Na topie

Zawód: łowca błędów w oprogramowaniu

Autor:

więcej artykułów ze strefy:
Technologie i Firma

Kategoria: Technologie i Firma Tematyka: Bezpieczeństwo w firmie Hakerzy IT

Łowca błędów w oprogramowaniu za pojedynczą lukę może zainkasować od kilkuset do kilkudziesięciu tysięcy dolarów, a liczba pracodawców rośnie.

Zawód: łowca błędów w oprogramowaniu

A A

Bug bounty, czyli akcje nagradzania osób, które odnalazły luki w oprogramowaniu, to coś, na czym zyskuje każda ze stron. Użytkownicy korzystają z bezpieczniejszych i stabilniejszych programów, autorzy tych ostatnich cieszą się lepszą sławą, a niezależni hakerzy otrzymują (niemałe) pieniądze. Skoncentrujmy się na tej trzeciej grupie.

Kim jest łowca błędów w oprogramowaniu?

Łowcy błędów w oprogramowaniu to hakerzy, którzy w żaden sposób nie są powiązani z twórcami programów, ale zamiast działać na ich szkodę (jak cyberprzestępcy), przesyłają im komplet informacji na temat wykrytych luk, a w zamian otrzymują za to nagrody pieniężne – w zależności od wagi sprawy, może to być kilkaset, a może być i kilkadziesiąt tysięcy dolarów.

Dla przykładu: błąd umożliwiający podszywanie się pod użytkowników Twittera został wyceniony na 7560 dolarów, za lukę pozwalającą na zdalne wykonywanie kodu w PayPal zainkasowano 10 000 dolarów, za szereg luk w Google Sites przekazano nagrodę w wysokości 13 000 dolarów, a… to tylko kilka spośród nagrodzonych odkryć polskich łowców.

Bug bounty, czyli dlaczego twórcy programów płacą hakerom?

Autorzy oprogramowania coraz częściej decydują się na uruchamianie programów bug bounty i jest tak co najmniej z kilku powodów. Przede wszystkim mogą poprawić bezpieczeństwo i stabilność swoich produktów, co pozytywnie wpływa na renomę (i wyniki finansowe). Mogą też uchronić się w ten sposób przed cyberprzestępcami, a skutki ich ataków na pewno byłyby bardziej kosztowne niż wysokość nagrody dla hakera.

Jest praca dla łowców błędów

Według ekspertów z Autoryzowanego Centrum Szkoleniowego DAGMA zapotrzebowanie na takich łowców będzie się dynamicznie zwiększać. Szczególnie w obrębie sektora Internetu Rzeczy (który bardzo szybko się rozwija). Firmy rozumieją bowiem, że współpraca z „białymi kapeluszami” może być najlepszą taktyką walki z „czarnymi kapeluszami”. 

Łowcy błędów w oprogramowaniu będą coraz bardziej potrzebni, a to oznacza, że być może warto zainteresować się tą formą zarobkowania. Aby zostać „hunterem” trzeba jednak mieć dużą wiedzę (najlepiej przejść profesjonalny trening z hakowania) i zdolność do myślenia w nieszablonowy sposób (tak jak robią to też cyberprzestępcy).

Daniel Suchocki, trener Informatyki śledczej z ACS DAGMA podpowiada: „myśl jak złośliwy włamywacz: bądź kreatywny, szybko się adaptuj i polegaj na własnym sprycie oraz inteligencji, a nie na zautomatyzowanych narzędziach. Oczywiście elementarna wiedza o sieciach komputerowych będzie tu nieodzowna, ale od bezpłatnych przewodników po tej tematyce dzieli nas kilka kliknięć”.

Źródło: DAGMA, inf. własna. Foto: markusspiske/Pixabay (CC0)

Odsłon: 2317 Skomentuj newsa
Komentarze

7

Udostępnij
  1. Maxdamage
    Oceń komentarz:

    3    

    Opublikowano: 2017-07-13 11:34

    Mamy w firmie kolesia ktory sie tym zajmuje, w polsce wygląda to tak że za znalezione luki w aplikacji bankowej dostaniesz najwyżej zestaw gadżetów bankowych, producent samochow zapłacił kilkaset zlotych, a jeden bank odpowiedział pismem od prawnika, ze pozwie nam dupę i jaja za znalezienie luk w jego oprogramowaniu.

    Skomentuj

    1. Eternal1
      Oceń komentarz:

      -3    

      Opublikowano: 2017-07-13 11:49

      "w polsce wygląda to tak"

      1. "W Polsce" a nie "w polsce"
      2. Mów za siebie.

      Skomentuj

  2. axelbest
    Oceń komentarz:

    3    

    Opublikowano: 2017-07-13 12:06

    Zawód: łowca błędów w oprogramowaniu

    to się nazywa "tester" i tego typu stanowiska istnieją w firmach od wielu, wielu lat.

    Jeśli firmy nie stać na testera i jakiś "haker" znajdzie błąd, to może dostanie coś od firmy, może nie.

    Tak więc upraszczając - owy "łowca błędów" to tester na freelancie, który najpierw odwala robotę, a potem modli się, aby firma dała mu cokolwiek.

    Skomentuj

    1. maker
      Oceń komentarz:

      0    

      Opublikowano: 2017-07-13 13:01

      axelbest widzę, że nie masz zielonego pojęcia jak wyglądają procedury testowe ;). Jeżeli chodzi o bezpieczeństwo aplikacji owszem jest ona testowana pod tym kątem są na to przygotowane testy automatyczne z reguły, które sprawdzają aplikację pod kątem różnych znanych popularnych luk. Niestety te testy są schematyczne i nie będziesz w stanie za ich pomocą odnaleźć luki w bezpieczeństwie swojej aplikacji tak jak zrobi to człowiek próbujący się do niej włamać ;)

      Skomentuj

      1. axelbest
        Oceń komentarz:

        0    

        Opublikowano: 2017-07-13 13:09

        No chyba jednak przynajmniej zielone pojęcie mam, wiem jakich mamy testerów. Mamy tych co klikają (manualni, ręczni, jak zwał tak zwał). Mamy tych co piszą testy automatyczne (behat/cucumber/selenium/itp itd). Mamy testerów którzy widząc [input type file] (parser wycina html'a) wrzucają tam co popadnie, a także specjalnie spreparowane pliki (podmienione nagłówki, złośliwy kod). Dodatkowo część testerów nie ma całkowicie pojęcia o tym jak działa aplikacja pod maską, dzięki czemu mają "nieschematyczne" podejście.

        To że w większości firm tester jest wyłącznie od klikania albo pisania schematycznych testów to jedno. To że istnieją firmy, które mają takich testerów o których pisałem wyżej to drugie. A po trzecie - w firmach są działy zajmujące się bezpieczeństwem aplikacji, który na hasło CVE przerywają seks z żoną i jadą do pożaru ;P

        Skomentuj Historia edycji

        1. Q2hvY2hsaWs6
          Oceń komentarz:

          0    

          Opublikowano: 2017-07-13 15:22

          "Dodatkowo część testerów nie ma całkowicie pojęcia o tym jak działa aplikacja pod maską, dzięki czemu mają "nieschematyczne" podejście."

          Zabrakło mi dalszego ciągu:

          A na koniec przyjeżdża MacGyver z agrafką i kawałkiem taśmy klejącej po czym po 3 minutach musicie podnosić serwery z backupu i zaczynać robotę od nowa.

          Skomentuj

          1. axelbest
            Oceń komentarz:

            1    

            Opublikowano: 2017-07-14 15:08

            A czemu testerzy mieliby wiedzieć jak działa aplikacja? Mieliby dostawać informacje "Nie klikaj tam po godzinie 15-ej bo wybuchnie?" Rolą testera jest przeklikanie/przetestowanie appki pod kątem wszelkich dziwnych zachowań użytkownika - czyli appka ma być idiotoodporna.

            Podnosić serwery z backupu? Chyba nie wiesz jak może wyglądać praca testera i firm które potrafią tworzyć oprogramowanie. Od tego mamy dockera, vagranta i cały szereg innych narzędzi, które umożliwiają odtworzenie 1:1 środowiska produkcujnego (czasami nawet i z pełną bazą klientów). Myślisz że testerzy wew. firm testują tylko na produkcji?

            Nawet jeśli coś się wy..bie na jakimkolwiek serwerze, to jest wlasnie informacja ze trzeba naprawiac i tyle, a przywracanie z backupow to zupelnie inna kwestia.

            Skomentuj

Dodaj komentarz

Przy komentowaniu prosimy o przestrzeganie netykiety i regulaminu.

Aby dodać komentarz musisz być zalogowany!