Ловци на багове: хакери који зарађују велике суме... на моралан начин

James Kettle

Аутор фотографије, HackerOne

Потпис испод фотографије, Џејмс Кетл је почео са хаковањем из досаде
    • Аутор, Марк Ворд
    • Функција, ББЦ технологија

Иако се реч „хакер" често користи у пежоративном смислу, веома је тражена њихова способност да запазе слабости у софтверу компанија и системима безбедности на мрежи. Морални хакери данас зарађују велике новце у бранши која расте.

Џејмс Кетл је ловац на багове (бубе) - не бубе које су инсекти, већ „бубе" у софтверу.

Он претражује странице и странице програмског кода тражећи грешке - слабости које би криминалци могли да искористе да уђу у мрежу неке компаније и краду податке.

Пошто су студије информатике за њега биле превише успорене, тражио је нешто друго чиме би се бавио и наишао је на програме „награда за багове" које воде Гугл и креатор претраживача Мозила.

То су системи путем којих хакери зарађују тако што проналазе грешке, односно багове, у софтверима компанија.

„Стварно су нас терали да напорно радимо, било ми је потребно отприлике 50 сати за сваки прави баг који сам нашао", сећа се Џејмс.

Награда за рад, осим новца, огледала се у настанку неутољиве жеље да настави да проналази грешке у коду, што се с временом претворило у уносну каријеру.

А он је веома добар у свом послу.

Skip Најчитаније and continue reading
Најчитаније

End of Најчитаније

line
Bugs graphic

Аутор фотографије, Getty Images

Потпис испод фотографије, Елитни морални хакери могу да зараде и више од 350.000 долара годишње
line

Шта је потребно за проналажење багова:

Незасита радозналост

Солидна техничка стручност у интернет и мрежним технологијама

Стрпљење и посвећеност

Способност решавања задатака и загонетки

line

Он је данас један од најплаћенијих проналазача багова у фирми Хакерван, служби која спаја хакере са компанијама и владама које траже стручњаке да тестирају њихов софтвер.

Елитни морални хакери, односно „позитивци" могу да зараде и више од 350.000 долара годишње. На основу програма награда за багове, хакери зараде у просеку 50.000 долара месечно, а преко неких програма се може наплатити и до милион долара укупно годишње, кажу инсајдери из бранше.

Веома ретко се проналазе багови који никада раније нису нађени и за то се плаћају велике накнаде, понекад у износима од више стотина хиљада долара.

Џејмс Кетл ради у компанији Портсвигер која прави софтвер, између осталог и алатку Барп свит, коју многи хакери користе за испитивање вебсајтова и проверавање да ли је могуће искоришћавати их.

Web code

Аутор фотографије, scanrail

Потпис испод фотографије, Хакери „позитивци" се утркују са лошим момцима, хакерима „негативцима"

„Проналазим нове начине за хаковање вебсајтова у аутоматизованом облику и користим програме награда за багове да докажем да моје нове технике функционишу", Кетл је рекао за ББЦ.

„То је посао који је забаван и пун изазова."

Већина софтвера садржи грешке, јер га састављају људи, који су несавршени, а криминалци непрестано претражују програмски код како би пронашли такве слабости, при чему често користе аутоматизоване алате.

Хакери „позитивци" се утркују са лошим момцима, хакерима „негативцима", да пронађу такве слабости пре њих.

Тешкоћа лежи у томе што је до скоро мали број компанија имао довољно људских ресурса за бављење овим проблемом. Због тога су ангажовале експертске фирме као што су Хакерван, Багкрауд и Сајнек, ради краудсорсовања.

Ове фирме заступају проверене моралне хакере, управљају програмима награда за багове, контролишу и потврђују резултате рада и обезбеђују тајност својим клијентима.

Laurie Mercer

Аутор фотографије, HackerOne

Потпис испод фотографије, Лори Мерсер ради у Хакерван компанији, највећој од три најпознатије које се баве наградама за багове

Хакерван је највећа од три најпознатије фирме које се баве наградама за багове, ангажује преко 120.000 хакера и до сада је исплатила више од 26 милиона долара, каже Лори Мерсер, старији инжењер у тој фирми.

„Програми награда за багове омогућавају организацијама да делегирају тестирање безбедности апликација некоме изван тих организација, али то се скупо плаћа", каже Боб Егнер, потпредседник компаније за безбедност Аутпост24.

„Морате да платите да продавац награда за багове путем краудсорсовања представи вашу апликацију својим независним истраживачима и да руководи програмом уместо вас, а на крају крајева морате платити и све евентуалне награде."

С друге стране, компанија која не учини довољно да пронађе слабости у свом софтверу ризикује хакерски напад који би могао да доведе до украдених података, финансијског губитка и укаљане репутације. Према недавном извештају фирме за безбедност Нуикс, 71% хакера „негативаца" тврде да могу да продру кроз периметар своје мете у року од 10 сати.

Frans Rosen talking to a soldier

Аутор фотографије, TJ STEGE

Потпис испод фотографије, Вештине Франс Росена потребне су и војсци и бизнисменима

Хакерван је највећа од три најпознатије фирме које се баве наградама за багове, ангажује преко 120.000 хакера и до сада је исплатила више од 26 милиона долара, каже Лори Мерсер, старији инжењер у тој фирми.

„Програми награда за багове омогућавају организацијама да делегирају тестирање безбедности апликација некоме изван тих организација, али то се скупо плаћа", каже Боб Егнер, потпредседник компаније за безбедност Аутпост24.

„Морате да платите да продавац награда за багове путем краудсорсовања представи вашу апликацију својим независним истраживачима и да руководи програмом уместо вас, а на крају крајева морате платити и све евентуалне награде."

С друге стране, компанија која не учини довољно да пронађе слабости у свом софтверу ризикује хакерски напад који би могао да доведе до украдених података, финансијског губитка и укаљане репутације. Према недавном извештају фирме за безбедност Нуикс, 71% хакера „негативаца" тврде да могу да продру кроз периметар своје мете у року од 10 сати.

Technology logo

Аутор фотографије, Getty Images

Каже да често не постоји формална процедура пријављивања багова, осим опште мејл адресе администратора. Компаније које се баве наградама за багове омогућују да извештаји о грешкама стигну до правих људи.

Међутим, како каже, због убрзаног пораста броја програма награда за багове и великих новчаних накнада, понуда је постала превелика.

„Стање се стално мења, а проналажење багова постаје теже."

App development

Аутор фотографије, scyther5

Због тога се он специјализовао за налажење компанија које су направиле грешке у налозима клауд меморије на Амазону. До сада је пронашао 5.000 налога који делују као да су на погрешан начин отворени за јавност.

„Сада ми је ловљење награда за багове хоби, који је од помоћи с времена на време кад ми треба мало више пара за децу", каже.

Додатна предност таквих програма је у томе што удаљавају хакере од тамне стране.

„Програми награда за багове представљају дозвољену алтернативу за технолошки стручне особе које би у супротном можда биле склоне криминалним активностима у виду правог хаковања неког система и незаконите продаје података из њега", каже Тери Реј, директор за технологију у компанији за безбедност података Имперва.

Можда је време да се још више хакера врати у стадо?