За даними HackerOne, у 2020 році дохід найуспішніших «білих» хакерів досяг $1 млн, а сумарно вони заробили понад $100 млн на баг-хантингу. Етичні «зламувачі» мислять, як злочинці, але водночас не порушують закон. Зібрали 7 курсів, які допоможуть перейти на світлий бік хакінгу.
Етичний хакер (white hat hacker, білий хакер), на відміну від «чорного» хакера, атакує та зламує системи лише за запитом і з дозволу компаній-власників, зацікавлених у перевірці безпеки. Великі компанії, наприклад Twitter і Telegram, регулярно проводять bug bounty — полювання на вразливості. Завдання етичного хакінгу — виявити слабкі місця застосунків, програмного забезпечення, мереж та інфраструктури загалом, якими можуть скористатися «чорні» хакери.
У методах злому добре орієнтуються фахівці з інформаційної безпеки, але їхня робота не обмежується лише пошуком вразливостей. В етичних хакерів, навпаки, вужчий фокус — деякі займаються лише певними видами злому та доводять до досконалості одну конкретну методику.
Один з інструментів хакінгу — це пентестинг (penetration testing, або пентест), тобто санкціонований злам системи замовника для визначення її реальних чи потенційних вразливостей. Тому до категорії етичних хакерів можна віднести й пентестерів (у деяких випадках це синоніми однієї професії).
Попит на white hat хакерів зростає з кожним роком — ризики від злому зростають одночасно з масштабом ІТ-систем, тому компанії все більше вкладаються в безпеку. За даними HackerOne, у 2013 році етичні «зламувачі» заробили $30 000, а у 2020 — уже $5,9 млн.
Заробляти етичним хакінгом на фрилансі вийде не відразу. Хоча в інтернеті чимало історій про 12-річних зламувачів, на досягнення Middle-рівня знадобиться не менш як рік, якщо займатися інтенсивно. А для перемоги у великих баг-баунті-конкурсах доведеться зрости до Senior-рівня. У будь-якому випадку, почати можна з онлайн-курсів — вони допоможуть швидко розібратися в темі та зрозуміти, з чого складається робота етичного хакера.
Курс складається зі 135 відеолекцій, які розбирають усі аспекти етичного хакінгу, у тому числі понад 30 інструментів, як-от Metasploit, Aircrack-ng і SQLmap. На заняттях ви дізнаєтеся, як зламувати та захищати системи різного формату та масштабу — від окремих застосунків до великих мереж, а також навчитеся працювати з Linux і використовувати різні прийоми пентестингу. Крім того, курс допоможе виявляти різні типи вразливостей і шифрувати трафік.
Кожен модуль супроводжується докладними практичними прикладами й інструкціями. Автор курсу — практик-пентестер і засновник власної фірми у сфері кібербезпеки, який понад 10 років займається хакінгом.
Хоча курс регулярно оновлюється, деякі моменти вже не такі актуальні — так, деякі наведені в прикладах вразливості вже були усунені компаніями.
Тривалість: 15,5 годин відео.
Рейтинг: 4,6.
Вартість: $109,99 без урахування знижок.
Курс, розроблений Hackers Academy, пропонує всього за 5 годин опанувати основні принципи етичного хакінгу, а також вчить шукати вразливості різними методами — вручну, автоматично та напівавтоматично. Ви навчитеся працювати з Kali Linux, вивчите нюанси TCP і HTTP, навчитеся шукати та виявляти вразливості, у тому числі створювати backdoors для віддаленого доступу. Як відзначають у відгуках, курс відмінно підійде для початківців, які ніколи раніше не цікавилися хакінгом, але хочуть швидко сформувати уявлення про методи та технології.
Тривалість: 5 годин.
Рейтинг: 4,7.
Вартість: $89,99 без урахування знижок.
Оптимальний варіант для тих, хто не планує стати хакером, але хоче вбезпечити свої персональні дані та захистити девайси від злому. Автор курсу Брайсон Пейн досліджує кібербезпеку та виступає з лекціями на TEDx, тому він знає, як простою мовою пояснити складну тему.
На заняттях ви навчитеся знаходити вразливості в системі безпеки, використовуючи техніки «чорних» хакерів, та усувати їх. Знатимете, як убезпечити свій ПК, мережу, інформацію, уникнути фішингу, вірусів та онлайн-шахрайства, а також дізнаєтеся, як віддалено зламують автомобілі.
Тривалість: 11 годин відео.
Рейтинг: 4,8.
Вартість: $49,99 без урахування знижок.
Звучить не дуже законослухняно, але насправді безплатний курс від HackerOne присвячений не «чорному» злому, а баг-хантінгу. Курс розроблений найбільшою спільнотою етичних хакерів, тому ви не тільки опануєте принципи злому, але також зможете приєднатися до ком’юніті на Discord і поставити запитання фахівцям. Ще одна приваблива особливість програми — практика в Capture the Flag (CTF) та участь у реальних хакерських змаганнях.
Курс підійде як практикам-хакерам, так і розробникам, які хотіли б усунути вразливість власних програм і систем.
Тривалість: визначаєте самі.
Вартість: безоплатно.
Вступний курс від IBM розглядає основні етапи проведення пентесту, у тому числі збирання даних і вибір відповідних інструментів. Водночас ви навчитеся не тільки знаходити погрози, а й грамотно документувати знахідки — це корисна навичка для штатного пентестера.
Курс входить до складу кількох спеціалізацій і професійних сертифікацій від IBM, тож за бажанням можна розширити свої знання та здобути сертифікат фахівця з кібербезпеки.
Тривалість: приблизно 17 години.
Рейтинг: 4,6.
Вартість: $50 на місяць. Є безоплатний пробний період.
Ґрунтовна програма від Мерилендського університету в Коледж-Парку допоможе вивчити основні галузі кібербезпеки, починаючи від криптографії та закінчуючи захистом апаратних засобів. Цей курс розрахований на практиків-програмістів, тому вам знадобляться знання мов програмування (в ідеалі C/C++ або Java) та досвід роботи з алгоритмами.
Спеціалізація включає п’ять курсів (включно з дипломним практичним проєктом), які включають як фундаментальну теорію, так і практичні вправи.
Тривалість: приблизно 8 місяців.
Рейтинг: 4,5.
Вартість: $50 на місяць. Є безоплатний пробний період.
Експрес-курс, який допоможе опанувати роботу з утилітою Nmap для сканування IP-мереж. Для навчання на ньому немає обмежень, але слухачам знадобиться базове розуміння роботи ОС, мереж і моделі TCP/IP.
Автор курсу, Натан Хаус, сертифікований спеціаліст з інформаційної безпеки та засновник компанії Station X, понад 20 років працює у сфері та добре розуміється на трендах і технологіях.
На заняттях ви послідовно вивчаєте принципи роботи з Nmap, а паралельно досліджуєте, як утиліту використовують «чорні» хакери. До кінця навчання ви отримаєте практичні навички роботи з Nmap: навчитеся сканувати мережі, знаходити в них вразливості та захищати дані від злому.
Тривалість: 4,5 години.
Рейтинг: 4,4.
Вартість: $89,99 без урахування знижок.
