Firmy mogą oferować duże nagrody, ale w rzeczywistości mniejsze wypłaty są często normą. Oto jak to wszystko działa.

Był rok 2016, a Hack the Pentagon stał się pierwszym w historii programem rządu federalnego z nagrodami za błędy. Zaledwie 13 minut po otwarciu inicjatywy dla ponad 1400 hakerów, jeden z nich znalazł pierwszą lukę w oprogramowaniu. Aż 138 raportów i 75 000 $ później program uznano za sukces.

Nagrody za błędy — pieniądze oferowane przez organizacje osobom zgłaszającym błędy w oprogramowaniu związane z lukami w zabezpieczeniach — stały się w ostatnich latach coraz bardziej popularne. Pula łowców nagród znacznie się poszerzyła, a nagroda za znalezienie nagrody wzrosła pięciokrotnie dla nielicznych zdolnych do wyłapania złożonych, cennych luk w zabezpieczeniach, za które firmy są gotowe płacić miliony. Ale chociaż na stole jest dużo pieniędzy, wypłaty zwykle pozostają niskie i są szanse, że przeciętny łowca nagród za błędy zarabia około 250 USD za odkrycie luki w zabezpieczeniach. 

Katie Moussouris, była hakerka do wynajęcia i pionierka własnego programu nagród za błędy Microsoftu, miała swoje obawy nie tylko o Hack the Pentagon, ale także o to, w jaki sposób zmieniało się pole bug bounty. „Zdecydowali się zacząć od programu nagród pieniężnych od razu, a to było wbrew mojej radzie”, mówi Moussouris, który był doradcą programu Hack the Pentagon. „Musisz się czołgać, zanim zaczniesz chodzić i biegać”. 

W przypadku Moussourisa nagrody za błędy były opcjonalnym dodatkiem do całego systemu, którego Pentagon jeszcze nie miał. Chociaż zgłoszenie błędu to jedna rzecz, Moussouris uważał, że faktyczna praca dochodzeniowa polegająca na znalezieniu technicznego źródła problemu, łataniu go i testowaniu tej łatki jest czymś, na czym organizacje powinny się skupić przed rozdaniem książeczki czekowej freelancerom. Od dawna bije na alarm w sprawie nagród za robaki i tego, co nazywa praktykami wyzysku w branży.

Dzisiaj, gdy słyszysz wieści o hakerze, który znalazł lukę w oprogramowaniu, a następnie otrzymał nagrodę, to właśnie działa współczesny program bug bounty. Oto, co należy wiedzieć o systemie — i co niektórzy eksperci twierdzą, że są jego problemami.

Krótka historia nagród za błędy

W połowie lat 90. tylko jedna firma uznała za stosowne zaoferować nagrody za znajdowanie błędów: Netscape, twórca powszechnie używanej wczesnej przeglądarki internetowej. Nagroda w wysokości 500 USD pozostała standardem w branży do 2010 r., Kiedy Google zaoferował 1337 USD jako najwyższą liczbę bug bounty. Ta liczba oznaczała „leet” w hackerskiej mowie, skrót od elite, jako mały wtajemniczony kapelusz dla hakerów.

Ta nowa oferta podniosła stawkę dla producentów oprogramowania. Mozilla szybko podniosła swoją nagrodę do 3000 USD, więc Google podniosło ich do 31 337 USD („elita” w języku hackerskim), a Microsoft zaczął pytać Moussourisa, który był wówczas pracownikiem Microsoftu, jak wyglądałoby tworzenie nagrody za błąd dla ich przeglądarki , który został napisany w starym, starszym kodzie.

W tamtym czasie ludzie wysyłali ponad 250 000 do 300 000 wiadomości e-mail rocznie na adres secure@microsoft.com , aby bezpłatnie zgłaszać błędy, więc trzeba było trochę zrobić, aby przekonać kierownictwo, że płacenie hakerom może być opłacalne. W 2012 roku firma Moussouris uruchomiła nagrodę Microsoft BlueHat za postęp w ograniczaniu wykorzystania luk, która wypłaciła 260 000 USD za błędy w 2012 roku. 

Dziś te liczby nadal rosną. Maksymalna wypłata Apple to 1 milion dolarów. Google powiedział, że wypłacił 6,7 miliona dolarów w nagrodach za błędy w 2020 roku. Firma technologiczna Blockchain Polygon wypłaciła 2 miliony dolarów nagrody za odkrycie krytycznej luki, która pozwoliłaby atakującym podwoić ilość wypłacanych kryptowalut.

Ale te wysokie liczby przesłaniają prawdę, która jest taka, że ​​większość nagród za robaki jest bliższa 200 USD niż 2000 USD i są głównie ścigane przez młodych ludzi w obcych krajach, gdzie koszty życia są znacznie niższe, za pośrednictwem takich firm jak Gig-Economy. HackerOne (gdzie Moussouris był wcześniej dyrektorem ds. polityki) i BugCrowd. 

Armia nisko opłacanych pracowników koncertowych

Casey Ellis, CTO BugCrowd, platformy bezpieczeństwa opartej na crowdsourcingu, która łączy łowców nagród z firmami, mówi, że jego firma jako pierwsza wpadła na pomysł umieszczenia platformy między etycznymi hakerami a firmami, które muszą wiedzieć, gdzie są narażeni. To było w 2013 roku. „Wtedy ludzie nie mogli pojąć, że haker może być dobrą osobą”, mówi. „A ludzie tak naprawdę nie dbali o cyberbezpieczeństwo w taki sposób, w jaki robią to dzisiaj. Przeszło od bardzo niejasnego do czegoś, co jest rozmową przy stole.

Od 2022 roku do BugCrowd wpisano 300 000 osób. Podczas gdy łowcy nagród mają różne kształty i rozmiary, Ellis mówi, że wielu freelancerów BugCrowd to młodzi mężczyźni w wieku 18-25 lat, z takich miejsc jak Indie, Ameryka Południowa i Filipiny.

Dzieci również cały czas kontaktują się z BugCrowd. Ellis wspomina pewnego prestolatka, który wymyślił, jak włamać się do swojego szkolnego systemu lunchowego, aby dostać darmowe jedzenie w szkole, zanim trafił do BugCrowd, gdzie jego umiejętności można by wykorzystać w bardziej etyczny sposób. 

„Polowanie na owady to ścieżka kariery, która staje się coraz bardziej opłacalna”, mówi.

W wiadomości e-mail HackerOne CTO i współzałożyciel, Alex Rice, napisał, że „większość wypłat za błędy oceniana jest na średnio około 500 USD dla naszych klientów — o 11% więcej niż w zeszłym roku”. On, podobnie jak reszta branży polowania na robaki, przewiduje, że te wypłaty będą nadal rosły.

Trudno zarobić na życie jako łowca błędów 

Badacz bezpieczeństwa Matt Tait nie może mówić o większości znalezionych błędów, ponieważ zauważył je podczas pracy dla brytyjskiego rządu. Ale może mówić o tym, jak rzadko zdarza się znaleźć pełnoetatowego łowcę nagród w krajach zachodnich.

„Liczby wydają się bardzo duże, ale kiedy zagłębisz się w szczegóły, w rzeczywistości niekoniecznie są tak duże, jak się wydają”, mówi. Aby uzyskać najwyższą nagrodę za błędy Apple, musisz znaleźć wiele luk w zabezpieczeniach dotyczących różnych programów w systemie iOS. Nie wspominając o tym, że nie jest jasne, czy Apple kiedykolwiek przyznało którekolwiek z tych bardzo dużych nagród.

„Nigdy nie słyszałem, żeby ktoś z cyberbezpieczeństwa odszedł z pracy, by stać się pełnoetatowym bug bounty za pieniądze”, mówi.

Właśnie o to martwił się Moussouris. „To, czego chcesz w tym ekosystemie, to przyciągnięcie i zatrzymanie pracowników, którzy będą pracować dla Ciebie wewnętrznie, zamiast zlecania na zewnątrz coraz wyższych stawek za jednorazową małą pracę” – mówi. 

Chociaż ta jednorazowa wypłata może wyglądać ładnie, Moussouris mówi, że firmy w końcu wycenią sobie możliwość zatrudnienia najlepszych talentów. Moussouris ostrzegł Apple o tym, kiedy zaczęli oferować swoją nagrodę w wysokości miliona dolarów. „Szczerze, [nagroda] im nie pomogła. Mieli najwięcej dni zero w zeszłym roku, więcej niż Android” – mówi. https://3695a4b3e4e8866f3b79a5c683ef20dd.safeframe.googlesyndication.com/safeframe/1-0-38/html/container.html

Moussouris i Ellis zgadzają się, że łowcy nagród za robaki zwykle skupiają się w mniej zamożnych krajach, gdzie dolar amerykański może pójść znacznie dalej. „Jesteśmy częścią znacznie większego ekosystemu”, mówi Moussouris, który wzywa ludzi do wyszkolenia krytycznego spojrzenia na praktyki pracy na platformach bug bounty. „A to, co robimy w jednym z jego zakątków, dramatycznie wpłynie na resztę ekosystemu”.

Komentarze

Dodaj komentarz