Быстрые деньги для пентестера

Если вы этичный, ну или не совсем этичный хакер, т.е. пентестер, то возможно часто задумывались, где же заработать быстрых денег. Для фриланса это направление весь спецефично и не всегда легко получается найти заказы, что делать в таких случаях? Вариантов развития событий тут может быть несколько, в зависимости от ваших моральных ценностей и жадности.

Вариант развития событий первый: Деньги всему голова

Если деньги для вас стоят на первом месте, остро в них нуждаетесь и не брезгаете заниматься разной «черной» работой, то тогда это возможно покажется вам интересным.

Всегда актуальными темами были:

  • Взлом аккаунтов почты, соц. сетей, сервисов на заказ
  • Трафик
  • Размещение ссылок на сайты заказчиков со взломанных ресурсов
  • Помощь во взломе сайтов под заказ
  • Написание вирусов под заказ

Как видите, список выглядит довольно устрашающим и все типы работ предпологаю нарушение законов, дополнительную ответственность, повышенные риски но при этом у вас будет очень хороший приток финансовых средств.

За взлом аккаунта в социальной сети можно смело просить от 30$ до 100$, если верить рыночным предложениям. Работы вроде как и не много, только вот шансы примерно 50/50 потратить время в пустую или что-то заработать. За день крутой хацкер может зарабатывать на таких услугах до 500-1000$, но при этом есть все риски попасть в поле зрения компетентных органов и дальше вам эти деньги уже врядли пригодятся.

Наиболее безопасными будут наверное размещение ссылок на взломанных сайтах и слитие трафика по средствам редиректов и фреймов. С помощью размещения скрытых ссылок на взломанных сайтах вы можете легко участвовать в разных ссылочных биржах, тем самым имея отличный пассивный доход, да, сразу много заработать не получится, но это может быть хорошим подспорьем на долгую перспективу, если действовать аккуратно и сильно не жадничать.

Смотрите так же   Опыт работы в США, часть 2: Перелет и расположение

Чуть более прибыльным будет если верить форумам, слитие трафика: под загрузки, для накруток, еще бог знает для чего…

Алгоритм действий в таких ситуациях наверное, одинаковый у всех. Выгоду нужно стараться извлекать как можно быстрее со взломанного сайта, потому как обычно под такие потребности ищут высоко посещаемые и раскрученные проекты, а у таких проектов всегда есть определенная степень защиты, мониторинги и более компетентные сотрудники. Обычно трафик сливают мобильный, при помощи перенаправления по user-agent при переходах из поисковых систем на сайт, потому как он очень хорошо ценится (в мобилках хранится много полезной информации), такого рода слитие сложнее отследить, потому как админы чаще всего заходят на свои сайты по прямой ссылке и с компьютера. Трафик такой используют чаще всего для загрузки малвари, каких-то таргетированных атак, загрузки всяких спамеров и майнеров.

Менее ценен фреймовый трафик, с него можно выжать тоже загрузки, но нужен будет в дополнение более серьезный набор эксплойтов, а так же с его помощью легко можно накручивать статистику сайтам, частично это еще помогает в поднятии всяких тИЦ  и ПР. Опять же, для формирования ботнетов чаще использую первый метод.

Написание малвари это так же профитно, но только в том случае, если вы сделали что-то по настоящему уникальное и сложно определяемое, то, что может работать на уровне ядра и если это «что-то» невозможно удалить. В ином слуае, кроме всяких шифровальщиков — остальное нынче хлам. За последнее время очень актуальными, да и вообще очень сильно активизировались рассылки всякого рода шифровальщиков, которые заставляют жертву фактически «добровольно» переводить деньги в виде криптовалюты, что делает перевод очень тяжело отслеживаемым и деньги пропадают. Вместе с ними иногда может пропасть и информация с компьютера жертвы, потому как не все ведут хоть и такой «бизнес» добросовестно.

Смотрите так же   Скрипт для создания SWAP в Linux (Debian)

Но, в нашему случае, мы этичные хакеры и не может позволить себе каким-то деньгам подмочить себе репутацию порядочных людей, да еще и иметь повышенный риск попасть за решетку, это все не наше.

Вариант развития событий второй: Помогаем делать интернет безопаснее и при этом собираем бонусы

При втором варианте развития событий, нашей задачей в первую очередь будут не деньги, а получение нового опыта, помощь интернет проектам, наработка репутации, а так же как приятный бонус — заработать немного деньжат.

Как вы знаете, в последнее время очень актуальными стали разного рода программы вознаграждений за поиск уязвимостей, а кроме того — всегда в этом направлении можно было что-то заработать на фрилансе если выставлять приемлимые ценники и с помощью эффекта сарафанного радио.

В случае если вы решили участвовать в баг баунти (программе вознаграждений), то помните — не все платят, не всегда сумма может вас устроить. Это не черный рынок и торг тут не уместен, обычно заказчик выставляет фиксированную ценну, но вы можете надуть щеки, повозмущаться и попробовтаь набить себе цену, иногда это помогает заработать немного больше.



На баг баунти можно пойти по двум разным схемам работы: дольше искать и получать более жирные награждения, или тратить минимум времени на поиски акцентируя внимание на более простых уязвимостях и зарабатывать количеством. В первом случае приятным бонусом будет еще и прокачка навыков, потому как чтобы найти серьезную уязвимость — потратите больше времени, приложите больше усилий и возможно даже подчерпнете что-то новое для себя в процессе. На выходе вам могут заплатить и 1000$, и 10000$ (facebook, vk, и т.д.).

Можно делать хитрее, используя разные сканеры и методологии более быстрого и простого обнаружения уязвимостей собирать простенькие XSS, ошибки конфигурации, репортить возможности брутфорса форм входа, случайно подбирать стандартные пароли и получать по 20, 50, 200$. В принципе, на таких уязвимостях в свое время можно было здорово заработать при работе с Yahoo на платформе HackerOne. Там за самую простую уязвимость или ошибку всегда железно давали от 200$, в данное время это уже правда не актуально.

Если затронуть вопрос фриланса, то наверное самым быстрым, простым и прибыльным для вас может быть чистка сайтов от вирусов, безопасная настройка WordPress и выполнение автоматических сканирований сайтов с помощью премиум сканеров, но с составлением кастомных отчетов, чтоб не казаться полным нубом. Еще на фрилансе в сфере безопасности можно зарабатывать на настройках файрволов, чистке и настройке линукс серверов. В случае, если вдруг решите чистить малварь на сайтах — в арсеналне надо иметь знания составления регулярных выражений и умение быстро выполнять проверку файлов и структуры сайта, а так же необходимый инструментарий.

Если вы хорошо работает на фрилансе, имеете много положительных отзывов и постоянных клиентов — рано или поздно, они начнут вас советовать своим друзьям, либо просто вы кому-то где-то случайно поможет настроить компьютер и все узнают о том, какой вы мега крутой хакер. Да, наверное это самый проигрышный вариант в плане объема заказов и ценовой политики, но, нельзя его отметать потому как идея работает, тут главное не лениться и не забивать на заказчиков.

Сравнение

Сравнить первый кейс со вторым можно даже на самом простом примере уязвимостей. Если вы каким-то образом найдете уязвимость в каком-то популярном вендорском ПО, то к примеру в андерграунде вы сможете продавать данную уязвимость десятки раз по цене ниже то, что смогут заплатить вендоры, но на выходе вы будете иметь больше денег за счет объема продаж. Конечно, есть риски того, что первый покупатель это может отправить вендору или выложить в широкую публику, риски есть всегда и во всем.

В случае, если вы решили не портить себе карму и самостоятельно отправить репорт вендору, тут можно попробовать тороговаться, но этого обычно никто не любит. Вендоры могут как заплатить солидную сумму, так и ничего не заплатить, а иногда даже и спасибо не сказать, но помните — при любом раскладе в этом случае, ваша совесть будет чиста, а карма цела.

По какому пути пойти вам, я советовать не возьмусь, потому как у всех разные потребности и возможности. Могу сказать лишь одно, те, кто работает по черному, живут лучше, кушают лучше, машины у них круче, но спят они хуже и по итогу могут оказаться за решеткой. Во втором случае вы как минимум будете хорошо спать и иметь репутацию профессионала своего дела, да, на машину крутую сразу не заработаете, но помните — сразу вы работаете на репутацию, потом она работает на вас. Так что, считайте это долгосрочной инвистицией с возможно более приятной и толстой отдачей в перспективе.

Удачного вам хакинга 🙂

Может быть интересно:

2 комментария

Добавьте комментарий