1 added
1 removed
Original
2026-01-01
Modified
2026-02-21
1
<p><a>#статьи</a></p>
1
<p><a>#статьи</a></p>
2
<ul><li>6 фев 2025</li>
2
<ul><li>6 фев 2025</li>
3
<li>0</li>
3
<li>0</li>
4
</ul><h2>Кто такой белый хакер и как им стать</h2>
4
</ul><h2>Кто такой белый хакер и как им стать</h2>
5
<p>Рассказываем, как легально взламывать IT-системы и зарабатывать на этом хорошие деньги.</p>
5
<p>Рассказываем, как легально взламывать IT-системы и зарабатывать на этом хорошие деньги.</p>
6
<p>Иллюстрация: Polina Vari для Skillbox Media</p>
6
<p>Иллюстрация: Polina Vari для Skillbox Media</p>
7
<p>Онлайн-журнал для тех, кто влюблён в код и информационные технологии. Пишем для айтишников и об айтишниках.</p>
7
<p>Онлайн-журнал для тех, кто влюблён в код и информационные технологии. Пишем для айтишников и об айтишниках.</p>
8
<p>В большинстве стран деятельность хакеров<a>преследуется законом</a>. Да, за взлом чужого виртуального кошелька можно получить реальный срок. Но если вы всегда мечтали ловко обходить системы защиты и оставаться при этом в рамках закона, то обратите внимание на профессию белого (или этичного) хакера.</p>
8
<p>В большинстве стран деятельность хакеров<a>преследуется законом</a>. Да, за взлом чужого виртуального кошелька можно получить реальный срок. Но если вы всегда мечтали ловко обходить системы защиты и оставаться при этом в рамках закона, то обратите внимание на профессию белого (или этичного) хакера.</p>
9
<p>В этой статье рассказываем, кто такой белый хакер, чем он занимается, как им стать и при чём тут белые шляпы. А ещё делимся полезными материалами, которые помогут освоить профессию.</p>
9
<p>В этой статье рассказываем, кто такой белый хакер, чем он занимается, как им стать и при чём тут белые шляпы. А ещё делимся полезными материалами, которые помогут освоить профессию.</p>
10
<p><strong>Содержание</strong></p>
10
<p><strong>Содержание</strong></p>
11
<ul><li><a>Кто такой белый хакер</a></li>
11
<ul><li><a>Кто такой белый хакер</a></li>
12
<li><a>White hat и black hat: в чём разница</a></li>
12
<li><a>White hat и black hat: в чём разница</a></li>
13
<li><a>Чем занимаются белые хакеры</a></li>
13
<li><a>Чем занимаются белые хакеры</a></li>
14
<li><a>Сколько зарабатывают белые хакеры</a></li>
14
<li><a>Сколько зарабатывают белые хакеры</a></li>
15
<li><a>Как стать белым хакером</a></li>
15
<li><a>Как стать белым хакером</a></li>
16
<li><a>Дополнительные материалы</a></li>
16
<li><a>Дополнительные материалы</a></li>
17
</ul><p><strong>Эксперт</strong></p>
17
</ul><p><strong>Эксперт</strong></p>
18
<p>Эксперт Skillbox по кибербезопасности, SRE и DevOps.</p>
18
<p>Эксперт Skillbox по кибербезопасности, SRE и DevOps.</p>
19
<h2><strong>Кто такой белый хакер</strong></h2>
19
<h2><strong>Кто такой белый хакер</strong></h2>
20
<p><strong>Белый хакер</strong>- специалист по информационной безопасности, который исследует IT-системы и ищет в них уязвимости. Его основная задача - обнаружить бреши до того, как их найдут злоумышленники. Белых хакеров ещё называют этичными хакерами или пентестерами.</p>
20
<p><strong>Белый хакер</strong>- специалист по информационной безопасности, который исследует IT-системы и ищет в них уязвимости. Его основная задача - обнаружить бреши до того, как их найдут злоумышленники. Белых хакеров ещё называют этичными хакерами или пентестерами.</p>
21
<p>В своей работе пентестеры используют тот же набор инструментов, что и взломщики. Единственное отличие белых хакеров от злоумышленников - легальность действий. Первые взламывают сервисы с разрешения их владельцев, а вторые - пытаются получить доступ неправомерно.</p>
21
<p>В своей работе пентестеры используют тот же набор инструментов, что и взломщики. Единственное отличие белых хакеров от злоумышленников - легальность действий. Первые взламывают сервисы с разрешения их владельцев, а вторые - пытаются получить доступ неправомерно.</p>
22
<p>В сфере информационной безопасности принято использовать термины white hat и black hat для различения двух типов хакеров по целям, которые они преследуют.</p>
22
<p>В сфере информационной безопасности принято использовать термины white hat и black hat для различения двух типов хакеров по целям, которые они преследуют.</p>
23
<p>Вот что эти термины означают:</p>
23
<p>Вот что эти термины означают:</p>
24
<ul><li><strong>White hat</strong>(белая шляпа) - хакеры, которые используют свои знания и навыки во благо. Они помогают компаниям обнаруживать уязвимости и работают легально.</li>
24
<ul><li><strong>White hat</strong>(белая шляпа) - хакеры, которые используют свои знания и навыки во благо. Они помогают компаниям обнаруживать уязвимости и работают легально.</li>
25
<li><strong>Black hat</strong>(чёрная шляпа) - хакеры, которые незаконно получают доступ к IT-системам, похищают данные, распространяют вирусы и шифруют информацию. Их действия расцениваются как киберпреступность и преследуется по закону.</li>
25
<li><strong>Black hat</strong>(чёрная шляпа) - хакеры, которые незаконно получают доступ к IT-системам, похищают данные, распространяют вирусы и шифруют информацию. Их действия расцениваются как киберпреступность и преследуется по закону.</li>
26
</ul><p>Часто выделяют третий вид хакеров -<strong>gray hat</strong>(серая шляпа). Это специалисты, которые исследуют системы без явного разрешения их владельцев и сообщают об обнаруженных уязвимостях. Они не стремятся навредить компаниям, но их действия всё равно считаются противоправными, поскольку серые шляпы получают доступ к системам без разрешения.</p>
26
</ul><p>Часто выделяют третий вид хакеров -<strong>gray hat</strong>(серая шляпа). Это специалисты, которые исследуют системы без явного разрешения их владельцев и сообщают об обнаруженных уязвимостях. Они не стремятся навредить компаниям, но их действия всё равно считаются противоправными, поскольку серые шляпы получают доступ к системам без разрешения.</p>
27
<p>Например, в 2016 году программист Игорь Шевцов опубликовал<a>статью</a>на "Хабре", в которой рассказал про уязвимость транспортной карты "Тройка". Разработчик смог получить доступ к памяти карты и нашёл способ пополнять счёт на любую сумму. Для этого он разработал Android-приложение TroikaDumper. Специалисты Московского метрополитена исправили ошибку, но суд потребовал заблокировать статью.</p>
27
<p>Например, в 2016 году программист Игорь Шевцов опубликовал<a>статью</a>на "Хабре", в которой рассказал про уязвимость транспортной карты "Тройка". Разработчик смог получить доступ к памяти карты и нашёл способ пополнять счёт на любую сумму. Для этого он разработал Android-приложение TroikaDumper. Специалисты Московского метрополитена исправили ошибку, но суд потребовал заблокировать статью.</p>
28
<p>Игорь Шевцов действовал без разрешения Московского метрополитена, но его исследование помогло исправить уязвимость, которой могли бы пользоваться злоумышленники. Так работают и другие серые шляпы.</p>
28
<p>Игорь Шевцов действовал без разрешения Московского метрополитена, но его исследование помогло исправить уязвимость, которой могли бы пользоваться злоумышленники. Так работают и другие серые шляпы.</p>
29
<p>Основная задача белых хакеров - искать уязвимости, имитируя действия злоумышленников. Этот процесс включает в себя несколько этапов.</p>
29
<p>Основная задача белых хакеров - искать уязвимости, имитируя действия злоумышленников. Этот процесс включает в себя несколько этапов.</p>
30
<p>Свою работу белые хакеры начинают с разведки и сбора информации. Например, они выясняют, какие технологии используют разработчики тестируемой системы, кто целевая аудитория продукта компании, и анализируют сценарии поведения сотрудников и пользователей.</p>
30
<p>Свою работу белые хакеры начинают с разведки и сбора информации. Например, они выясняют, какие технологии используют разработчики тестируемой системы, кто целевая аудитория продукта компании, и анализируют сценарии поведения сотрудников и пользователей.</p>
31
<p>Это позволяет понять, какие виды атак можно использовать для получения доступа к системе. Например, администраторы часто забывают менять учётные данные, заданные по умолчанию. Если предстоит проверить защищённость корпоративной сети, то самый первый шаг - ввести admin в поля логина и пароля. Возможно, на этом тестирование завершится.</p>
31
<p>Это позволяет понять, какие виды атак можно использовать для получения доступа к системе. Например, администраторы часто забывают менять учётные данные, заданные по умолчанию. Если предстоит проверить защищённость корпоративной сети, то самый первый шаг - ввести admin в поля логина и пароля. Возможно, на этом тестирование завершится.</p>
32
<p>Для поиска потенциальных уязвимостей белые хакеры используют специальные сканеры:</p>
32
<p>Для поиска потенциальных уязвимостей белые хакеры используют специальные сканеры:</p>
33
<ul><li><a>Nessus</a> - программа для поиска часто встречающихся видов уязвимостей. Она ищет ошибки в файлах конфигурации, уязвимые версии инструментов и проверяет наличие паролей по умолчанию.</li>
33
<ul><li><a>Nessus</a> - программа для поиска часто встречающихся видов уязвимостей. Она ищет ошибки в файлах конфигурации, уязвимые версии инструментов и проверяет наличие паролей по умолчанию.</li>
34
<li><a>Rapid7 Nexpose</a> - сканер уязвимостей для корпоративных сетей.</li>
34
<li><a>Rapid7 Nexpose</a> - сканер уязвимостей для корпоративных сетей.</li>
35
<li><a>OpenVAS</a> - программа с открытым исходным кодом для обнаружения уязвимостей.</li>
35
<li><a>OpenVAS</a> - программа с открытым исходным кодом для обнаружения уязвимостей.</li>
36
<li><a>Nikto</a> - сканер веб-серверов, предназначенный для поиска опасных файлов, устаревшего ПО и неправильных настроек.</li>
36
<li><a>Nikto</a> - сканер веб-серверов, предназначенный для поиска опасных файлов, устаревшего ПО и неправильных настроек.</li>
37
</ul><p>Если данных о системе достаточно, то хакер приступает к <a>пентестингу</a>(penetration testing) - тестированию на проникновение. На этом этапе главная задача - подтвердить, что злоумышленники могли бы использовать обнаруженные уязвимости для взлома системы или полного отказа в обслуживании.</p>
37
</ul><p>Если данных о системе достаточно, то хакер приступает к <a>пентестингу</a>(penetration testing) - тестированию на проникновение. На этом этапе главная задача - подтвердить, что злоумышленники могли бы использовать обнаруженные уязвимости для взлома системы или полного отказа в обслуживании.</p>
38
<p>Кроме того, белые хакеры оценивают глубину угрозы. Например, сможет ли злоумышленник повысить себе права с обычного пользователя до администратора и получится ли у него атаковать другие системы.</p>
38
<p>Кроме того, белые хакеры оценивают глубину угрозы. Например, сможет ли злоумышленник повысить себе права с обычного пользователя до администратора и получится ли у него атаковать другие системы.</p>
39
<p>Для этих задач также есть софт:</p>
39
<p>Для этих задач также есть софт:</p>
40
<ul><li><a>Metasploit</a> - открытый фреймворк для создания и распространения эксплойтов для различных систем.</li>
40
<ul><li><a>Metasploit</a> - открытый фреймворк для создания и распространения эксплойтов для различных систем.</li>
41
<li><a>Hydra</a> - программа для брутфорса паролей учётных записей пользователей, SSH, приложений и операционных систем.</li>
41
<li><a>Hydra</a> - программа для брутфорса паролей учётных записей пользователей, SSH, приложений и операционных систем.</li>
42
<li><a>Wireshark</a> - инструмент для анализа сетевого трафика, с помощью которого можно выявлять аномалии и отслеживать, как системы "общаются" друг с другом.</li>
42
<li><a>Wireshark</a> - инструмент для анализа сетевого трафика, с помощью которого можно выявлять аномалии и отслеживать, как системы "общаются" друг с другом.</li>
43
<li><a>Burp Suite</a> - утилита для пентестинга веб-сервисов.</li>
43
<li><a>Burp Suite</a> - утилита для пентестинга веб-сервисов.</li>
44
<li><a>SQLmap</a> - инструмент для обнаружения и использования SQL-инъекций.</li>
44
<li><a>SQLmap</a> - инструмент для обнаружения и использования SQL-инъекций.</li>
45
<li><a>Hashcat</a> - программы для быстрого восстановления исходного пароля по его хешу.</li>
45
<li><a>Hashcat</a> - программы для быстрого восстановления исходного пароля по его хешу.</li>
46
<li><a>Social-Engineering Toolkit</a> - набор инструментов для организации атак на основе методов социальной инженерии. Например, с помощью утилиты можно клонировать сайты, чтобы использовать их для фишинга.</li>
46
<li><a>Social-Engineering Toolkit</a> - набор инструментов для организации атак на основе методов социальной инженерии. Например, с помощью утилиты можно клонировать сайты, чтобы использовать их для фишинга.</li>
47
</ul><p>После активной фазы исследования безопасности важно оценить потенциальный ущерб. На этом этапе белому хакеру важно понять, какие данные могли бы пострадать, если бы атаку совершали злоумышленники, и насколько сильно пострадали бы бизнес-процессы компании.</p>
47
</ul><p>После активной фазы исследования безопасности важно оценить потенциальный ущерб. На этом этапе белому хакеру важно понять, какие данные могли бы пострадать, если бы атаку совершали злоумышленники, и насколько сильно пострадали бы бизнес-процессы компании.</p>
48
<p>На основе исследования пентестер составляет отчёт, в котором фиксирует все шаги для получения доступа к системе и указывает рекомендации для устранения уязвимостей.</p>
48
<p>На основе исследования пентестер составляет отчёт, в котором фиксирует все шаги для получения доступа к системе и указывает рекомендации для устранения уязвимостей.</p>
49
<p>По данным зарплатного калькулятора "Хабр Карьеры", пентестеры в среднем<a>зарабатывают</a>135 000 рублей. На размер зарплаты влияет грейд специалиста:</p>
49
<p>По данным зарплатного калькулятора "Хабр Карьеры", пентестеры в среднем<a>зарабатывают</a>135 000 рублей. На размер зарплаты влияет грейд специалиста:</p>
50
<ul><li>Джуниор - 98 000 рублей;</li>
50
<ul><li>Джуниор - 98 000 рублей;</li>
51
<li>Мидл - 172 000 рублей;</li>
51
<li>Мидл - 172 000 рублей;</li>
52
<li>Сеньор - 317 000 рублей;</li>
52
<li>Сеньор - 317 000 рублей;</li>
53
<li>Тимлид - 485 000 рублей.</li>
53
<li>Тимлид - 485 000 рублей.</li>
54
</ul><p>Профессия белого хакера требует глубоких знаний в области операционных систем, сетевых протоколов, программирования и кибербезопасности. Рассмотрим, что надо изучить, чтобы начать взламывать системы во благо.</p>
54
</ul><p>Профессия белого хакера требует глубоких знаний в области операционных систем, сетевых протоколов, программирования и кибербезопасности. Рассмотрим, что надо изучить, чтобы начать взламывать системы во благо.</p>
55
<p>Для успешного взлома информационных систем надо хорошо понимать, как эти системы работают. Изучите, как устроена архитектура компьютера и чем различаются между собой популярные<a>операционные системы</a>. Это поможет понимать, какие в принципе атаки можно осуществлять и благодаря чему эти возможности появляются.</p>
55
<p>Для успешного взлома информационных систем надо хорошо понимать, как эти системы работают. Изучите, как устроена архитектура компьютера и чем различаются между собой популярные<a>операционные системы</a>. Это поможет понимать, какие в принципе атаки можно осуществлять и благодаря чему эти возможности появляются.</p>
56
<p>Большинство современных IT-систем взаимодействуют с сетью и выходят в интернет. Поэтому обязательно разберитесь с принципами работы сетевых протоколов, например<a>TCP/IP</a>,<a>HTTP</a>и <a>DNS</a>. Изучите модель OSI, чтобы хорошо понимать, как системы взаимодействуют друг с другом.</p>
56
<p>Большинство современных IT-систем взаимодействуют с сетью и выходят в интернет. Поэтому обязательно разберитесь с принципами работы сетевых протоколов, например<a>TCP/IP</a>,<a>HTTP</a>и <a>DNS</a>. Изучите модель OSI, чтобы хорошо понимать, как системы взаимодействуют друг с другом.</p>
57
<p>Хороший пентестер должен не только знать, как работают компьютеры, но и уметь заставлять их делать то, что ему нужно. Поэтому важно научиться писать код. Начните с освоения<a>JavaScript</a>или<a>Python</a>. Это позволит вам начать тестировать веб-сервисы. Для автоматизации рутины, например парсинга логов, изучите<a>Bash</a>или<a>PowerShell</a>.</p>
57
<p>Хороший пентестер должен не только знать, как работают компьютеры, но и уметь заставлять их делать то, что ему нужно. Поэтому важно научиться писать код. Начните с освоения<a>JavaScript</a>или<a>Python</a>. Это позволит вам начать тестировать веб-сервисы. Для автоматизации рутины, например парсинга логов, изучите<a>Bash</a>или<a>PowerShell</a>.</p>
58
<p>Посвятите время основам кибербезопасности. Изучите<a>OWASP Top 10</a> - перечень распространённых уязвимостей, чтобы понимать, какие ошибки уже могли допустить разработчики. Узнайте, для чего нужна<a>хеш-функция</a>, электронная подпись и асимметричное шифрование.</p>
58
<p>Посвятите время основам кибербезопасности. Изучите<a>OWASP Top 10</a> - перечень распространённых уязвимостей, чтобы понимать, какие ошибки уже могли допустить разработчики. Узнайте, для чего нужна<a>хеш-функция</a>, электронная подпись и асимметричное шифрование.</p>
59
<p>Белые хакеры облегчают себе работу с помощью специальных сканеров уязвимостей и утилит для автоматического тестирования безопасности систем. Научитесь работать с программами, о которых мы говорили выше. Это поможет эффективнее искать бреши в сервисах и сетях.</p>
59
<p>Белые хакеры облегчают себе работу с помощью специальных сканеров уязвимостей и утилит для автоматического тестирования безопасности систем. Научитесь работать с программами, о которых мы говорили выше. Это поможет эффективнее искать бреши в сервисах и сетях.</p>
60
<p>Если боитесь навредить своему компьютеру, то создайте несколько виртуальных машин в <a>VirtualBox</a>и используйте их в качестве учебных стендов. Если что-то пойдёт не так, то всегда можно удалить "виртуалку" и начать всё сначала.</p>
60
<p>Если боитесь навредить своему компьютеру, то создайте несколько виртуальных машин в <a>VirtualBox</a>и используйте их в качестве учебных стендов. Если что-то пойдёт не так, то всегда можно удалить "виртуалку" и начать всё сначала.</p>
61
<p>У белых хакеров есть собственные операционные системы - дистрибутивы Linux, заточенные под исследование безопасности и пентестинг:</p>
61
<p>У белых хакеров есть собственные операционные системы - дистрибутивы Linux, заточенные под исследование безопасности и пентестинг:</p>
62
<ul><li><a>Kali Linux</a> - дистрибутив на основе Debian, в котором доступно более 600 предустановленных утилит для тестирования на проникновение. Это наиболее популярная ОС среди белых хакеров.</li>
62
<ul><li><a>Kali Linux</a> - дистрибутив на основе Debian, в котором доступно более 600 предустановленных утилит для тестирования на проникновение. Это наиболее популярная ОС среди белых хакеров.</li>
63
-
</ul><ul><li><a>Parrot Security</a> - легковесный дистрибутив ОС на основе Debian, который подойдёт тем, кто работает на слабых компьютерах и виртуальных машинах. В нём также есть предустановленные инструменты для тестирования безопасности и пентестинга.</li>
63
+
</ul><ul><li><a>Parrot Security</a> - легковесный дистрибутив ОС на основе Debian, которы�� подойдёт тем, кто работает на слабых компьютерах и виртуальных машинах. В нём также есть предустановленные инструменты для тестирования безопасности и пентестинга.</li>
64
<li><a>BlackArch Linux</a> - дистрибутив на базе Arch Linux. Предоставляет всё необходимое для работы белого хакера. Им чаще пользуются опытные пентестеры, так как его проще настроить под конкретные задачи.</li>
64
<li><a>BlackArch Linux</a> - дистрибутив на базе Arch Linux. Предоставляет всё необходимое для работы белого хакера. Им чаще пользуются опытные пентестеры, так как его проще настроить под конкретные задачи.</li>
65
</ul><p>Теоретические знания надо закреплять практикой. Если вам ещё не доверяют взламывать настоящие системы и сервисы, то тренируйтесь на специальных платформах:</p>
65
</ul><p>Теоретические знания надо закреплять практикой. Если вам ещё не доверяют взламывать настоящие системы и сервисы, то тренируйтесь на специальных платформах:</p>
66
<ul><li><a>TryHackMe</a> - сервис с задачами по взлому для начинающих специалистов. С его помощью можно изучить основы кибербезопасности, научиться работать с сетью и использовать простые эксплойты.</li>
66
<ul><li><a>TryHackMe</a> - сервис с задачами по взлому для начинающих специалистов. С его помощью можно изучить основы кибербезопасности, научиться работать с сетью и использовать простые эксплойты.</li>
67
<li><a>Hack The Box</a> - платформа с реальными задачами и разборами распространённых уязвимостей.</li>
67
<li><a>Hack The Box</a> - платформа с реальными задачами и разборами распространённых уязвимостей.</li>
68
</ul><p>Свои знания и навыки можно подтвердить с помощью принятых в индустрии сертификатов. Для получения такого сертификата надо сдать экзамен. Часто экзамены платные и включают в себя подготовительный курс на несколько месяцев.</p>
68
</ul><p>Свои знания и навыки можно подтвердить с помощью принятых в индустрии сертификатов. Для получения такого сертификата надо сдать экзамен. Часто экзамены платные и включают в себя подготовительный курс на несколько месяцев.</p>
69
<p>Популярные сертификаты для белых хакеров:</p>
69
<p>Популярные сертификаты для белых хакеров:</p>
70
<ul><li><a>CEH</a>(certified ethical hacker) - экзамен состоит из двух частей и суммарно занимает 10 часов. В теоретической части надо ответить на 125 вопросов, а во второй - решить 20 практических задач.</li>
70
<ul><li><a>CEH</a>(certified ethical hacker) - экзамен состоит из двух частей и суммарно занимает 10 часов. В теоретической части надо ответить на 125 вопросов, а во второй - решить 20 практических задач.</li>
71
<li><a>CompTIA Security+</a> - сертификация для тех, кто только начинает карьеру в сфере кибербезопасности. Экзамен охватывает базовые знания и навыки, которые нужны для выявления угроз.</li>
71
<li><a>CompTIA Security+</a> - сертификация для тех, кто только начинает карьеру в сфере кибербезопасности. Экзамен охватывает базовые знания и навыки, которые нужны для выявления угроз.</li>
72
<li><a>OSWE</a>(Offensive Security web expert) - экзамен от компании Offensive Security, которая разрабатывает дистрибутив Kali Linux, рассчитанный на пентестеров веб-систем. На решение задач предоставляется 48 часов, а за сам экзамен придётся заплатить 1749 долларов.</li>
72
<li><a>OSWE</a>(Offensive Security web expert) - экзамен от компании Offensive Security, которая разрабатывает дистрибутив Kali Linux, рассчитанный на пентестеров веб-систем. На решение задач предоставляется 48 часов, а за сам экзамен придётся заплатить 1749 долларов.</li>
73
</ul><p>У компании Offensive Security есть сертификаты и по другим направлениям, например по безопасности Windows (<a>OSEE</a>), macOS (<a>OSMR</a>), пентестингу с помощью Kali Linux (<a>OSCP</a>) и атакам по беспроводной сети (<a>OSWP</a>). Экзамены стоят недёшево, поэтому перед ними предлагают пройти подготовительный курс, который уже включён в стоимость сертификации.</p>
73
</ul><p>У компании Offensive Security есть сертификаты и по другим направлениям, например по безопасности Windows (<a>OSEE</a>), macOS (<a>OSMR</a>), пентестингу с помощью Kali Linux (<a>OSCP</a>) и атакам по беспроводной сети (<a>OSWP</a>). Экзамены стоят недёшево, поэтому перед ними предлагают пройти подготовительный курс, который уже включён в стоимость сертификации.</p>
74
<p><strong>Баг-баунти</strong>(bug bounty) - программа, в рамках которой компания разрешает сторонним белым хакерам исследовать их системы и сообщать об уязвимостях. За каждую подтверждённую уязвимость пентестеру выплачивают денежное вознаграждение. Сумма выплаты обычно зависит от уровня критичности ошибки.</p>
74
<p><strong>Баг-баунти</strong>(bug bounty) - программа, в рамках которой компания разрешает сторонним белым хакерам исследовать их системы и сообщать об уязвимостях. За каждую подтверждённую уязвимость пентестеру выплачивают денежное вознаграждение. Сумма выплаты обычно зависит от уровня критичности ошибки.</p>
75
<p>Вы тоже можете участвовать в программах баг-баунти. Международные компании публикуют условия для белых хакеров на площадке<a>HackerOne</a>. Например, на ней можно найти задания от <a>Netflix</a>,<a>Reddit</a>и <a>Toyota</a>, а <a>Coinbase</a>обещает выплатить до 1 млн долларов тому, кто найдёт критическую уязвимость.</p>
75
<p>Вы тоже можете участвовать в программах баг-баунти. Международные компании публикуют условия для белых хакеров на площадке<a>HackerOne</a>. Например, на ней можно найти задания от <a>Netflix</a>,<a>Reddit</a>и <a>Toyota</a>, а <a>Coinbase</a>обещает выплатить до 1 млн долларов тому, кто найдёт критическую уязвимость.</p>
76
<p>Главный минус HackerOne для белых хакеров из России в том, что даже если вы найдёте ошибку, то не сможете получить вознаграждение. Если хотите не только практиковаться, но и зарабатывать, то обратите внимание на российские платформы баг-баунти:</p>
76
<p>Главный минус HackerOne для белых хакеров из России в том, что даже если вы найдёте ошибку, то не сможете получить вознаграждение. Если хотите не только практиковаться, но и зарабатывать, то обратите внимание на российские платформы баг-баунти:</p>
77
<ul><li><a>Standoff 365 Bug Bounty</a> - на площадке свои программы публикуют крупные российские компании, включая<a>VK</a>, "<a>Т-Банк</a>",<a>Ozon</a>и "<a>Азбуку вкуса</a>". На платформе есть программа баг-баунти от <a>Skillbox</a>.</li>
77
<ul><li><a>Standoff 365 Bug Bounty</a> - на площадке свои программы публикуют крупные российские компании, включая<a>VK</a>, "<a>Т-Банк</a>",<a>Ozon</a>и "<a>Азбуку вкуса</a>". На платформе есть программа баг-баунти от <a>Skillbox</a>.</li>
78
<li><a>Bi.Zone Bug Bounty</a> - площадка от компании Bi.Zone, на которой публикуют задания правительственные организации и IT-компании.</li>
78
<li><a>Bi.Zone Bug Bounty</a> - площадка от компании Bi.Zone, на которой публикуют задания правительственные организации и IT-компании.</li>
79
</ul><p>Материалы ниже помогут изучить основы этичного хакинга:</p>
79
</ul><p>Материалы ниже помогут изучить основы этичного хакинга:</p>
80
<ul><li><a>Ethical Hacking</a> - дорожная карта освоения профессии от проекта Roadmap.sh.</li>
80
<ul><li><a>Ethical Hacking</a> - дорожная карта освоения профессии от проекта Roadmap.sh.</li>
81
<li>Ethical Hacking in 15 Hours (<a>первая часть</a>,<a>вторая часть</a>) - практический курс по этичному хакингу в двух частях, который расскажет про работу с сетью, инструментами и операционными системами.</li>
81
<li>Ethical Hacking in 15 Hours (<a>первая часть</a>,<a>вторая часть</a>) - практический курс по этичному хакингу в двух частях, который расскажет про работу с сетью, инструментами и операционными системами.</li>
82
<li>"<a>Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах</a>", Брюс Шнайер. Книга от американского криптографа и преподавателя Гарварда о том, как работают хакеры.</li>
82
<li>"<a>Взломать всё. Как сильные мира сего используют уязвимости систем в своих интересах</a>", Брюс Шнайер. Книга от американского криптографа и преподавателя Гарварда о том, как работают хакеры.</li>
83
<li>"<a>Black Hat Python: программирование для хакеров и пентестеров</a>", Тим Арнольд и Джастин Зейтц. Книга про "тёмную сторону" Python.</li>
83
<li>"<a>Black Hat Python: программирование для хакеров и пентестеров</a>", Тим Арнольд и Джастин Зейтц. Книга про "тёмную сторону" Python.</li>
84
<li>"<a>Black Hat Go: Программирование для хакеров и пентестеров</a>", Дэн Коттманн, Крис Паттен, Том Стил. Книга похожа на Black Hat Python, но обращает внимание на хакерские возможности языка программирования Go.</li>
84
<li>"<a>Black Hat Go: Программирование для хакеров и пентестеров</a>", Дэн Коттманн, Крис Паттен, Том Стил. Книга похожа на Black Hat Python, но обращает внимание на хакерские возможности языка программирования Go.</li>
85
<li>"<a>Kali Linux: библия пентестера</a>", Гас Хаваджа - руководство по самому популярному дистрибутиву Linux среди безопасников и хакеров.</li>
85
<li>"<a>Kali Linux: библия пентестера</a>", Гас Хаваджа - руководство по самому популярному дистрибутиву Linux среди безопасников и хакеров.</li>
86
<li>"<a>Этичный хакинг. Практическое руководство по взлому</a>", Дэниел Грэм. Книга научит основам этичного хакинга, анализу сетевого трафика и расскажет, как устроены компьютерные вирусы.</li>
86
<li>"<a>Этичный хакинг. Практическое руководство по взлому</a>", Дэниел Грэм. Книга научит основам этичного хакинга, анализу сетевого трафика и расскажет, как устроены компьютерные вирусы.</li>
87
<li>"<a>Аппаратный хакинг: взлом реальных вещей</a>", Джаспер ван Вуденберг и Колин О’Флинн. Книга о пентестинге гаджетов, процессоров, плат и другого железа. В конце есть описания атак на умные лампы Philips Hue и игровые консоли Sony PlayStation 3 и Xbox 360.</li>
87
<li>"<a>Аппаратный хакинг: взлом реальных вещей</a>", Джаспер ван Вуденберг и Колин О’Флинн. Книга о пентестинге гаджетов, процессоров, плат и другого железа. В конце есть описания атак на умные лампы Philips Hue и игровые консоли Sony PlayStation 3 и Xbox 360.</li>
88
</ul><p>Спрос на услуги белых хакеров не очень большой, но отличается стабильностью. В настоящее время многие компании активно перестраивают свой IT-ландшафт, чтобы соответствовать современным условиям и реалиям рынка. В этой изменчивой среде обеспечение информационной безопасности - очень важный аспект устойчивости бизнеса в целом.</p>
88
</ul><p>Спрос на услуги белых хакеров не очень большой, но отличается стабильностью. В настоящее время многие компании активно перестраивают свой IT-ландшафт, чтобы соответствовать современным условиям и реалиям рынка. В этой изменчивой среде обеспечение информационной безопасности - очень важный аспект устойчивости бизнеса в целом.</p>
89
<p><strong>Андрей Камардин,</strong>Эксперт Skillbox по кибербезопасности, SRE и DevOps.</p>
89
<p><strong>Андрей Камардин,</strong>Эксперт Skillbox по кибербезопасности, SRE и DevOps.</p>
90
<a>Курс: "Профессия Специалист по кибербезопасности + ИИ" Узнать больше</a>
90
<a>Курс: "Профессия Специалист по кибербезопасности + ИИ" Узнать больше</a>