Łowcy błędów

Opublikowany: 2020-03-29

Rok 2020 w taki czy inny sposób wpłynął na wszystkich. Podczas gdy niektórzy z nas mają tę zaletę, że pracują z domu, są osoby takie jak robotnicy, którzy z trudem mogą znaleźć 2 posiłki dziennie. Poważnie ucierpiały również duże gałęzie przemysłu, takie jak przemysł motoryzacyjny. Z drugiej strony firmy IT i korporacje międzynarodowe nie tylko zdołały przetrwać, ale odnotowały znaczny wzrost sprzedaży i zysków. Jedną z firm, która stała się popularna, jest Zoom. Według danych udostępnionych przez Zoom przychody za rok finansowy 2018 wyniosły 121,5 mln USD, a w 2020 r. wzrosły do ​​622,7 mln USD (do miesiąca maja). Nie tylko firmy, ale i osoby fizyczne również zarobiły w tym roku ogromne zyski.

łowcy błędów

Niedawno przeczytałem artykuł, w którym rozmawiali o hakerach internetowych i myśliwych, którzy zdobyli nagrody i ceny w lakhach podczas tej blokady. Bhavuk Jain – facet z Delhi zdołał zarobić 10 000 dolarów od Apple za znalezienie krytycznego błędu w ich systemie. Za zidentyfikowanie błędu na platformie społecznościowej Facebooka, facetowi z Ahmedabadu udało się zapakować 31 500 dolarów jako nagrodę. Może więc pojawić się pytanie: kim są ci myśliwi i jak zarabiają na hakowaniu? Aby znaleźć odpowiedzi, czytaj dalej.

Kim są ci hakerzy?

Hakerzy ci nazywani są łowcami, którzy znajdują błędy w systemie i zgłaszają organizacjom lukę w zabezpieczeniach. W zamian organizacja wypłaca im nagrody pieniężne. Bycie łowcą błędów ma swoje zalety. To ci, którzy ujawniają swoje odkrycia firmie lub organizacji i otrzymują sporą kwotę lub nagrody. Wygranie bug bounty wymagałoby dobrych umiejętności obserwacji, dobrej wiedzy technicznej i dobrej dokumentacji.

Wcześniej hakerzy znajdowali błąd i zgłaszali go w nadziei, że dostaną lukratywną ofertę pracy od firmy. W tamtym czasie wpis do Galerii Sław firmy był wystarczająco dobrą ofertą dla większości ówczesnych hakerów. Dzisiaj wszyscy ci łowcy błędów szukają zwrotu w postaci nagród pieniężnych, aby mogli przejść do następnego projektu hakerskiego po jego ukończeniu. Słyszałeś kiedyś o określeniu „Program Bug Bounty”? W ramach tych programów organizacje i firmy programistyczne oferują oferty i nagrody osobom, które znajdą błąd lub lukę w swoich systemach i zgłoszą ją. Firmy i organizacje, takie jak Microsoft, Google, Facebook, Reddit itp., wdrożyły programy bug bounty do wykrywania i usuwania błędów w ich systemie, aby zapobiec wszelkim niechcianym incydentom.

Popularne platformy dla łowców błędów

Porozmawiajmy teraz o różnych platformach bug bounty, które dają możliwość zarobienia dodatkowej gotówki. Te platformy to nie to samo, co tradycyjne platformy freelancerskie, takie jak Upwork, Fiverr czy Freelancer. Na platformach freelancerskich musisz licytować projekty i złożyć propozycję, która przekona klienta. Jedną z najważniejszych rzeczy, która przyciąga klienta i może go ewentualnie przekonać do przekazania Ci projektu, jest Twój profil i oceny. Nawet po tak długiej procedurze nie ma gwarancji, że otrzymasz projekt.

Z drugiej strony platformy bug bounty są proste. Firmy i organizacje przesyłają swoje projekty i nazywają moduł lub projekt, którym należy się zająć. Myśliwi, badacze i hakerzy mogą wejść do sieci, sprawdzić projekt i zgłosić luki w zabezpieczeniach. Nad jednym projektem może pracować wielu badaczy i odwrotnie. Jeśli przesłane zgłoszenie jest prawidłowe i wiarygodne, zostaniesz nagrodzony na podstawie wagi błędów. Można powiedzieć, że te platformy bug bounty są otwarte dla wszystkich i każdy zasługujący na to kandydat może na nich zarabiać. Sam Upwork zaprasza badaczy platformy Bugcrowd do przetestowania swoich platform freelancerów i upewnienia się, że platforma jest bezpieczna i wolna od luk.

Freelancerskie-platformy-vs-bug-bounty-platformy

Oto niektóre z dobrze znanych platform bug bounty:

Tłum robali

Jest to platforma bezpieczeństwa z siedzibą w San Francisco. Jej model biznesowy jest całkowicie oparty na crowdsourcingowych badaczach bezpieczeństwa i cyberbezpieczeństwa. Ta platforma działa w prosty i bezpośredni sposób.

  • Firma programistyczna lub organizacja przesyła swój projekt lub moduł na platformę Bugcrowd i wspomina o możliwych powierzchniach ataku, które muszą być lepiej zabezpieczone. To od organizacji zależy, czy program będzie prywatny lub otwarty dla społeczności.
  • Po uruchomieniu programu społeczność tłumu może odkryć luki w zabezpieczeniach i je zgłosić.
  • W oparciu o ważność i wagę zgłoszenia zostaniesz nagrodzony.

Mają różne poziomy do określenia powagi programu: P1 do P4; Najważniejszy jest P1.

Bugcrowd umożliwia badaczowi współpracę z innymi badaczami w celu pracy nad konkretnym projektem i zgłaszania go na platformie. Fajnie jest śledzić swoje odkryte błędy. Więc Bugcrowd robi to za ciebie. Twoje punkty wszechczasów i pozycja wśród innych badaczy są utrzymywane w Twoim profilu. Jeśli masz naturę konkurencyjną, na pewno ci się to spodoba.

Haker Jeden

HackerOne – firma z siedzibą w San Francisco ma swoje biuro w wielu miastach, takich jak Londyn, Singapur i Holandia. Jego społeczność hakerów jest najlepsza w swojej klasie. Ma ponad 6 tysięcy hakerów zarejestrowanych w ich społeczności. Firmy lub organizacje w HackerOne uzyskują dostęp do zróżnicowanej i utalentowanej społeczności hakerów. Departament Obrony USA, Google, Intel, Lufthansa i wiele innych globalnych firm na całym świecie nawiązało współpracę z HackerOne.

Hakerzy w HackerOne mogą zdobywać i utrzymywać status i reputację w tabeli liderów. Jeśli uda Ci się złamać tabelę liderów, aby znaleźć się wśród najlepszych hakerów w społeczności, możesz uzyskać dostęp do poufnych celów i zostać zaproszonym do prywatnych programów. To może zwiększyć twoją reputację i zapewnić ci niezłą ilość gotówki.

HackerOne jest również znany z organizowania wydarzeń hakerskich na żywo na całym świecie. Podczas wydarzeń na żywo odbywają się programy mentorskie. Wydarzenia te pozwalają nowym hakerom współpracować z wykwalifikowanymi hakerami. Możesz pracować razem z wykwalifikowanymi hakerami i przyspieszyć naukę i techniki polowania na błędy.

Synack

Synack – kalifornijska firma to platforma bezpieczeństwa oparta na crowdsourcingu. Synack nie jest tak prosty jak HackerOne czy Bugcrowd. Aby zostać częścią społeczności Synack, musisz postępować zgodnie z procedurą i złożyć wniosek. Społeczność Syncak ma badaczy bezpieczeństwa z 82 krajów, którzy są częścią ich zespołu Synack Red.

W firmie Synack haker lub badacz może zarabiać pieniądze na 2 sposoby. Pierwszym z nich jest wyśledzenie błędu lub luki w zabezpieczeniach i zgłoszenie ich. Innym sposobem jest ukończenie misji i otrzymanie zapłaty. W tym celu musisz być członkiem zespołu Synack Red. Aby zostać członkiem Czerwonej Drużyny, musisz zgłaszać się i usuwać różne rundy. Pierwsza runda to ocena umiejętności, następnie zostaniesz zaproszony na rozmowę kwalifikacyjną. Następnie zostanie wykonane sprawdzenie przeszłości. Dopiero po wyczyszczeniu tych rund możesz zostać częścią Czerwonej Drużyny. Nie akceptują kandydatów, którzy pracowali dla innych firm, takich jak Bugcrowd, HackerOne itp. Możesz zobaczyć tę listę z samej polityki Synack.

Niedawno uruchomiła platformę Hydra Technology. Ta technologia działa jak mnożnik siły dla Czerwonej Drużyny. Hydra Technology szuka nowych obszarów ataku i przekazuje swoje dane Red Team. To było błogosławieństwo dla Czerwonej Drużyny. W szybszym tempie dostarczają kluczowe informacje dotyczące bezpieczeństwa.

Inne platformy bug bounty to:

  1. Kobaltowe zlecenie robactwa
  2. Tak, hakujemy
  3. Bezpieczne kapelusze
  4. Intigriti

Aplikacja Aarogya Setu

W Indiach jest bardzo niewiele firm, które mają programy bug bounty i oferują hakerom i badaczom nagrody pieniężne za zgłaszanie błędów lub luk w zabezpieczeniach. Niektóre z firm oferujących programy bug bounty to PayTM i BigBasket.

Niedawno Ministerstwo IT ogłosiło „Aarogya Setu – aplikacja do śledzenia kontaktów CoVID-19” jako open source i ogłosiło system nagród za błędy w wysokości 3 lakhów. Dyrektor generalny NITI Aayog, Amitabh Kant, powiedział, że aplikacja stała się najszybszą aplikacją na świecie, która osiągnęła 50 milionów pobrań w ciągu zaledwie 13 dni.

Chociaż indyjskie firmy i organizacje zajmujące się oprogramowaniem nie są znane z oferowania nagród za błędy, hakerzy z Indii zgłaszają błędy i luki w zabezpieczeniach na dużą skalę.

Czy polowanie na robaki może być opcją kariery?

Duża liczba programów bug bounty jest oferowana na całym świecie na różnych platformach. Wielu myśliwych zarobiło dziesiątki lub setki tysięcy dolarów tylko dzięki swojej wiedzy i wyczuciu błędów i słabych punktów. Skłoniło to wiele osób do skoncentrowania się na programach bug bounty i wybrania ich jako pełnoetatowej kariery.

polowanie-na-robaki-jako-kariera-opcja

To bez wątpienia świetna okazja do zarobienia dodatkowej gotówki i zakupu PS5 lub Xboksa. Ale dla kogoś, kto ma dobrze płatną pracę z obowiązkami rodzinnymi, nie powinien nurkować w polowaniu na owady jako pełnoetatowa kariera.

Wykrywanie błędów i zgłaszanie luk w zabezpieczeniach wymaga dużo nauki, wysiłku i czasu. Musisz dokładnie zapoznać się z dokumentacją, czytać artykuły dotyczące bezpieczeństwa i ćwiczyć pisanie raportów. Przyjmij strategię, która Ci odpowiada.

Czasami może się zdarzyć, że pracujesz wystarczająco ciężko, aby odkryć błąd, udokumentować i zgłosić go tylko po to, by wiedzieć, że inny haker zgłosił ten sam błąd kilka godzin wcześniej. Santiago Lopez łowca błędów z Argentyny zarobił 1 milion dolarów na platformie HackerOne. Powiedział, że to musiała być strata czasu, jeśli ktoś inny zgłosił błąd wcześniej niż on. Należy o tym pamiętać przed rozpoczęciem pełnej kariery w polowaniu na robaki.

Osobisty punkt widzenia

Obecnie większość urządzeń to urządzenia inteligentne i są połączone z Internetem. Firmy priorytetowo traktują prywatność i bezpieczeństwo swoich użytkowników. Chcieliby więc zmniejszyć powierzchnię zagrożenia, witając każdego, kto może pomóc im zabezpieczyć ich system.

Nadal może nie być dobrym pomysłem zostanie pełnoetatowym łowcą błędów, jeśli nie znasz jego działania. Sugeruję, abyś przed dokonaniem głównej zmiany pracował na pół etatu jako łowca błędów przez rok lub dwa.