นักล่าแมลง

เผยแพร่แล้ว: 2020-03-29

ปี 2020 ได้ส่งผลกระทบต่อทุกคนไม่ทางใดก็ทางหนึ่ง ในขณะที่พวกเราบางคนมีความได้เปรียบในการทำงานจากที่บ้าน แต่ก็มีคนเช่นแรงงานที่แทบจะไม่สามารถหาอาหารได้ 2 มื้อต่อวัน อุตสาหกรรมขนาดใหญ่เช่นอุตสาหกรรมยานยนต์ได้รับผลกระทบอย่างรุนแรงเช่นกัน ในทางกลับกัน บริษัทไอทีและบรรษัทข้ามชาติไม่เพียงแต่สามารถอยู่รอดได้เท่านั้น แต่ยังแสดงยอดขายและผลกำไรที่เพิ่มขึ้นอย่างมากอีกด้วย หนึ่งในบริษัทที่ได้รับความนิยมคือ Zoom ตามข้อมูลของ Zoom รายได้สำหรับปีการเงิน 2018 อยู่ที่ 121.5 ล้านดอลลาร์ และในปี 2020 ได้เพิ่มขึ้นเป็น 622.7 ล้านดอลลาร์ (จนถึงเดือนพฤษภาคม) ไม่เพียงแต่บริษัทเท่านั้น แต่ยังได้รับผลกำไรมหาศาลในปีนี้อีกด้วย

นักล่าแมลง

เมื่อเร็ว ๆ นี้ฉันได้อ่านบทความที่พวกเขาพูดคุยเกี่ยวกับแฮ็กเกอร์และนักล่าออนไลน์ซึ่งได้รับรางวัลและราคาเป็นแสนในช่วงการปิดเมืองนี้ Bhavuk Jain – ผู้ชายจากเดลีสามารถหารายได้ $10,000 จาก Apple จากการพบจุดบกพร่องที่สำคัญในระบบของพวกเขา สำหรับการระบุจุดบกพร่องในแพลตฟอร์มโซเชียลเน็ตเวิร์กของ Facebook ผู้ชายจาก Ahmedabad ได้รับรางวัล 31,500 ดอลลาร์เป็นรางวัล ดังนั้น จึงมีคำถามเกิดขึ้น: ใครคือนักล่าเหล่านี้ และพวกเขาหารายได้จากการแฮ็กได้อย่างไร? หากต้องการค้นหาคำตอบ อ่านต่อ

แฮกเกอร์เหล่านี้คือใคร?

แฮกเกอร์เหล่านี้เรียกว่านักล่าซึ่งพบข้อบกพร่องในระบบและรายงานจุดอ่อนด้านความปลอดภัยต่อองค์กร ในทางกลับกัน องค์กรจะจ่ายเงินรางวัลให้พวกเขา การเป็นนักล่าแมลงมีประโยชน์ในตัวเอง พวกเขาคือผู้ที่เปิดเผยการค้นพบของตนต่อบริษัทหรือองค์กร และรับเงินเป็นจำนวนหรือรางวัลที่ดี จำเป็นต้องมีทักษะการสังเกตที่ดี ความรู้ด้านเทคนิคที่ดีและทักษะด้านเอกสารที่ดีจึงจะได้รับรางวัลบั๊ก

ก่อนหน้านี้ แฮกเกอร์เคยพบจุดบกพร่องและรายงานโดยหวังว่าจะได้รับข้อเสนองานที่มีกำไรจากบริษัท ในเวลานั้น การเข้าสู่ Hall of Fame ของบริษัทเป็นข้อเสนอที่ดีเพียงพอสำหรับแฮ็กเกอร์ส่วนใหญ่ในตอนนั้น วันนี้นักล่าแมลงเหล่านี้กำลังมองหาการคืนทุนในรูปของรางวัลทางการเงินเพื่อให้พวกเขาสามารถย้ายไปที่โครงการแฮ็คต่อไปได้หลังจากทำเสร็จแล้ว เคยได้ยินคำว่า “Bug Bounty Program” ไหม? ภายใต้โปรแกรมเหล่านี้ องค์กรและบริษัทซอฟต์แวร์เสนอข้อเสนอและรางวัลให้กับบุคคลที่พบจุดบกพร่องหรือจุดอ่อนในระบบของตนและรายงานต่อพวกเขา บริษัทและองค์กรต่างๆ เช่น Microsoft, Google, Facebook, Reddit เป็นต้น ได้ใช้โปรแกรม Bug Bounty เพื่อค้นหาและแก้ไขจุดบกพร่องในระบบของตน เพื่อป้องกันเหตุการณ์ไม่พึงประสงค์ใดๆ

แพลตฟอร์มมาแรงสำหรับนักล่าแมลง

ตอนนี้ให้เราพูดถึงแพลตฟอร์มการให้รางวัลบั๊กต่างๆ ที่ให้โอกาสแก่บุคคลในการหารายได้พิเศษ แพลตฟอร์มเหล่านี้ไม่เหมือนกับแพลตฟอร์มฟรีแลนซ์แบบดั้งเดิม เช่น Upwork, Fiverr หรือ Freelancer บนแพลตฟอร์มฟรีแลนซ์ คุณต้องเสนอราคาในโครงการและทำข้อเสนอที่สามารถโน้มน้าวใจลูกค้าได้ สิ่งสำคัญที่สุดประการหนึ่งที่ดึงดูดลูกค้าและสามารถโน้มน้าวให้พวกเขาให้โครงการแก่คุณได้คือโปรไฟล์และการให้คะแนนของคุณ แม้หลังจากผ่านขั้นตอนมากไปแล้ว ก็ไม่รับประกันว่าคุณจะได้รับโครงการ

ในทางกลับกัน แพลตฟอร์ม Bug Bounty นั้นเรียบง่าย บริษัทและองค์กรต่างๆ อัปโหลดโครงการและตั้งชื่อโมดูลหรือโครงการที่ต้องได้รับการดูแล นักล่า นักวิจัย และแฮกเกอร์สามารถออนไลน์ ตรวจสอบโครงการ และรายงานช่องโหว่ นอกจากนี้ นักวิจัยหลายคนสามารถทำงานในโครงการเดียวและในทางกลับกัน หากรายงานที่ส่งของคุณถูกต้องและน่าเชื่อถือ คุณจะได้รับรางวัลตามความรุนแรงของข้อบกพร่อง สามารถพูดได้ว่าแพลตฟอร์ม Bug Bounty เหล่านี้เปิดกว้างสำหรับทุกคนและผู้สมัครที่สมควรได้รับสามารถได้รับจากแพลตฟอร์มเหล่านี้ Upwork เองกำลังเชิญนักวิจัยบนแพลตฟอร์ม Bugcrowd เพื่อทดสอบแพลตฟอร์ม freelancer ของพวกเขา และเพื่อให้แน่ใจว่าแพลตฟอร์มนั้นปลอดภัยและปราศจากช่องโหว่

freelancing-platforms-vs-bug-bounty-platforms

ต่อไปนี้คือบางส่วนของแพลตฟอร์มค่าหัวข้อผิดพลาดที่รู้จักกันดี:

Bugcrowd

เป็นแพลตฟอร์มความปลอดภัยที่ตั้งอยู่ในซานฟรานซิสโก โมเดลธุรกิจของ บริษัท อิงจากนักวิจัยด้านความปลอดภัยและความปลอดภัยทางไซเบอร์จากแหล่งฝูงชน แพลตฟอร์มนี้ทำงานในลักษณะที่เรียบง่ายและตรงไปตรงมา

  • บริษัทซอฟต์แวร์หรือองค์กรอัปโหลดโครงการหรือโมดูลของตนบนแพลตฟอร์ม Bugcrowd และกล่าวถึงพื้นผิวการโจมตีที่เป็นไปได้ซึ่งจำเป็นต้องได้รับการรักษาความปลอดภัยมากขึ้น ขึ้นอยู่กับองค์กรที่พวกเขาต้องการให้โปรแกรมเป็นส่วนตัวหรือเปิดให้ชุมชนฝูงชน
  • เมื่อโปรแกรมเผยแพร่แล้ว ชุมชนฝูงชนสามารถค้นพบช่องโหว่และรายงานได้
  • ตามความถูกต้องและความรุนแรงของรายงาน คุณจะได้รับรางวัล

พวกเขามีระดับที่แตกต่างกันเพื่อระบุความรุนแรงของโปรแกรม: P1 ถึง P4; P1 เป็นสิ่งที่สำคัญที่สุด

Bugcrowd ช่วยให้นักวิจัยสามารถทำงานร่วมกับนักวิจัยคนอื่นๆ เพื่อทำงานในโครงการหนึ่งๆ และรายงานบนแพลตฟอร์มได้ การติดตามการค้นพบจุดบกพร่องของคุณเป็นเรื่องสนุก ดังนั้น Bugcrowd จะทำสิ่งนี้ให้คุณ คะแนนและอันดับตลอดกาลของคุณในหมู่นักวิจัยคนอื่น ๆ จะถูกเก็บไว้ในโปรไฟล์ของคุณ หากคุณมีนิสัยชอบแข่งขัน คุณจะต้องชอบสิ่งนี้อย่างแน่นอน

HackerOne

HackerOne – บริษัทในซานฟรานซิสโกมีสำนักงานกระจายอยู่ในหลายเมือง เช่น ลอนดอน สิงคโปร์ และเนเธอร์แลนด์ ชุมชนแฮ็กเกอร์นั้นดีที่สุดในระดับเดียวกัน มีแฮ็กเกอร์มากกว่า 6 แสนคนที่ลงทะเบียนในชุมชนของพวกเขา บริษัทหรือองค์กรต่างๆ ที่ HackerOne เข้าถึงชุมชนแฮ็กเกอร์ที่หลากหลายและมีความสามารถ กระทรวงกลาโหมสหรัฐฯ, Google, Intel, Lufthansa และบริษัทระดับโลกอื่น ๆ ทั่วโลกได้ร่วมมือกับ HackerOne

แฮกเกอร์ที่ HackerOne สามารถรับและรักษาสถานะและชื่อเสียงบนกระดานผู้นำได้ หากคุณสามารถถอดรหัสลีดเดอร์บอร์ดให้เป็นหนึ่งในแฮ็กเกอร์ระดับแนวหน้าของชุมชนได้ คุณก็จะได้รับโอกาสในการเข้าถึงเป้าหมายที่เป็นความลับและได้รับเชิญให้เข้าร่วมโปรแกรมส่วนตัว สิ่งนี้สามารถเพิ่มตัวแทนของคุณและทำให้คุณได้รับเงินสดจำนวนมาก

HackerOne ยังเป็นที่รู้จักในการจัดกิจกรรมแฮ็คสดทั่วโลก มีโปรแกรมให้คำปรึกษาในการถ่ายทอดสด เหตุการณ์เหล่านี้ทำให้แฮ็กเกอร์ใหม่สามารถร่วมมือกับแฮ็กเกอร์ที่มีทักษะ คุณสามารถทำงานร่วมกับแฮ็กเกอร์ที่มีทักษะและสามารถเร่งการเรียนรู้และเทคนิคการล่าบั๊กของคุณ

Synack

Synack – บริษัทในแคลิฟอร์เนียเป็นแพลตฟอร์มการรักษาความปลอดภัยที่มาจากฝูงชน Synack ไม่ง่ายเหมือน HackerOne หรือ Bugcrowd คุณต้องทำตามขั้นตอนและสมัครเพื่อเป็นส่วนหนึ่งของชุมชน Synack ชุมชน Syncak มีนักวิจัยด้านความปลอดภัยจาก 82 ประเทศซึ่งเป็นส่วนหนึ่งของ Synack Red Team

ที่ Synack แฮ็กเกอร์หรือนักวิจัยสามารถทำเงินได้ 2 วิธี ประการแรกคือการติดตามจุดบกพร่องหรือจุดอ่อนและการรายงาน อีกวิธีคือทำภารกิจให้สำเร็จและรับเงิน สำหรับสิ่งนี้ คุณต้องเป็นสมาชิกของทีม Synack Red คุณต้องสมัครและเคลียร์รอบต่าง ๆ เพื่อเป็นสมาชิกของทีมแดง รอบแรกเป็นการประเมินทักษะ จากนั้นคุณจะได้รับเชิญให้สัมภาษณ์ หลังจากนั้น การตรวจสอบประวัติของคุณจะเสร็จสิ้น หลังจากผ่านรอบเหล่านี้แล้ว คุณสามารถเป็นส่วนหนึ่งของทีมแดงได้ พวกเขาไม่รับผู้สมัครที่เคยทำงานให้กับบริษัทอื่น เช่น Bugcrowd, HackerOne เป็นต้น คุณสามารถดูรายการนี้ได้จากนโยบายของ Synack เอง

ล่าสุดได้เปิดตัวแพลตฟอร์ม Hydra Technology เทคโนโลยีนี้ทำหน้าที่เป็นตัวคูณแรงสำหรับทีมสีแดง Hydra Technology ค้นหาพื้นที่โจมตีใหม่และรายงานข้อมูลไปยัง Red Team ถือเป็นการอวยพรให้ทีมแดง พวกเขาให้ข้อมูลความปลอดภัยที่สำคัญในอัตราที่เร็วขึ้น

แพลตฟอร์ม Bug Bounty อื่นๆ ได้แก่:

  1. Cobalt Bug Bounty
  2. ใช่เราแฮ็ค
  3. เซฟแฮทส์
  4. Intigriti

แอพ Aarogya Setu

มีบริษัทเพียงไม่กี่แห่งในอินเดียที่มีโปรแกรมให้รางวัลข้อบกพร่องและให้รางวัลเป็นเงินแก่แฮ็กเกอร์และนักวิจัยสำหรับการรายงานจุดบกพร่องหรือช่องโหว่ บริษัทบางแห่งที่เสนอโปรแกรมให้รางวัลบั๊ก ได้แก่ PayTM และ BigBasket

เมื่อเร็วๆ นี้ กระทรวงไอทีได้ประกาศให้ "Aarogya Setu – แอปติดตามการติดต่อ CoVID-19" เป็นโอเพ่นซอร์สและประกาศโครงการค่าหัวข้อผิดพลาด 3 แสนรูปี Amitabh Kant ซีอีโอของ NITI Aayog กล่าวว่าแอปนี้ได้กลายเป็นแอปที่เร็วที่สุดในโลกที่มียอดดาวน์โหลดถึง 50 ล้านครั้งในเวลาเพียง 13 วัน

แม้ว่าบริษัทซอฟต์แวร์และองค์กรต่างๆ ของอินเดียจะไม่เสนอเงินรางวัลจุดบกพร่อง แต่แฮกเกอร์ในอินเดียก็รายงานจุดบกพร่องและช่องโหว่ในวงกว้าง

การล่าแมลงเป็นทางเลือกในอาชีพการงานได้หรือไม่?

มีการเสนอโปรแกรมหาข้อผิดพลาดจำนวนมากทั่วโลกบนแพลตฟอร์มต่างๆ นักล่าหลายคนได้รับเงินหลายหมื่นหรือหลายแสนดอลลาร์จากความรู้และความกระตือรือร้นของพวกเขาในการหาจุดบกพร่องและจุดอ่อน สิ่งนี้ทำให้บุคคลหลายคนมีสมาธิกับโปรแกรมหาข้อผิดพลาดและเลือกใช้เป็นอาชีพเต็มเวลา

การล่าสัตว์แมลงเป็นอาชีพตัวเลือก

ไม่ต้องสงสัยเลยว่านี่เป็นโอกาสที่ดีในการหารายได้พิเศษและซื้อ PS5 หรือ Xbox แต่สำหรับคนที่มีรายได้ดีและมีความรับผิดชอบในครอบครัว พวกเขาไม่ควรดำน้ำเพื่อล่าแมลงเป็นอาชีพเต็มเวลา

การค้นหาจุดบกพร่องและการรายงานช่องโหว่ต้องใช้เวลาในการเรียนรู้ ความพยายาม และเวลาอย่างมาก คุณต้องใช้เอกสารอย่างละเอียด อ่านบทความเกี่ยวกับความปลอดภัย และฝึกเขียนรายงาน ใช้กลยุทธ์ที่เหมาะกับคุณ

บางครั้งอาจเกิดขึ้นได้ว่าคุณทำงานหนักมากพอที่จะค้นพบจุดบกพร่อง จัดทำเอกสารและรายงานเพียงเพื่อให้รู้ว่าแฮ็กเกอร์รายอื่นได้รายงานข้อบกพร่องเดียวกันเมื่อสองสามชั่วโมงก่อนหน้านี้ ซานติอาโก โลเปซ นักล่าแมลงจากอาร์เจนตินาได้รับเงิน 1 ล้านเหรียญจากแพลตฟอร์ม HackerOne เขาบอกว่ามันจะต้องเสียเวลาเปล่าหากมีคนอื่นรายงานจุดบกพร่องก่อนหน้านี้เขา ประเด็นนี้ควรระลึกไว้เสมอก่อนจะไปทำงานเต็มเวลาในการล่าแมลง

มุมมองส่วนตัว

ปัจจุบันอุปกรณ์ส่วนใหญ่เป็นอุปกรณ์อัจฉริยะและเชื่อมต่อกับอินเทอร์เน็ต บริษัทต่างๆ ให้ความสำคัญกับความเป็นส่วนตัวและความปลอดภัยของผู้ใช้ ดังนั้นพวกเขาจึงต้องการลดระดับของภัยคุกคามด้วยการต้อนรับใครก็ตามที่สามารถช่วยให้พวกเขารักษาความปลอดภัยของระบบได้

ยังคงเป็นความคิดที่ดีที่จะเป็นนักล่าแมลงเต็มเวลาหากคุณไม่คุ้นเคยกับการทำงานของมัน ฉันแนะนำว่าก่อนที่จะทำการเปลี่ยนแปลงครั้งใหญ่ คุณควรทำงานนอกเวลาเป็นนักล่าแมลงเป็นเวลาหนึ่งปีหรือสองปี