Cacciatori di insetti

Pubblicato: 2020-03-29

L'anno 2020 ha colpito tutti in un modo o nell'altro. Mentre alcuni di noi hanno il vantaggio di lavorare da casa, ci sono persone come i lavoratori che difficilmente riescono a trovare 2 pasti al giorno. Anche le industrie su larga scala come le industrie automobilistiche sono state gravemente colpite. D'altra parte, le società IT e le multinazionali non solo sono riuscite a sopravvivere, ma hanno anche mostrato un aumento significativo delle vendite e dei profitti. Una delle aziende che è diventata popolare è Zoom. Secondo i dati forniti da Zoom, il fatturato dell'anno finanziario 2018 è stato di 121,5 milioni di dollari e nell'anno 2020 è salito a 622,7 milioni di dollari (fino al mese di maggio). Non solo le aziende, ma anche gli individui hanno guadagnato enormi profitti quest'anno.

cacciatori di insetti

Di recente ho letto un articolo in cui parlavano di hacker e cacciatori online che hanno guadagnato ricompense e prezzi in centinaia di migliaia in mezzo a questo blocco. Bhavuk Jain - un ragazzo di Delhi è riuscito a guadagnare $ 10.000 da Apple per aver trovato un bug critico nel loro sistema. Per aver identificato un bug nella piattaforma di social network di Facebook, un ragazzo di Ahmedabad è riuscito a incassare $ 31.500 come ricompensa. Quindi potrebbe sorgere una domanda: chi sono questi cacciatori e come guadagnano hackerando? Per trovare le risposte, continua a leggere.

Chi sono questi hacker?

Questi hacker sono chiamati cacciatori che trovano bug in un sistema e segnalano una debolezza della sicurezza alle organizzazioni. In cambio, l'organizzazione paga loro ricompense monetarie. Essere un cacciatore di insetti ha i suoi vantaggi. Sono quelli che rivelano le loro scoperte a un'azienda o organizzazione e vengono pagati con una buona somma o ricompense. Richiederebbe buone capacità di osservazione, buone conoscenze tecniche e buone capacità di documentazione per vincere una taglia di bug.

In precedenza, gli hacker erano soliti trovare un bug e segnalarlo nella speranza di poter ottenere un'offerta di lavoro redditizia dall'azienda. A quel tempo, una voce nella Hall of Fame dell'azienda era un'offerta abbastanza buona per la maggior parte degli hacker di allora. Oggi, tutto ciò che questi cacciatori di bug cercano è un rimborso sotto forma di ricompense monetarie in modo che possano passare al loro prossimo progetto di hacking dopo averne completato uno. Hai mai sentito parlare del termine "Bug Bounty Program"? Nell'ambito di questi programmi, le organizzazioni e le società di software offrono offerte e premi a un individuo che trova un bug o una vulnerabilità nei propri sistemi e glielo segnala. Aziende e organizzazioni come Microsoft, Google, Facebook, Reddit, ecc. hanno implementato programmi di ricompense dei bug per scoprire e risolvere i bug nel loro sistema al fine di prevenire incidenti indesiderati.

Piattaforme di tendenza per Bug Hunters

Ora parliamo di varie piattaforme di ricompense per i bug che offrono l'opportunità alle persone di guadagnare denaro extra. Queste piattaforme non sono le stesse delle tradizionali piattaforme freelance come Upwork, Fiverr o Freelancer. Sulle piattaforme freelance, è necessario fare offerte sui progetti e fare una proposta che possa convincere il cliente. Una delle cose più importanti che attrae il cliente e può eventualmente convincerlo a darti il ​​progetto è il tuo profilo e le valutazioni. Anche dopo così tanto della procedura, non è garantito che ti verrà dato il progetto.

D'altra parte, le piattaforme di bug bounty sono semplici. Le aziende e le organizzazioni caricano i loro progetti e nominano il modulo o il progetto che deve essere curato. I cacciatori, i ricercatori e gli hacker possono collegarsi online, verificare il progetto e segnalare le vulnerabilità. Inoltre, più ricercatori possono lavorare su un progetto e viceversa. Se la segnalazione inviata è valida e credibile, verrai ricompensato in base alla gravità dei bug. Si può dire che queste piattaforme di bug bounty sono aperte a tutti e qualsiasi candidato meritevole può guadagnare da queste piattaforme. Upwork stesso sta invitando i ricercatori sulla piattaforma Bugcrowd a testare le loro piattaforme freelance e a garantire che la piattaforma sia sicura e priva di vulnerabilità.

piattaforme-freelancing-vs-bug-bounty-platforms

Di seguito sono elencate alcune delle famose piattaforme di bug bounty:

folla di bugie

È una piattaforma di sicurezza con sede a San Francisco. Il suo modello di business è completamente basato su ricercatori di sicurezza informatica e crowd-sourced. Questa piattaforma funziona in modo semplice e diretto.

  • La società o l'organizzazione di software carica il proprio progetto o modulo sulla piattaforma Bugcrowd e menziona le possibili superfici di attacco che devono essere più protette. Spetta all'organizzazione che devono mantenere il programma privato o aperto alla comunità della folla.
  • Una volta che il programma è attivo, la crowd community può scoprire le vulnerabilità e segnalarle.
  • In base alla validità e gravità della segnalazione, verrai premiato.

Hanno diversi livelli per identificare la gravità del programma: da P1 a P4; P1 è il più critico.

Bugcrowd consente a un ricercatore di collaborare con altri ricercatori per lavorare su un particolare progetto e segnalarlo sulla piattaforma. È divertente tenere traccia delle tue scoperte di bug. Quindi, Bugcrowd lo fa per te. I tuoi punti di tutti i tempi e il grado tra gli altri ricercatori sono mantenuti nel tuo profilo. Se sei di natura competitiva, ti divertirai sicuramente.

HackerOne

HackerOne - una società con sede a San Francisco ha i suoi uffici sparsi in molte città come Londra, Singapore e Paesi Bassi. La sua comunità di hacker è la migliore della categoria. Ha più di 6 migliaia di hacker registrati nella loro comunità. Le aziende o le organizzazioni di HackerOne hanno accesso a una comunità di hacker diversificata e di talento. Il Dipartimento della Difesa degli Stati Uniti, Google, Intel, Lufthansa e molte altre aziende globali in tutto il mondo hanno collaborato con HackerOne.

Gli hacker di HackerOne possono ottenere e mantenere lo stato e la reputazione in classifica. Se riesci a scalare la classifica per essere tra i migliori hacker della comunità, puoi avere l'opportunità di accedere a obiettivi riservati e di essere invitato a programmi privati. Questo può aumentare la tua reputazione e farti guadagnare una buona quantità di denaro.

HackerOne è anche noto per organizzare eventi di hacking dal vivo in tutto il mondo. Ci sono programmi di tutoraggio ai loro eventi dal vivo. Questi eventi consentono ai nuovi hacker di collaborare con gli hacker esperti. Puoi lavorare insieme agli hacker esperti e puoi accelerare le tue tecniche di apprendimento e di caccia ai bug.

Synack

Synack - una società con sede in California è una piattaforma di sicurezza crowdsourcing. Synack non è semplice come HackerOne o Bugcrowd. Devi seguire una procedura e fare domanda per entrare a far parte della comunità Synack. La comunità Syncak ha ricercatori di sicurezza provenienti da 82 paesi che fanno parte del loro Synack Red Team.

In Synack, un hacker o un ricercatore può guadagnare denaro in 2 modi. Il primo è rintracciare un bug o una vulnerabilità e segnalarli. L'altro modo è completare le missioni ed essere pagato. Per questo, devi essere un membro del Synack Red Team. Devi fare domanda e cancellare diversi round per diventare un membro del Red Team. Il primo round è la valutazione delle abilità, quindi sarai invitato a un colloquio. Successivamente, verrà eseguito il controllo in background. Solo dopo aver completato questi round, puoi entrare a far parte della squadra rossa. Non accettano i candidati che hanno lavorato per altre società come Bugcrowd, HackerOne, ecc. Puoi vedere questo elenco dalla stessa politica di Synack.

Di recente, ha lanciato la piattaforma Hydra Technology. Questa tecnologia funge da moltiplicatore di forza per il Red Team. Hydra Technology cerca nuove aree di attacco e riporta i suoi dati al Red Team. Questa è stata una benedizione per la squadra rossa. Forniscono informazioni di sicurezza vitali a una velocità maggiore.

Le altre piattaforme di bug bounty sono:

  1. Taglia di cobalto
  2. Sì, hackiamo
  3. Safehat
  4. Intigri

App Aarogya Setu

Ci sono pochissime aziende in India che hanno programmi di ricompense dei bug e offrono ricompense monetarie agli hacker e ai ricercatori per aver segnalato bug o vulnerabilità. Alcune delle aziende che offrono i programmi di ricompensa dei bug sono PayTM e BigBasket.

Di recente, il ministero dell'informatica ha dichiarato open source "Aarogya Setu - l'app di tracciamento dei contatti CoVID-19" e ha annunciato uno schema di ricompense dei bug di 3 lakh di Rs. Il CEO di NITI Aayog, Amitabh Kant, ha affermato che l'app è diventata l'app più veloce al mondo a raggiungere i 50 milioni di download in soli 13 giorni.

Anche se non è noto che le società e le organizzazioni di software indiane offrano ricompense per i bug, gli hacker indiani segnalano bug e vulnerabilità su larga scala.

La caccia agli insetti può essere un'opzione di carriera?

Il gran numero di programmi di bug bounty viene offerto in tutto il mondo su varie piattaforme. Molti dei cacciatori hanno guadagnato decine o centinaia di migliaia di dollari solo grazie alla loro conoscenza e al loro occhio attento a bug e vulnerabilità. Ciò ha portato molte persone a concentrarsi sui programmi di ricompense dei bug e ad optare per la loro carriera a tempo pieno.

cacciare gli insetti come opzione di carriera

Questa è senza dubbio una grande opportunità per guadagnare qualche soldo in più e per acquistare PS5 o Xbox. Ma per qualcuno che ha un lavoro ben retribuito con responsabilità familiari, non dovrebbe dedicarsi alla caccia agli insetti come carriera a tempo pieno.

La ricerca di bug e la segnalazione di vulnerabilità richiedono molto apprendimento, sforzi e tempo. È necessario essere approfonditi con la documentazione, leggere gli articoli sulla sicurezza ed esercitarsi nella scrittura di rapporti. Adotta una strategia adatta a te.

A volte può capitare di lavorare abbastanza per scoprire un bug, documentarlo e segnalarlo solo per sapere che qualche altro hacker ha segnalato lo stesso bug qualche ora prima. Santiago Lopez bug hunter dall'Argentina ha guadagnato $ 1 milione dalla piattaforma HackerOne. Ha detto che doveva essere stata una perdita di tempo se qualcun altro avesse segnalato il bug prima di lui. Questo punto dovrebbe essere tenuto a mente prima di intraprendere una carriera a tempo pieno nella caccia agli insetti.

Punto di vista personale

Al giorno d'oggi, la maggior parte dei dispositivi sono dispositivi intelligenti e sono connessi a Internet. Le aziende stanno dando la priorità alla privacy e alla sicurezza dei propri utenti. Quindi vorrebbero mantenere la superficie delle minacce più bassa accogliendo chiunque possa aiutarli a proteggere il loro sistema.

Tuttavia, potrebbe non essere una buona idea diventare un cacciatore di bug a tempo pieno se non si ha familiarità con il suo funzionamento. Suggerisco che prima di fare il cambiamento importante, dovresti lavorare part-time come cacciatore di bug per un anno o due.