Quali sono i percorsi di carriera nel campo della sicurezza informatica (illegale)?

Non posso commentare la scena del lavoro reale, ma so qualcosa sulle statistiche del crimine informatico.

In termini di guadagno finanziario, le statistiche sono piuttosto interessanti. In termini di profitto, i primi tre sono i seguenti:

1. Frodi pubblicitarie Pay-per-click - Fino a poco tempo fa non era un produttore di profitti, ma i blackhats sembrano essersi concentrati su questo metodo più intensamente da quando il mercato dello spam si è saturato. Si stima che le botnet più grandi, con numeri in milioni, generino fino a $ 100k al giorno .
2. Email spam - Ancora molto redditizio, ma è un mercato molto saturo. Le botnet dello spam devono essere enormi per trasformare un profitto utile, che li rende un obiettivo principale per i whitehats. I sistemi anti-spam più intelligenti rendono anche molto difficile indirizzare gli utenti di tutti i giorni (ad esempio hotmail, gmail, ecc.). Si stima che la botnet BredoLab abbia generato circa $ 139.000 al mese per il proprietario.
3. Carding / skimming - Il vecchio standard. Sebbene lo sforzo richiesto per acquisire le credenziali sia ragionevolmente facile, è più laborioso e rischioso utilizzare effettivamente le carte. Tuttavia, il pay-off generato da una carta utilizzabile può essere grande - centinaia o migliaia di dollari per successo.

Tuttavia, non pensare che sia tutto sole, arcobaleni e prostitute di alta classe! La maggior parte degli operatori di botnet e le fragilità delle carte vengono catturate e molti di loro finiscono in prigione:

• Lo scrittore di BredoLab ha avuto 4 anni di prigione.
• 3 persone sono state arrestate e sono in attesa di condanna per quanto riguarda la botnet Mariposa.
• Come parte della repressione dell'FBI sul trojan Zeus, circa 100 persone sono state arrestate e diverse hanno ricevuto pene detentive.
• La botnet di Srizbi ha causato la chiusura di un'intera azienda di hosting da parte del governo e ulteriori arresti.
• Lo scrittore della botnet Akbot è stato arrestato, ma in seguito è stato rilasciato a causa di problemi con il caso. Fuga fortunata!
• Centinaia di persone vengono arrestate ogni anno per frode con carta di credito.

I miei 2cents qui: mentre non tecnicamente illegali queste aziende sono riuscite a sviluppare malware e exploit, senza chiunque li infastidisca, perché li vende a governi, forze dell'ordine, servizi segreti, organizzazioni e, in caso di alcune società, a chiunque sia interessato.

Tali società includono:

• VUpen
• Paladion

È possibile trovare ulteriori informazioni: qui .

Un'opzione non menzionata qui è lo spionaggio. Patriottismo o finanziamento aziendale potrebbero essere parte del motivo per cui potresti finire in spionaggio.

Corporate

In qualità di addetto ai contratti di spionaggio potresti addebitare un prezzo molto alto tassa per fare qualsiasi di un certo numero di diverse operazioni di cappello nero.

Rubare, informazioni aziendali (piani di progettazione, ricatti, corruzione dei dati, furto di fondi). Nel documentario chiamato Corporation intervistano un consulente di spionaggio aziendale.

Governativo

Lavorare nel settore governativo come ufficiale di guerra informatica. Lavorerai in team per fare cose come rendere Iraniano iraniano inrichmant facility inoperable .

O estirpare i dissidenti governativi come l'hack di gmail del 2009. Rubare progetti e piani avanzati per le attrezzature militari di prossima generazione (F35 JSF). L'incisione di Aurora

Come la risposta di NlightNFotis, ci sono un certo numero di aziende che scrivono malware legale per i governi, che sono venditori al ISS World Training . Li ho documentati qui: link

Immagino che la maggior parte del denaro sarebbe in crimine organizzato, che gestisce botnet per distribuire malware. Da lì possono attaccare i singoli clienti delle banche per rubare denaro o creare account muli. Potrebbero anche affittare le loro botnet agli altri per distribuire l'informatica.

Probabilmente un sacco di spyware è ancora là fuori, forse si iniettano i tuoi ID di affiliazione in tutti i link di Amazon su un gran numero di zombi, forse li servi popup o software antivirus fasullo.

Forse rimuovi i siti web aziendali attraverso l'estorsione.

Forse fai solo un sacco di attività automatizzate che generano entrate su una grande rete, fai clic su frodi, avvelenamento da motori di ricerca.

Ho letto un bel libro qualche anno fa con vari articoli accademici sui crimini informatici, se riesco a trovarlo o un set di aggiornamento tornerò qui e lo pubblicherò.

Oltre a ciò che ha detto Eric, c'è un altro campo di generazione di denaro là fuori - la codifica di malware personalizzato. Un esempio è di questo tizio - Tataye - autore del famoso Beast Trojan. Ora vende il suo lavoro per le mamme al link . Un altro esempio è questo ragazzo - link

Sky è solo il limite se conosci il codice.

Parzialmente in modo aneddotico - sembra che escluda una manciata di eccezioni, gli unici grandi vincitori in questo business sono le bande criminali organizzate, che sono in grado di utilizzare abili scrittori di exploit, hacker, ingegneri sociali ecc. per creare creatori di denaro.

Mentre alcuni di questi codificatori di exploit vengono pagati abbastanza bene (ad esempio il mercato degli exploit blackhat paga da 5 a 10 volte quello che il mercato dei cappelli bianchi ti darà) è improbabile che possano essere in grado di andare in pensione con i loro guadagni. Infatti, se hanno molto successo, possono trovare minacce dalla criminalità organizzata che potrebbero costringerli a rimanere in attività.

In alternativa, molti scrittori di exploit vengono effettivamente pagati molto poco.

Pur non parlando dell'hacking, penso che quanto segue abbia in comune molto in linea di principio con la vita "sotterranea" e spiega perché la stragrande maggioranza delle persone in quella scena non può guadagnarsi da vivere, tanto meno una fortuna :

link