버그 헌터

게시 됨: 2020-03-29

2020년은 어떤 식으로든 모든 사람에게 영향을 미쳤습니다. 재택근무의 장점이 있는 사람도 있지만, 직장인처럼 하루 두 끼 식사가 어려운 사람도 있습니다. 자동차 산업과 같은 대규모 산업도 심각한 영향을 받았습니다. 반면 IT 기업과 다국적 기업은 살아남았을 뿐만 아니라 매출과 이익도 크게 늘었다. 인기를 얻은 회사 중 하나는 Zoom입니다. Zoom이 제공한 데이터에 따르면 2018 회계연도의 수익은 1억 2,150만 달러였으며 2020년에는 6억 2,270만 달러(5월까지)로 증가했습니다. 올해는 기업뿐만 아니라 개인도 적지 않은 이익을 얻었다.

버그 헌터

최근에 나는 이 잠금 속에서 수천만 달러의 보상과 가격을 얻은 온라인 해커와 헌터에 대해 이야기한 기사를 읽었습니다. Bhavuk Jain – 델리의 한 남자는 시스템에서 중요한 버그를 찾아 Apple로부터 10,000달러를 벌었습니다. Facebook의 소셜 네트워킹 플랫폼에서 버그를 식별하기 위해 Ahmedabad의 한 남자는 보상으로 31,500달러를 가방에 넣었습니다. 따라서 이러한 사냥꾼이 누구이며 해킹으로 어떻게 수익을 올릴 수 있는지에 대한 질문이 제기될 수 있습니다. 답을 찾으려면 계속 읽으십시오.

이 해커들은 누구입니까?

이러한 해커는 시스템에서 버그를 찾아 조직에 보안 취약점을 보고하는 헌터라고 합니다. 그 대가로 조직은 그들에게 금전적 보상을 지급합니다. 버그 헌터가 되는 것은 나름대로의 이점이 있습니다. 자신의 발견을 회사나 단체에 공개하고 좋은 액수나 보상을 받는 사람들입니다. 버그 현상금을 받으려면 우수한 관찰 기술, 우수한 기술 지식 및 우수한 문서화 기술이 필요합니다.

이전에 해커들은 버그를 찾아보고 회사에서 유리한 일자리를 얻을 수 있기를 희망했습니다. 그 당시 회사 명예의 전당에 입성하는 것은 당시 대부분의 해커들에게 충분히 좋은 제안이었습니다. 오늘날 이 버그 헌터가 찾고 있는 모든 것은 금전적 보상의 형태로 보상을 제공하여 완료한 후 다음 해킹 프로젝트로 이동할 수 있도록 하는 것입니다. "버그 바운티 프로그램"이라는 용어에 대해 들어본 적이 있습니까? 이 프로그램에 따라 조직 및 소프트웨어 회사는 시스템에서 버그나 취약점을 발견하고 보고하는 개인에게 거래 및 보상을 제공합니다. Microsoft, Google, Facebook, Reddit 등과 같은 회사 및 조직은 원치 않는 사고를 방지하기 위해 시스템의 버그를 발견하고 해결하기 위해 버그 현상금 프로그램을 구현했습니다.

버그 헌터를 위한 트렌드 플랫폼

이제 개인이 추가 현금을 벌 수 있는 기회를 제공하는 다양한 버그 현상금 관리 플랫폼에 대해 이야기해 보겠습니다. 이러한 플랫폼은 Upwork, Fiverr 또는 Freelancer와 같은 기존의 프리랜서 플랫폼과 동일하지 않습니다. 프리랜서 플랫폼에서는 프로젝트에 입찰하고 클라이언트를 설득할 수 있는 제안을 해야 합니다. 클라이언트를 끌어들이고 그들이 당신에게 프로젝트를 제공하도록 설득할 수 있는 가장 중요한 것 중 하나는 당신의 프로필과 평가입니다. 많은 절차를 거친 후에도 프로젝트가 제공된다는 보장은 없습니다.

반면에 버그 현상금 플랫폼은 간단합니다. 회사와 조직은 프로젝트를 업로드하고 처리해야 할 모듈 또는 프로젝트의 이름을 지정합니다. 사냥꾼, 연구원 및 해커는 온라인에 접속하여 프로젝트를 확인하고 취약점을 보고할 수 있습니다. 또한 여러 연구원이 하나의 프로젝트에서 작업할 수 있으며 그 반대의 경우도 마찬가지입니다. 제출한 보고서가 유효하고 신뢰할 수 있는 경우 버그의 심각도에 따라 보상을 받게 됩니다. 이러한 버그 바운티 플랫폼은 모든 사람에게 열려 있으며 자격이 있는 모든 후보자는 이러한 플랫폼에서 수익을 올릴 수 있습니다. Upwork 자체는 Bugcrowd 플랫폼의 연구원들을 초대하여 프리랜서 플랫폼을 테스트하고 플랫폼이 안전하고 취약점이 없는지 확인하도록 합니다.

프리랜서-플랫폼-대-버그-바운티-플랫폼

다음은 잘 알려진 버그 현상금 플랫폼 중 일부입니다.

버그 크라우드

샌프란시스코에 기반을 둔 보안 플랫폼입니다. 비즈니스 모델은 완전히 크라우드 소싱 보안 및 사이버 보안 연구원을 기반으로 합니다. 이 플랫폼은 간단하고 직관적인 방식으로 작동합니다.

  • 소프트웨어 회사 또는 조직은 Bugcrowd 플랫폼에 프로젝트 또는 모듈을 업로드하고 더 보안이 필요한 가능한 공격 표면을 언급합니다. 프로그램을 비공개로 유지하거나 군중 커뮤니티에 공개해야 하는 것은 조직에 달려 있습니다.
  • 프로그램이 실행되면 군중 커뮤니티에서 취약점을 발견하고 보고할 수 있습니다.
  • 보고서의 유효성과 심각도에 따라 보상을 받게 됩니다.

프로그램의 심각도를 식별하기 위해 P1에서 P4까지의 레벨이 있습니다. P1이 가장 중요한 것입니다.

Bugcrowd를 사용하면 연구원이 다른 연구원과 협력하여 특정 프로젝트에서 작업하고 플랫폼에 보고할 수 있습니다. 버그 발견을 추적하는 것은 재미있습니다. 따라서 Bugcrowd가 이 작업을 수행합니다. 귀하의 모든 시간 포인트와 다른 연구원 사이의 순위는 귀하의 프로필에 유지됩니다. 당신이 경쟁적인 성격을 가지고 있다면, 당신은 확실히 이것을 즐길 것입니다.

해커원

HackerOne – 샌프란시스코에 기반을 둔 회사는 런던, 싱가포르, 네덜란드와 같은 많은 도시에 사무실을 두고 있습니다. 해커 커뮤니티는 동급 최고입니다. 커뮤니티에 등록된 해커는 600만 명이 넘습니다. HackerOne의 회사 또는 조직은 다양하고 재능 있는 해커 커뮤니티에 액세스할 수 있습니다. 미국 국방부, Google, Intel, Lufthansa 및 전 세계의 많은 글로벌 기업이 HackerOne과 파트너십을 맺었습니다.

HackerOne의 해커는 순위표에서 지위와 평판을 얻고 유지할 수 있습니다. 커뮤니티의 최고 해커 중 한 명이 되도록 리더보드를 깨는 데 성공하면 기밀 대상에 액세스하고 비공개 프로그램에 초대받을 수 있습니다. 이것은 당신의 평판을 높이고 상당한 양의 현금을 얻을 수 있습니다.

HackerOne은 전 세계에서 라이브 해킹 이벤트를 주최하는 것으로도 유명합니다. 그들의 라이브 이벤트에는 멘토링 프로그램이 있습니다. 이러한 이벤트를 통해 새로운 해커는 숙련된 해커와 파트너 관계를 맺을 수 있습니다. 숙련된 해커와 협력하여 학습 및 버그 사냥 기술을 가속화할 수 있습니다.

시낙

Synack – 캘리포니아에 기반을 둔 회사는 크라우드 소싱 보안 플랫폼입니다. Synack은 HackerOne이나 Bugcrowd만큼 간단하지 않습니다. Synack 커뮤니티의 일원이 되려면 절차를 따르고 지원해야 합니다. Syncak 커뮤니티에는 Synack Red Team의 일부인 82개국의 보안 연구원이 있습니다.

Synack에서 해커나 연구원은 두 가지 방법으로 돈을 벌 수 있습니다. 첫 번째는 버그나 취약점을 추적하여 보고하는 것입니다. 다른 방법은 미션을 완료하고 돈을 받는 것입니다. 이를 위해서는 Synack Red Team의 구성원이어야 합니다. 레드팀의 일원이 되려면 다양한 라운드를 신청하고 클리어해야 합니다. 첫 번째 라운드는 기술 평가이며, 그 다음 인터뷰에 초대됩니다. 그 후, 귀하의 백그라운드 확인이 완료됩니다. 이 라운드를 클리어해야만 레드팀의 일원이 될 수 있습니다. 그들은 Bugcrowd, HackerOne 등과 같은 다른 회사에서 근무한 후보자를 수락하지 않습니다. 이 목록은 Synack 정책 자체에서 볼 수 있습니다.

최근에는 Hydra Technology 플랫폼을 출시했습니다. 이 기술은 레드 팀의 전력 배율 역할을 합니다. Hydra Technology는 새로운 공격 영역을 찾고 해당 데이터를 레드팀에 보고합니다. 이것은 레드팀에게 축복이 되었습니다. 그들은 더 빠른 속도로 중요한 보안 인텔리전스를 제공합니다.

다른 버그 현상금 플랫폼은 다음과 같습니다.

  1. 코발트 버그 현상금
  2. 예 우리는 해킹
  3. 안전모
  4. 인티그리티

아로기아 세투 앱

인도에는 버그 포상금 프로그램이 있고 버그나 취약점을 보고한 해커와 연구원에게 금전적 보상을 제공하는 회사가 거의 없습니다. 버그 현상금 프로그램을 제공하는 회사 중 일부는 PayTM 및 BigBasket입니다.

최근 정보통신부는 “Aarogya Setu – CoVID-19 접촉자 추적 앱”을 오픈 소스로 선언하고 Rs 3 lakhs의 버그 포상금 제도를 발표했습니다. NITI Aayog CEO Amitabh Kant는 앱이 13일 만에 5천만 다운로드에 도달한 세계에서 가장 빠른 앱이 되었다고 말했습니다.

인도의 소프트웨어 회사와 조직이 버그 포상금을 제공하는 것으로 알려져 있지 않지만 인도의 해커는 대규모로 버그와 취약점을 보고하고 있습니다.

버그 사냥이 직업 선택이 될 수 있습니까?

수많은 버그 바운티 프로그램이 다양한 플랫폼에서 전 세계적으로 제공되고 있습니다. 많은 사냥꾼들이 버그와 취약점에 대한 지식과 예리한 눈으로 수만 또는 수십만 달러를 벌었습니다. 이로 인해 많은 개인이 버그 현상금 프로그램에 집중하고 이를 정규직으로 선택했습니다.

직업 옵션으로 사냥 벌레

이것은 의심의 여지 없이 추가 현금을 벌고 PS5 또는 Xbox를 구입할 수 있는 좋은 기회입니다. 그러나 가족 책임과 함께 돈을 많이 버는 직업을 가진 사람의 경우 풀타임 직업으로 벌레 사냥에 뛰어들어서는 안 됩니다.

버그를 찾아내고 취약점을 보고하려면 많은 학습, 노력 및 시간이 필요합니다. 문서를 철저히 읽고 보안 기사를 읽고 보고서 작성을 연습해야 합니다. 자신에게 맞는 전략을 채택하십시오.

때때로 다른 해커가 몇 시간 전에 같은 버그를 보고했다는 사실을 알기 위해 버그를 발견하고 문서화하고 보고하기 위해 열심히 노력하는 경우가 있습니다. 산티아고 로페즈 아르헨티나의 버그 헌터는 HackerOne 플랫폼에서 100만 달러를 벌었습니다. 그는 다른 누군가가 그보다 일찍 버그를 보고했다면 시간 낭비였을 것이라고 말했습니다. 버그 헌팅에서 정규직으로 일하기 전에 이 점을 염두에 두어야 합니다.

개인적인 관점

오늘날 대부분의 기기는 스마트 기기이며 인터넷에 연결되어 있습니다. 회사는 사용자의 개인 정보와 보안을 우선시합니다. 따라서 그들은 시스템 보안을 도울 수 있는 모든 사람을 환영함으로써 위협 표면을 더 낮게 유지하고자 합니다.

그래도 작업에 익숙하지 않은 경우 풀타임 버그 헌터가 되는 것은 좋은 생각이 아닐 수도 있습니다. 주요 전환을 하기 전에 1~2년 동안 버그 헌터로 아르바이트를 하는 것이 좋습니다.