, это действительно так. У вас высокий уровень знаний в этой области. Многие хакеры действительно из России. Я думаю, но это только мое мнение, что этому способствуют трудности в трудоустройстве для людей, живущих в удаленных городах. Им проще найти удаленную работу, чем офисную: можно быть разработчиком, а можно — пентестером. Эта позиция позволяет вам работать удаленно откуда угодно, ведь безопасность важна для многих. Если у вас есть возможность обучиться в офисе компании, и вы хотите работать консультантом, придется ездить в Москву, Краснодар, Санкт-Петербург и другие города, где находятся компании-заказчики. Но если вы живете в другом месте, это [работа разработчиком или пентестером] станет отличной возможностью.

Такая ситуация во многих странах. Например, в Румынии есть достаточно удаленный город Клуж — это место разработчиков и специалистов по безопасности. В нашей стране есть что-то-подобное. Боже мой! Это фантастика. Работать можно из любой точки мира. В целом, по статистике, у людей из России очень высокий уровень интеллекта и аналитического мышления. Русские — большие молодцы.

«Черные» хакеры — молодцы?

И «черные», и «белые». Вопрос в том, что, если у вас высокая квалификация, вы можете заработать больше денег. А дальше уже большое значение имеют вопросы этики. Эти два фактора определяют выбор: если человек видит потенциальный доход и у него не возникает проблем с этическими принципами, тогда у него есть два пути.

Вы — владелец компании. Зачем вы стали участником программы Microsoft MVP? Не накладывает ли это на вас какие-то обязательства? Какие дает преимущества?

Я участвовала в различных общественных проектах — от рассылки презентаций и исследований по итогам конференций до различных мастер-классов и организации мероприятий. Например, я организовывала Woman in Technology Park, сейчас на это у меня уже нет времени. Затем это перешло в выступления на конференциях и подготовку статей для блогов — это можно делать удаленно.

Благодаря статусу MVP (присваивается выдающимся IT-специалистам, которые вносят интеллектуальный вклад в развитие технических сообществ — Forbes) и участию в программах по безопасности, я имею доступ к исходному коду Windows. Речь не о 100% кода, естественно. Я получила его с момента выхода Windows XP, то есть примерно 8 или 9 лет назад. Возможно, это дает моей компании чуть больше преимуществ, потому что мы всегда можем проверить наши гипотезы, тогда как другим специалистам это сделать сложнее. Это самое приятное.

Представьте себе, что все проблемы с безопасностью будут решены. Что вы будете делать?

Буду лежать на пляже. Но если серьезно — интересный вопрос. Какой будет моя вторая профессия? Скорее всего, я продолжу работать в ИТ. Но, если абсолютно все проблемы в ИТ будут решены, я, вероятно, перейду к математике, потому что это аналитическая и строгая наука. Скорее всего, я буду что-то где-то продавать, заниматься транзакциями, потому что мне нравится математика. Где-нибудь на Уолл-стрит.

С телевизионных экранов и газетных страниц на рядового обывателя
сегодня все чаще "вываливаются" сенсационные новости о компьютерных
преступлениях. Известия о массовых DoS-атаках, взломе компьютерных систем финансовых
организаций и государственных структур уже перестали быть чем-то из разряда экзотики
даже для человека, не имеющего ничего общего с компьютерной индустрией. Слово
"хакер" постепенно входит в лексикон каждого, и сегодня мы употребляем
его, даже не задумываясь о первоначальном значении этого понятия.

Хакер в представлении читателя таблоидов и зрителя телевизионных каналов
является молодым преступником с присущей ему агрессивностью и непонятным
желанием крушить и уничтожать. Хакеры ломают системы защиты, присваивают
себе миллионные суммы, занимаются кибервойнами и взламывают серверы, оставляя
на них свой след. В таких условиях мало кто признает себя хакером, хотя
еще несколько лет назад под этим словом подразумевалось нечто совершенно
иное.

Кто такие хакеры?

Если раньше можно было говорить о том, что основную массу хакеров составляют
тинейджеры, то сейчас очевидно, что те, кто были хакерами в шестидесятых, сегодня
уже успешно получают пенсионное пособие, и поэтому образ длинноволосого подростка
с сигаретой в зубах не является точным отображением представителя данного сообщества.
Хакеры от нормальных людей чаще всего отличаются неким интуитивным пониманием
многих процессов, проходящих внутри компьютера, а также отсутствием какого бы
то ни было страха перед неизвестным.

Именно поэтому интересно наблюдать за попытками некоторых пользователей Сети обучиться хакерскому искусству, где основным шагом считается написание краткой просьбы с призывом помочь в соответствующую конференцию Usenet. Основное отличие хакера от пользователя состоит в том, что в большинстве случаев хакер всего добивается сам и получает удовольствие от процесса самообучения. Книги на тему компьютерной безопасности и пособия "для чайников" тут не помогут, если их рассматривать как основной источник знаний. Для хакеров также характерно особое мировоззрение, где каждая проблема (будь то замена фильтра в кофеварке или новая система безопасности на университетском сервере) представляет собой не проблему в привычном смысле этого слова, а еще одну возможность использовать серое вещество и решить поставленную задачу оригинальным способом.

Если же поверить в то, что хакеры тоже являются обычными людьми, то классики данной субкультуры предлагают следующее описание обычного представителя этого сообщества.

Интересы (кроме компьютеров). Научная фантастика, логические игры (шахматы и пр.), музыка. Некоторые хакеры старшего поколения были весьма активными радиолюбителями, сегодня, пожалуй, предметом интереса в свободное время становятся карманные ПК и новые сотовые телефоны.

Спорт. Хакеры всеми силами избегают командные спортивные игры, и каждую попытку заставить их играть в баскетбол или футбол с ровесниками (чаще всего это навязывается родителями) рассматривают как смертельную пытку. Кроме того, хакеров довольно трудно уговорить смотреть телевизор, пусть даже в это время транслируется финал чемпионата мира по футболу или очередной день Олимпиады. Они предпочитают действовать, а не смотреть, как действуют другие. Чаще всего эти энтузиасты интересуются восточными единоборствами, особенно теми, которые проповедуют медитацию и исследование себя. Некоторые хакеры известны своим пристрастием к штанге, причем по той лишь причине, что скамью и штангу с блинами можно разместить в одной комнате с компьютером.

Образование. Чаще всего наиболее одаренные хакеры так никогда и не заканчивают вузов, а отдельные экземпляры при необходимости даже не могут похвастаться школьным аттестатом. Между тем как раз самоучки и люди без дипломов чаще всего приобретают больший авторитет именно благодаря своему желанию учиться и познавать новое. Если же ввиду определенных причин хакер оказывается в университете, то чаще всего предметом интереса становится информатика, физика, математика. Гуманитарии более склонны к философии и лингвистике.

Предметы ненависти хакеров. Классики приводят здесь такой уникальный набор элементов окружающей среды, как деловые костюмы (которые уже упоминались раньше), бюрократические работники, продукты Microsoft, мэйнфреймы компании IBM, язык программирования Basic (a также те, кто замечен за частым употреблением этого языка), легкая музыка, человеческая тупость и некомпетентность, телевидение и все, что связано с поп-культурой. С приходом объектно-ориентированного программирования ругательным словом в среде профессиональных программистов стало слово goto.

Если бы в мире проводился хакерский конкурс, то Кевин Митник (Kevin
Mitnick) был бы приглашен на него в качестве председателя жюри. Пожалуй,
самое известное имя, которое у широкой публики ассоциируется со словом "хакер",
принадлежит именно Кевину.

После года заключения Митника выпустили на свободу, однако странные вещи
продолжались. Со счета судьи, приговорившего Митника к строгому содержанию,
начали сниматься суммы, о которых судья узнавал только лишь из банковского
уведомления, у надзирателя по неизвестной телефонистам причине был отключен
телефон, а в базе данных калифорнийского суда, где на картотеке числились
все заключенные штата, стало на одного человека меньше.

В рождественскую ночь 1994 года Митник проник в компьютер Цутоми Шимомуры
(Tsutomi Shumomura), известного в США специалиста по компьютерной безопасности
и автора многих работ по предотвращению неавторизованных вторжений в компьютерные
сети. Через месяц Митник активно использовал компьютеры общества Well, на
которые перекачивались документы Шимомуры и номера кредитных карт, украденных
с сервера одного из американских провайдеров. Именно тогда в дело включилось
ФБР, а поскольку Шимомура представил Митника как угрозу правительственным
компьютерным системам, то персоной хакера заинтересовалось и Национальное
агентство безопасности США (NSA), основу которого составляют именно "люди
в черном", занимающиеся делами государственной важности.

История, о которой писало практически каждое российское издание, в принципе,
довольно банальна. Более того, можно смело утверждать, что таких случаев
происходит несколько десятков каждый год, вот только пострадавшие стороны
чаще всего стараются держать подобную информацию в тайне. Петербургский
математик Владимир Левин, взломав сеть известной финансовой конторы Citibank,
перевел на счета в других банках в общей сложности около 10 млн. долл.

Общение. Здесь, как и выше, приходится ломать привычные стереотипы. Показываемые
по телевизору личности с проблемами дикции чаще всего хакерами не являются. Не
секрет, что хакеры гораздо лучше изъясняются письменно, чем устно, однако владение
несколькими языками программирования и структурное бинарное мышление делают мозг
хакера весьма невосприимчивым к нарушению правил грамматики и общения. Самым известным
тестом на хакерское мышление является вопрос "Вы будете чай или кофе?".
В то время как чаще всего обыватель назовет желаемый напиток, хакер выдаст слово
"да", которое означает его положительный ответ и подразумевающееся согласие
выпить стакан чая или же чашку кофе. Неприемлемым также является двойное отрицание.
На вопрос "Ты не видел новый фильм?" хакер, сходивший в кинотеатр,
ответит "нет", подразумевая тот факт, что если отрицание уже было задано
в вопросе, то положительным ответом на вопрос может стать только другое отрицание.

Шестнадцатилетний Йон Йохансен (Jon Johansen), гражданин Финляндии,
был арестован в начале прошлого года как автор крека к шифру CSS, предназначенному
для использования в видеодисках DVD. Над его взломом работала крекерская
группа MoRE (Masters of Reverse Engineering), однако именно Йохансену удалось
разобраться с алгоритмом шифрования и написать соответствующую утилиту DeCSS
для операционной системы Linux.

Любой культ или религия базируется на некоем своде принципов, которые определяют
нормы поведения, а также наборе правил, позволяющих отличить "плохое"
от "хорошего". Хакерское сообщество не является исключением, и с самого
начала его существования сформировалась определенная этика, а спустя некоторое
время все в том же Массачусетском технологическом институте на свет появился документ
Hacker Ethic, который является своеобразной декларацией намерений и идеологии
этой субкультуры.

Все познается в действии. Чтобы узнать, как работает некий аппарат, нужно
его разобрать на части; чтобы понять принципы работы программы, нужно ею воспользоваться;
чтобы выяснить, почему операционная система производит именно такие действия,
нужно заглянуть в ее исходный код.

Вся информация должна быть бесплатной. Идея цифрового коммунизма получила
широкое распространение с развитием Internet. Информация является наиболее эффективной
тогда, когда ее распространение не ограничено никем и ничем. Этим и объясняется
патологическая нелюбовь хакеров к коммерческим софтверным компаниям, правительству
и бюрократам. Если в какой-то элемент системы нельзя заглянуть, то в случае его
краха может рухнуть вся система, вследствие чего подробная информация о ней и
ее исходный код должны свободно распространяться.

Зима 2000 года принесла Internet-компаниям новые заботы: в виртуальном
мире начали все чаще проходить массированные атаки Denial-of-Service. Седьмого
февраля прошлого года крупнейшие сайты Сети, в числе которых были Yahoo.com,
eBay.com и Amazon.com, испытали небывалый наплыв "посетителей",
причем подобные массированные атаки "вешали" сайты на весьма долгое
время. Возможность проведения такой грубой, но в то же время весьма эффективной
атаки заставила сетевую общественность говорить о несовершенстве сегодняшних
технологий передачи данных.

Hackerz or crackerz?

Именно наличие уникальной культуры, направленной на создание и развитие,
а не на разрушение и уничтожение, позволяет отличить хакерскую культуру от той,
которую описывают средства массовой информации. Различие терминов "хакер"
и "крекер" фундаментально, хотя внешне представители обоих течений занимаются
одними и теми же действиями. Хакер взламывает сеть для того, чтобы обнаружить
дыру в защите и участвовать в разработке более совершенной системы. Крекер взламывает
сеть для получения важных документов или для того, чтобы самоутвердиться, оставив
свой след на сервере.

Зловредные программы, написанные хакером (и вирусы в том числе), несут образовательную
ценность и распространяются с предупреждением о нежелательности использования
данного кода в других целях. Код же, который пишет крекер, чаще всего имеет разрушительный
характер и ставит целью получение ценной информации, за которую нередко платит
третья сторона.

Хакеры в большинстве своем мастера-одиночки, оттачивающие свое искусство программирования
и получающие от этого внутреннее удовольствие, в то время как крекеры имеют тенденцию
собираться в мелкие группы и команды и попросту заниматься компьютерным воровством
и разбоем. Хакеры считают крекеров тупиковой ветвью в эволюции человечества.

Рассказ Link — хакера из Санкт-Петербурга, который нашёл уязвимость в PayPal и получил от компании около $70 тысяч в знак благодарности.

Меня всегда интересовала информатика, и мне всегда хотелось что-то «сломать», но при этом так, чтобы никто не пострадал, а защита и качество сервисов улучшились.

Я искал разные приложения и сайты и спрашивал у создателей, можно ли проверить их разработки на прочность. Чаще всего мне отказывали. Скорее всего, боялись, потому что такое предложение казалось странным и неприемлемым.

Но я продолжал лазить по интернету и подмечать разные незащищённые места. В 2009 году нашёл в одном из офлайн-магазинов известной торговой сети веб-камеры, к которым мог подключиться любой и перехватить видеосигнал. Мне тогда было 15 лет.

Я сообщил об этом владельцам, они сказали спасибо и закрыли уязвимость. Я предложил им свои услуги в сфере безопасности, но они отказались. А потом их взломали, и они почему-то подумали на меня, хотя это было не так.

Время от времени я продолжал искать уязвимости вроде открытых баз данных интернет-магазинов, в которых были информация о заказах и персональные данные клиентов, — и связывался с владельцами, чтобы они закрыли дыры.

В 2015 году я узнал про bug bounty (вознаграждение за найденные уязвимости, которое выплачивают ИТ-компании — vc.ru) и зарегистрировался в сервисе HackerOne, глобальной платформе, где создатели различных приложений и сервисов разрешают взламывать свои продукты.

Там зарегистрированы «ВКонтакте», Mail.ru Group, Sony, Adobe и много других известных организаций, включая Министерство обороны США. Они либо платят за найденные «дыры», либо благодарят иначе: могут выслать фирменную футболку или кружку или просто сказать спасибо.

Иногда они устраивают публичные мероприятия: предлагают всем желающим проверить силы во взломе своих сервисов. Иногда — закрытые, для нескольких хакеров.

Вне зависимости от программы, через 90 дней после сообщения владельцу ресурса об уязвимости, взломщики рассказывают о своих находках сообществу: что именно нашли и как им это удалось. Первые $100 я заработал взломав один сервис и получив доступ к файлу readme.txt.

Это было очень просто, и я не рассчитывал, что мне заплатят. Но на HackerOne есть диапазон выплат, который разделён по уровню критичности обнаруженной уязвимости.

Опыта для поиска критичных уязвимостей у меня было маловато, профильного образования тоже не было. Я самоучка: читал разные статьи, сидел на форумах, применял знания на практике.

Есть чаты, в которых сидят хакеры, — спрашивал советы там. Иногда мне помогали просто так, иногда — за процент от вознаграждения.

Кроме того, в то время я читал много открытых отчётов на HackerOne, в которых хакеры описывали, как они обнаружили ту или иную уязвимость.

Чтобы компания приняла отчёт, хакеру нужно доказать, что он действительно нашёл уязвимость, которая может причинить ущерб. Не получится сказать: «Шёл мимо гаража, увидел дырку в стене» — подобный отчёт просто не примут и попросят обосновать, в чём заключается дыра, и какую угрозу она несёт, пусть даже в малой степени.

Хороший отчёт выглядит так: «Я проходил мимо гаража, увидел, что хозяин забыл вытащить ключ из замка, открыл его, зашёл внутрь, ничего не трогал, а потом привёл владельца и показал, как можно попасть в гараж».

В этих отчётах было много полезных данных. Ещё я практиковался на тренажёрах — сервисах вроде Hack The Box, в которых разработчики сознательно оставили дыры.

Я не считаю, сколько времени трачу на работу. Всё зависит от настроения и объёма задач. Если есть важные дела, занимаюсь ими, если есть свободное время, «охочусь» ради интереса. В месяц я зарабатываю от $2000 до $8000, в среднем — около $5000.

Самые высокие выплаты за уязвимости среди российских компаний — у Mail.ru Group, от $2000 до $4000.

Adobe обычно ничего не платит, просто благодарит. А Sony высылает майки. Но я так ни одной не получил благодаря нашей доблестной таможне.

Свой самый крупный гонорар я получил за взлом для PayPal: за три месяца работы они заплатили мне около $70 тысяч. Но я не гонюсь за деньгами — иногда участвую в бесплатных проектах, чтобы повысить свой уровень.

Они всегда разные, их сложно отсортировать по «популярности». Но чаще всего я нахожу SQL-инъекции, SSRF и RCE.

С помощью SSRF потенциальный злоумышленник может обращаться ко внутренней инфраструктуре компании, иногда недоступной даже из глобальной сети.

Для этого достаточно найти уязвимый сервис, обращающийся ко внутренней сети. Этот тип уязвимости может привести к полной компрометации инфраструктуры компании.

SQL-инъекция позволяет получить доступ к базе данных сайта или сервиса, в которой могут храниться логины, пароли и прочие сведения о пользователях, включая данные администратора.

RCE — уязвимость, которая позволяет завладеть сервером и выполнять команды от имени его администратора.

Сложнее всего взламывать сервисы крупных компаний: они тщательнее следят за своей инфраструктурой, плюс сама инфраструктура более сложная и базируется на микросервисах.

Недавно стало известно об утечке пользовательских данных в «Сбербанке». Насколько я знаю, у них всё хорошо с защитой. Злоумышленники обычно ищут заведомо уязвимых жертв.

Некоторые компании знают об уязвимостях, но ничего с ними не делают. Несколько лет назад я случайно обнаружил возможность SQL-инъекции у одного из крупнейших в России продавцов электроники. Уязвимость до сих пор не исправили.

Большинство брешей связаны либо с разгильдяйством программистов и системных администраторов, либо с недостатком у них опыта.

Иногда и очень опытные специалисты пропускают или попросту не успевают залатать дыры в системе безопасности. Против zero day — уязвимостей далеко не все могут бороться. Так что на 100% безопасными могут быть только выключенная система или система, о которой никто не знает.

Кто-то может случайно сделать публичной базу с пользовательскими данными или панель администратора с базой данных. Иногда такие ошибки происходят по невнимательности, когда разработчики забывают отключить некоторые настройки (debug mode) перед публикацией сервиса или обновления.

То есть в «нормальном» режиме доступ к этим сведениям могут получить только сотрудники организации, а доступ оказывается открытым всем пользователям интернета. Другие бреши связаны с техническими нюансами: когда что-то ломается при обновлении системы.

Если объяснять «на пальцах», поиск уязвимостей выглядит так. Сперва я изучаю инфраструктуру сети — либо вручную, перебирая поддомены, либо с помощью сервисов Shodan и Censys.

Так я получаю информацию об узлах, которые образуют сеть. Глядя на них, я понимаю, где могут скрываться потенциальные проблемы. Использую сканеры уязвимостей — они обращаются к узлу и по ответам находят его слабые места. Затем мне остаётся проверить, действительно ли там есть уязвимость.

Мне регулярно предлагают заняться «чёрной» работой. Чаще всего обращаются знакомые знакомых, которые хотят больших и лёгких денег и при этом не задумываются о рисках.

Самый популярный запрос: «Давай взломаем банк». Они думают, что я могу подчинить себе банкомат, и он будет выплёвывать деньги. Либо предлагают считывать данные о банковских картах.

На втором месте — просьба взломать тот или иной интернет-магазин. Некоторые товарищи хотят взломать сайты букмекерских контор и сервисы бинарных опционов или биткоин-кошельки. Иногда просят взломать страницу во «ВКонтакте», но эта просьба, на удивление, лишь на шестом-седьмом месте по популярности.

Я никогда не соглашался: все подобные предложения незаконны и противоречат моим внутренним принципам.

В 2018 году я познакомился с Андреем Леоновым, который годом ранее нашёл уязвимость в Facebook и заработал $40 тысяч. До знакомства мы много переписывались, а однажды встретились на Zero Nights (крупная российская конференция в сфере информационной безопасности — vc.ru).

Мы пообщались и договорились вместе искать баги: нам хотелось развиваться. Решили повышать уровень сообща. Постепенно команда выросла до шести человек.

Благодаря командной работе получается достаточно быстро справляться со сложными уязвимостями и выполнять более сложные проекты, которые в одиночку я бы вряд ли взялся делать. Например, аудит систем на наличие уязвимостей.

Я либо искал парней специально, либо находил благодаря случаю. Однажды я нашёл дыру в одной компании и стал искать способ сообщить о ней их разработчикам.

Почти всегда это непростая задача: в техподдержке часто не понимают, о чём идёт речь.

Она консультирует клиентов и обычно отвечает что-то вроде: «Извините, вакансий программистов у нас нет».

В лучшем случае предлагают прогуляться до ближайшего магазина, если речь об офлайн-сети, и показать находку администратору. Так было и в тот раз: я на LinkedIn увидел, что один парень работает в той компании, мы разговорились.

Оказалось, что он там больше не работает, но пообещал рассказать об уязвимости ответственным людям. В итоге проблему решили, и я даже получил небольшое денежное вознаграждение, что для российских компаний скорее редкость.

Слово за слово мы договорились работать вместе — было необходимо автоматизировать часть задач.

Чаще всего мы не раскрываем данные об уязвимостях, если компания, в которой мы их нашли, не желает этого. То есть мы не можем сказать, что, где и как обнаружили: эта информация только для представителей компании.

Кроме того, я использую принцип «не навреди»: для меня недопустимо «положить» сервер или украсть данные. Это считается нарушением этики, преследуется и по закону, и по правилам HackerOne.

Моя цель — помогать компаниям быть безопаснее для пользователей.

И мне интересно развиваться самому, узнавать о новых технологиях. И лучше «ломать» сервисы для пользы, а не во вред: так не только не накажут, но и расскажут об интересных нюансах, связанных с безопасностью, о которых иначе ты бы и не узнал.

Всегда приятно читать истории увлекающихся людей с адекватными принципами в голове, это вдохновляет. Автор молодец, ставлю +.

Когда делаешь добро, главное - успеть сьебаться

В 2017 меня из 2-х компаний так уволили.

Буквально через неделю после устройства на работу, я нашел способ как простому админу получить уровень доступа начальника отдела. Показал начальнице, она сказала: "Ты ничего не видел и не знаешь" и все. Через месяц я нашел дыру через которую можно было слить базу всех сотрудников, работников и клиентов, с номерами, адресами, фотографиями и сканами документов. 1,5 года я стучался во все двери и говорил что проблему нужно решить, тем более что в то время нас постоянно дедосили и сервис падал (а мои доки тоже в базе лежали). В итоге я заскринил, как можно сломать сервис тестирования сотрудников, чтобы тест был пройден на 100% и скинул коллегам (раз дырки не баг, значит фича). Началась буча. Но вместо того, чтобы дать по башке тем кто отвечает за ИБ, всех собак повесили на меня, простого администратора (звонилку), под шумок и все дедосы тоже на меня повесили и весело уволили.

Во второй конторе я был уже не звонилкой, а занимался контролем качества информации в БД. Устроился, я на момент, когда вводили новую вебморду для сервиса. Очень сырую. Часто бывало, что она сбоила и мы откатывались на 2 дня назад, или просто то, что было проверено, некорректно отображалось и т.д. Из-за этого естественно мы не выполняли планы, лишались премий и просто получали по башке. Начальник отдела который админил всю эту шляпу, отчитывался перед вышестоящим руководством, что у них все норм, и это мы козлы, и ему почему-то верили. Наш начальник как не бился оставался крайним. В итоге начальник админов совсем офигев, сказал что-то типа "если все так плохо работает, то скриньте, снимайте видео и шлите репорты". Большинство ошибок же было в стиле, то есть, то нет и фиг знает почему она появлялась, т.е. не зная заранее не заскринить. Ну ок. Я нон-стопом запустил у себя запись экрана, а вечером дома уже нарезал моменты, иногда выяснял из-за чего проблемы и описывал их в отдельном файлике. Короче за 2 месяца стало ясно кто тут горбатый. А начальник админов, которому видимо похваставшись меня сдал наш начальник, затаил на меня обиду. Слили меня через месяц при первых же проблемах в конторе. В один прекрасный день меня вызвал начальник и сказал, что сверху пришло распоряжение уволить меня и еще одного энтузиаста. Предложили уйти самим или найдут за что уволить по статье. Начальник объяснил, что все с подачи начальника админов.

Читайте также: