صائدو الحشرات

لقد أثر عام 2020 على الجميع بطريقة أو بأخرى. بينما يتمتع البعض منا بميزة العمل من المنزل ، هناك أفراد مثل العمال الذين لا يكادون يجدون وجبتين في اليوم. كما تضررت بشدة الصناعات الكبيرة مثل صناعة السيارات. من ناحية أخرى ، لم تتمكن شركات تكنولوجيا المعلومات والشركات المتعددة الجنسيات من البقاء فحسب ، بل أظهرت زيادة كبيرة في مبيعاتها وأرباحها. تعد Zoom إحدى الشركات التي أصبحت مشهورة. وفقًا للبيانات التي قدمتها Zoom ، بلغت إيرادات العام المالي 2018 121.5 مليون دولار وفي عام 2020 ارتفعت إلى 622.7 مليون دولار (حتى شهر مايو). ليس فقط الشركات ، ولكن الأفراد أيضًا قد حققوا بعض الأرباح الضخمة هذا العام.

لقد قرأت مؤخرًا مقالًا تحدثوا فيه عن المتسللين والصيادين عبر الإنترنت الذين ربحوا مكافآت وأسعارًا وسط هذا الإغلاق. Bhavuk Jain - تمكن رجل من دلهي من كسب 10000 دولار من Apple لإيجاد خلل خطير في نظامهم. لتحديد خطأ في منصة التواصل الاجتماعي على Facebook ، تمكن رجل من أحمد أباد من كسب 31500 دولار كمكافأة. لذلك قد يطرح سؤال: من هم هؤلاء الصيادون وكيف يربحون من القرصنة؟ للعثور على إجابات ، استمر في القراءة.

من هم هؤلاء الهاكرز؟

يُطلق على هؤلاء المتسللين اسم الصيادين الذين يجدون أخطاء في النظام ويبلغون المؤسسات عن ضعف أمني. في المقابل ، تدفع لهم المنظمة مكافآت مالية. كونك صياد حشرات له فوائده الخاصة. هم الذين يكشفون عن اكتشافاتهم لشركة أو مؤسسة ويتقاضون رواتبهم بمبلغ أو مكافآت جيدة. يتطلب الأمر مهارات مراقبة جيدة ومعرفة تقنية جيدة ومهارات توثيق جيدة للفوز بمكافأة خطأ.

في وقت سابق ، اعتاد المتسللون العثور على خطأ والإبلاغ عنه على أمل أن يتمكنوا من الحصول على عرض عمل مربح من الشركة. في ذلك الوقت ، كان الدخول إلى قاعة مشاهير الشركة عرضًا جيدًا بما يكفي لمعظم المتسللين في ذلك الوقت. اليوم ، كل هؤلاء الباحثين عن الأخطاء هو مردود في شكل مكافآت مالية حتى يتمكنوا من الانتقال إلى مشروع القرصنة التالي بعد إكمال واحد. هل سمعت عن مصطلح "Bug Bounty Program"؟ في إطار هذه البرامج ، تقدم المؤسسات وشركات البرامج صفقات ومكافآت للفرد الذي يجد خطأ أو ثغرة أمنية في أنظمته ويبلغه بذلك. قامت الشركات والمؤسسات مثل Microsoft و Google و Facebook و Reddit وما إلى ذلك بتطبيق برامج مكافأة الأخطاء لاكتشاف الأخطاء وحلها في نظامها من أجل منع أي حوادث غير مرغوب فيها.

المنصات الرائجة لصائدي الحشرات

الآن دعونا نتحدث عن العديد من منصات المكافآت التي توفر الفرص للأفراد لكسب بعض النقود الإضافية. هذه المنصات ليست مثل منصات العمل الحر التقليدية مثل Upwork أو Fiverr أو Freelancer. على منصات العمل الحر ، تحتاج إلى تقديم عطاءات على المشاريع وتقديم عرض يمكن أن يقنع العميل. من أهم الأشياء التي تجذب العميل ويمكن أن تقنعه بإعطائك المشروع هو ملفك الشخصي وتقييماتك. حتى بعد الكثير من الإجراءات ، ليس من المضمون أن تحصل على المشروع.

من ناحية أخرى ، فإن منصات مكافأة الأخطاء بسيطة. تقوم الشركات والمؤسسات بتحميل مشاريعها وتسمية الوحدة أو المشروع الذي يجب الاهتمام به. يمكن للصيادين والباحثين والمتسللين الاتصال بالإنترنت والتحقق من المشروع والإبلاغ عن نقاط الضعف. أيضًا ، يمكن لعدة باحثين العمل في مشروع واحد والعكس صحيح. إذا كان تقريرك المقدم صالحًا ومصداقية ، فستتم مكافأتك بناءً على خطورة الأخطاء. يمكن للمرء أن يقول إن منصات مكافأة الأخطاء هذه مفتوحة للجميع ويمكن لأي مرشح مستحق أن يكسب من هذه المنصات. Upwork نفسها تدعو الباحثين على منصة Bugcrowd لاختبار منصاتهم المستقلة وللتأكد من أن المنصة آمنة وخالية من نقاط الضعف.

فيما يلي بعض منصات مكافآت الأخطاء المعروفة:

بوجكروود

إنها منصة أمنية مقرها في سان فرانسيسكو. يعتمد نموذج أعمالها بالكامل على باحثين في مجال الأمن السيبراني وأمن المصادر الجماعية. تعمل هذه المنصة بطريقة بسيطة ومباشرة.

• تقوم شركة البرمجيات أو المؤسسة بتحميل مشروعها أو الوحدة النمطية الخاصة بها على منصة Bugcrowd وتذكر أسطح الهجوم المحتملة التي تحتاج إلى مزيد من الأمان. الأمر متروك للمؤسسة التي يحتاجون إليها للحفاظ على البرنامج خاصًا أو مفتوحًا لمجتمع الحشد.
• بمجرد تشغيل البرنامج ، يمكن لمجتمع الحشد الكشف عن نقاط الضعف والإبلاغ عنها.
• بناءً على صحة التقرير وخطورته ، ستتم مكافأتك.

لديهم مستويات مختلفة لتحديد شدة البرنامج: P1 إلى P4 ؛ P1 هي الأكثر أهمية.

يسمح Bugcrowd للباحث بالتعاون مع باحثين آخرين للعمل في مشروع معين والإبلاغ عنه على المنصة. من الممتع تتبع اكتشافات الأخطاء لديك. لذلك ، Bugcrowd يفعل هذا من أجلك. يتم الاحتفاظ بنقاطك الدائمة وترتيبك بين الباحثين الآخرين في ملفك الشخصي. إذا كنت تتمتع بطابع تنافسي ، فستستمتع بذلك بالتأكيد.

هاكر وان

HackerOne - شركة مقرها سان فرانسيسكو لها مكاتب منتشرة في العديد من المدن مثل لندن وسنغافورة وهولندا. مجتمع المخترقين هو الأفضل في فئته. لديها أكثر من 6 مخترقين مسجلين في مجتمعهم. تتمتع الشركات أو المنظمات في HackerOne بإمكانية الوصول إلى مجتمع متنوع وموهوب من المتسللين. اشتركت وزارة الدفاع الأمريكية وجوجل وإنتل ولوفتهانزا والعديد من الشركات العالمية الأخرى حول العالم مع HackerOne.

يمكن للمتسللين في HackerOne اكتساب المكانة والسمعة والحفاظ عليها على لوحة المتصدرين. إذا تمكنت من اختراق لوحة المتصدرين لتكون من بين أفضل المتسللين في المجتمع ، فيمكنك الحصول على فرص للوصول إلى الأهداف السرية والحصول على دعوة إلى البرامج الخاصة. يمكن أن يعزز هذا مندوبك ويجلب لك مبلغًا جيدًا من المال.

يُعرف HackerOne أيضًا بترتيب أحداث القرصنة الحية حول العالم. هناك برامج إرشاد في أحداثهم الحية. تسمح هذه الأحداث للمتسللين الجدد بالشراكة مع المتسللين المهرة. يمكنك العمل جنبًا إلى جنب مع المتسللين المهرة ويمكنك تسريع تقنيات التعلم والبحث عن الأخطاء.

سيناك

Synack - شركة مقرها في كاليفورنيا هي عبارة عن منصة أمان جماهيرية. Synack ليس بهذه البساطة HackerOne أو Bugcrowd. تحتاج إلى اتباع إجراء والتقدم لتصبح جزءًا من مجتمع Synack. يضم مجتمع Syncak باحثين أمنيين من 82 دولة يمثلون جزءًا من فريق Synack Red.

في Synack ، يمكن للمتسلل أو الباحث كسب المال بطريقتين. الأول عن طريق تعقب الخطأ أو الثغرة والإبلاغ عنها. الطريقة الأخرى هي إكمال المهام والحصول على أموال. لهذا ، يجب أن تكون عضوًا في فريق Synack Red. يجب عليك التقديم ومسح جولات مختلفة لتصبح عضوًا في الفريق الأحمر. الجولة الأولى هي تقييم المهارات ، ثم ستتم دعوتك لإجراء مقابلة. بعد ذلك ، سيتم إجراء فحص الخلفية الخاصة بك. فقط بعد اجتياز هذه الجولات ، يمكنك أن تكون جزءًا من الفريق الأحمر. إنهم لا يقبلون المرشحين الذين عملوا لصالح شركات أخرى مثل Bugcrowd و HackerOne وما إلى ذلك. يمكنك الاطلاع على هذه القائمة من سياسة Synack نفسها.

في الآونة الأخيرة ، أطلقت منصة Hydra Technology. تعمل هذه التكنولوجيا كمضاعف قوة للفريق الأحمر. تبحث Hydra Technology عن مناطق هجوم جديدة وترفع بياناتها إلى الفريق الأحمر. لقد كانت هذه نعمة للفريق الأحمر. أنها توفر معلومات أمنية حيوية بمعدل أسرع.

منصات مكافأة الأخطاء الأخرى هي:

1. كوبالت علة باونتي
2. نعم نحن هاك
3. Safehats
4. Intigriti

تطبيق Aarogya Setu

هناك عدد قليل جدًا من الشركات في الهند التي لديها برامج مكافآت للأخطاء وتقدم مكافآت مالية للمتسللين والباحثين للإبلاغ عن الأخطاء أو الثغرات الأمنية. بعض الشركات التي تقدم برامج مكافأة الأخطاء هي PayTM و BigBasket.

في الآونة الأخيرة ، أعلنت وزارة تكنولوجيا المعلومات "Aarogya Setu - تطبيق تتبع جهات الاتصال CoVID-19" كمصدر مفتوح وأعلنت عن مخطط مكافأة الأخطاء بقيمة 3 آلاف روبية. قال الرئيس التنفيذي لشركة NITI Aayog ، أميتاب كانط ، إن التطبيق أصبح أسرع تطبيق في العالم يصل إلى 50 مليون عملية تنزيل في 13 يومًا فقط.

على الرغم من أنه من غير المعروف أن شركات ومؤسسات البرمجيات الهندية تقدم مكافآت للأخطاء ، فإن قراصنة الهند يبلغون عن الأخطاء ونقاط الضعف على نطاق واسع.

هل يمكن أن يكون البحث عن الأخطاء خيارًا وظيفيًا؟

يتم تقديم عدد كبير من برامج مكافآت الأخطاء في جميع أنحاء العالم على منصات مختلفة. لقد كسب العديد من الصيادين عشرات أو مئات الآلاف من الدولارات فقط بمعرفتهم وعينهم الشديد للبحث عن الأخطاء ونقاط الضعف. وقد أدى ذلك بالعديد من الأفراد إلى التركيز على برامج مكافأة الأخطاء واختيارها كمهنة بدوام كامل.

هذه بلا شك فرصة رائعة لكسب بعض النقود الإضافية وشراء PS5 أو Xbox. ولكن بالنسبة لشخص لديه وظيفة براتب جيد مع مسؤوليات عائلية ، فلا ينبغي له الغوص للبحث عن الأخطاء باعتباره مهنة بدوام كامل.

يستغرق تعقب الأخطاء والإبلاغ عن نقاط الضعف الكثير من التعلم والجهود والوقت. يجب أن تكون دقيقًا في الوثائق ، وأن تقرأ المقالات الأمنية ، وتتدرب على كتابة التقارير. اعتمد استراتيجية تناسبك.

قد يحدث أحيانًا أنك تعمل بجد بما يكفي لاكتشاف الخطأ وتوثيقه والإبلاغ عنه فقط لتعرف أن بعض المتسللين الآخرين قد أبلغوا عن نفس الخطأ قبل بضع ساعات. سانتياغو لوبيز - كسبت bug hunter من الأرجنتين مليون دولار من منصة HackerOne. قال إنه يجب أن يكون مضيعة للوقت إذا أبلغ شخص آخر عن الخطأ في وقت سابق ثم هو. يجب وضع هذه النقطة في الاعتبار قبل الذهاب للعمل بدوام كامل في صيد الأخطاء.

وجهة نظر شخصية

في الوقت الحاضر ، معظم الأجهزة عبارة عن أجهزة ذكية ومتصلة بالإنترنت. تعطي الشركات الأولوية لخصوصية المستخدمين وأمانهم. لذلك يرغبون في إبقاء سطح التهديد منخفضًا عن طريق الترحيب بأي شخص يمكنه مساعدتهم في تأمين نظامهم.

قد لا تكون فكرة جيدة أن تصبح صيادًا للأخطاء بدوام كامل إذا لم تكن على دراية بعملها. أقترح أنه قبل إجراء المفتاح الرئيسي ، يجب أن تعمل بدوام جزئي كصياد للأخطاء لمدة عام أو عامين.