В старом архиве нашел статтью о заработке на хаке... С художественной точки статья очень слабая, но пару вещей есть интересных. Например, о том как начинать заниматься аудитом... Может кому пригодиться, поэтому рискну опубликовать ;)
Второй по популярности в хак-среде вопрос после "Как поламать интернет?" конечно же "Как заработать на взломе?". И на него мы периодически отвечаем в статьях, что пишем для тебя. Сейчас я более детально расскажу о возможностях заработка денег через взлом.
Видов заработка связаного более или менее с хаком очень и очень много, но я не буду рассказывать о каждом. Ведь лучше меньше, но конкретнее, с описанием и конкретными советам. Разберу лишь 5 видов заработка которые, по моему мнению, фундаментальные, которые заключаются в непосредственном взломе.
Заказной взлом
Сразу после прихода в мир хакинга знания очень не систематизированы. Например, знаю как заюзать скулю в стандартной ситуации, но лишь немного условия меняются и сразу сайт становится неломаемым. Да и зачастую очень сложно понять всю иерархию хак-мира, понять что делается и зачем.
Посему на данном этапе я рекомендую заниматься взломами сайтов на заказ. Для этого постоянно читаем раздел "работа" хак-сайтов и при появлении заказа на взлом сайтов, стучи заказчику и соглашайся за работу.
При данной работе я тебе рекомендую активно общатся на хак-форумах, спрашивать и отвечать на вопросы, и тем самым прокачивать понемногу свою карму и репутацию. Ведь когда заказчик просит что-то взломать, зачастую у него очень мало знаний, и он будет каждого оценивать лишь по количеству репутации, и если обратяться много людей, тозаказ как раз уйдет челу со большей репутацией. Следующий ньюанс при работе на заказы, то что нельзя никогда и ни при каких обстоятельствах палить свои реальные данные. Не нужно сегодня отвечать в теме о пойнте какой ты посещал да еще и фотки с пойнта вылаживать, а завтра брать заказ. И это в первую очередь из-за того что заказчик может быть подставным, или не очень-то порядочным, и после взлома потребует все сделать бесплатно, а не то пригрозить сдать тебя милиции.
Работа с гарантом зачастую не нужна, ну исключая лишь случаи когда заказчик этого сам хочет и будет оплачивать. В основном ты гарантируеш сделку своей репутацией, и мож доказать взлом или предоставлением части сайта или скриншотами. Хочу предупредить тебя, что бы не брал заказы на маленькую цену, ведь это со строны заказчика неуважение к тем знаниям что есть у тебя.
Подведем итоги:
Плюсы:
- легко получить заказ;
- опыт взломов;
- понимание причин почему нужно взламать конкретный сайт, и что с него получить;
- возможность найти постоянных заказчиков.
Минусы:
- нужна репутация;
- полная анонимность;
- противозаконность;
- не постоянство.
Цены за взлом среди людей что публикуют на сайтах в среднем от 300 до 700 у.е. При сумах побольше чаще всего работают с постоянными людьми, а не ищут на форумах.
Вольный взлом
Если у тебя есть полное представления что нужно ламать, то ты можеш переходить на этот этап. В нем ты просто лазиш по инету, или юзаеш Гугл, да и находиш сайт, что выгодно было бы взламать - большой job-портал, сайт знакмств, казино, магазин и т.д.
Найти же челокека, кто купить результаты твоего хака, достаточно легко. Ведь ты уже наверно достаточно общался на форуме, и знаеш кто занимается датингом, кто казино, кто картоном.
В этом варианте заработка неважна репутация, ты стучиш с только-что зареганого 9-ти знака и договариваешся о цене, дальше после продажи туже аську можно удалить. Этот вариант работы более надежный со строны безопасности.
Подведем итоги:
Плюсы:
- постоянство;
- не нужна репутация;
- повышенная безопасность;
- заработок полностью от тебя зависит.
Минусы:
- противозаконность.
Цены за дампы иль за пароль к сайтов в среднем от 300у.е. до 2000у.е.
Корпоративный взлом
Сразу хочу предупредить, что этот вариант зарабатывания чрезвычайно опасный и сложный. Для него нужно очень хорошо ориентироваться не только в хаке, но и быть професионалом в той отрасли, где работает фирма на которую направлен взлом. Итак, этот вариант заработка заключается в том что ты получаеш доступ к конфиденциальной информации больших фирм и потом эту информацию используеш. Начало этой деятельности может быть 2-х видов. Первая, это когда ищеш конкурентов в какой-то серьйозной области, а потом предлагаеш одной из фирм достать за деньги информацию о другой фирме. При этом данный вариант проще, потому что искать тебе скажут, да также ты будеш знать что ее точно продаш и за сколько денег. Но договориться об этом достаточно сложно и нужно учитывать много факторов, в том числе и менталитет. Если заказчикик из exUSSR, то договориться о таком нелегальной фишке не сложно, но в то же время все серьезные дяди иль кум иль сват, иль еще кто-то родственник, поэтому сложнее найти действительно конкурентов. В странах Европы и Америки все конкуренты, но там люди не очень легко идут на такие незаконные действия. Но сложно не означает - не реально. Немного психологии и все можно порешать.
Второй вариант работы, это то что ты сам ищеш фирму, проникаеш, достаеш информацию, а потом уже думаеш как ее использовать... А вариантов тут много, от банального правильного влияния на акции, до шантажа.
Может ты считаеш, что это все лишь теория, и на практике взламать большую фирму сложно, тогда для примера приведу маленький сценария действий.
Сначала собираем полнейшую информацию о фирме и о всех сотрудниках, то есть кто и где работате, в каком отделе и чем занимается. Это все достается через Гугл, блоги работников и конечно же через социальные сети, где можно и прочитать много, и создать хорошую анкетку чтобы познакомится с людьми, влиться в доверия, стать друзьями.
Дальше нужно получить доступ к внутренней сети, для этого пишем свой троянчик, и подсовываем через те же социальный сети своему "другу" из той конторы. Офисный планктон всегда чрезвычайно доверчив. После этого этапа мы можем расширить информацию о фирме из внутрених источников, можем лазить по файлах на компе и расшаренных в сети и моного еще разного. Следующий шаг, эта росширить свое влияние через ту же социальрную инженерию и трояны на важные компьютеры, такие как бухгалтерские и компы начальников. Да и на этом можно считать взлом защищен, потому что найденной таким образом информации зачастую более чем достаточно.
В итоге мы имеем:
Плюс:
- огромные деньги.
Минусы:
- чрезвычайно опасно;
- нужны знания не только в хаке;
- противозаконность.
Заработок тут исчисляется сотнями тысяц доларов.
Аудит безопасности
На последок я припрятал средний по деньгам способ, но самый безопасный. Проводить аудит безопасности достаточно легко, наверно даже проще чем взламывать. Нужно лишь знать где искать заказчиков, и как правильно подавать информацию.
Заказчиков можно искать или среди больших фирм, или среди маленьких, и от этого выбора многое зависит. Но для одиночек второй вариант не очень то подходит, поэтому и расскажу лишь о сотрудничеству с небольшими фирмами. Искать фирмы нужно показывая свои знания и пользу им. Для этого через Гугл ищем веб-студии и сразу же переходим на страницу портфолио. Дальше ищем уязвимости и сообщаем им об этом, приэтом не нужно говорить что-то о деньгах, пусть это будет подарок. Но внизу нужно лишь в подписи указать такое:
"С уважением, специалист веб-безопасности Пупкин."
Если им действительно нужне аудит, то они обратятся к тебе.
Второй важный момент при проведении аудитов, это правильное деловое общения. Нужно быть серьезным, никаких "привет", "скуля", "бага" и т.д., писать нужно красиво отчеты, к примеру так:
Уважаемый ИИ. На ваш запрос было произведена проверка безопасности такого-то сайта. В результате были найдены следущие ошибки безопасности: Параметр id в новосном скрипте не фильтруется, в результате чего возможна критическая ошибка вида sql-injection.
Пример применения: ...
Методы устранения: привести значения id к целочисленому виду.
В аудите главное постоянные заказчики, а для этого нужно не брать очень большие деньги за аудит, и делать его качественно и ответсвенно. Уважительно относись к заказчику и к его программистам. Если все будет так, то через несколько месяцев у тебя не будет ни дня без заказа.
И в результате минусов здесь нету, а плюсы:
- постоянный доход;
- законная работа.
...
Конечно же все здесь рассказал лишь для ознакомительных целей, что бы представлял все возможности. Но я не рекомендую ничем заниматься кроме аудита. Знания не бывают плохими или хорошими, все зависит от того как ты их будеш применять.
