Как 20-летние хакеры зарабатывают на ошибках IT-компаний $10 000
Рассказ о работе «хороших парней» в хакинге
Facebook, Viber, Uber и другие IT-продукты состоят из тысяч строк кода. Их создают огромные команды, поэтому не удивительно, что кто-то время от времени допускает ошибки. Из-за таких багов программа становится уязвимой для киберпреступников.
Эту уязвимость хакеры-злоумышленники могут использовать, чтобы попасть в систему. К примеру, они получают доступ к вашему Facebook-аккаунту. Или делают так, чтобы онлайн-платежи перенаправлялись на счета злоумышленников.
Компаниям приходится руководствоваться принципом «хочешь противостоять хакерам – думай, как хакер». Бизнес активно привлекает к сотрудничеству этичных хакеров, которые ищут ошибки и помогают их исправить–- раньше, чем об уязвимости станет известно «плохим парням».
Кто такие этичные хакеры
Люди предоставляют IT-компаниям все больше личной информации. И компании должны ее оберегать. Но практически в каждой программе есть уязвимости, поэтому ваши данные могут оказаться в чужих руках.
Хакеры как раз и занимаются поиском таких уязвимостей – багов (опасных ошибок) в программах, веб-сервисах или мобильных приложениях. Хакеры-преступники продают свои находки на черном рынке, используют для шантажа или просто самоутверждаются, портя чужие IT-продукты.
Этичные хакеры действуют открыто, по определенным правилам, и передают информацию о найденных уязвимостях компаниям, чтобы те исправили ошибки. Обычно компания выплачивает за это вознаграждение. Такое сотрудничество называют «баг баунти» (bug bounty, дословный перевод – «вознаграждение за баг»), а искателей уязвимостей – «баг-хантерами».
История этичного хакинга начинается с 70-80-х годов прошлого столетия. Одними из первых такой подход начали использовать военно-воздушные силы США. На коммерческие рельсы этический хакинг поставили в 1995 году, когда была открыта первая в мире bug bounty программа в компании Netscape.
Как компании сотрудничают с хакерами
Бизнес или самостоятельно организует программу bug bounty (как Facebook или Google), или же открывает программу на специальной платформе, где зарегистрированы тысячи этичных хакеров из разных стран.
В мире существует десяток активных bug bounty платформ, одна из которых – украинский HackenProof. Принцип работы платформ прост. Компания размещает информацию о своей программе: какие компоненты системы надо проверить, какое вознаграждение предусмотрено.
Этичный хакер должен соблюдать правила и исследовать только разрешенные участки. Когда он находит баг, то направляет отчет: описывает процесс взлома и советы по исправлению.
Отчет проверяет специальная команда инженеров, и если уязвимость подтверждается, баг-хантеру выплачивают вознаграждение. Каждый баг имеет свой «уровень». Больше всего платят за критические уязвимости – те, что позволяют получить доступ администратора и вносить изменения в систему.
Также размер вознаграждения зависит от конкретной компании. Например, одному участнику комьюнити корпоративный мессенджер Slack заплатил за критическую уязвимость $1000, Uber за такой же опасный баг – $3000.
Как работают баг-хантеры
Баг-хантеры обычно зарегистрированы сразу на нескольких платформах. Ищут на каждой интересные задачи. Участники с высоким рейтингом имеют доступ к закрытым программам. А еще этичные хакеры время от времени ездят на профильные мероприятия, где соревнуются в поиске уязвимостей или просто делятся знаниями.
Часто у этичного хакера конкретная специализация и несколько коронных техник. Кто-то специализируется на веб-сервисах, кто-то – на блокчейн проектах и криптовалютах, кто-то – на мобильных приложениях.
У многих баг-хантеров есть «любимые» баги. Лидер программы Google Play рассказал, что находит одни и те же ошибки в 95-98% мобильных продуктов. Каждый новый продукт он проверяет привычными техниками – и почти гарантированно находит уязвимость.
Кто может стать этичным хакером
Среди этичных хакеров есть люди с дипломами программистов или специалистов по кибербезопасности. Однако большинство из них утверждает, что университет дает фундамент и умение учиться, но это не исчерпывающая информация. Знания в области быстро устаревают, поэтому приходится все время изучать что-то новое.
Научиться может каждый, главное – любознательность и готовность преодолевать трудности. К примеру, начинающие часто находят мелкие баги, за которые компания не платит. Это разочаровывает. Ребята рассказывали, что теряли мотивацию, бросали баг-хантинг, но через месяц возвращались.
Первые гонорары вряд ли будут огромными, это тоже не повод отказываться от карьеры баг-хантера. Скажем, один из членов нашего комьюнити три года назад начинал с бага за $280 – в приложении сервиса знакомств Badoo. Сейчас он ждет выплату $10 000 от PayPal. Еще несколько его отчетов рассматриваются, и гонорары могут быть даже выше, поскольку уязвимости серьезные и компании большие.
Жизнь этичного хакера: свобода и чистая совесть
На bug bounty платформах работают фрилансеры. Они ни к чему не привязаны: увидели интересный проект, нашли уязвимости, получили вознаграждение. Никаких контрактов и обязательств.
Некоторым хочется больше командной работы, возможности учиться у коллег, карьерного развития. Такие специалисты обычно имеют основную работу. Однако они сами часто говорят, что поиск багов приносит больше денег. Знаю парня, который ушел в bug bounty, когда впервые собрался в США. Он хотел осуществить мечту: арендовать Ford Mustang. Все получилось.
Когда общаешься с этичными хакерами, видишь множество жизненных путей. К примеру, в комьюнити есть парень, который активно участвовал в bug bounty программе Grammarly (сервис проверки правописания). Он отправил больше всего отчетов и получил персональное приглашение в команду Grammarly. А другой мечтал путешествовать, и сейчас он каждые два месяца переезжает в новую страну.
Жизнь этичного хакера – это полная свобода, множество интересных задач, знакомства с незаурядными людьми со всего мира. В этом есть и та самая хакерская романтика, но без риска быть заключенным на много лет.
