Охотники за ошибками

Опубликовано: 2020-03-29

2020 год так или иначе повлиял на всех. В то время как у некоторых из нас есть преимущество работать из дома, есть люди, такие как чернорабочие, которые едва могут найти 2 приема пищи в день. Крупные отрасли промышленности, такие как автомобилестроение, также сильно пострадали. С другой стороны, ИТ-компании и ТНК не только сумели выжить, но и продемонстрировали значительный рост продаж и прибыли. Одна из компаний, которая стала популярной, — Zoom. Согласно данным, предоставленным Zoom, выручка за 2018 финансовый год составила 121,5 миллиона долларов, а в 2020 году она увеличилась до 622,7 миллиона долларов (до мая). Не только компании, но и частные лица также получили огромную прибыль в этом году.

охотники за ошибками

Недавно я прочитал статью, в которой рассказывалось об онлайн-хакерах и охотниках, которые заработали награды и цены в сотни миллионов долларов во время этой изоляции. Бхавук Джейн — парень из Дели сумел заработать 10 000 долларов от Apple за то, что нашел критическую ошибку в их системе. За выявление ошибки в платформе социальной сети Facebook парню из Ахмедабада удалось получить в качестве вознаграждения 31 500 долларов. Так что может возникнуть вопрос: кто такие охотники и как они зарабатывают на взломе? Чтобы найти ответы, продолжайте читать.

Кто эти хакеры?

Этих хакеров называют охотниками, которые находят ошибки в системе и сообщают организациям о недостатках безопасности. Взамен организация выплачивает им денежное вознаграждение. Быть охотником за ошибками имеет свои преимущества. Это те, кто раскрывает свои открытия компании или организации и получает хорошую сумму или вознаграждение. Чтобы выиграть вознаграждение за обнаружение ошибок, потребуются хорошие навыки наблюдения, хорошие технические знания и хорошие навыки ведения документации.

Ранее хакеры находили ошибку и сообщали о ней в надежде получить выгодное предложение о работе от компании. В то время вход в Зал славы компании был достаточно хорошим предложением для большинства тогдашних хакеров. Сегодня все эти охотники за ошибками ищут расплату в виде денежного вознаграждения, чтобы они могли перейти к следующему хакерскому проекту после завершения предыдущего. Вы когда-нибудь слышали о термине «Программа Bug Bounty»? В рамках этих программ организации и компании-разработчики программного обеспечения предлагают сделки и вознаграждения лицам, обнаружившим ошибку или уязвимость в их системах и сообщившим им об этом. Компании и организации, такие как Microsoft, Google, Facebook, Reddit и т. д., внедрили программы вознаграждения за обнаружение и устранение ошибок в своей системе, чтобы предотвратить любые нежелательные инциденты.

Популярные платформы для охотников за ошибками

Теперь давайте поговорим о различных платформах по поиску ошибок, предоставляющих людям возможность заработать дополнительные деньги. Эти платформы отличаются от традиционных фриланс-платформ, таких как Upwork, Fiverr или Freelancer. На платформах для фрилансеров вам нужно делать ставки на проекты и делать предложение, которое сможет убедить клиента. Одна из самых важных вещей, которая привлекает клиента и, возможно, может убедить его отдать вам проект, — это ваш профиль и рейтинги. Даже после стольких процедур нет гарантии, что вам дадут проект.

С другой стороны, платформы Bug Bounty просты. Компании и организации загружают свои проекты и называют модуль или проект, о котором нужно позаботиться. Охотники, исследователи и хакеры могут выходить в интернет, проверять проект и сообщать об уязвимостях. Кроме того, над одним проектом могут работать несколько исследователей и наоборот. Если ваш отправленный отчет действителен и заслуживает доверия, вы будете вознаграждены в зависимости от серьезности ошибок. Можно сказать, что эти платформы Bug Bounty открыты для всех, и любой достойный кандидат может зарабатывать на этих платформах. Сам Upwork приглашает исследователей платформы Bugcrowd протестировать свои платформы для фрилансеров и убедиться, что платформа безопасна и не содержит уязвимостей.

фриланс-платформы-против-баг-баунти-платформ

Ниже приведены некоторые из известных платформ Bug Bounty:

Багкрауд

Это платформа безопасности, базирующаяся в Сан-Франциско. Его бизнес-модель полностью основана на краудсорсинге исследователей безопасности и кибербезопасности. Эта платформа работает просто и понятно.

  • Компания или организация, занимающаяся разработкой программного обеспечения, загружает свой проект или модуль на платформу Bugcrowd и упоминает возможные поверхности атак, которые необходимо защитить. Организация должна держать программу закрытой или открытой для сообщества толпы.
  • Как только программа запущена, сообщество толпы может обнаружить уязвимости и сообщить о них.
  • В зависимости от достоверности и серьезности отчета вы будете вознаграждены.

Они имеют разные уровни для определения серьезности программы: от P1 до P4; P1 является наиболее критичным.

Bugcrowd позволяет исследователю сотрудничать с другими исследователями для работы над конкретным проектом и сообщения о нем на платформе. Приятно следить за обнаруженными вами ошибками. Итак, Bugcrowd делает это за вас. Ваши баллы за все время и рейтинг среди других исследователей сохраняются в вашем профиле. Если у вас соревновательный характер, вам это обязательно понравится.

ХакерУан

HackerOne — компания из Сан-Франциско, офисы которой расположены во многих городах, таких как Лондон, Сингапур и Нидерланды. Его хакерское сообщество является лучшим в своем классе. В его сообществе зарегистрировано более 6 тысяч хакеров. Компании или организации в HackerOne получают доступ к разнообразному и талантливому сообществу хакеров. Министерство обороны США, Google, Intel, Lufthansa и многие другие глобальные компании по всему миру сотрудничают с HackerOne.

Хакеры в HackerOne могут получать и поддерживать статус и репутацию в таблице лидеров. Если вам удастся взломать таблицу лидеров и попасть в число лучших хакеров сообщества, вы сможете получить доступ к конфиденциальным целям и получить приглашение в частные программы. Это может повысить вашу репутацию и принести вам хорошую сумму денег.

HackerOne также известен организацией живых хакерских мероприятий по всему миру. На их живых мероприятиях есть программы наставничества. Эти мероприятия позволяют новым хакерам сотрудничать с опытными хакерами. Вы можете работать рука об руку с опытными хакерами и можете ускорить свое обучение и методы поиска ошибок.

Синак

Synack — калифорнийская компания, представляющая собой краудсорсинговую платформу безопасности. Synack не так прост, как HackerOne или Bugcrowd. Вам необходимо выполнить процедуру и подать заявку, чтобы стать частью сообщества Synack. В сообществе Syncak есть исследователи безопасности из 82 стран, которые являются частью их команды Synack Red Team.

В Synack хакер или исследователь может зарабатывать деньги двумя способами. Первый — отследить ошибку или уязвимость и сообщить о них. Другой способ — выполнять миссии и получать деньги. Для этого вам нужно быть членом команды Synack Red. Вы должны подать заявку и пройти различные раунды, чтобы стать членом Красной команды. Самый первый тур — это оценка навыков, затем вас пригласят на собеседование. После этого будет проведена проверка ваших данных. Только пройдя эти раунды, вы сможете стать частью Красной команды. Они не принимают кандидатов, которые работали в других компаниях, таких как Bugcrowd, HackerOne и т. д. Вы можете увидеть этот список в самой политике Synack.

Недавно он запустил платформу Hydra Technology. Эта технология действует как множитель силы для Красной команды. Hydra Technology ищет новые зоны атаки и сообщает свои данные Красной команде. Это было благословением для Красной команды. Они быстрее предоставляют жизненно важную информацию о безопасности.

Другие платформы Bug Bounty:

  1. Кобальтовая награда за жуков
  2. Да, мы взламываем
  3. Защитные шляпы
  4. Интигрити

Приложение Аарогья Сету

В Индии очень мало компаний, которые имеют программы вознаграждения за обнаружение ошибок и предлагают денежные вознаграждения хакерам и исследователям за сообщения об ошибках или уязвимостях. Некоторыми из компаний, предлагающих программы вознаграждения за обнаружение ошибок, являются PayTM и BigBasket.

Недавно министерство информационных технологий объявило «Aarogya Setu — приложение для отслеживания контактов CoVID-19» с открытым исходным кодом и объявило о программе вознаграждения за обнаружение ошибок в размере 3 лакхов. Генеральный директор NITI Aayog Амитабх Кант сказал, что это приложение стало самым быстрым в мире: его скачали 50 миллионов раз всего за 13 дней.

Несмотря на то, что индийские софтверные компании и организации, как известно, не предлагают вознаграждение за обнаружение ошибок, индийские хакеры сообщают об ошибках и уязвимостях в больших масштабах.

Может ли охота на жуков стать вариантом карьеры?

Большое количество программ вознаграждения за обнаружение ошибок предлагается по всему миру на различных платформах. Многие из охотников заработали десятки или сотни тысяч долларов только благодаря своим знаниям и внимательному отношению к ошибкам и уязвимостям. Это привело к тому, что многие люди сосредоточились на программах вознаграждения за ошибки и выбрали их в качестве своей основной карьеры.

охота на жуков как вариант карьеры

Это, без сомнения, отличная возможность заработать дополнительные деньги и купить PS5 или Xbox. Но для тех, кто имеет хорошо оплачиваемую работу с семейными обязанностями, они не должны погружаться в охоту за жуками в качестве своей основной карьеры.

Выявление ошибок и сообщение об уязвимостях требует много обучения, усилий и времени. Вы должны тщательно изучить документацию, прочитать статьи по безопасности и попрактиковаться в написании отчетов. Примите стратегию, которая вам подходит.

Иногда может случиться так, что вы достаточно усердно работаете, чтобы обнаружить ошибку, задокументировать ее и сообщить о ней только для того, чтобы знать, что какой-то другой хакер сообщил о той же ошибке несколькими часами ранее. Сантьяго Лопес охотник за ошибками из Аргентины заработал 1 миллион долларов на платформе HackerOne. Он сказал, что, должно быть, было бы пустой тратой времени, если бы кто-то другой сообщил об ошибке раньше него. Этот момент следует иметь в виду, прежде чем полностью посвятить себя поиску ошибок.

Личная точка зрения

В настоящее время большинство устройств являются интеллектуальными устройствами и подключены к Интернету. Компании отдают приоритет конфиденциальности и безопасности своих пользователей. Поэтому они хотели бы уменьшить поверхность угроз, приветствуя всех, кто может помочь им защитить их систему.

Тем не менее, может быть не очень хорошей идеей стать охотником за ошибками на полный рабочий день, если вы не знакомы с его работой. Я предлагаю, прежде чем сделать серьезный переход, вы должны поработать неполный рабочий день в качестве охотника за ошибками в течение года или двух.