Сообщество HackerOne, на котором зарегистрировано более 160 000 хакеров и которое выплатило им уже $23,5 млн за найденные уязвимости, опубликовало отчёт The 2018 Hacker Report. Это крупнейший в истории опрос этичных хакеров, в котором приняло участие 1698 респондентов. Вместе с результатами приведена интересная статистика.Ключевые результаты:
- Награды за найденные баги обеспечивают достойную жизнь топовым хакерам. В среднем по всем странам мира разница в «зарплате» топового хакера и средней по медиане зарплатой программиста составляет 2,7 раза, но в разных странах ситуация отличается. Например, в Индии разница достигает 16х, в Аргентине — 15,6х, в Латвии — 5,2х, в США — 2,7х, по России статистики зарплат не нашлось.
- Деньги не являются самой главной мотивацией этических хакеров, это лишь четвёртая по популярности (13,1%) причина работы взломщиков. Для большего количества хакеров важнее возможность изучения технологий и хитростей работы (14,7%), возможность решать интересные задачи (14%) и получать удовольствие (14%). Хотя ещё в 2016 году деньги были причиной № 1.
- Индия (23,3%) и США (19,9%) — два мировых лидера по количеству зарегистрированных хакеров. За ними следуют Россия (6,3%), Пакистан (4%) и Великобритания (4%).
- Почти каждый четвёртый хакер не сообщал компании о найденной уязвимости, потому что компания не предоставила возможности (канала коммуникации), как сообщать об уязвимостях.
- Почти 58% всех специалистов по взлому — самоучки. Хотя 50% изучали информатику/программирование в университете, а 26,4% — в школе, но всего лишь 5% сказали, что эти занятия дали им хоть какие-то знания, полезные для хакинга. До сих пор информационная безопасность остаётся довольно редкой специальностью в вузах, но в Сети можно найти достаточно бесплатной информации для самообразования, в том числе полноценные учебники по взлому сайтов (учебник Web Hacking 101 раздают пользователям HackerOne бесплатно). Отличный способ самообразования — изучать отчёты о реальных взломах
- Примерно 37% участников опроса занимаются взломами как хобби в свободное время, но 12% получают минимум $20k в год от программ вознаграждения, а более 3% зарабатывают от $100k в год, чего вполне достаточно для нормальной жизни в любой стране мира. 1,1% зарабатывают более $350k в год — а такую зарплату практически невозможно получить на обычной программистской работе. Четверть хакеров сказали, что вознаграждения составляют для них минимум 50% дохода, а у 13,7% это 90-100% годового дохода.
Интересно посмотреть на распределение денежных потоков по странам. Слева на диаграмме — компании из каких стран выплатили вознаграждение. А справа — жители каких стран его получили.
Как видим, россияне входят в число лидеров и за год заработали $1 296 018.
Типичный хакер — юный одарённый IT-профессионал до 35 лет. Почти половина всех хакеров не достигла ещё и 25 лет. У 75,1% опыт хакерства составляет всего лишь 1-5 лет.
46,7% хакеров работает профессионально по специальности (специалисты по ИБ или программисты), а 25,3% — студенты. Около 13% сказали, что занимаются взломами полный рабочий день, то есть более 40 часов в неделю.
Любопытная статистика по инструментам, которые используют хакеры. Преимущественно сейчас все специализируются на веб-платформе, то есть взломе веб-сайтов и веб-приложений. Так вот, самые популярные инструменты:
- Burp Suite, интегрированная платформа для выполнения тестов по безопасности веб-приложений, которая входит в комплект хакерской операционки Kali Linux — 29,3%
- Инструменты собственной разработки — 15,3%
- Веб-прокси/сканеры — 12,6%
- Сканеры сетевых уязвимостей — 11,8%
- Фаззеры — 9,9%
- Дебаггеры — 9,7%
- WebInspect — 5,4%
- Fiddler — 5,3%
- ChipWhisperer — 0,8%
После веб-сайтов (70,8%) с большим отрывом по хакерскому интересу следуют API (7,5%) и технологии, где хранятся данные самого хакера или где он является пользователем (5%). Операционные системы больше не так популярны как объект для взлома (3,1%), уступая даже Android-приложениям (4,2%).
Любимые векторы атаки — XSS (28,8%), SQL-инъекции (23,1%), фаззинг (5,5%) и брутфорс (4,5%).
Большинство предпочитают работать в одиночку, хотя многие публикуют результаты у себя в блоге, чтобы получить отзывы коллег, и читают их блоги.
Комментарии (24)
kafeman
18.01.2018 16:59+20Лучшие белые хакеры зарабатывают в 2,7 раза больше средних программистов
А во сколько раз больше зарабатывают лучшие программисты относительно средних белых хакеров?
saboteur_kiev
18.01.2018 18:03Судя по тому, что в своем большинстве хакеры — молодые люди, то как взрослеют, устраиваются куда-то «лучшим» программистом и спокойно зарабатывает то, что ему нужно.
FyvaOldj
18.01.2018 19:37+2Вывод: хакеры плохо зарабатывают.
Ведь у лучших программистов зарплаты отличаются от средник поболее чем 2.7 раза
Simplevolk
18.01.2018 17:38Сравнение какое-то странное. Лучшие хирурги зарабатывают лучше средних программистов. А может даже и лучше лучших:)
Срочно переквалифицироваться в хирурги.
AllexIn
18.01.2018 17:39Как можно сравнивать лучших со средними?
Ну ОК, лучшие игроки в КС зарабатаывают в 10 раз больше средних программистов.
spmbt
18.01.2018 17:48Сравнение лучших — ютуберов, блогеров, миллиардеров — с остальными — вообще не презентативно. Очень хорошо смотрится в статьях, но практически никогда не достигается другими. Даже больше можно сказать, что 2.7 раза — это очень маленький коэффициент для лучших, что наводит на предположение, что средние на премиях зарабатывают раз в 10 меньше, т.е. это — вообще не средство заработка.
И заголовок неоднозначный — ничего не сказано о 2 других расах: ).
Sammeronfire
19.01.2018 05:48В последнее время много статей о безопасности и хакерах. Уже жду hackeracademy.ru или курс от GeekBrains, не фронтендом единым, так сказать.
bro-dev
19.01.2018 06:51Столько % и нету главных, сколько входит в категорию топовые хакеры от всех в мире, и тоже самое со средними программистами, сколько их в % от всех.
MrDaedra
19.01.2018 09:39Как много хакеров из Индии, но почему-то о них почти ничего не слышно. Видимо, хакеры там такие же, как и программисты.
Ernest88
19.01.2018 12:23Я где-то слышал, что богата на хакеров земля эстонская и украинская. Не знаю на сколько это правда.
bisor
19.01.2018 12:50#юмор
украинские хакеры настолько суровы, что взламали правопордок в своей стране и изгнали президента, а российские наоборот избрали президента в другой ))
bond1768
19.01.2018 09:48Четвертое место это позор, если учесть байку что совковое образование было самое лучшее в мире, и что русские ойтишники самые крутые.
StudyHelp
19.01.2018 09:48Сравнение не очень корректное: сравнивать лучших из одной категории («белые хакеры») и всех из другой («программисты») выглядит как притянутый за уши результат. Если сравнивать лучших хакеров — надо и сравнивать их с лучшими программистами. А то так можно дойти и до сравнения, что «самые высокооплачиваемые уборщицы получают больше среднего программиста», если взять, грубо говоря, 10 самых больших оплат в стране/мире специалистов по клининговым услугам. Это будет правдой, но есть ли польза от такого сравнения?
xpendence
19.01.2018 12:44Ну да, а топовые программисты тоже зарабатывают значительно больше средних по медиане программистов. Странное сравнение.
ATwn
19.01.2018 23:52«средние белые хакеры зарабатывают в 2,7 раза больше лучших программистов» выглядело бы гораздо более убедительно. Та реальность, в которую хочется верить :)
YetAnotherSlava
20.01.2018 02:05>по России статистики зарплат не нашлось.
Потому что в РФ зарплат не платят.
Anymorficus
21.01.2018 13:05Судя по всему российским компаниям «посрать» на найденные уязвимости.
1. Они предпочтут посадить, а не заплатить — поэтому их «раздевают» и ломают
2. Российские компание пользуют не росийский софт и тупо не знают что делать дальше с найденными уязвимостями. Поэтому вся вот эта «ветка исследований» уязвимостей нафик не нужна
reversecode
Жаль в той статистике не учитываются барыги, которые скупают уязвимости и перепродают в три дорога
но по графику как раз видно куда стекается больше всего ;)
PavelMSTU
Можно пост на хабре об этом?