Combien gagnent les hackers Black Hat ?

Cet article traite des hackers et non pas de SEO.

Est-ce que les hackers black hat gagnent plus que les hackers white hat ?

Alors que j’étais dans une grande entreprise de logiciels de sécurité, nous avons publié un rapport résumant les résultats d’une étude d’un an visant à quantifier la taille de l’économie souterraine en ce qui concerne les logiciels malveillants, les violations de données et autres.

À bien des égards, c’était comme n’importe quelle autre entreprise dans un marché parvenu à maturité. Il y avait des grossistes, des distributeurs et des détaillants pour des choses comme les outils de génération de logiciels malveillants et les numéros de cartes de crédit, comme pour tout autre type de produit.

Certaines personnes avaient des stocks importants de produits dont on peut soutenir qu’ils étaient périssables, elles devaient faire face à la fraude des acheteurs comme n’importe quelle autre entreprise, et il y avait une concurrence comme sur tout autre marché.

Il y avait certainement quelques personnes qui avaient des stocks de “produits” de plus de 500 000 $ et beaucoup d’autres, beaucoup, beaucoup plus, avec un peu d’argent qu’ils essayaient de monétiser.

Je dirais que dans un grand nombre de ces cas, il semblait qu’ils avaient beaucoup de travail à faire pour préparer le produit (par exemple, diviser un grand nombre de numéros de carte de crédit volés en tranches commercialisables), faire de la publicité auprès de clients potentiels (sur des sites Web obscurs ou autres forums en ligne), tester le produit pour assurer sa viabilité, etc.

Je veux générer des visiteurs en moins de 3 semaines !

Les prix changeaient en fonction de l’offre et de la demande, et les signaux de prix étaient communiqués assez simplement.

Dans l’ensemble, avant même d’envisager les risques de poursuites, elle ressemblait donc beaucoup à n’importe quelle autre petite entreprise.

De nos jours, il y a une zone intermédiaire. Le marché de la recherche sur la vulnérabilité et des ” exploits ” de preuve de concept pour une faille de sécurité autrement inédite ou inconnue a maintenant des entreprises privées, des États-nations et des fournisseurs de produits comme acheteurs ou payeurs de ” primes d’insectes “. Quand les gens les découvrent, vous pouvez voir une vulnérabilité “zero day” et le code d’exploitation associé se vendre à un peu moins de 1 000 000 000 $ si c’est pour une plate-forme pour laquelle il existe une demande.

Des personnes raisonnables peuvent ne pas être d’accord sur la question de savoir si la vente de ce genre d’information ou de code à quelqu’un d’autre que le vendeur du produit défectueux constituerait un travail de “Black Hat” ou de “Grey”. Un chercheur peut passer un an à trouver ce genre de chose, et il n’en fait généralement pas autant, mais cela peut être une bonne façon de gagner sa vie.

Au moins une société a récemment annoncé qu’elle paierait 1 million de dollars pour un exploit fonctionnel pour l’iOS 9 d’Apple, et a annoncé plus tard qu’elle avait payé pour cette offre.

Non. Le crime ne paie pas.

Il y a des exceptions. Ces exceptions sont extrêmement rares et elles ont tendance à recevoir plus de publicité qu’elles ne le méritent. Le piratage black hat est une activité criminelle qui ne paie généralement pas bien.

Le piratage White Hat (c.-à-d. le piratage d’un système afin d’aider le propriétaire du système à trouver et à résoudre le problème) paie bien. Vous pouvez le faire en tant que profession principale ou en tant que freelance ou en tant qu’activité secondaire. Les meilleurs hackers White Hat gagnent remarquablement bien leur vie. Pour vous faire une idée des primes que les entreprises versent aux pirates White Hat pour trouver une vulnérabilité, consultez cette liste en temps réel : https://hackerone.com/hacktivity

J’ai lu quelque part récemment que le Black Hat moyen fait 2200 USD par an. J’ai beaucoup lu, donc je ne trouve pas cet article. Je n’ai aucune idée de comment ils ont trouvé ce numéro. Cela comprend quelques membres de l’élite qui gagnent des centaines de milliers de dollars et les reportages que nous voyons lorsqu’un groupe s’en tire avec des millions de dollars. Cela signifie que beaucoup de gens qui s’identifient comme des chapeaux noirs gagnent beaucoup moins que 2200. Probablement beaucoup plus près de 0. Bien sûr, certains d’entre eux ne sont pas là pour l’argent. Il y a une motivation de protestation, une motivation de notoriété communautaire ou peut-être simplement me prouver à moi-même que je peux le faire.

Ensuite, il y a ceux qui s’identifient comme des hackers qui ne peuvent tout simplement pas pirater. En tant qu’élite des chapeaux blancs, vous commandez plusieurs fois cela pour un seul discours. Vous travaillez comme testeur de stylos pour une entreprise de test de stylos ou dans une institution privée ou publique et vous gagnez bien votre vie.

Dans l’ensemble, je dirais donc non. Définitivement pas.

Je veux générer des visiteurs en moins de 3 semaines !