Охотники за ошибками: хакеры зарабатывают большие деньги ... этично

Термин хакер часто используется уничижительно, но способность выявлять недостатки в программном обеспечении и системах кибер-безопасности компаний пользуется большим спросом. Этические хакеры теперь зарабатывают большие деньги, и индустрия растет.

Джеймс Кетлт — охотник за ошибками, а не тип насекомого, но программного обеспечения.

Он просматривает страницы кода, которые ищут ошибки — слабые стороны, которые преступники могут использовать, чтобы проникнуть в сеть компании и украсть данные.

Его степень в области компьютерных наук была немного медленной для его вкусов, поэтому он огляделся, чтобы что-то еще сделать, и наткнулся на программы «bug bounty», которыми управляют Google и браузер Mozilla.

Это схемы, которые платят наличными хакерам за выявление ошибок или ошибок в программном обеспечении компаний.

«Они действительно заставили вас работать над каждым, и потребовалось около 50 часов за действительную ошибку, которую я нашел», — вспоминает он.

Выплата, помимо наличных денег, заключалась в том, что он был поражен ненасытным желанием продолжать поиск недостатков в кодексе. И это в конечном итоге превратилось в прибыльную карьеру.

И он очень хорош в своей работе.


И

Что вам нужно, чтобы найти ошибки


Он теперь один из самых популярных искателей ошибок на HackerOne, услуге, которая соответствует хакерам с компаниями и правительствами, которые ищут экспертов для тестирования своего программного обеспечения.

Эти элитные этические или «белые шляпы» могут зарабатывать более 350 000 долларов (250 000 фунтов стерлингов) в год. Программы бонусных баунти присуждают хакерам в среднем 50 000 долларов в месяц, причем некоторые из них выплачивают 1 000 000 долларов в год в целом, говорят представители отрасли.

Поиск ошибки «нулевого дня» — это тип глюка, который никогда не был найден раньше — очень редок и может привести к значительным выплатам, возможно, в сотнях тысяч.

Г-н Kettle работает в программной компании PortSwigger, которая делает инструмент Burp Suite, который многие хакеры используют для проверки веб-сайтов, чтобы узнать, созрели ли они для эксплуатации.

Если  вы знакомы с внутренними сайтами, вы можете сделать охотника за головами

«Я нахожу новые способы взлома на веб-сайты и автоматизирую это, и я использую багги-ошибки, чтобы доказать, что мои новые методы работают», — говорит г-н Кетл Би-би-си.

«Это весело и сложно».

Большинство программ содержит ошибки, поскольку они написаны ошибочными людьми, а преступники постоянно просматривают код для этих уязвимостей, часто используя автоматизированные инструменты.

Так что это гонка, чтобы найти эти недостатки, прежде чем плохие парни или хакеры «черной шляпы».

Проблема в том, что до недавнего времени у немногих фирм было достаточно глаз, чтобы бросить на проблему. Таким образом, они были краудсорсирующей экспертной помощью от таких фирм, как Hacker One, Bug Crowd и Synack.

Они действуют как агенты для проверенных этических хакеров, управляют программами исправления ошибок, проверяют выполненную работу и обеспечивают конфиденциальность для своих клиентов.

Изображение copyrightHACKERONE
Подпись к изображению КомпанияLaurie Mercer HackerOne выплатила £ 18,5 млн.

Hacker One, крупнейшая из трех самых известных фирм-разработчиков ошибок, имеет более 120 000 хакеров в своих книгах и выплатила более 26 миллионов долларов (18,5 млн фунтов стерлингов), говорит Лори Мерсер, старший инженер фирмы.

«Программы бонусных баунти предлагают организации для аутсорсинга тестирования безопасности приложений, но они стоят дорого», — говорит Боб Эгнер, вице-президент подразделения безопасности Outpost24.

«Вы должны заплатить поставщику бонусов за неудачу, чтобы представить свое приложение своим независимым исследователям, управлять программой для вас и в конечном итоге платить за любые выплаты».

Но риск не сделать достаточно, чтобы найти эти уязвимости, — это потенциальная атака с взломом, в результате которой были похищены данные, финансовые потери и поврежденная репутация. Согласно недавнему отчету охранной фирмы Nuix, 71% хакеров-хакеров говорят, что они могут нарушить периметр цели в течение 10 часов.

Навыки Франса Розена пользуются спросом как у военных, так и из бизнеса

Шведский охотник за ошибками Франс Розен использует свой доход, чтобы финансировать технологические стартапы.

«Мы используем деньги с щепоткой ошибок в качестве инвестиций в семена», — говорит он. «Это забавный способ использовать деньги».

Он говорит, что наличные деньги позволяют запускать стартапы и делать некоторые разработки своих продуктов или приложений. Как бывший веб-разработчик, он знает, что может пойти не так, когда веб-сайты настраиваются и запускаются.

«После этого мы помогаем им получать масштабные инвестиции, чтобы финансировать их должным образом», — говорит он.

Тем не менее, не все хакеры, которые обнаруживают ошибки для созданной фирмы по безопасности, поэтому представляются такой компанией, как Hacker One или Bug Crowd, что дает им доверие, когда они хотят предупреждать компании об уязвимостях.

Тестер безопасности Робби Виггинс говорит, что говорить фирме, что ее веб-сайт или приложения можно взломать, всегда сложно.

Больше технологий бизнеса

По его словам, часто отсутствует формальная структура отчетности, кроме общего адреса электронной почты администратора. Ошибки фирм-батунов помогают получать отчеты об ошибках перед нужными людьми.

Но быстрый рост программ бонусных баунти и значительные денежные вознаграждения сделали его переполненным полем, говорит он.

«Это постоянно меняется, и поиск ошибок становится все труднее».

Поэтому он специализируется на поиске фирм, которые совершили ошибки со своими учетными записями облачных хранилищ Amazon. До сих пор он обнаружил более 5000 человек, которые выглядят так, будто они ошибочно открыты для публики.

«Охота за головами багов теперь является хобби и помогает время от времени, когда мне нужны дополнительные деньги для детей», — говорит он.

Другим преимуществом таких программ является то, что они могут удерживать хакеров от темной стороны.

«Программы бонусных баунти предоставляют юридическую альтернативу для тех, кто разбирается в технологиях, которые в противном случае могут быть склонны к гнусным действиям по фактическому взлому системы и незаконному продаже своих данных», — говорит Терри Рэй, главный технический специалист по защите данных фирмы Imperva.

Возможно, настало время, когда хакеры пришли от холода?

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here

4 + 4 =