Lovci na bagove: hakeri koji zarađuju velike sume... na moralan način

James Kettle Image copyright HackerOne
Natpis na slici Džejms Ketl je počeo sa hakovanjem iz dosade

Iako se reč „haker" često koristi u pežorativnom smislu, veoma je tražena njihova sposobnost da zapaze slabosti u softveru kompanija i sistemima bezbednosti na mreži. Moralni hakeri danas zarađuju velike novce u branši koja raste.

Džejms Ketl je lovac na bagove (bube) - ne bube koje su insekti, već „bube" u softveru.

On pretražuje stranice i stranice programskog koda tražeći greške - slabosti koje bi kriminalci mogli da iskoriste da uđu u mrežu neke kompanije i kradu podatke.

Pošto su studije informatike za njega bile previše usporene, tražio je nešto drugo čime bi se bavio i naišao je na programe „nagrada za bagove" koje vode Gugl i kreator pretraživača Mozila.

To su sistemi putem kojih hakeri zarađuju tako što pronalaze greške, odnosno bagove, u softverima kompanija.

„Stvarno su nas terali da naporno radimo, bilo mi je potrebno otprilike 50 sati za svaki pravi bag koji sam našao", seća se Džejms.

Nagrada za rad, osim novca, ogledala se u nastanku neutoljive želje da nastavi da pronalazi greške u kodu, što se s vremenom pretvorilo u unosnu karijeru.

A on je veoma dobar u svom poslu.


Image copyright Getty Images
Natpis na slici Elitni moralni hakeri mogu da zarade i više od 350.000 dolara godišnje

Šta je potrebno za pronalaženje bagova:

Nezasita radoznalost

Solidna tehnička stručnost u internet i mrežnim tehnologijama

Strpljenje i posvećenost

Sposobnost rešavanja zadataka i zagonetki


On je danas jedan od najplaćenijih pronalazača bagova u firmi Hakervan, službi koja spaja hakere sa kompanijama i vladama koje traže stručnjake da testiraju njihov softver.

Elitni moralni hakeri, odnosno „pozitivci" mogu da zarade i više od 350.000 dolara godišnje. Na osnovu programa nagrada za bagove, hakeri zarade u proseku 50.000 dolara mesečno, a preko nekih programa se može naplatiti i do milion dolara ukupno godišnje, kažu insajderi iz branše.

Veoma retko se pronalaze bagovi koji nikada ranije nisu nađeni i za to se plaćaju velike naknade, ponekad u iznosima od više stotina hiljada dolara.

Džejms Ketl radi u kompaniji Portsviger koja pravi softver, između ostalog i alatku Barp svit, koju mnogi hakeri koriste za ispitivanje vebsajtova i proveravanje da li je moguće iskorišćavati ih.

Image copyright scanrail
Natpis na slici Hakeri „pozitivci" se utrkuju sa lošim momcima, hakerima „negativcima"

„Pronalazim nove načine za hakovanje vebsajtova u automatizovanom obliku i koristim programe nagrada za bagove da dokažem da moje nove tehnike funkcionišu", Ketl je rekao za BBC.

„To je posao koji je zabavan i pun izazova."

Većina softvera sadrži greške, jer ga sastavljaju ljudi, koji su nesavršeni, a kriminalci neprestano pretražuju programski kod kako bi pronašli takve slabosti, pri čemu često koriste automatizovane alate.

Hakeri „pozitivci" se utrkuju sa lošim momcima, hakerima „negativcima", da pronađu takve slabosti pre njih.

Teškoća leži u tome što je do skoro mali broj kompanija imao dovoljno ljudskih resursa za bavljenje ovim problemom. Zbog toga su angažovale ekspertske firme kao što su Hakervan, Bagkraud i Sajnek, radi kraudsorsovanja.

Ove firme zastupaju proverene moralne hakere, upravljaju programima nagrada za bagove, kontrolišu i potvrđuju rezultate rada i obezbeđuju tajnost svojim klijentima.

Image copyright HackerOne
Natpis na slici Lori Merser radi u Hakervan kompaniji, najvećoj od tri najpoznatije koje se bave nagradama za bagove

Hakervan je najveća od tri najpoznatije firme koje se bave nagradama za bagove, angažuje preko 120.000 hakera i do sada je isplatila više od 26 miliona dolara, kaže Lori Merser, stariji inženjer u toj firmi.

„Programi nagrada za bagove omogućavaju organizacijama da delegiraju testiranje bezbednosti aplikacija nekome izvan tih organizacija, ali to se skupo plaća", kaže Bob Egner, potpredsednik kompanije za bezbednost Autpost24.

„Morate da platite da prodavac nagrada za bagove putem kraudsorsovanja predstavi vašu aplikaciju svojim nezavisnim istraživačima i da rukovodi programom umesto vas, a na kraju krajeva morate platiti i sve eventualne nagrade."

S druge strane, kompanija koja ne učini dovoljno da pronađe slabosti u svom softveru rizikuje hakerski napad koji bi mogao da dovede do ukradenih podataka, finansijskog gubitka i ukaljane reputacije. Prema nedavnom izveštaju firme za bezbednost Nuiks, 71% hakera „negativaca" tvrde da mogu da prodru kroz perimetar svoje mete u roku od 10 sati.

Image copyright TJ STEGE
Natpis na slici Veštine Frans Rosena potrebne su i vojsci i biznismenima

Hakervan je najveća od tri najpoznatije firme koje se bave nagradama za bagove, angažuje preko 120.000 hakera i do sada je isplatila više od 26 miliona dolara, kaže Lori Merser, stariji inženjer u toj firmi.

„Programi nagrada za bagove omogućavaju organizacijama da delegiraju testiranje bezbednosti aplikacija nekome izvan tih organizacija, ali to se skupo plaća", kaže Bob Egner, potpredsednik kompanije za bezbednost Autpost24.

„Morate da platite da prodavac nagrada za bagove putem kraudsorsovanja predstavi vašu aplikaciju svojim nezavisnim istraživačima i da rukovodi programom umesto vas, a na kraju krajeva morate platiti i sve eventualne nagrade."

S druge strane, kompanija koja ne učini dovoljno da pronađe slabosti u svom softveru rizikuje hakerski napad koji bi mogao da dovede do ukradenih podataka, finansijskog gubitka i ukaljane reputacije. Prema nedavnom izveštaju firme za bezbednost Nuiks, 71% hakera „negativaca" tvrde da mogu da prodru kroz perimetar svoje mete u roku od 10 sati.

Image copyright Getty Images

Kaže da često ne postoji formalna procedura prijavljivanja bagova, osim opšte mejl adrese administratora. Kompanije koje se bave nagradama za bagove omogućuju da izveštaji o greškama stignu do pravih ljudi.

Međutim, kako kaže, zbog ubrzanog porasta broja programa nagrada za bagove i velikih novčanih naknada, ponuda je postala prevelika.

„Stanje se stalno menja, a pronalaženje bagova postaje teže."

Image copyright scyther5

Zbog toga se on specijalizovao za nalaženje kompanija koje su napravile greške u nalozima klaud memorije na Amazonu. Do sada je pronašao 5.000 naloga koji deluju kao da su na pogrešan način otvoreni za javnost.

„Sada mi je lovljenje nagrada za bagove hobi, koji je od pomoći s vremena na vreme kad mi treba malo više para za decu", kaže.

Dodatna prednost takvih programa je u tome što udaljavaju hakere od tamne strane.

„Programi nagrada za bagove predstavljaju dozvoljenu alternativu za tehnološki stručne osobe koje bi u suprotnom možda bile sklone kriminalnim aktivnostima u vidu pravog hakovanja nekog sistema i nezakonite prodaje podataka iz njega", kaže Teri Rej, direktor za tehnologiju u kompaniji za bezbednost podataka Imperva.

Možda je vreme da se još više hakera vrati u stado?

Više o ovoj priči