Параграф22 Daily

Как 21 хакери спечелиха над 1 милион долара благодарение на HackerOne

Хакерството – като хоби през уикенда

За някои хакерството е просто хоби през уикенда. Други го приемат като начин за изкарване на прехраната. Публикуваме интервю с представител на Дейн Шерътс от HackerOne.

HackerOne – е компания, създадена преди десет години в САЩ, за да гарантира по-безопасен интернет. Тя може да се похвали, че е допринесла за намирането и коригирането на близо 230 000 уязвимости в системите на клиентите й. Изплатила е над 200 милиона долара под формата на награди за хакери. Като само за 2021 г. са изплатени над $40 милиона награди на хакери. От тях 21 души са спечелили приходи от $1 милион.

С безбройните скорошни изтичания на информация и хаквания, от които са пострадали дори фирми като Uber, Revolut и Rockstar Games, всички можем да се съгласим, че със сигурност никой не се чувства 100% в безопасност в дигиталната сфера.

Само за 2021 г. хакерите докладваха за над 66 000 уязвимости в платформата, което е сигнал за 20% увеличение спрямо предходната година. Но някои неща се промениха към по-добро. Вече се появиха добросъвестни хакери, които се занимавате с „лов“ на грешки в системите, и много компании приемат тяхната помощ в стремежа си да защитят както бизнеса си, така и клиентите.

HackerOne беше създаден преди десет години, за да направи интернет по-безопасно място. Интернет продължава да не е безопасен. Но като че ли отношението към белите хакери се промени. Така ли е наистина?

Що се отнася до изследването на сигурността, тенденцията е, че хакерите трябва да се приемат за приятели. Преди десет, двадесет години, ако сте били хакер и сте открили уязвимост, е можело да има напрежение между вас и организацията, в която сте открили уязвимостта. Можело е дори да нямате директен път, за да съобщите за това. Много неща са се променили оттогава. Може да се каже, че промяната е и на правно, а също и на културно ниво.

Министерството на правосъдието в САЩ промени насоките си по отношение тълкуването на нарушенията на Закона за компютърни измами и злоупотреби (CFAA). Има и подобна тенденция в Обединеното кралство със Закона за киберзлоупотреби. Съществуват и организации като Агенцията за киберсигурност и сигурност на инфраструктурата (CISA) и някои заповеди, издадени от администрацията на Байдън, насърчават организациите да създават програми за разкриване на уязвимости или програми за награди за откриване на слабости и грешки в системите.

Организациите виждат полза от поддържането на добри отношения с общността на изследователите по сигурността и на хакерите, на чиято помощ разчитат при защитата на активите си. Вече имат и възможност за ново получаване на файловете security.txt, като много организации вече имат специален защитен файл на уебсайта си, който дава възможност на хакерите да докладват за евентуална открита уязвимост.

 Вие, в HackerOne, работите с много големи имена, сред които Coinbase, Toyota, PayPal, Twitter и Google. Трудно ли е да се обясни на някои компании ползата от връзката с белите хакери? Търсите ли клиенти проактивно или те идват сами при вас?

Често хора идват при нас и казват: „Да, ние имаме изследователи, които се обръщат към нас и искаме да осигурим задълбочен и надежден процес за решаване на тези уязвимости. Тези разговори може би са били много по-трудни преди десет, а може би дори преди пет години. Сега идеята е да се приобщи хакерската общност и сигурността да е основна грижа за правителствата и крайните потребители.

Има ли критерии за компаниите да се присъединят към Hackerone или да стартират програма за награди за откриване на грешки? Знаем, че не се препоръчва компания да започне програма за награди за грешки, ако тя има твърде много уязвимости?

Програмата за „награди за грешки” не е сребърният куршум за отстраняване на всичките ви проблеми със сигурността. Това е само част от вашата сигурност. Трябва да имате статично и динамично тестване на вашия код.

Уязвимостите съществуват, независимо дали ги искате или не, така че трябва да приемете реалността. Програмата за награди за грешки е част от решенията на този проблем. Мисля също така, че много време разговорът около HackerOne е фокусиран върху наградата за грешки, но ние също така правим много други неща, за да помогнем на организациите да преодолеят пропуските си в устойчивостта им срещу атаки. В допълнение към предоставянето на награди за грешки, ние наблюдаваме нашите изследователи и клиенти и предлагаме така наречените пентестове (тестове, симулиращи външна атака на системата). Това е възможност да се сближим с хакерската общност. Ние също придобихме компания, наречена PullRequest, която може да помогне на организациите да използват общността на хакерите и изследователите на сигурността, за своя процес на разработка, така че да се открият грешки, преди действително да е започнало производството.

Наскоро направихме проучване и се оказа, че една трета от организациите виждат по-малко от 75% от повърхността си за атака. Не можем да защитаваме това, което не познаваме. Така че нашите изследователи успяха бързо да намерят заобикалящи пътища към корекции, които организациите вече са внедрили. Изследователите могат да помогнат още повече, като кажат: „Хей, намерих този начин, добавих тези допълнителни кавички и направих заобикаляне на тази корекция, а ето и друг начин, по който можем да поправим това”.

Какво ще кажете за хакерската общност? Имате ли процес на проверка за тях, за да сте сигурни, че действат в рамките на законовите граници и по етичен начин?

Когато се регистрирате за HackerOne, вие подписвате условия за обслужване, където се съгласявате да не злоупотребявате с отговорно разкриване на информация. Всеки може да се регистрира, но това ви дава достъп само до публични програми. Има допълнителна проверка, която хакерите трябва да издържат.

Имаме програма Clear, така че ако отговаряте на определени критерии и квалификации и преминете през основна проверка, можете да кандидатствате за изследовател на Clear. Това е знак, който получавате в профила си, точно както се потвърждавате в Twitter, и това ще ви даде достъп до допълнителни непублични, частни програми. Някои клиенти може да предпочетат точно такъв тип изследовател. След като сте на платформата HackerOne, вие сте стимулирани да се държите етично и да откривате грешки от висок клас. Имаме различни качествени показатели като въздействие и репутация. Колкото по-сложни уязвимости откривате, толкова по-висока е степента на вашите показатели и се увеличават получаваните покани за повече частни програми. В крайна сметка можете да получите покана за хакерски събития на живо, които правим. Тази година реализирахме „Остин” във Вегас, където хакерите можеха да взаимодействат с реални клиенти. Това е страхотно преживяване. Колкото повече участвате в платформата като изследовател от HackerOne, толкова повече допълнителни възможности получавате.

Подкрепяте ли хакерите по друг начин? Обучавате ли ги?

На Hacker101 предлагаме игрови версии на уязвими приложения и можете да опитате да откриете уязвимостта и да спечелите флагче. Вие завоювате тези флагчета, като използвате различни уязвимости в това приложение. Това е страхотен начин да се разучат някои от стандартните типове уязвимости, които може да срещнете при „лов на бъгове”. Имаме и цял екип, посветен на обучението на хакери и подпомагането им да стартират. Много хакери също правят това обучение отново само за общественото благо. Те създават видеоклипове в YouTube и ние ги каним на събития, за да могат да създадат няколко видеоклипа за хаквания на живо.

Можете ли да си изкарвате прехраната, работейки чрез платформата HackerOne? Дали е работа на пълен работен ден или просто хоби?

И двете. Има поне 21 хакера, които са надхвърлили доход от един милион долара. Някои казват, че това е тяхната работа – събуждат се сутрин и правят пари от наградите за откриване на грешки. Някои хора се събуждат и казват, че искат да преминат така наречения пентест на HackerOne и през уикенда могат да спечелят награда за грешки. Има една група хора, за които HackerOne е просто място за награди за грешки, има и друга група – и тя е по-голямата, в която споделят, че имат работа като инженер по сигурността, която им харесва, харесва им редовната заплата, но искат „лов на бъгове” през уикенда. Това е забавна възможност да изкарате малко допълнителни пари.

Също така е чудесен шанс за учене и професионално развитие. Изграждате професионален профил, който можете да споделите с потенциални работодатели, ако някога се интересувате от смяна на работата.

Facebook logo
Бъдете с нас и във