Кто и почему взламывает


Отчет о хакерах 2018 года от HackerOne дает всестороннее представление о сегодняшних хакерах, раскрывая, кто они и что их мотивирует. Это также показывает, как хакерство заставляет деньги циркулировать.

Основанная в 2012 году хакерами и лидерами в области безопасности, движимыми страстью сделать Интернет более безопасным, HackerOne-это платформа для координации уязвимостей и поиска ошибок, которая соединяет компании с исследователями кибербезопасности. За последние два года число пользователей увеличилось в 10 раз, и теперь это сообщество насчитывает более 166 тысяч зарегистрированных хакеров, определенных в отчете как:

HackerOne опросила более 1700 хакеров, которые успешно сообщили об одной или нескольких действительных уязвимостях безопасности на своей платформе, и ее отчет основан на 1698 респондентах, а также на собственных данных, основанных на более чем 900 коллективных программах поиска ошибок и раскрытия уязвимостей. 

Отмечая, что его сообщество хакеров включает представителей практически из всех стран и территорий на планете, Индия (23%), Соединенные Штаты (20%), Россия (6%), Пакистан (4%) и Великобритания (4%) входят в пятерку лучших стран.

Что касается возраста, то более 90% хакеров bug bounty на HackerOne находятся в возрасте до 35 лет, более 50% — в возрасте до 25 лет и чуть менее 8% — в возрасте до 18 лет: 

Учитывая преобладание молодых хакеров, неудивительно, что более 70% хакеров занимаются хакерством только в течение 5 лет или меньше. 

Из опроса HackerRank более 39 000 разработчиков программного обеспечения, о котором мы сообщали ранее на этой неделе, мы обнаружили, что почти три четверти разработчиков считают себя самоучками. Среди хакеров этот показатель падает до 58%.

Одним из недавних событий, поощряемых HackerOne, является то, что хакерство в настоящее время преподается для получения кредита в университетах высшего уровня, таких как Калифорнийский университет в Беркли, Тафтс и Карнеги-Меллон. Таким образом, в то время как среди более широкого сообщества разработчиков только 70% имели школьное или университетское образование, обучающееся программированию, среди этой элитной группы доля тех, кто посещал формальные классы, выросла до более чем 90%, а 20% изучали компьютерные науки и или программирование на уровне выпускников.

Глядя на часы в неделю, потраченные на взлом:

в сочетании с профессиональными званиями респондентов:

показывает, что большинство хакеров являются инсайдерами в мире разработчиков, но охотниками за ошибками в свободное время.

Комментарии к отчету:

Хакеры ночью, студенты и технические работники днем. Почти половина, 46,7%, хакеров работают полный рабочий день в области информационных технологий (ИТ), разработки программного или аппаратного обеспечения. Более 44% тех, кто работает в ИТ-сфере, специально сосредоточены на безопасности или исследованиях в области безопасности, а 33% — на разработке программного обеспечения. Чуть более 25% хакеров на HackerOne являются студентами, а 13% говорят, что они взламывают полный рабочий день или более 40 часов в неделю. 

Так что же мотивирует взлом? Это вывод опроса:

Комментируя это в докладе говорится:

Деньги остаются главной причиной взлома хакерами bug bounty, но по сравнению с 2016 годом они упали с первого места на четвертое. Прежде всего, хакеры мотивированы возможностью изучить советы и методы, причем “быть брошенным вызовом” и “получать удовольствие” привязаны ко второму. Другие главные причины взлома включают карьерный рост, возможность защищать и защищаться, а также делать добро в мире. В целом, они хотят улучшить и развить свои навыки, весело провести время и внести свой вклад в более безопасный Интернет в этом процессе.

Награды за ошибки действительно играют важную роль в определении целей, которым хакеры решили посвятить свои усилия, причем 23% хакеров выбирают компании для взлома на основе щедрот, которые они предлагают. Это неудивительно, учитывая еще один ключевой вывод доклада:

Лучшие хакеры, базирующиеся в Индии, зарабатывают в 16 раз больше средней зарплаты инженера-программиста. И в среднем самые высокооплачиваемые исследователи получают в 2,7 раза больше средней зарплаты инженера-программиста в своей стране.

В докладе цитируется Трой Хант, австралийский эксперт по веб-безопасности, который делает это замечание:  

Большинство наград за ошибки (обычно) не имеют географических границ, что означает, что рентабельность инвестиций для охотника за ошибками может быть чрезвычайно привлекательной… Подумайте, какова «доходная» составляющая рентабельности инвестиций для тех, кто живет на рынке, где средний доход составляет лишь часть от дохода в странах, в которых базируются многие из этих услуг; это делает щедрость чрезвычайно привлекательной и привлекает именно те глаза, которые вы хотите, глядя на ваши вещи безопасности. Щедроты являются отличным уравнителем с точки зрения предоставления возможностей всем.

Этот график из отчета представляет коллективный отток и приток денежных средств за вознаграждение за ошибки на платформе HackerOne за все время, составив более 23,5 долларов США, и показывает интересное распределение: 


Добавить комментарий