Łowca błędów w oprogramowaniu za pojedynczą lukę może zainkasować od kilkuset do kilkudziesięciu tysięcy dolarów, a liczba pracodawców rośnie.
Bug bounty, czyli akcje nagradzania osób, które odnalazły luki w oprogramowaniu, to coś, na czym zyskuje każda ze stron. Użytkownicy korzystają z bezpieczniejszych i stabilniejszych programów, autorzy tych ostatnich cieszą się lepszą sławą, a niezależni hakerzy otrzymują (niemałe) pieniądze. Skoncentrujmy się na tej trzeciej grupie.
Kim jest łowca błędów w oprogramowaniu?
Łowcy błędów w oprogramowaniu to hakerzy, którzy w żaden sposób nie są powiązani z twórcami programów, ale zamiast działać na ich szkodę (jak cyberprzestępcy), przesyłają im komplet informacji na temat wykrytych luk, a w zamian otrzymują za to nagrody pieniężne – w zależności od wagi sprawy, może to być kilkaset, a może być i kilkadziesiąt tysięcy dolarów.
Dla przykładu: błąd umożliwiający podszywanie się pod użytkowników Twittera został wyceniony na 7560 dolarów, za lukę pozwalającą na zdalne wykonywanie kodu w PayPal zainkasowano 10 000 dolarów, za szereg luk w Google Sites przekazano nagrodę w wysokości 13 000 dolarów, a… to tylko kilka spośród nagrodzonych odkryć polskich łowców.
Bug bounty, czyli dlaczego twórcy programów płacą hakerom?
Autorzy oprogramowania coraz częściej decydują się na uruchamianie programów bug bounty i jest tak co najmniej z kilku powodów. Przede wszystkim mogą poprawić bezpieczeństwo i stabilność swoich produktów, co pozytywnie wpływa na renomę (i wyniki finansowe). Mogą też uchronić się w ten sposób przed cyberprzestępcami, a skutki ich ataków na pewno byłyby bardziej kosztowne niż wysokość nagrody dla hakera.
Jest praca dla łowców błędów
Według ekspertów z Autoryzowanego Centrum Szkoleniowego DAGMA zapotrzebowanie na takich łowców będzie się dynamicznie zwiększać. Szczególnie w obrębie sektora Internetu Rzeczy (który bardzo szybko się rozwija). Firmy rozumieją bowiem, że współpraca z „białymi kapeluszami” może być najlepszą taktyką walki z „czarnymi kapeluszami”.
Łowcy błędów w oprogramowaniu będą coraz bardziej potrzebni, a to oznacza, że być może warto zainteresować się tą formą zarobkowania. Aby zostać „hunterem” trzeba jednak mieć dużą wiedzę (najlepiej przejść profesjonalny trening z hakowania) i zdolność do myślenia w nieszablonowy sposób (tak jak robią to też cyberprzestępcy).
Daniel Suchocki, trener Informatyki śledczej z ACS DAGMA podpowiada: „myśl jak złośliwy włamywacz: bądź kreatywny, szybko się adaptuj i polegaj na własnym sprycie oraz inteligencji, a nie na zautomatyzowanych narzędziach. Oczywiście elementarna wiedza o sieciach komputerowych będzie tu nieodzowna, ale od bezpłatnych przewodników po tej tematyce dzieli nas kilka kliknięć”.
Źródło: DAGMA, inf. własna. Foto: markusspiske/Pixabay (CC0)
Komentarze
8to się nazywa "tester" i tego typu stanowiska istnieją w firmach od wielu, wielu lat.
Jeśli firmy nie stać na testera i jakiś "haker" znajdzie błąd, to może dostanie coś od firmy, może nie.
Tak więc upraszczając - owy "łowca błędów" to tester na freelancie, który najpierw odwala robotę, a potem modli się, aby firma dała mu cokolwiek.