Frage:
Was sind die Karrierewege im Bereich (illegale) Computersicherheit?
rook
2012-09-20 06:54:08 UTC
view on stackexchange narkive permalink

Als Whitehat-Pentester wundere ich mich oft über die dunkle Seite. Ich sehe mich im Büro arbeiten und stelle mir vor, dass es jemanden wie mich in China oder Rumänien oder im Keller seiner Eltern gibt, der genau das Gleiche tut, aber Menschen für Geld oder nur für den "Lulz" verletzt / p>

Ähnlich wie bei dieser großen Frage: " Was sind die Karrierewege im Bereich Computersicherheit?". Wie ist die Jobszene auf der dunklen Seite? Welche verrückten Beschäftigungsmöglichkeiten erwarten den amoralischen Hacker? Haben alle "gemeinsamen Rollen" , die in der Antwort von AviD behandelt werden, ein Gegenstück zur dunklen Seite? Was ist mit den Grauzonen der Computersicherheit? ( Was einige von uns für einen einfachen alten Schwarzhut halten)

Sehr interessante Frage! Ich frage mich oft das Gleiche ...
Kaspersky hat eine gute Übersicht über [Die Geographie der Internetkriminalität] (https://www.securelist.com/de/analysis/204792244/The_geography_of_cybercrime_Western_Europe_and_North_America) und darüber, wie Kriminelle von diesen Unternehmungen profitieren.
Wenn Sie ein Verbrecher sind, würde ich das nicht als Karriere bezeichnen. Sie sind entweder ein besserer Verbrecher als alle anderen oder ein anderer Verbrecher, der für jemand anderen arbeitet. Es gibt keinen Pensionsplan, es gibt nur die Garantie, dass Sie ins Gefängnis gehen, wenn Sie erwischt werden, und die Möglichkeit, erschossen zu werden, wenn Sie Ihren Chef erwischen lassen.
Vergessen Sie nicht Felder wie den hydraulischen Pressenbetreiber (Kennzeichenherstellung).
@Diarmaid Wow, Leute sind * tatsächlich * auf diesen PCeU-Betrug hereingefallen?
Ramhound, Kriminelle haben Karriere.Es kann eine komplexe Infrastruktur mit einem CEO geben, einer Rechtsfront, die Steuern zahlt.Und ja, Sie könnten einen Pensionsplan haben.Sie würden sich nicht unbedingt verstecken, Sie würden nur das Gesetz für Ihren Job brechen.Zum Beispiel ist ein super skizzenhafter SEO-Service, den wir alle kennen, Blackhat, aber niemand hat solide Beweise, der gegen das Gesetz verstößt.Sie sind ein Unternehmen mit einem CEO, der Steuern zahlt, aber es ist immer noch Cyberkriminalität.
Acht antworten:
#1
+35
NlightNFotis
2012-09-21 15:30:29 UTC
view on stackexchange narkive permalink

Meine 2 Cent hier: Obwohl technisch gesehen nicht , haben diese Unternehmen es geschafft, Malware und Exploits ohne zu entwickeln Jeder, der sie abhört, weil er sie an Regierungen, Strafverfolgungsbehörden, Geheimdienste, Organisationen und bei einigen Unternehmen an alle anderen Interessierten verkauft.

Zu diesen Unternehmen gehören:

Weitere Informationen finden Sie: hier.

Vielleicht war es ein VUpen-Mitarbeiter;). Ich stimmte zu, ich fand es hilfreich.
@NlightNFotis Wahrscheinlich nicht; Ich sage nur, wenn es vielleicht * persönlich * war, dann konnte es nicht * so * persönlich sein, weil er nicht einmal einen Kommentar hinterlassen hat. Gewöhnen Sie sich daran, dass Leute aus absurden, unbekannten Gründen abstimmen. Das Abgeben von Abstimmungen kostet Sie Repräsentanten, daher tun Sie dies normalerweise nicht ohne guten Grund. Aber wer weiß. Beachten Sie auch, dass 1 hoch 10 und 1 runter 2 kostet. + 1-1 ist also eine Netto-Wiederholung von +8, obwohl die Punktzahl gleich bleibt. Das sollte dich wenigstens ein bisschen besser fühlen lassen;)
#2
+33
Polynomial
2012-09-20 13:02:21 UTC
view on stackexchange narkive permalink

Ich kann die aktuelle Jobszene nicht kommentieren, aber ich weiß etwas über die Statistik der Internetkriminalität.

In Bezug auf den finanziellen Gewinn sind die Statistiken ziemlich interessant. In Bezug auf den Gewinn sind die drei wichtigsten:

  1. Pay-per-Click-Werbebetrug - war bis vor kurzem nicht so ein Gewinnbringer, Blackhats scheinen sich jedoch stärker auf diese Methode konzentriert zu haben, seit der Spam-Markt gesättigt ist. Es wird geschätzt, dass größere Botnets mit Millionenzahlen bis zu 100.000 US-Dollar pro Tag generieren.
  2. E-Mail-Spam - Immer noch sehr profitabel, ist es aber ein hoch gesättigter Markt. Spam-Botnets müssen riesig sein, um einen lohnenden Gewinn zu erzielen, was sie zu einem Top-Ziel für Whitehats macht. Intelligentere Anti-Spam-Systeme machen es auch sehr schwierig, alltägliche Benutzer anzusprechen (z. B. Hotmail, Google Mail usw.). Es wird geschätzt, dass das BredoLab-Botnetz für den Eigentümer etwa 139.000 USD pro Monat generiert hat.
  3. Kardieren / Überfliegen - Der alte Standard. Während der Aufwand für die Erfassung von Anmeldeinformationen relativ einfach ist, ist es arbeitsintensiver und riskanter, die Karten tatsächlich zu verwenden. Die Auszahlung einer verwendbaren Karte kann jedoch hoch sein - Hunderte oder Tausende von Dollar pro Erfolg.
  4. ol>

    Denken Sie jedoch nicht, dass es nur Sonnenschein, Regenbogen und erstklassige Nutten sind ! Die meisten großen Botnetzbetreiber und Kartenfans werden erwischt, und viele von ihnen gehen ins Gefängnis:

  • Der Autor von BredoLab wurde zu 4 Jahren Gefängnis verurteilt.
  • 3 Personen wurden festgenommen und warten auf die Verurteilung wegen des Mariposa-Botnetzes.
  • Im Rahmen des Vorgehens des FBI gegen den Zeus-Trojaner wurden rund 100 Personen festgenommen und mehrere zu Gefängnisstrafen verurteilt.
  • Das Srizbi-Botnetz verursachte eine Die gesamte Hosting-Firma wurde von der Regierung geschlossen und weitere Verhaftungen vorgenommen.
  • Der Verfasser des Akbot-Botnetzes wurde verhaftet, aber später aufgrund von Problemen mit dem Fall freigelassen. Glückliche Flucht!
  • Jedes Jahr werden Hunderte von Personen wegen Kreditkartenbetrugs verhaftet.
#3
+14
nelaaro
2012-09-21 15:11:43 UTC
view on stackexchange narkive permalink

Eine hier nicht erwähnte Option ist Spionage. Patriotismus oder Unternehmensfinanzierung könnten ein Grund dafür sein, dass Sie in Spionage geraten.

Unternehmen

Als Spionage-Vertragsarbeiter können Sie eine ziemlich hohe Gebühr für die Ausführung einer Reihe verschiedener schwarzer Farben erheben Hut Operationen.

Stehlen, Unternehmensinformationen (Entwurfspläne, Erpressung, Beschädigung von Daten, Diebstahl von Geldern). In dem Dokumentarfilm namens Corporation interviewen sie einen Unternehmensspionageberater.

Regierung

Arbeit im Regierungssektor als Cyber ​​Warfare Officer. Sie würden in Teams arbeiten, um beispielsweise die iranische Uran-Inrichmant -Anlage funktionsunfähig zu machen.

Oder Regierungsdissidenten wie den Google Mail-Hack von 2009 aussortieren. Diebstahl fortschrittlicher Designs und Pläne für militärische Ausrüstung der nächsten Generation (F35 JSF). Der Aurora-Hack

Russischer Hacker von georgischer Regierung als Angreifer identifiziert. http://arstechnica.com/tech-policy/2012/11/how-georgia-doxed-a-russian-hacker-and-why-it-matters/
#4
+7
0xdabbad00
2012-09-30 01:27:36 UTC
view on stackexchange narkive permalink

Wie die Antwort von NlightNFotis gibt es eine Reihe von Unternehmen, die legale Malware für Regierungen schreiben, die Anbieter des ISS World Training sind. Ich habe sie hier dokumentiert: http://0xdabbad00.com/2011/12/10/legal-malware/

+1 für die Zustimmung zu mir: P Und danke für die Liste =)
#5
+6
Eric G
2012-09-20 07:24:57 UTC
view on stackexchange narkive permalink

Ich würde mir vorstellen, dass der größte Teil des Geldes in Ringen der organisierten Kriminalität steckt, die Botnets betreiben, um Malware zu verbreiten. Von dort aus können sie einzelne Bankkunden angreifen, um Geld zu stehlen oder Maultierkonten einzurichten. Sie könnten ihre Botnets auch an andere vermieten, um Computer zu verteilen.

Wahrscheinlich gibt es noch viel Spyware. Vielleicht fügen Sie Ihre Partner-IDs in alle Amazon-Links einer großen Anzahl von Zombies ein, vielleicht stellen Sie ihnen Popups oder gefälschte Antivirensoftware zur Verfügung.

Vielleicht entfernen Sie Unternehmenswebsites durch Erpressung.

Vielleicht erledigen Sie einfach viele automatisierte Aufgaben, die über ein großes Netzwerk Einnahmen generieren, auf Betrug klicken, Suchmaschinenvergiftungen.

Ich habe gelesen Ein ziemlich gutes Buch vor ein paar Jahren mit verschiedenen wissenschaftlichen Artikeln über Cyber-Verbrechen. Wenn ich es oder ein Update-Set finde, komme ich hierher zurück und poste es.

#6
+4
Metahuman
2012-09-20 11:32:38 UTC
view on stackexchange narkive permalink

Zusätzlich zu dem, was Eric gesagt hat, gibt es da draußen ein weiteres Feld, das Geld generiert - das Codieren von benutzerdefinierter Malware. Ein Beispiel ist dieser Typ - Tataye - Autor des berühmten Beast Trojan. Derzeit verkauft er seine Arbeiten für Monnies unter http://www.spytector.com/. Ein anderes Beispiel ist dieser Typ - http://www.nuclearwintercrew.com/Buy-Princeali/

Himmel ist nur die Grenze, wenn Sie wissen, wie man codiert.

Manche Leute verstehen das Geschäft einfach nicht.
Es tut mir leid, dass ich Ihre Frage "whitehat pentester" securityninja nicht leise verstanden habe. Ich würde meine privaten Ergebnisse aus offensichtlichen Gründen lieber an andere Core Labs als das ZDI verkaufen. Aber dann legalisierst du es. Ich würde sie wirklich für mich behalten und dann mein Fernzugriffstool hochladen, um Geld auf Zeus-Weise abzusaugen.
Er verkauft sein beschissenes Werkzeug für 100 Dollar. Ich bin sicher, er macht weniger als ich.
#7
+4
Rory Alsop
2012-09-20 13:38:14 UTC
view on stackexchange narkive permalink

Teilweise anekdotisch - abgesehen von einer Handvoll Ausnahmen scheinen die einzigen großen Gewinner in diesem Geschäft die Banden der organisierten Kriminalität zu sein, die in der Lage sind, qualifizierte Exploit-Autoren, Hacker, Sozialingenieure usw. einzusetzen, um Geldverdiener zu schaffen.

Während einige dieser Exploit-Codierer einigermaßen gut bezahlt werden (zum Beispiel zahlt der Blackhat-Exploit-Markt das 5- bis 10-fache des White-Hat-Marktes), ist es unwahrscheinlich, dass sie mit ihren Einnahmen in den Ruhestand gehen können. Wenn sie sehr erfolgreich sind, können sie Bedrohungen durch das organisierte Verbrechen dazu zwingen, im Geschäft zu bleiben.

Alternativ werden viele Exploit-Autoren tatsächlich sehr wenig bezahlt.

Darüber hinaus werden die Leute des organisierten Verbrechens wahrscheinlich (im übertragenen Sinne) die Malware-Entwickler unter den Bus werfen, wenn die Bullen an die Tür klopfen, um ihre eigenen Ärsche zu retten.
#8
  0
Tracy Reed
2013-05-06 23:46:35 UTC
view on stackexchange narkive permalink

Obwohl es überhaupt nicht um Hacking geht, denke ich, dass das Folgende im Prinzip viel mit dem "unterirdischen" Leben gemein hat und erklärt, warum die überwiegende Mehrheit der Menschen in dieser Szene nicht ihren Lebensunterhalt verdienen kann, geschweige denn ein Vermögen :

http://www.freakonomics.com/books/freakonomics/chapter-excerpts/chapter-3/

Für die vorliegende Frage irrelevant. Drogenhandel und Wirtschaftskriminalität sind ganz unterschiedliche Bereiche.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...