хакнул это что значит
Этичный хакинг: как взламывать системы и при этом зарабатывать легально
Кто такой хакер? Большинство людей, которые далеки от программирования, представляют перед собой злостного преступника, взламывающего системы безопасности банков, чтобы украсть деньги. Что-то вроде героя Хью Джекмана из фильма «Пароль — “Рыба-меч”», который взламывает шифр Вернама, чтобы украсть из правительственного фонда 9,5 млрд. долларов. Здесь сосредоточимся на правовой стороне взлома, а если ваши представления навеяны именно фильмами, для вас мы подготовили подробный обзор профессии специалиста по кибербезопасности.
Хакером можно быть и легально. Легальных хакеров называют пентестеры, или «этичные хакеры». Вот только нужно хорошо знать, что можно делать во время тестирования системы на проникновение, а что — нельзя. Иначе можно получить вполне реальные проблемы с законом. Совсем недавно мы запустили курс «Этичный хакер», и в этой статье мы поговорим, как заниматься хакингом, зарабатывать на этом неплохие деньги и при этом не иметь проблем с законом. Поехали.
Что грозит хакеру по закону РФ
Для начала поговорим о проблемах, которые могут свалиться на хакера. Практически все правонарушения, связанные со взломом систем и получения доступа к ним, касаются трех законов:
Согласно ст. 13. КоАП РФ (Административные правонарушения в области связи и информации), за разглашение информации с ограниченным доступом, нарушение порядка хранения, использования и распространения персональных данных может грозить штраф от 300 до 20 000 рублей. Это для физических лиц. Для юридических лиц размер штрафа гораздо больше.
В основном она касается людей, которые имеют доступ к подобной информации, и организаций, которые собирают персональные данные клиентов.
К примеру, интернет-магазин собирает клиентскую базу с именами, номерами телефонов и email-ами. А ушлый менеджер решает собрать базу и скопировать ее для дальнейшей продажи на сторону.
Если подобное действие не стало причиной серьезного ущерба, а на менеджера не поступило жалоб в правоохранительные органы, то правонарушение может быть квалифицировано по ст. 13.11 п. 8 КоАП РФ. Наказание за него — штраф в размере от 30 000 до 60 000 рублей.
Что касается уголовного законодательства, то хакеру-злоумышленнику в большинстве случаев грозят следующие статьи УК РФ:
Небольшое отступление. Пентестеры также используют сторонние программы для взлома систем безопасности и получения доступа к закрытой информации. Легальных программ для взлома не существует, поэтому компания, которая заказывает пентестинг, должна в письменной форме дать добровольное согласие на использование сторонних программ. Также пентестеры обычно подписывают соглашение о неразглашении сведений, полученных в ходе атак.
Пентестер: отличия от хакера
Пентестер — это хакер, который работает полностью легально и в рамках закона. Суть его работы — поиск уязвимостей в системах безопасности.
Но есть несколько серьезных отличий:
Пентестер работает исключительно по программам Bug Bounty или после заключения контракта с компанией. Из-за того, что сам процесс пентестинга связан со взломом защиты, процедура очень формализованная.
Нельзя просто найти уязвимость в системе защиты и указать на нее владельцу. Потому что за это можно получить вполне реальное обвинение.
В 2017 году 18-летний хакер нашел уязвимость в системе безопасности венгерской транспортной компании BKK. Баг был простой — с помощью инструментов для разработчика в браузере парень изменил исходный код страницы, вписав свою цену на билет (20 центов вместо 30 евро). Валидация цены не проводилась ни на сервере, ни на стороне клиента, поэтому хакер смог купить билет за эту цену.
После этого он обратился к представителям компании, раскрыв всю информацию об уязвимости. Но получил не благодарность, а уголовное дело. Транспортная компания «обиделась» и подала на него в суд. Парня арестовали.
История закончилась хорошо. Она получила большой резонанс в СМИ, пользователи просто обрушили рейтинг компании в Facebook. А с учетом того, что компания якобы тратила свыше миллиона долларов на защиту данных каждый год, обнаружение такого глупого бага, которым мог воспользоваться любой человек, просто уничтожило ее репутацию.
У парня были благородные намерения — он хотел указать на дыру в системе продаж билетов, наглядно продемонстрировав ее. Но при этом его действия все равно можно квалифицировать как взлом системы безопасности. А это уголовное дело.
Формально компания была полностью права, выдвигая ему обвинения. Какими бы ни были намерения парня, он нарушил закон. И от реального срока его спас только общественный резонанс.
Bug Bounty: как участвовать правильно
Большинство крупных компаний ведут Bug Bounty — специальные программы, в которой компании-разработчики ПО или сайтов предлагают вознаграждение за найденные уязвимости. Компаниям выгоднее платить за найденные ошибки, чем разбираться с последствиями, к которым могут привести эксплойты и уязвимости.
Большинство таких программ размещены на сайтах HackerOne и BugCrowd.
К примеру, вот программы Bug Bounty от Google API, Nginx, PayPal, GitHub, Valve. Средний размер премии за каждый найденный баг в этих программах — 1000 долларов. Есть огромное количество компаний поменьше, которые предлагают 50-100 долларов за ошибку.
Даже Пентагон запускал Bug Bounty! Это же просто мечта для хакера — взломать систему защиты Пентагона, да еще и получить деньги за это от правительства США.
Но даже опубликованная Bug Bounty не означает, что можно ломать и искать дырки где попало. В описании программы владельцы прописывают, какие именно уязвимости будут рассматриваться.
К примеру, Uber дает очень подробное объяснение, что входит в их программу Bug Bounty, а что — нет.
Компания хочет найти уязвимости в системах доступа и хранения данных, возможностей фишинга, оплаты и счетов, несанкционированных действий со стороны пользователя и сотрудников компании. Но в программу не входят общие баги приложения, отчеты о мошенничестве, баги в работе с соцсетями и email-рассылкой.
Впрочем, с чувством юмора у них все нормально. Потому что среди неоплаченных действий есть и следующее:
Entering the Uber offices, throwing crisps everywhere, unleashing a bunch of hungry raccoons, and hijacking an abandoned terminal on an unlocked workstation while staff are distracted
Входить в офис Uber, разбрасывая везде чипсы, выпуская кучу голодных енотов и захват свободного терминала или рабочего места, пока сотрудники сбиты с толку.
Чем подробнее описана Bug bounty, тем проще пентестеру понять, что можно «пробовать на зуб», а чего делать не стоит.
При этом есть общие правила, которые нарушать нельзя. К примеру, при обнаружении уязвимостей в базах данных пользователей нельзя пытаться скачать какие-либо личные данные. Даже при участии в программе это может быть расценено как нарушение закона. Потому что здесь нарушаются права именно пользователей, к которым Bug bounty не имеет никакого отношения.
Российский рынок пентестинга тоже активно развивается. На нем уже есть ряд крупных игроков, которые работают с большими корпорациями. К примеру, Digital Security, НТЦ «Вулкан», Group-IB, BI.ZONE, «Лаборатория Касперского». Но конкуренция на рынке еще довольно невысокая, так что можно вполне комфортно работать и индивидуально.
Некоторые крупные компании вроде «Газпрома» или банковских организаций создают отдельные внутренние подразделения пентестеров, чтобы не раскрывать конфиденциальные данные сторонним организациям.
Поэтому для пентестера есть несколько возможностей:
Чтобы подстраховаться от нечестных компаний, рекомендуем работать через сайты HackerOne и BugCrowd. Просто зарегистрируйтесь и подавайте заявки с обнаруженными багами через них.
Единственное правило — очень детально читать описание программы. Если компания пишет, что платит за уязвимости баз данных, то искать нужно только там. Даже если вы найдете баг где-нибудь еще, то за него не заплатят. Даже наоборот — могут начаться проблемы.
Уэсли Вайнберг в 2015 году нашел одну из самых серьезных брешей в защите Instagram. В ходе пентестинга он обнаружил Ruby-уязвимость, которая позволила ему запустить удаленное воспроизведение произвольного кода.
Это позволило ему прочитать файлы конфигурации, которые содержали доступы к базе PostgreSQL. Там были 60 аккаунтов сотрудников Instagram и Facebook. Как утверждает Вайнберг, взломать их не составило труда — большинство паролей были крайне слабыми — вроде «password» или «instagram».
Далее он получил доступ к нескольким ключам Amazon Web Services, которые ассоциировались с 82 бакетами S3. И в этих бакетах было настоящее сокровище для хакера: исходные коды Instagram, SSL-сертификаты, API-ключи, данные email-сервера, ключи подписей для приложений iOS и Android. Можно сказать, что пентестер получил полный доступ ко всем секретным материалам Instagram.
Он честно сообщил об этой находке представителям Facebook. За один баг ему действительно выплатили 2500 долларов. Но также он получил обвинение в несанкционированном доступе к аккаунтам сотрудников, бан в программе Bug bounty от Facebook и угрозу уголовного преследования. Хотя уголовное дело не было возбуждено, нервы пентестеру потрепали изрядно.
Так что следование прописанным пунктам Bug bounty — это просто обязательно. Иначе можно получить не премию, а обвинение.
Что должен уметь пентестер
Пентестер — это одновременно «универсальный солдат» и узконаправленный специалист. Ему нужно обладать широкими знаниями во многих отраслях программирования и при этом глубокими навыками в одной или нескольких сферах.
В целом считается, что Junior-пентестер должен обладать следующими знаниями:
Также нужно научиться использовать программы для пентестинга вроде BurpSuite, SqlMap, Nmap, IP Tools и Acunetix.
Собственно, именно поэтому в пентестинг рекомендуют идти тем специалистам, у которых уже есть определенный бэкграунд в разработке или тестировании. Потому что даже для уровня Junior количество необходимых знаний просто огромно.
Где учиться на пентестера
И напоследок мы собрали несколько популярных ресурсов, на которых можно получить всю необходимую информацию для профессии пентестера:
Если вы хотите стать пентестером — путь открыт. Но вот стать хорошим пентестером, который зарабатывает десятки тысяч долларов в месяц, намного сложнее. Это уже больше похоже на искусство, а не на ремесло. Готовы к такому? Тогда вперед!
А промокод HABR даст вам получить дополнительные 10% к скидке указанной на баннере.
Связанные словари
Хакнуть
Пример текста: Хакнуть серв. • Хакнуть сайт. • Какая-то падла хакнула несколько сайтов. • А у меня вчера хостинг хакнули. • Главный сайт хакнули в очередной раз. • Как хакнуть почту на mail.ru? Меня уже достал один тормаз, я хочу хакнуть. • Ребята помогите хакнуть сайт, негодяй каким-то образом поставил свои ссылки на моей страничке. • Для того, чтоб хакнуть комп, мозги иметь надо. • Простой способ, как хакнуть или модифицировать радиоуправляемые серводвигатели для получения непрерывного вращения.
Впрочем, прежде чем вы продолжите, ознакомьтесь с ещё несколькими статьями на тему сленга Хакеров. Например, что значит Бэкдор, что такое Дюп, как понять слово Крипта, что означает DDOS и т. п.
Итак, продолжим, что значит Хакнуть? Этот термин был заимствован из английского языка » hack«, и переводится, как «взлом», «взломать».
Обычно так говорят, когда сделали что-то незаконное, например получили закрытые сведения, подобрали пароль Вконтакте, проникли в почтовый ящик, и стали мониторить чужие письма и т. д.
Если ты не заткнёшся, я твой мозг хакну!
Есть ли в природе украинские хакеры?
Я жду, когда наконец хакнут новую консоль.
Я хочу хакнуть страничку ВК своей любимой, ревную я её сильно.
Сегодня попытались хакнуть мой сервер, была DDOS атака.
У меня есть хороший лайфхак для этой ситуации.
Значение слова хакнуть
1.однокр. к гл. хакать
Большой современный толковый словарь русского языка
сов. неперех. разг.
1) Однокр. к глаг.: хакать.
2) см. также хакать.
Новый толково-словообразовательный словарь русского языка Ефремовой
хакнуть сов. неперех. разг.
1) Однокр. к глаг.: хакать.
2) см. также хакать.
Толковый словарь Ефремовой
используя хакерские приёмы, технологии, незаконно получить доступ к чужой информации; взломать (сайт, компьютер)
А хакнуть публичный веб-сайт пусть даже могущественной организации — невелика заслуга, и результат обычно не оправдывает риск.
Можно было конечно ее хакнуть через редактор образов и посмотреть, но вряд ли это может быть чем-то интересным.
Но сейчас, когда системы безопасности, монтируемые ушедшими на покой ковбоями, слишком старыми для настоящей работы, но весьма опытными в теоретической ее части, знающими все входы и выходы, становились все круче и круче, и хакнуть что-нибудь по-настоящему ценное стало чрезвычайно сложно.
В тюрьме она и Майкл, сидя в разных камерах, умудрились хакнуть файрвол и наладили переписку. – Здорово поддержал меня.
Говорили, что он способен хакнуть даже новый облик президента, над которым трудились сотня дизайнеров.
Гораздо продуктивнее было бы для такого персонажа найти дыру в программе игры и хакнуть собственные параметры, прежде всего — количество жизней.
хакать
Интересная программка, никак хакаться не хочет!
Если ты действительно решил хакнуть работодателя, даже не думай о том, что заспамишь кучу серваков своим резюме и чинно попивая пивко ляжешь на диванчик ждать предложений. (из журнала «Хакер»)
Смотреть что такое «хакать» в других словарях:
Хакать — несов. неперех. разг. Издавать отрывистые горловые звуки; гакать. Толковый словарь Ефремовой. Т. Ф. Ефремова. 2000 … Современный толковый словарь русского языка Ефремовой
Хакнуть — сов. неперех. разг. 1. однокр. к гл. хакать 2. см. тж. хакать Толковый словарь Ефремовой. Т. Ф. Ефремова. 2000 … Современный толковый словарь русского языка Ефремовой
Хакер — У этого термина существуют и другие значения, см. Хакер (значения). Хакер (англ. hacker, от to hack рубить, кромсать) чрезвычайно квалифицированный ИТ специалист, человек, который понимает самые глубины работы компьютерных систем. Изначально … Википедия
Взломщик (компьютер) — Эмблема хакеров Хакер (от англ. hack) особый тип компьютерных специалистов. Иногда этот термин применяют для обозначения специалистов вообще в том контексте, что они обладают очень детальными знаниями в каких либо вопросах, или имеют достаточно … Википедия
Хакинг — Эмблема хакеров Хакер (от англ. hack) особый тип компьютерных специалистов. Иногда этот термин применяют для обозначения специалистов вообще в том контексте, что они обладают очень детальными знаниями в каких либо вопросах, или имеют достаточно … Википедия
Хэкер — Эмблема хакеров Хакер (от англ. hack) особый тип компьютерных специалистов. Иногда этот термин применяют для обозначения специалистов вообще в том контексте, что они обладают очень детальными знаниями в каких либо вопросах, или имеют достаточно … Википедия
крякать — взламывать программное обеспечение и изменять в нём данные Можно ли крякнуть эту прогу? Syn: хакать … Словарь компьютерного сленга
Хакать
Смотреть что такое «Хакать» в других словарях:
хакать — взламывать (например, сайт) см. тж. хак Какие сайты лучше хакать начинающим? Хакайте все подряд! Интересная программка, никак хакаться не хочет! Если ты действительно решил хакнуть работодателя, даже не думай о том, что заспамишь кучу серваков… … Словарь компьютерного сленга
Хакнуть — сов. неперех. разг. 1. однокр. к гл. хакать 2. см. тж. хакать Толковый словарь Ефремовой. Т. Ф. Ефремова. 2000 … Современный толковый словарь русского языка Ефремовой
Хакер — У этого термина существуют и другие значения, см. Хакер (значения). Хакер (англ. hacker, от to hack рубить, кромсать) чрезвычайно квалифицированный ИТ специалист, человек, который понимает самые глубины работы компьютерных систем. Изначально … Википедия
Взломщик (компьютер) — Эмблема хакеров Хакер (от англ. hack) особый тип компьютерных специалистов. Иногда этот термин применяют для обозначения специалистов вообще в том контексте, что они обладают очень детальными знаниями в каких либо вопросах, или имеют достаточно … Википедия
Хакинг — Эмблема хакеров Хакер (от англ. hack) особый тип компьютерных специалистов. Иногда этот термин применяют для обозначения специалистов вообще в том контексте, что они обладают очень детальными знаниями в каких либо вопросах, или имеют достаточно … Википедия
Хэкер — Эмблема хакеров Хакер (от англ. hack) особый тип компьютерных специалистов. Иногда этот термин применяют для обозначения специалистов вообще в том контексте, что они обладают очень детальными знаниями в каких либо вопросах, или имеют достаточно … Википедия
крякать — взламывать программное обеспечение и изменять в нём данные Можно ли крякнуть эту прогу? Syn: хакать … Словарь компьютерного сленга