13 янв. 2021 г.

Каперский патент* для взломщика, или «хакеры в белых шляпах»

Комментарий котейки Агента Ихнего Величества С Правом На Провал:

Котейка Агент Ихнего Величества С Правом На Провал: 21 октября 215 лет назад Произошло Трафальгарское сражение

От сегодняшнего дня так и веет морем. 215 лет назад произошло Трафальгарское сражение. 500 лет назад открыт Магелланов пролив. Романтика! Так и представляешь себя на палубе пиратского брига.

В такой романтичный день поговорим о пиратах. Да не просто пиратах - о компьютерных взломщиках.

Оказывается, за хакерство иногда не только не сажают, но и неплохо приплачивают.

Читайте. Делайте выводы. А, если что, "Лаборатория" подскажет, как принять грамотное решение.

* - Каперское свидетельство (каперский патент, англ. Letter of Marque and Reprisal, фр. lettre de course) — во времена парусного флота правительственный документ, разрешающий частному судну атаковать и захватывать суда

Благородное пиратство: как неплохо заработать на желании все сломать.

Иногда быть плохим выгодно. Сейчас мы о хакерах, которые занимаются поисками уязвимостей.

8 октября стало известно, что неназванная группа хакеров, состоящая в основном из молодых людей, три месяца взламывала все возможные сервисы Apple. Обычно за этим следует рапорт ФБР, в котором сообщается о поимке этих нехороших людей, но в этот раз было все наоборот: Apple выплатила хакерам 288 тысяч долларов США. Это был очередной цикл программы охоты за уязвимостями (bounty program). Такие инициативы есть практически у всех крупных IT-компаний в мире.

Хакеров, которые занимаются поисками уязвимостей, называют «хакерами в белых шляпах» (white hat hackers) либо просто «этичными хакерами».

Случай выше — скорее. исключение, хакеры обычно работают инкогнито и скрывают свои имена. Когда "этичные хакеры" охотятся за багами в крупных продуктах, на этих хакеров охотятся спецслужбы всех стран мира, чтобы попытаться завладеть данными о раскрытых дырах до того, как их устранят разработчики.

Программы, впрочем, есть не только у компаний, но и у правительств. Самая известная и дорогая —

«Взломай Пентагон» (и не сядь пожизненно), которую проводят с 2016 года. Это единственная возможность попробовать легально взломать серверы правительства США.

Большой список программ по отлову багов всегда можно найти на сайте Hacker One, но там обычно отсутствуют самые крупные компании. Впрочем, если ты программист или системный администратор и нашел уязвимость в коммерческом продукте, то в первую очередь направляйся туда и проверь, не платит ли компания за нахождение уязвимости. Пятьсот долларов на дороге не валяются.

Вот рейтинг самых щедрых компаний, выплачивающих деньги за поиски критических уязвимостей (по данным Hacker One, суммы за все время существования программы):