Peretasan etis: cara meretas sistem dan masih menghasilkan uang secara legal

Siapa peretas? Kebanyakan orang yang jauh dari pemrograman adalah penjahat kejam yang membobol sistem keamanan bank untuk mencuri uang. Sesuatu seperti karakter Hugh Jackman dari Swordfish Password, yang memecahkan sandi Vernam untuk mencuri $ 9,5 miliar dari dana pemerintah.



Anda bisa menjadi peretas secara legal. Spesialis seperti itu disebut pentester, atau "peretas etis". Anda hanya perlu mengetahui dengan baik apa yang bisa dilakukan selama pengujian penetrasi sistem, dan apa yang tidak. Jika tidak, Anda bisa mendapatkan masalah yang cukup nyata dengan hukum. Kami baru saja meluncurkan kursus Ethical Hacker , dan dalam artikel ini kami akan membahas tentang cara meretas, menghasilkan uang, dan tetap tidak bermasalah dengan hukum. Pergilah.

---

Apa yang mengancam seorang hacker di bawah hukum Federasi Rusia

Pertama, mari kita bicara tentang masalah yang bisa dihadapi peretas. Hampir semua pelanggaran yang terkait dengan sistem peretasan dan mendapatkan akses ke sana terkait dengan tiga undang-undang: 

• Tentang data pribadi (No. 152-FZ).
• Tentang perlindungan informasi, teknologi informasi dan informasi (No. 149-FZ).
• Tentang hak cipta dan hak terkait (No. 5351-1).

Pelanggaran undang-undang ini mungkin menghadapi tanggung jawab administratif dan pidana. 



Menurut Art. 13. Kode Administratif Federasi Rusia (Pelanggaran administratif di bidang komunikasi dan informasi), untuk mengungkapkan informasi dengan akses terbatas, pelanggaran prosedur untuk menyimpan, menggunakan dan mendistribusikan data pribadi dapat menghadapi denda 300 hingga 20.000 rubel. Ini untuk individu. Untuk badan hukum, besaran dendanya jauh lebih tinggi.



Ini terutama menyangkut orang-orang yang memiliki akses ke informasi dan organisasi semacam itu yang mengumpulkan data pribadi dari pelanggan. 

Misalnya, toko online mengumpulkan basis pelanggan dengan nama, nomor telepon, dan email. Dan manajer yang licik memutuskan untuk mengumpulkan database dan menyalinnya untuk dijual lebih lanjut.



Jika tindakan seperti itu tidak menyebabkan kerusakan serius, dan manajer tidak menerima pengaduan kepada lembaga penegak hukum, maka pelanggaran tersebut dapat dikualifikasikan menurut Art. 13.11 klausul 8 dari Kode Administratif Federasi Rusia. Hukuman baginya adalah denda sebesar 30.000 hingga 60.000 rubel.

Adapun hukum pidana, pasal-pasal KUHP Federasi Rusia berikut dalam banyak kasus mengancam peretas-pelaku kejahatan:

• . 146 « ». . , , .
• . 272 « ». , . — .
• . 273 «, ». «» — , 273.

. . , , , . , .

• . 274 « , - ». , . 2010 20 .
• Seni. 274.1 KUHP Federasi Rusia "Pengaruh melanggar hukum pada infrastruktur informasi penting Federasi Rusia." Situasinya benar-benar sama dengan Art. 274. Tidak ada praktek pengadilan tentang itu.

Menurut Art. 272 dan 273 Anda bisa mendapatkan denda hingga 500.000 rubel dan hukuman nyata hingga 5 tahun. Dan dalam kasus khusus - hingga 7 tahun. Selain itu, secara formal, untuk memulai kasus, menemukan kerentanan dan mencoba menggunakannya bahkan tanpa niat kriminal.

Pentester: perbedaan dari seorang hacker

Pentester adalah seorang hacker yang bekerja sepenuhnya secara legal dan dalam kerangka hukum. Inti dari karyanya adalah mencari kerentanan dalam sistem keamanan.

Tetapi ada beberapa perbedaan utama:

1. Para pengembang mengetahui tindakan pentester. Semua tindakan untuk mencari kerentanan dilakukan baik di bawah perjanjian khusus atau menggunakan program Bug Bounty. Kami akan membicarakannya nanti.
2. , . . — k. , , — . , , .
3. — . Bug Bounty . .

Intinya, pentester dibedakan dari seorang hacker dengan seperangkat aturan yang dia ikuti.



Pentester bekerja secara eksklusif pada program Bug Bounty atau setelah menandatangani kontrak dengan perusahaan. Karena fakta bahwa proses pengujian penetrasi itu sendiri dikaitkan dengan pemutusan perlindungan, prosedurnya sangat formal.







Anda tidak bisa begitu saja menemukan kerentanan keamanan dan menunjukkannya kepada pemiliknya. Karena Anda bisa mendapatkan bayaran yang sangat nyata untuk ini.

2017 18- BKK. — , (20 30 ). , , .



, . , . «» . .



Ceritanya berakhir dengan baik. Ini mendapat tanggapan yang bagus di media, pengguna hanya menurunkan peringkat Facebook perusahaan. Dan dengan perusahaan yang diduga menghabiskan lebih dari satu juta dolar untuk perlindungan data setiap tahun, menemukan bug bodoh yang dapat dieksploitasi oleh siapa pun hanya menghancurkan reputasinya.

Pria itu memiliki niat yang mulia - dia ingin menunjukkan lubang dalam sistem penjualan tiket, dengan menunjukkannya dengan jelas. Tetapi pada saat yang sama, tindakannya masih dapat dikualifikasikan sebagai pelanggaran keamanan. Dan ini kasus kriminal.



Secara teknis, perusahaan benar dalam mengajukan tuntutan terhadapnya. Apapun niat pria itu, dia melanggar hukum. Dan hanya resonansi publik yang menyelamatkannya dari istilah sebenarnya.

Bug Bounty: cara berpartisipasi dengan benar

Sebagian besar perusahaan besar menjalankan Bug Bounty - program khusus di mana pengembang perangkat lunak atau situs web menawarkan imbalan atas kerentanan yang ditemukan. Lebih menguntungkan bagi perusahaan untuk membayar bug yang mereka temukan daripada berurusan dengan konsekuensi eksploitasi dan kerentanan.



Sebagian besar program ini dihosting di HackerOne dan BugCrowd . 



Misalnya, berikut adalah program Bug Bounty dari Google API , Nginx , PayPal , GitHub , Valve . Premi rata-rata untuk setiap bug yang ditemukan dalam program ini adalah $ 1.000. Ada sejumlah besar perusahaan kecil yang menawarkan $ 50- $ 100 per kesalahan. 



Bahkan Pentagon meluncurkan Bug Bounty! Itu hanya mimpi bagi seorang peretas untuk meretas sistem keamanan Pentagon, dan bahkan mendapatkan uang darinya dari pemerintah AS. 



Tetapi bahkan Bug Bounty yang diterbitkan tidak berarti Anda dapat memecahkan dan mencari lubang di mana pun. Dalam deskripsi program, pemilik menentukan kerentanan mana yang akan dipertimbangkan. 



Misalnya, Uber memberikan penjelasan yang sangat detail tentang apa saja yang termasuk dalam program Bug Bounty mereka dan apa yang tidak.



Perusahaan ingin menemukan kerentanan dalam akses data dan sistem penyimpanan, phishing, peluang pembayaran dan penagihan, tindakan tidak sah dari pihak pengguna dan karyawan perusahaan. Tetapi program ini tidak menyertakan bug aplikasi umum, laporan penipuan, bug dalam bekerja dengan jejaring sosial dan buletin email. 



Namun, dengan selera humor, semuanya baik-baik saja dengan mereka. Karena di antara tindakan yang belum dibayar adalah sebagai berikut:

Memasuki kantor Uber, melempar keripik ke mana-mana , melepaskan segerombolan rakun yang lapar, dan membajak terminal terbengkalai di stasiun kerja yang tidak terkunci sementara staf terganggu.



Masuk ke kantor Uber, menyebarkan keripik di mana-mana, melepaskan rakun yang kelaparan dan terminal atau stasiun kerja yang bebas penyitaan, sedangkan karyawan bingung.

Semakin detail Bug bounty dijelaskan, semakin mudah bagi pentester untuk memahami apa yang bisa "dicoba dan diuji" dan apa yang tidak boleh dilakukan.



Pada saat yang sama, ada aturan umum yang tidak bisa dilanggar. Misalnya, jika kerentanan ditemukan di database pengguna, Anda tidak dapat mencoba mengunduh data pribadi apa pun. Meskipun Anda berpartisipasi dalam program ini, ini dapat dianggap sebagai pelanggaran hukum. Karena di sini hak pengguna dilanggar, kepada siapa Bug bounty tidak ada hubungannya.







Pasar pengujian penetrasi Rusia juga berkembang secara aktif. Ini sudah memiliki sejumlah pemain besar yang bekerja dengan perusahaan besar. Misalnya Digital Security, STC Vulkan, Group-IB, BI.ZONE, Kaspersky Lab. Tetapi persaingan di pasar masih cukup rendah, sehingga Anda dapat bekerja dengan cukup nyaman dan individual.



Beberapa perusahaan besar seperti Gazprom atau organisasi perbankan membuat divisi internal pentester yang terpisah agar tidak mengungkapkan data rahasia kepada pihak ketiga.



Oleh karena itu, ada beberapa kemungkinan untuk pentester:

• Bergabunglah dengan salah satu perusahaan besar ini. Nilai tambah utama adalah gaji yang stabil dan tidak adanya masalah hipotetis dengan hukum. Tetapi pada saat yang sama, menghasilkan banyak uang, seperti yang dilakukan oleh banyak pentester, tidak akan berhasil. 
• Buka pengusaha perorangan atau bekerja di bawah kontrak. Nilai tambah utama adalah bahwa spesialis menetapkan harga sendiri. Tetapi pada saat yang sama, Anda harus bekerja sama dengan pengacara dalam rangka hubungan ketenagakerjaan untuk mengasuransikan dari sisi hukum. Dan pesaing tidak tertidur.
• Bug Bounty. — . , . , , Bug Bounty.

Sangat mudah untuk berpartisipasi dalam Bug Bounty. Memang, pada dasarnya, pesan tentang dimulainya suatu program adalah penawaran terbuka yang dapat diterima oleh semua pengguna. Anda dapat langsung mulai bekerja - tidak diperlukan persetujuan tambahan untuk partisipasi Anda. 



Untuk melakukan lindung nilai terhadap perusahaan yang tidak jujur, kami merekomendasikan untuk bekerja melalui situs HackerOne dan BugCrowd. Cukup mendaftar dan kirimkan laporan bug melalui mereka. 



Satu-satunya aturan adalah membaca deskripsi program dengan sangat detail. Jika sebuah perusahaan menulis bahwa mereka membayar untuk kerentanan database, Anda hanya perlu mencari di sana. Bahkan jika Anda menemukan bug di tempat lain, Anda tidak akan dibayar. Sebaliknya, masalah bisa saja dimulai. 

2015 Instagram. Ruby-, . 



, PostgreSQL. 60 Instagram Facebook. , — — «password» «instagram».    



Amazon Web Services, 82 S3. : Instagram, SSL-, API-, email-, iOS Android. , Instagram. 



Facebook. 2500 . , Bug bounty Facebook . , .

Jadi mengikuti poin Bug bounty yang ditentukan adalah suatu keharusan. Jika tidak, Anda tidak bisa mendapatkan bonus, tetapi tuduhan.

Apa yang seharusnya bisa dilakukan pentester

Pentester adalah "prajurit universal" dan spesialis yang sangat terspesialisasi. Dia perlu memiliki pengetahuan yang luas di banyak bidang pemrograman dan pada saat yang sama memiliki keterampilan yang mendalam di satu atau lebih bidang.



Secara umum, Pentester Junior diyakini harus memiliki pengetahuan berikut:

• administrasi Windows, Linux;
• pengetahuan tentang satu atau lebih pemrograman: Python, php, Perl, Ruby, JavaScript, Bash;
• pengetahuan tentang HTML;
• protokol jaringan dasar (TCP / IP, ICMP) / layanan jaringan (Proxy, VPN, Samba, AD);
• protokol: HTTP, FTP, DNS, SSH;
• Database SQL (DDL, DML, dll.), MySQL, SQL Server, PostgreSQL, Oracle.

Tidak perlu mengetahui semuanya dengan sempurna, tetapi Anda harus memiliki setidaknya pengetahuan dasar tentang PL, protokol, dan database di atas.



Anda juga perlu mempelajari cara menggunakan program pengujian penetrasi seperti BurpSuite, SqlMap, Nmap, IP Tools, dan Acunetix. 



Sebenarnya, inilah mengapa disarankan untuk pergi ke pengujian penetrasi bagi para spesialis yang sudah memiliki latar belakang tertentu dalam pengembangan atau pengujian. Karena bahkan untuk tingkat Junior, jumlah pengetahuan yang dibutuhkan sangat besar. 

Tempat belajar sebagai pentester

Dan akhirnya, kami telah mengumpulkan beberapa sumber daya populer tempat Anda bisa mendapatkan semua informasi yang diperlukan untuk profesi pentester:

• Hackaday. , , . , .
  
  
• EC-Council CEH. , CEH. .
  
  
• Cybrary. . , .
  
  
• Profesi Ethical hacker dari Skillfactory . Kami sendiri baru-baru ini meluncurkan kursus komprehensif 10 bulan berskala besar, di mana kami mengajarkan semua seluk-beluk dan trik pengujian penetrasi. Pentester sejati membagikan pengalaman mereka dan, dalam praktiknya, membantu menemukan kerentanan dalam perangkat lunak dan proyek web.

Dan beberapa situs lagi tempat Anda dapat meningkatkan keterampilan praktis Anda:

• HackThis !! - di sini Anda dapat meningkatkan keterampilan peretasan Anda dalam mode permainan dan mempelajari cara melakukannya pada saat yang bersamaan. 
• Root me - lebih dari 380 tugas praktis untuk pentester: dari pemula hingga pro.
• Try2Hack adalah salah satu sumber daya tertua untuk latihan pentesting. Untuk tingkat dasar - hal yang paling mendasar.
• Webgoat adalah lingkungan tutorial yang realistis di mana Anda dapat mempelajari dasar-dasar pengujian penetrasi dan segera mempraktikkan pengetahuannya. 
• Google Gruyere — , . , .
• OverTheWire — . 50 , .

Menurut penelitian Inside the mind of a hacker , pengujian penetrasi sekarang dianggap lebih menguntungkan daripada peretasan jahat. Perusahaan membayar dengan baik kepada mereka yang menemukan kerentanan dalam sistem mereka - banyak peretas tidak perlu masuk ke Darknet jika secara resmi dan cukup legal mereka dapat memperoleh penghasilan yang tidak kurang. 



Kalau mau jadi pentester, caranya terbuka. Tetapi menjadi pentester yang baik yang menghasilkan puluhan ribu dolar sebulan jauh lebih sulit. Ini lebih terlihat seperti seni daripada kerajinan. Apakah kamu siap untuk ini? Kalau begitu lanjutkan!



Dan kode promo HABR akan memberi Anda tambahan diskon 10% yang tertera di banner.

• Profesi Ethical Hacker oleh Skillfactory
• Bootcamp online untuk Ilmu Data
• Melatih profesi Analis Data dari awal
• Bootcamp Online Analisis Data
• Data Science
• «Python -»

• Data Scientist -
• 450
• Machine Learning 5 9
• : 2020
• Machine Learning Computer Vision