Käferjäger

Das Jahr 2020 hat alle auf die eine oder andere Weise beeinflusst. Während einige von uns den Vorteil haben, von zu Hause aus zu arbeiten, gibt es Personen wie Arbeiter, die kaum 2 Mahlzeiten am Tag finden können. Auch die Großindustrien wie die Automobilindustrie sind stark betroffen. Auf der anderen Seite haben es die IT-Unternehmen und MNCs nicht nur geschafft, zu überleben, sondern sie haben auch eine erhebliche Steigerung ihrer Umsätze und Gewinne gezeigt. Eines der Unternehmen, das populär geworden ist, ist Zoom. Nach Angaben von Zoom betrug der Umsatz im Geschäftsjahr 2018 121,5 Millionen US-Dollar und im Jahr 2020 stieg er auf 622,7 Millionen US-Dollar (bis zum Monat Mai). Nicht nur die Unternehmen, sondern auch die Einzelpersonen haben in diesem Jahr enorme Gewinne erzielt.

Kürzlich las ich einen Artikel, in dem sie über Online-Hacker und Jäger sprachen, die inmitten dieser Sperrung Belohnungen und Preise in Lakhs verdient haben. Bhavuk Jain – ein Typ aus Delhi hat es geschafft, 10.000 Dollar von Apple zu verdienen, weil er einen kritischen Fehler in ihrem System gefunden hat. Für die Identifizierung eines Fehlers in der Social-Networking-Plattform von Facebook gelang es einem Mann aus Ahmedabad, 31.500 Dollar als Belohnung einzusacken. Es könnte sich also eine Frage stellen: Wer sind diese Jäger und wie verdienen sie mit dem Hacken? Um Antworten zu finden, lesen Sie weiter.

Wer sind diese Hacker?

Diese Hacker werden Jäger genannt, die Fehler in einem System finden und eine Sicherheitslücke an die Organisationen melden. Im Gegenzug zahlt die Organisation ihnen monetäre Belohnungen. Ein Käferjäger zu sein, hat seine eigenen Vorteile. Sie sind diejenigen, die ihre Entdeckungen einem Unternehmen oder einer Organisation mitteilen und mit einem guten Betrag oder Belohnungen bezahlt werden. Es würde eine gute Beobachtungsfähigkeit, gutes technisches Wissen und gute Dokumentationsfähigkeiten erfordern, um ein Bug-Bounty zu gewinnen.

Früher fanden die Hacker einen Fehler und meldeten ihn in der Hoffnung, dass sie ein lukratives Jobangebot von der Firma bekommen könnten. Ein Eintrag in die Hall of Fame des Unternehmens war damals für die meisten Hacker ein ausreichendes Angebot. Heute suchen diese Bug-Jäger nur nach einer Gegenleistung in Form von Geldprämien, damit sie nach Abschluss eines Projekts zu ihrem nächsten Hacking-Projekt übergehen können. Schon mal von dem Begriff „Bug Bounty Program“ gehört? Im Rahmen dieser Programme bieten die Organisationen und Softwareunternehmen einer Person, die einen Fehler oder eine Schwachstelle in ihren Systemen findet und sie ihnen meldet, Angebote und Belohnungen an. Unternehmen und Organisationen wie Microsoft, Google, Facebook, Reddit usw. haben Bug-Bounty-Programme implementiert, um die Fehler in ihrem System zu entdecken und zu beheben, um unerwünschte Vorfälle zu verhindern.

Trendplattformen für Bug Hunters

Lassen Sie uns nun über verschiedene Bug-Bounty-Plattformen sprechen, die den Einzelpersonen die Möglichkeit bieten, zusätzliches Geld zu verdienen. Diese Plattformen sind nicht die gleichen wie die traditionellen Freelancer-Plattformen wie Upwork, Fiverr oder Freelancer. Auf den freiberuflichen Plattformen müssen Sie auf die Projekte bieten und einen Vorschlag machen, der den Kunden überzeugen kann. Eines der wichtigsten Dinge, die den Kunden anziehen und möglicherweise davon überzeugen können, Ihnen das Projekt zu geben, sind Ihr Profil und Ihre Bewertungen. Auch nach so viel Prozedur ist es nicht garantiert, dass Sie das Projekt erhalten.

Auf der anderen Seite sind die Bug-Bounty-Plattformen einfach. Die Unternehmen und Organisationen laden ihre Projekte hoch und nennen das Modul oder das zu bearbeitende Projekt. Die Jäger, Forscher und Hacker können online gehen, das Projekt überprüfen und die Schwachstellen melden. Außerdem können mehrere Forscher an einem Projekt arbeiten und umgekehrt. Wenn Ihr eingereichter Bericht gültig und glaubwürdig ist, werden Sie basierend auf der Schwere der Fehler belohnt. Man kann sagen, dass diese Bug-Bounty-Plattformen für alle offen sind und jeder verdiente Kandidat auf diesen Plattformen verdienen kann. Upwork selbst lädt die Forscher auf der Bugcrowd-Plattform ein, ihre Freelancer-Plattformen zu testen und sicherzustellen, dass die Plattform sicher und frei von Schwachstellen ist.

Im Folgenden sind einige der bekannten Bug-Bounty-Plattformen aufgeführt:

Bugcrowd

Es ist eine Sicherheitsplattform mit Sitz in San Francisco. Das Geschäftsmodell basiert vollständig auf Crowdsourcing-Sicherheits- und Cybersicherheitsforschern. Diese Plattform funktioniert auf einfache und unkomplizierte Weise.

• Das Softwareunternehmen oder die Organisation lädt ihr Projekt oder Modul auf die Bugcrowd-Plattform hoch und erwähnt die möglichen Angriffsflächen, die besser abgesichert werden müssen. Es ist Sache der Organisation, das Programm privat oder für die Crowd-Community offen zu halten.
• Sobald das Programm live ist, kann die Crowd-Community die Schwachstellen aufdecken und sie melden.
• Basierend auf der Gültigkeit und dem Schweregrad des Berichts werden Sie belohnt.

Sie haben verschiedene Ebenen, um den Schweregrad des Programms zu identifizieren: P1 bis P4; P1 ist der kritischste.

Bugcrowd ermöglicht es einem Forscher, mit anderen Forschern zusammenzuarbeiten, um an einem bestimmten Projekt zu arbeiten und es auf der Plattform zu melden. Es macht Spaß, Ihre Fehlerentdeckungen im Auge zu behalten. Bugcrowd erledigt dies für Sie. Ihre All-Time-Punkte und Ihr Rang unter den anderen Forschern werden in Ihrem Profil gespeichert. Wenn Sie wettbewerbsorientiert sind, werden Sie dies auf jeden Fall genießen.

HackerOne

HackerOne – ein in San Francisco ansässiges Unternehmen hat seine Büros in vielen Städten wie London, Singapur und den Niederlanden. Seine Hacker-Community ist die beste ihrer Klasse. Es hat mehr als 6 lakhs Hacker in ihrer Community registriert. Die Unternehmen oder Organisationen bei HackerOne erhalten Zugang zu einer vielfältigen und talentierten Hacker-Community. Das US-Verteidigungsministerium, Google, Intel, Lufthansa und viele andere globale Unternehmen auf der ganzen Welt haben sich mit HackerOne zusammengeschlossen.

Die Hacker bei HackerOne können Status und Ruf auf der Rangliste erlangen und aufrechterhalten. Wenn Sie es schaffen, die Rangliste zu knacken, um zu den Top-Hackern der Community zu gehören, dann können Sie Gelegenheiten erhalten, auf die vertraulichen Ziele zuzugreifen und zu privaten Programmen eingeladen zu werden. Dies kann Ihren Ruf steigern und Ihnen eine gute Menge Geld einbringen.

HackerOne ist auch dafür bekannt, Live-Hacking-Events auf der ganzen Welt zu organisieren. Es gibt Mentoring-Programme bei ihren Live-Events. Diese Veranstaltungen ermöglichen es den neuen Hackern, mit erfahrenen Hackern zusammenzuarbeiten. Sie können Hand in Hand mit erfahrenen Hackern zusammenarbeiten und Ihre Lern- und Fehlersuchtechniken beschleunigen.

Synack

Synack – ein in Kalifornien ansässiges Unternehmen ist eine Crowdsourcing-Sicherheitsplattform. Synack ist nicht so einfach wie HackerOne oder Bugcrowd. Sie müssen ein Verfahren befolgen und sich bewerben, um Teil der Synack-Community zu werden. Die Syncak-Community besteht aus Sicherheitsforschern aus über 82 Ländern, die Teil ihres Synack Red Teams sind.

Bei Synack kann ein Hacker oder Forscher auf 2 Arten Geld verdienen. Die erste besteht darin, einen Fehler oder eine Schwachstelle aufzuspüren und sie zu melden. Die andere Möglichkeit besteht darin, die Missionen abzuschließen und bezahlt zu werden. Dazu müssen Sie Mitglied des Synack Red Teams sein. Sie müssen sich bewerben und verschiedene Runden absolvieren, um Mitglied des Roten Teams zu werden. Die allererste Runde ist die Kompetenzfeststellung, danach werden Sie zu einem Vorstellungsgespräch eingeladen. Danach wird Ihre Zuverlässigkeitsüberprüfung durchgeführt. Erst nachdem Sie diese Runden abgeschlossen haben, können Sie Teil des Roten Teams werden. Sie akzeptieren keine Kandidaten, die für andere Unternehmen wie Bugcrowd, HackerOne usw. gearbeitet haben. Sie können diese Liste in der Synack-Richtlinie selbst einsehen.

Vor kurzem hat es die Hydra Technology-Plattform gestartet. Diese Technologie wirkt als Kraftmultiplikator für das Rote Team. Hydra Technology sucht nach neuen Angriffsgebieten und meldet seine Daten an das Rote Team. Dies war ein Segen für das rote Team. Sie liefern wichtige Sicherheitsintelligenz schneller.

Die anderen Bug-Bounty-Plattformen sind:

1. Cobalt Bug Bounty
2. Ja, wir hacken
3. Sicherheitshüte
4. Intigriti

Aarogya Setu-App

Es gibt nur sehr wenige Unternehmen in Indien, die Bug-Bounty-Programme haben und den Hackern und Forschern finanzielle Belohnungen für das Melden von Fehlern oder Schwachstellen anbieten. Einige der Unternehmen, die Bug-Bounty-Programme anbieten, sind PayTM und BigBasket.

Kürzlich erklärte das IT-Ministerium „Aarogya Setu – die CoVID-19-Kontaktverfolgungs-App“ als Open Source und kündigte ein Bug-Bounty-Programm von Rs 3 Lakhs an. Amitabh Kant, CEO von NITI Aayog, sagte, dass die App die schnellste App der Welt geworden sei, die in nur 13 Tagen 50 Millionen Downloads erreicht habe.

Obwohl indische Softwareunternehmen und -organisationen nicht dafür bekannt sind, Bug-Bounties anzubieten, melden die indischen Hacker Bugs und Schwachstellen in großem Umfang.

Kann die Fehlersuche eine Karriereoption sein?

Die große Anzahl an Bug-Bounty-Programmen wird weltweit auf verschiedenen Plattformen angeboten. Viele der Jäger haben allein durch ihr Wissen und scharfes Auge für Fehler und Schwachstellen Zehn- oder Hunderttausende Dollar verdient. Dies hat viele der Personen dazu veranlasst, sich auf die Bug-Bounty-Programme zu konzentrieren und sie zu ihrer Vollzeitkarriere zu machen.

Dies ist ohne Zweifel eine großartige Gelegenheit, etwas zusätzliches Geld zu verdienen und PS5 oder Xbox zu kaufen. Aber für jemanden, der einen gut bezahlten Job mit familiären Verpflichtungen hat, sollte er nicht für die Fehlersuche als Vollzeitkarriere tauchen.

Das Aufspüren von Fehlern und das Melden von Schwachstellen erfordert viel Lernen, Mühe und Zeit. Sie müssen mit der Dokumentation gründlich umgehen, Sicherheitsartikel lesen und das Schreiben von Berichten üben. Nehmen Sie eine Strategie an, die zu Ihnen passt.

Manchmal kann es vorkommen, dass Sie hart genug arbeiten, um einen Fehler zu entdecken, zu dokumentieren und zu melden, nur um zu wissen, dass ein anderer Hacker denselben Fehler einige Stunden zuvor gemeldet hat. Santiago López – Bug Hunter aus Argentinien verdiente 1 Million US-Dollar mit der HackerOne-Plattform. Er sagte, dass es Zeitverschwendung gewesen sein muss, wenn jemand anderes den Fehler früher als er gemeldet hätte. Dieser Punkt sollte im Hinterkopf behalten werden, bevor man eine Vollzeitkarriere in der Fehlersuche anstrebt.

Persönliche Sicht

Heutzutage sind die meisten Geräte intelligente Geräte und mit dem Internet verbunden. Die Unternehmen priorisieren die Privatsphäre und Sicherheit ihrer Benutzer. Daher möchten sie die Bedrohungsoberfläche verringern, indem sie jeden willkommen heißen, der ihnen helfen kann, ihr System zu sichern.

Dennoch ist es vielleicht keine gute Idee, ein Vollzeit-Bug-Jäger zu werden, wenn Sie nicht mit seiner Funktionsweise vertraut sind. Ich schlage vor, dass Sie, bevor Sie den großen Wechsel vornehmen, ein oder zwei Jahre Teilzeit als Bug Hunter arbeiten.