Сообщество HackerOne, на котором зарегистрировано более 160 000 хакеров и которое выплатило им уже $23,5 млн за найденные уязвимости, опубликовало отчёт The 2018 Hacker Report. Это крупнейший в истории опрос этичных хакеров, в котором приняло участие 1698 респондентов. Вместе с результатами приведена интересная статистика.

Ключевые результаты:

  • Награды за найденные баги обеспечивают достойную жизнь топовым хакерам. В среднем по всем странам мира разница в «зарплате» топового хакера и средней по медиане зарплатой программиста составляет 2,7 раза, но в разных странах ситуация отличается. Например, в Индии разница достигает 16х, в Аргентине — 15,6х, в Латвии — 5,2х, в США — 2,7х, по России статистики зарплат не нашлось.
  • Деньги не являются самой главной мотивацией этических хакеров, это лишь четвёртая по популярности (13,1%) причина работы взломщиков. Для большего количества хакеров важнее возможность изучения технологий и хитростей работы (14,7%), возможность решать интересные задачи (14%) и получать удовольствие (14%). Хотя ещё в 2016 году деньги были причиной № 1.
  • Индия (23,3%) и США (19,9%) — два мировых лидера по количеству зарегистрированных хакеров. За ними следуют Россия (6,3%), Пакистан (4%) и Великобритания (4%).

  • Почти каждый четвёртый хакер не сообщал компании о найденной уязвимости, потому что компания не предоставила возможности (канала коммуникации), как сообщать об уязвимостях.
  • Почти 58% всех специалистов по взлому — самоучки. Хотя 50% изучали информатику/программирование в университете, а 26,4% — в школе, но всего лишь 5% сказали, что эти занятия дали им хоть какие-то знания, полезные для хакинга. До сих пор информационная безопасность остаётся довольно редкой специальностью в вузах, но в Сети можно найти достаточно бесплатной информации для самообразования, в том числе полноценные учебники по взлому сайтов (учебник Web Hacking 101 раздают пользователям HackerOne бесплатно). Отличный способ самообразования — изучать отчёты о реальных взломах
  • Примерно 37% участников опроса занимаются взломами как хобби в свободное время, но 12% получают минимум $20k в год от программ вознаграждения, а более 3% зарабатывают от $100k в год, чего вполне достаточно для нормальной жизни в любой стране мира. 1,1% зарабатывают более $350k в год — а такую зарплату практически невозможно получить на обычной программистской работе. Четверть хакеров сказали, что вознаграждения составляют для них минимум 50% дохода, а у 13,7% это 90-100% годового дохода.

Интересно посмотреть на распределение денежных потоков по странам. Слева на диаграмме — компании из каких стран выплатили вознаграждение. А справа — жители каких стран его получили.



Как видим, россияне входят в число лидеров и за год заработали $1 296 018.

Типичный хакер — юный одарённый IT-профессионал до 35 лет. Почти половина всех хакеров не достигла ещё и 25 лет. У 75,1% опыт хакерства составляет всего лишь 1-5 лет.

46,7% хакеров работает профессионально по специальности (специалисты по ИБ или программисты), а 25,3% — студенты. Около 13% сказали, что занимаются взломами полный рабочий день, то есть более 40 часов в неделю.

Любопытная статистика по инструментам, которые используют хакеры. Преимущественно сейчас все специализируются на веб-платформе, то есть взломе веб-сайтов и веб-приложений. Так вот, самые популярные инструменты:

  • Burp Suite, интегрированная платформа для выполнения тестов по безопасности веб-приложений, которая входит в комплект хакерской операционки Kali Linux — 29,3%
  • Инструменты собственной разработки — 15,3%
  • Веб-прокси/сканеры — 12,6%
  • Сканеры сетевых уязвимостей — 11,8%
  • Фаззеры — 9,9%
  • Дебаггеры — 9,7%
  • WebInspect — 5,4%
  • Fiddler — 5,3%
  • ChipWhisperer — 0,8%

После веб-сайтов (70,8%) с большим отрывом по хакерскому интересу следуют API (7,5%) и технологии, где хранятся данные самого хакера или где он является пользователем (5%). Операционные системы больше не так популярны как объект для взлома (3,1%), уступая даже Android-приложениям (4,2%).

Любимые векторы атаки — XSS (28,8%), SQL-инъекции (23,1%), фаззинг (5,5%) и брутфорс (4,5%).

Большинство предпочитают работать в одиночку, хотя многие публикуют результаты у себя в блоге, чтобы получить отзывы коллег, и читают их блоги.

Комментарии (24)


  1. reversecode
    18.01.2018 16:57
    +1

    Жаль в той статистике не учитываются барыги, которые скупают уязвимости и перепродают в три дорога
    но по графику как раз видно куда стекается больше всего ;)


    1. PavelMSTU
      19.01.2018 10:49

      Можно пост на хабре об этом?


  1. kafeman
    18.01.2018 16:59
    +20

    Лучшие белые хакеры зарабатывают в 2,7 раза больше средних программистов
    А во сколько раз больше зарабатывают лучшие программисты относительно средних белых хакеров?


    1. saboteur_kiev
      18.01.2018 18:03

      Судя по тому, что в своем большинстве хакеры — молодые люди, то как взрослеют, устраиваются куда-то «лучшим» программистом и спокойно зарабатывает то, что ему нужно.


    1. brickerino
      18.01.2018 18:53

      Вот-вот, сравнение ни о чем.


    1. FyvaOldj
      18.01.2018 19:37
      +2

      Вывод: хакеры плохо зарабатывают.


      Ведь у лучших программистов зарплаты отличаются от средник поболее чем 2.7 раза


    1. lain8dono
      19.01.2018 11:52

      Тут ещё надо отметить, что средние хакеры-взломщики зарабатывают больше лучших.


      1. KvanTTT
        19.01.2018 13:29

        Потому что лучшие хакеры сидят?)


  1. Simplevolk
    18.01.2018 17:38

    Сравнение какое-то странное. Лучшие хирурги зарабатывают лучше средних программистов. А может даже и лучше лучших:)
    Срочно переквалифицироваться в хирурги.


  1. AllexIn
    18.01.2018 17:39

    Как можно сравнивать лучших со средними?
    Ну ОК, лучшие игроки в КС зарабатаывают в 10 раз больше средних программистов.


  1. spmbt
    18.01.2018 17:48

    Сравнение лучших — ютуберов, блогеров, миллиардеров — с остальными — вообще не презентативно. Очень хорошо смотрится в статьях, но практически никогда не достигается другими. Даже больше можно сказать, что 2.7 раза — это очень маленький коэффициент для лучших, что наводит на предположение, что средние на премиях зарабатывают раз в 10 меньше, т.е. это — вообще не средство заработка.

    И заголовок неоднозначный — ничего не сказано о 2 других расах: ).


    1. mikhailidi
      19.01.2018 03:46

      Темные хакеры, и гоблины из пожжердки?


  1. Sammeronfire
    19.01.2018 05:48

    В последнее время много статей о безопасности и хакерах. Уже жду hackeracademy.ru или курс от GeekBrains, не фронтендом единым, так сказать.


  1. bro-dev
    19.01.2018 06:51

    Столько % и нету главных, сколько входит в категорию топовые хакеры от всех в мире, и тоже самое со средними программистами, сколько их в % от всех.


  1. ilyaplot
    19.01.2018 09:24

    Лучшие программисты зарабатывают в n раз больше средних программистов.


  1. MrDaedra
    19.01.2018 09:39

    Как много хакеров из Индии, но почему-то о них почти ничего не слышно. Видимо, хакеры там такие же, как и программисты.


    1. Ernest88
      19.01.2018 12:23

      Я где-то слышал, что богата на хакеров земля эстонская и украинская. Не знаю на сколько это правда.


      1. bisor
        19.01.2018 12:50

        #юмор
        украинские хакеры настолько суровы, что взламали правопордок в своей стране и изгнали президента, а российские наоборот избрали президента в другой ))


  1. bond1768
    19.01.2018 09:48

    Четвертое место это позор, если учесть байку что совковое образование было самое лучшее в мире, и что русские ойтишники самые крутые.


  1. StudyHelp
    19.01.2018 09:48

    Сравнение не очень корректное: сравнивать лучших из одной категории («белые хакеры») и всех из другой («программисты») выглядит как притянутый за уши результат. Если сравнивать лучших хакеров — надо и сравнивать их с лучшими программистами. А то так можно дойти и до сравнения, что «самые высокооплачиваемые уборщицы получают больше среднего программиста», если взять, грубо говоря, 10 самых больших оплат в стране/мире специалистов по клининговым услугам. Это будет правдой, но есть ли польза от такого сравнения?


  1. xpendence
    19.01.2018 12:44

    Ну да, а топовые программисты тоже зарабатывают значительно больше средних по медиане программистов. Странное сравнение.


  1. ATwn
    19.01.2018 23:52

    «средние белые хакеры зарабатывают в 2,7 раза больше лучших программистов» выглядело бы гораздо более убедительно. Та реальность, в которую хочется верить :)


  1. YetAnotherSlava
    20.01.2018 02:05

    >по России статистики зарплат не нашлось.

    Потому что в РФ зарплат не платят.


  1. Anymorficus
    21.01.2018 13:05

    Судя по всему российским компаниям «посрать» на найденные уязвимости.
    1. Они предпочтут посадить, а не заплатить — поэтому их «раздевают» и ломают
    2. Российские компание пользуют не росийский софт и тупо не знают что делать дальше с найденными уязвимостями. Поэтому вся вот эта «ветка исследований» уязвимостей нафик не нужна