Cazadores de insectos

El año 2020 ha afectado a todos de una forma u otra. Si bien algunos de nosotros tenemos la ventaja de trabajar desde casa, hay personas como los trabajadores que difícilmente pueden encontrar 2 comidas al día. Las industrias a gran escala, como la industria automotriz, también se han visto gravemente afectadas. Por otro lado, las empresas de TI y las MNC no solo han logrado sobrevivir, sino que han mostrado un aumento significativo en sus ventas y ganancias. Una de las empresas que se ha vuelto popular es Zoom. Según los datos proporcionados por Zoom, la facturación del ejercicio 2018 fue de 121,5 millones de dólares y en el año 2020 ha subido a 622,7 millones de dólares (hasta el mes de mayo). No solo las empresas, sino también las personas han obtenido grandes beneficios este año.

Recientemente, leí un artículo en el que hablaban de piratas informáticos y cazadores en línea que obtuvieron recompensas y precios en miles de rupias en medio de este bloqueo. Bhavuk Jain: un chico de Delhi logró ganar $ 10,000 de Apple por encontrar un error crítico en su sistema. Por identificar un error en la plataforma de redes sociales de Facebook, un chico de Ahmedabad logró embolsarse $31,500 como recompensa. Entonces podría surgir una pregunta: ¿quiénes son estos cazadores y cómo ganan pirateando? Para encontrar respuestas, continúa leyendo.

¿Quiénes son estos piratas informáticos?

Estos piratas informáticos se llaman cazadores que encuentran errores en un sistema e informan una debilidad de seguridad a las organizaciones. A cambio, la organización les paga recompensas monetarias. Ser un cazador de errores tiene sus propios beneficios. Ellos son los que revelan sus descubrimientos a una empresa u organización y se les paga con una buena cantidad o recompensas. Requeriría buenas habilidades de observación, buenos conocimientos técnicos y buenas habilidades de documentación para ganar una recompensa por errores.

Anteriormente, los piratas informáticos solían encontrar un error e informarlo con la esperanza de poder obtener una oferta de trabajo lucrativa de la empresa. En ese momento, una entrada en el Salón de la Fama de la compañía era una oferta lo suficientemente buena para la mayoría de los piratas informáticos en ese momento. Hoy en día, todo lo que buscan estos cazadores de errores es la retribución en forma de recompensas monetarias para poder pasar a su próximo proyecto de piratería después de completar uno. ¿Alguna vez escuchó sobre el término "Programa Bug Bounty"? Bajo estos programas, las organizaciones y compañías de software ofrecen ofertas y recompensas a una persona que encuentra un error o una vulnerabilidad en sus sistemas y se los informa. Empresas y organizaciones como Microsoft, Google, Facebook, Reddit, etc. han implementado programas de recompensas por errores para descubrir y resolver los errores en su sistema a fin de evitar incidentes no deseados.

Plataformas de tendencias para Bug Hunters

Ahora hablemos de varias plataformas de recompensas por errores que brindan oportunidades a las personas para ganar algo de dinero extra. Estas plataformas no son las mismas que las plataformas independientes tradicionales como Upwork, Fiverr o Freelancer. En las plataformas de trabajo independiente, debe ofertar por los proyectos y hacer una propuesta que pueda convencer al cliente. Una de las cosas más importantes que atrae al cliente y que posiblemente pueda convencerlo de que le dé el proyecto es su perfil y calificaciones. Incluso después de gran parte del procedimiento, no se garantiza que se le entregará el proyecto.

Por otro lado, las plataformas de recompensas por errores son simples. Las empresas y organizaciones suben sus proyectos y nombran el módulo o el proyecto que necesita ser atendido. Los cazadores, investigadores y piratas informáticos pueden conectarse, verificar el proyecto e informar las vulnerabilidades. Además, varios investigadores pueden trabajar en un proyecto y viceversa. Si su informe enviado es válido y creíble, será recompensado en función de la gravedad de los errores. Se puede decir que estas plataformas de recompensas por errores están abiertas para todos y cualquier candidato que lo merezca puede ganar de estas plataformas. Upwork mismo está invitando a los investigadores de la plataforma Bugcrowd a probar sus plataformas independientes y asegurarse de que la plataforma sea segura y esté libre de vulnerabilidades.

Las siguientes son algunas de las conocidas plataformas de recompensas por errores:

Multitud de bichos

Es una plataforma de seguridad con sede en San Francisco. Su modelo de negocios se basa completamente en investigadores de seguridad y seguridad cibernética de fuentes múltiples. Esta plataforma funciona de una manera simple y directa.

• La empresa u organización de software carga su proyecto o módulo en la plataforma Bugcrowd y menciona las posibles superficies de ataque que necesitan ser más seguras. Depende de la organización que necesitan mantener el programa privado o abierto a la multitud de la comunidad.
• Una vez que el programa está en vivo, la multitud de la comunidad puede descubrir las vulnerabilidades y reportarlas.
• Según la validez y la gravedad del informe, se le recompensará.

Tienen diferentes niveles para identificar la severidad del programa: P1 a P4; Siendo P1 el más crítico.

Bugcrowd permite a un investigador colaborar con otros investigadores para trabajar en un proyecto en particular y reportarlo en la plataforma. Es divertido hacer un seguimiento de sus descubrimientos de errores. Entonces, Bugcrowd hace esto por ti. Tus puntos de todos los tiempos y tu rango entre los otros investigadores se mantienen en tu perfil. Si eres de naturaleza competitiva, definitivamente disfrutarás esto.

hackeruno

HackerOne, una empresa con sede en San Francisco, tiene oficinas en muchas ciudades como Londres, Singapur y los Países Bajos. Su comunidad de hackers es la mejor de su clase. Tiene más de 6 lakhs de hackers registrados en su comunidad. Las empresas u organizaciones de HackerOne obtienen acceso a una comunidad diversa y talentosa de piratas informáticos. El Departamento de Defensa de EE. UU., Google, Intel, Lufthansa y muchas otras empresas globales de todo el mundo se han asociado con HackerOne.

Los piratas informáticos de HackerOne pueden ganar y mantener el estatus y la reputación en la clasificación. Si logra romper la tabla de clasificación para estar entre los mejores piratas informáticos de la comunidad, entonces puede obtener oportunidades para acceder a los objetivos confidenciales y ser invitado a programas privados. Esto puede aumentar su reputación y obtener una buena cantidad de efectivo.

HackerOne también es conocido por organizar eventos de piratería en vivo en todo el mundo. Hay programas de tutoría en sus eventos en vivo. Estos eventos permiten a los nuevos piratas asociarse con los piratas expertos. Puede trabajar junto con los piratas informáticos expertos y puede acelerar su aprendizaje y técnicas de búsqueda de errores.

Sinack

Synack: una empresa con sede en California es una plataforma de seguridad de colaboración colectiva. Synack no es tan simple como HackerOne o Bugcrowd. Debe seguir un procedimiento y presentar una solicitud para convertirse en parte de la comunidad Synack. La comunidad de Syncak cuenta con investigadores de seguridad de 82 países que forman parte de su Synack Red Team.

En Synack, un hacker o investigador puede ganar dinero de 2 formas. La primera es rastrear un error o vulnerabilidad y reportarlos. La otra forma es completar las misiones y recibir el pago. Para esto, debe ser miembro del Synack Red Team. Tienes que aplicar y completar diferentes rondas para convertirte en miembro del Equipo Rojo. La primera ronda es la evaluación de habilidades, luego se le invitará a una entrevista. Después de eso, se realizará la verificación de antecedentes. Solo después de completar estas rondas, puedes ser parte del Equipo Rojo. No aceptan a los candidatos que han estado trabajando para otras empresas como Bugcrowd, HackerOne, etc. Puedes ver esta lista en la propia política de Synack.

Recientemente, ha lanzado la plataforma Hydra Technology. Esta tecnología actúa como un multiplicador de fuerza para el Equipo Rojo. Hydra Technology busca nuevas áreas de ataque y reporta sus datos al Red Team. Esto ha sido una bendición para el Equipo Rojo. Proporcionan inteligencia de seguridad vital a un ritmo más rápido.

Las otras plataformas de recompensas por errores son:

1. Recompensa de insectos de cobalto
2. Sí, hackeamos
3. Sombreros de seguridad
4. Intigriti

Aplicación Aarogya Setu

Hay muy pocas empresas en la India que tienen programas de recompensas por errores y ofrecen recompensas monetarias a los piratas informáticos e investigadores por informar errores o vulnerabilidades. Algunas de las empresas que ofrecen programas de recompensas por errores son PayTM y BigBasket.

Recientemente, el Ministerio de TI declaró "Aarogya Setu, la aplicación de seguimiento de contactos CoVID-19" como código abierto y anunció un esquema de recompensas por errores de Rs 3 lakhs. El CEO de NITI Aayog, Amitabh Kant, dijo que la aplicación se ha convertido en la aplicación más rápida del mundo al alcanzar los 50 millones de descargas en solo 13 días.

Aunque no se sabe que las empresas y organizaciones de software indias ofrezcan recompensas por errores, los piratas informáticos de la India informan errores y vulnerabilidades a gran escala.

¿Puede la caza de errores ser una opción de carrera?

La gran cantidad de programas de recompensas por errores se ofrecen en todo el mundo en varias plataformas. Muchos de los cazadores han ganado decenas o cientos de miles de dólares solo por su conocimiento y buen ojo para detectar errores y vulnerabilidades. Esto ha llevado a muchas de las personas a concentrarse en los programas de recompensas por errores y optar por ellos como su carrera de tiempo completo.

Esta es sin duda una gran oportunidad para ganar algo de dinero extra y comprar PS5 o Xbox. Pero para alguien que tiene un trabajo bien pagado con responsabilidades familiares, no debería sumergirse en la caza de insectos como su carrera de tiempo completo.

Buscar errores y reportar vulnerabilidades requiere mucho aprendizaje, esfuerzo y tiempo. Debe ser minucioso con la documentación, leer artículos de seguridad y practicar la redacción de informes. Adopta una estrategia que se adapte a ti.

A veces puede suceder que trabaje lo suficiente para descubrir un error, documentarlo e informarlo solo para saber que otro hacker ha informado el mismo error unas horas antes. Santiago López – bug hunter de Argentina ganó $ 1 millón de la plataforma HackerOne. Dijo que debe haber sido una pérdida de tiempo si alguien más hubiera informado el error antes que él. Este punto debe tenerse en cuenta antes de emprender una carrera de tiempo completo en la caza de errores.

punto de vista personal

Hoy en día, la mayoría de los dispositivos son dispositivos inteligentes y están conectados a Internet. Las empresas están priorizando la privacidad y seguridad de sus usuarios. Por lo tanto, les gustaría mantener la superficie de amenaza más baja dando la bienvenida a cualquier persona que pueda ayudarlos a proteger su sistema.

Aún así, puede que no sea una buena idea convertirse en un cazador de errores a tiempo completo si no está familiarizado con su funcionamiento. Sugiero que antes de hacer el cambio principal, debe trabajar a tiempo parcial como cazador de errores durante un año o dos.