Упознајте хакере који зарађују милионе - легално
Аутор фотографије, HackerOne
Једног дана у лето 2016. године, Пранав Хиварекар, професионални хакер, започео је мисију са циљем да пронађе грешке у најновијој функцији Фејсбука.
Ова гигантска друштвена мрежа је осам сати раније саопштила да ће дозволити корисницима да коментаришу постове са видео снимцима.
Пранав је почео да хакује систем како би уочио његове слабости, било какве грешке које би криминалци могли да искористе да упадну у мрежу компаније и украду податке.
И ево шта је открио: код је имао грешке које су могле да се искористе да се обрише било који видео са Фејсбука.
„Открио сам да могу да искористим код и чак да обришем видео који је поставио Марк Закерберг, уколико то желим", каже за ББЦ Пранав, етички хакер из индијског града Пуне.
Он је пријавио ову грешку, илити баг, Фејсбуку преко њиховог програма „лова на багове за награду". У року од две недеље, био је награђен петоцифреном сумом у доларима.
Ловци на багове
Неки етички хакери сад зарађују велике новце, а ова професија је у експанзији.
Такозвани ловци на багове обично су млади - више од две трећине њих су старости између 18 и 29 година, према проценама унутар професије.
Све већи број великих компанија их награђује преко награда расписаних за лов на рупе у веб кодовима, пре него што их открију зликовци.
Проналажење бага који није уочен никад раније велика је реткост и може да доведе до исплате великих износа, вероватно у стотинама хиљада долара - што служи као велики подстрек за елитне етичке или хакере „с белим шеширима".
„Расписане награде су једини извор прихода за мене", каже Шивам Вашишт, етички хакер из северне Индије који је прошле године на тај начин зарадио више од 125.000 долара.
„Легално хакујем највеће светске компаније и плаћен сам за то, што је забавно и представља за мене велики изазов."
Аутор фотографије, Sandeep Singh
То је област која не захтева формално образовање или искуство да бисте у њој били успешни. Шивам, као и многи други, каже да је процес савладао преко ресурса на интернету и блогова.
„Провео сам многе бесане ноћи учећи како да хакујем, као и сам процес нападања система. Чак сам због тога напустио факултет на другој години."
Он је сад незајажљиву жељу за проналажењем грешака у кодовима претворио у уносну каријеру, баш као и америчка хакерка по имену Џеси Кинсер.
„Моје интересовање за хаковање јавило се на колеџу, кад сам почела на своју руку да истражујем мобилно хаковање и дигиталну форензику", објаснила је она у мејлу.
„Током једног пројекта, пронашла сам начин да уведем малициозне апликације у Андроидову продавницу апликација, а да то нико не примети."
Велика лова
Стручњаци кажу да програми расписивања награда за откривање багова играју велику улогу у мотивисању хакера.
„Ови програми пружају законску алтернативу за технички умешне појединце који би иначе могли бити склони криминалним активностима као што су право хаковање система и продавање њихових података илегално", каже Тери Реј, генерални технички директор у компанији за сигурност података Имперва.
Хакери из Америке и Индије су 2018. године имали највећи удео на свету у узимању расписаних награда, према компанији за сајбер безбедност ХакерВан.
Неки од њих успевају да зараде и више од 350.000 долара годишње.
Аутор фотографије, Getty Images
Сандип Синг, данас познат у глобалном хакерском свету као 'geekboy', каже да то захтева много напорног рада.
„Требало ми је шест месеци и 54 пријаве да набодем први прихваћен извештај и освојим награду."
Појачавање безбедности
Компаније као што су ХакерВан, Баг Крауд, Сајнек и друге сада расписују програме додељивања награда за лов на багове у име великих организација, па чак и влада.
Оне функционишу као агенти за проверене етичке хакере, тако што верификују обављени посао и старају се о поверљивости клијената.
ХакерВан, највећа од три најпознатије фирме за лов на багове, у евиденцији држи скоро 550.000 хакера и до сада је исплатила више од 70 милиона долара, каже Бен Садегипур, шеф хакерских операција у фирми.
„Награде за багове нису новост у технолошкој професији, али оне постају све веће као природан корак у појачавању безбедносног стања неке организације."
Компаније схватају да ризик од недовољног рада на проналажењу ових рањивости може довести до потенцијалног хакерског напада, који за последицу има украдене податке, финансијски губитак и нарушену репутацију.
„Последњих година, сајбер упади су се повећали за више од 80 одсто годишње, али постоји ограничен број талената из области безбедности", према тврдњи компаније за сајбер безбедност Сајнек.
Јавни против приватних програма за награде
Сајнек није баш сигуран у јавне програме расписивања награда за лов на багове које покрећу независни технолошки гиганти, укључујући Фејсбук и Гугл, зато што они пружају „непровереним и необученим хакерима приступ осетљивим дигиталном иметку једне компаније.
„На пример, хакер је упао у глобални ресторански водич Зомејто 2017. године и наводно запретио да ће продати податке 17 милиона корисника на тржишту мрачног веба уколико компанија не покрене програм додељивања награда за проналажење багова", каже Сајнек.
Зомејто је написао блог пост у ком је признао да је „део наше инфраструктуре хаковао етички хакер."
Компанија је на крају попустила пред захтевима хакера и обећала да ће покренути програм додељивања награде за откривање багова, а хакер је уништио податке.
Стручњаци саветују да компаније треба да имају активиран читав низ других добро администрираних одбрана много пре него што уопште помисле на то да дозволе ловцима на награде да крену да њушкају по њиховом поседу.
„Лов на награде треба да буде крај процеса, а не његов почетак", каже Ијан Гловер, шеф организације Крест, која издаје сертификате за етичке тестере безбедности у Великој Британији.
Има и других проблема са ловом наслепо, укључујући чињеницу да је неауторизовани приступ систему у многим земљама илегалан.
Фирме за сајбер безбедност кажу да путем поузданих хакера могу да понуде контролисаније тестирање.
Аутор фотографије, Getty Images
За хакере, то тако постаје лакши начин за пријављивање грешака, будући да многе интернет странице или апликације такође немају формалну структуру за пријављивање багова, поред генеричке мејл адресе админа.
„Фирме за лов на багове помажу да се пријаве грешака нађу пред правим људима", каже тестер безбедности Роби Вигинс.
Проблеми у оквиру професије
Било да је јаван или приватан, простор за лов на багове постаје тесан. И не зарађују сви много.
Шачица људи зарадила је много новца, али већина није. Професија се суочава са још једним упадљивим проблемом: родном неравнотежом.
„Сајбер безбедност је у историјском смислу област којом доминирају мушкарци, тако да не изненађује да је само прошле године глобалну хакерску заједницу чинило 4 одсто жена", каже нам Кејси Елис из Баг Крауда.
Ова компанија, заједно са другим дивовима из области, каже да лансира разне иницијативе како би подстакла више жена да им се придруже у њиховој мисији претварања интернета у безбедније место. Али много тога мора да се промени.
„Ово је резултат тога што се женски рад вреднује мање него мушки и то је ендемски проблем", рекла је Џеси Кинсер једном приликом у интервјуу за Мешабл.
„Тако да ја на то гледам више као на друштвени проблем. Суштина није у томе да се више жена заинтересује за технологију, ми већ јесмо заинтересоване, и рођене смо спремне за то."
И како захтеви за безбеднији интернет постају све гласнији, она се нада да ће се више жена придружити хакерској заједници и наћи подршку у оквиру ње. А она мисли да су чак и мале промене од великог значаја.
„Било шта невезано за величину представља позитиван замајац у добром правцу", каже она.
Пратите нас на Фејсбуку и Твитеру. Ако имате предлог теме за нас, јавите се на [email protected]
