Интервью с БЕЛЫМ ХАКЕРОМ / БЕЛЫЙ ХАКИНГ/ Заработок на BUG BOUNTY / Cybercryme / Ситхи и МИСТЕР РОБОТ

YOUTUBE · 30.11.2025 09:25

Ключевые темы и таймкоды

Введение в белый хакинг

0:00

Егор Богомолов, специалист по анализу защищенности, рассказывает о белом хакинге.
Белый хакинг отличается от черного хакинга и серого хакинга.
Белый хакер не имеет отношения к злоумышленникам и занимается повышением уровня защищенности.

Серый хакинг и вымогательство

1:22

Серый хакер может заниматься как наступательной безопасностью, так и сомнительными проектами.
Серый хакер может вымогать деньги за найденные уязвимости, что является вымогательством.
Начинающие хакеры часто не понимают последствий своих действий.

Примеры из практики

2:22

Пример с взломом сайта пиццерии и попыткой получить баунти.
Эксплуатация уязвимостей может привести к расследованию инцидента.
Компании, такие как Amazon, могут затягивать процесс выдачи баунти.

Мотивация белых хакеров

4:07

Основная мотивация белых хакеров — любопытство и интерес.
Белые хакеры занимаются хакингом ради пользы и ценности.
Они могут зарабатывать деньги, но это не основная цель.

Кардеры и их роль

5:07

Кардеры — это злоумышленники, работающие с банковскими картами.
Они могут подделывать карты и использовать данные для кражи денег.
Кардеры не различают, кому принадлежат украденные карты, что делает их деятельность презренной.

Легальность белого хакинга

6:07

Белый хакинг - это легальная услуга, предоставляемая по договору.
Цель работы - сделать систему более защищенной, не нанося вреда.
Договор о неразглашении гарантирует, что данные не будут разглашены.

Комьюнити белых хакеров

7:07

В России около 200-300 белых хакеров, работающих по найму.
Большинство общения происходит в Telegram.
Существуют хакерские форумы, но они менее активны.

Вербовка на темную сторону

7:59

Белые хакеры могут получать предложения о работе на темной стороне.
На конференциях и в чатах могут предлагать работу, но это часто оказывается серой деятельностью.
Важно аккуратно отказываться от таких предложений.

Пинтестинг

9:59

Пинтестинг - это тестирование на проникновение, демонстрирующее возможность компрометации системы.
Цель - найти уязвимости и устранить их, чтобы повысить защищенность системы.
Пинтестинг помогает выявить и устранить слабые места в системе.

Популярность пинтестинга

12:44

Пинтестинг становится все более популярным, особенно среди компаний.
Знания о пинтестинге стали более доступными и востребованными.
Рост рынка информационной безопасности объясняется осознанием важности защиты после взлома.

Введение в пентестинг

14:44

Пентестинг начинается с осознания уязвимостей в системе.
Для успешного пентестинга требуется технический бэкграунд.
Важно понимать, как работает система, чтобы найти её слабые места.

Развитие в пентестинге

15:40

Пентестинг требует постоянного обучения и развития.
Важно не стремиться быть первым, а наслаждаться процессом.
Участие в турнирах помогает развиваться и получать выгоду.

Удовольствие от пентестинга

16:40

Пентестинг приносит удовлетворение и дофамин.
Сравнение с играми на PlayStation: ощущение успеха и удовлетворения.
Возможность почувствовать себя гением и способным на всё.

Пример успешного пентестинга

18:40

Пример успешного тестирования криптобиржи.
Возможность получить полный контроль над 500 биткоинами.
Вопрос мотивации оставаться на белой стороне.

Мотивация и уважение

19:40

Важность внутренней мотивации и уважения.
Пентестинг приносит уважение и доверие.
Возможность зарабатывать хорошие деньги и помогать людям.

Работа в пентестинге

21:40

Основной род деятельности: специалист по защищенности.
Работа в команде из трёх человек.
Возможность нанимать дополнительных специалистов.

Услуги и обучение

22:40

Услуги по анализу защищенности и консалтингу.
Обучение и помощь в расследовании инцидентов.
Важность окружения и общения для быстрого роста.

Рекомендации по обучению

23:34

Важность выбора школы с опытными преподавателями.
Возможность быстрого роста через общение и окружение.
Обучение для понимания процессов и техники пентестинга.

Школы и обучение

25:34

Школы предоставляют возможность быстрого погружения в обучение.
Важно, кто присутствует в школе, а не только наличие лабораторных стендов.
Рекомендуется использовать реальные машины для обучения веб-взлому.

Зарплаты в пентестинге

26:34

Пентестеры могут зарабатывать от 60 тысяч рублей в Москве.
Важно оценивать потенциал и знания кандидата.
Фундамент знаний включает проблематику информационной безопасности и работу сетей.

Карьера в пентестинге

28:34

Мидл-пентестеры могут зарабатывать от 120 тысяч рублей.
Сеньоры имеют больший опыт и специализируются в определенных направлениях.
Важны софт-скилы и умение давать ценность бизнесу.

Программы бак баунти

32:25

Программы бак баунти предлагают вознаграждение за обнаруженные уязвимости.
Компании выкладывают предложения о вознаграждениях за найденные уязвимости.
Программы могут быть непредсказуемыми, и не стоит ориентироваться на деньги ради денег.

Зарплаты за рубежом

35:25

За рубежом пентестеры могут зарабатывать до 350 евро в час.
Важно учитывать расходы на жизнь и налоги.
Истории о заработках на бак баунти могут быть интересными, но не стоит ориентироваться только на деньги.

Возможности заработка в пентесте

36:25

Заработок в пентесте возможен, но требует времени и терпения.
Успех зависит от готовности тратить время на поиск уязвимостей.
Многие разработчики увлекаются пентестом как хобби.

Различия между пентестом и багбаунти

37:25

Пентест требует больше усилий и времени, но и вознаграждение выше.
В багбаунти нет строгих сроков, и вознаграждение зависит от сложности уязвимости.
В багбаунти можно использовать одну технику для поиска уязвимостей.

Риски и ошибки в багбаунти

41:20

В багбаунти важно тщательно изучать цели и не выходить за рамки скоупа.
Ошибки могут привести к штрафам и снижению рейтинга.
В пентесте больше ответственности за найденные уязвимости.

Разочарования в багбаунти

44:20

В багбаунти много разочарований из-за дубликатов и нерелевантных уязвимостей.
Некоторые уязвимости могут быть найдены другими исследователями.
Это может привести к снижению мотивации и разочарованию.

Черные хакеры

46:17

Черные хакеры — это специалисты, которые ищут уязвимости для получения финансовой выгоды.
Они могут использовать различные методы, включая социальную инженерию и фишинг.
Важно понимать риски и последствия их действий.

Хакеры и их методы

47:17

Хакеры используют различные методы для заработка, включая вымогательство и шифровальщики.
Русские хакеры часто упоминаются в новостях, но это не всегда подтверждено.
Белые хакеры стремятся помочь компаниям, находя уязвимости и предоставляя услуги.

Вымогательство и конкурентная разведка

48:17

Вымогательство через шифровальщики остается популярным методом.
Конкурентная разведка включает кражу конфиденциальных данных для продажи.
Взлом криптобирж также является популярным направлением.

Проблемы защиты криптобирж

49:17

Криптобиржи слабо защищены в большинстве стран, что делает их уязвимыми.
В России и других странах с низкой правовой защитой криптобиржи часто остаются безнаказанными.
Белые хакеры находят уязвимости для их устранения, а черные хакеры используют их для вымогательства.

Опасные атаки на людей

50:17

Самые опасные атаки связаны с номерами телефонов и сим-картами.
Кража сим-карты позволяет получить доступ к аккаунтам и данным.
Сим-свип позволяет перевыпустить сим-карту с чужим номером, что делает невозможным восстановление данных.

Кража личности и её последствия

53:17

Кража личности позволяет использовать украденные данные для регистрации аккаунтов и получения кредитов.
Микрокредитные организации могут использовать украденные данные для обмана жертв.
Ловля хакеров, особенно тех, кто использует VPN и прокси, крайне сложна.

Сложности расследования

55:11

Злоумышленники используют VPN и прокси для скрытия следов.
Трафик может проходить через несколько узлов в разных странах, что затрудняет отслеживание.
Профессиональные хакеры покупают услуги провайдеров в даркнете, что усложняет их арест.

Анонимность в интернете

58:11

В России был прецедент с математиком Дмитрием Богатовым, который использовал Tor для анонимного выхода в интернет.
Tor обеспечивает анонимность до определенного уровня, но не полную.
Богатов поддерживал работу выходной ноды на своем компьютере, что позволило злоумышленнику выйти в интернет через его устройство.

Хопы в Tor

1:00:11

В Tor обычно используются три хопа: входной, внутренний и выходной узлы.
Входной узел смешивает трафик, чтобы нельзя было связать его с выходным узлом.
Внутренний узел также смешивает трафик, но позволяет видеть запросы и объем трафика.

Денонимизация и государственные исследования

1:01:09

Государственные структуры проводят исследования по денонимизации, но это сложно и требует много ресурсов.
Некоторые случаи, как кража миллиона долларов, могут быть не поддающимися расшифровке.
Если хотя бы один узел выходит за рубеж, денонимизация становится невозможной.

Личная безопасность и кибербезопасность

1:02:07

Автор не планирует заниматься кибербезопасностью, так как это несовместимо с открытой жизнью.
Он предпочитает делиться знаниями и работать в сфере образования.
Кибербезопасность может привести к серьезным последствиям, включая депортацию и тюремное заключение.

Антивирусы и менеджеры паролей

1:05:07

Антивирусы помогают не продвинутым пользователям, но могут мешать продвинутым.
Встроенные антивирусы в Windows и macOS развиваются и защищают от вирусов.
Менеджеры паролей обязательны для защиты, так как пользователи часто повторяют пароли.

Взлом аккаунтов и социальная инженерия

1:07:07

Взлом аккаунтов в социальных сетях, таких как ВКонтакте, чаще всего осуществляется через социальную инженерию.
Взлом почты также часто связан с социальной инженерией.
Второй фактор аутентификации может помешать, но это зависит от алгоритма и случайности.

Подслушивание и установка приложений

1:08:07

Подслушивание разговоров по телефону возможно через социальную инженерию и установку приложений.
Это сложнее, но возможно, особенно если телефон разблокирован.
Приложения могут записывать разговоры и трафик, что позволяет злоумышленникам получать доступ к информации.

Взлом телефонов

1:09:00

Обсуждение возможности взлома телефонов через Wi-Fi.
Упоминание о уязвимостях в Android и iOS.
Сравнение безопасности Android и iOS.

Инструменты для взлома

1:10:00

Использование устройств для взлома, таких как Gray Cube.
Влияние железа и операционной системы на уязвимость.
Сложность подготовки эксплойтов для Android.

Законность и сотрудничество

1:12:00

Законность компаний, выпускающих инструменты для взлома.
Сотрудничество с государственными и коммерческими компаниями.
Примеры компаний, занимающихся взломом.

Сериал "Мистер Робот"

1:13:00

Впечатления от сериала и его реалистичность.
Критика за неправдоподобные сцены.
Рекомендации для тех, кто интересуется хакингом.

Советы для начинающих

1:14:00

Рекомендации по началу карьеры в хакинге.
Важность фундаментального изучения систем.
Советы по работе с программированием и сетями.

Лучшая ИТ-компания России

1:15:00

Субъективное мнение о компании Яндекс.
Достижения Яндекса в области сервисов и технологий.
Примеры успешных проектов Яндекса.

Конкурс и призы

1:16:54

Описание конкурса и призов.
Условия участия и требования к историям.
Призы для подписчиков канала.