Džesi Kinser je plaćena da traži greške u softveru

HackerOne
Džesi Kinser je plaćena da traži greške u softveru

Jednog dana u leto 2016. godine, Pranav Hivarekar, profesionalni haker, započeo je misiju sa ciljem da pronađe greške u najnovijoj funkciji Fejsbuka.

Ova gigantska društvena mreža je osam sati ranije saopštila da će dozvoliti korisnicima da komentarišu postove sa video snimcima.

Pranav je počeo da hakuje sistem kako bi uočio njegove slabosti, bilo kakve greške koje bi kriminalci mogli da iskoriste da upadnu u mrežu kompanije i ukradu podatke.

I evo šta je otkrio: kod je imao greške koje su mogle da se iskoriste da se obriše bilo koji video sa Fejsbuka.

„Otkrio sam da mogu da iskoristim kod i čak da obrišem video koji je postavio Mark Zakerberg, ukoliko to želim“, kaže za BBC Pranav, etički haker iz indijskog grada Pune.

On je prijavio ovu grešku, iliti bag, Fejsbuku preko njihovog programa „lova na bagove za nagradu“. U roku od dve nedelje, bio je nagrađen petocifrenom sumom u dolarima.

Lovci na bagove

Neki etički hakeri sad zarađuju velike novce, a ova profesija je u ekspanziji.

Takozvani lovci na bagove obično su mladi – više od dve trećine njih su starosti između 18 i 29 godina, prema procenama unutar profesije.

Sve veći broj velikih kompanija ih nagrađuje preko nagrada raspisanih za lov na rupe u veb kodovima, pre nego što ih otkriju zlikovci.

Pronalaženje baga koji nije uočen nikad ranije velika je retkost i može da dovede do isplate velikih iznosa, verovatno u stotinama hiljada dolara – što služi kao veliki podstrek za elitne etičke ili hakere „s belim šeširima“.

„Raspisane nagrade su jedini izvor prihoda za mene“, kaže Šivam Vašišt, etički haker iz severne Indije koji je prošle godine na taj način zaradio više od 125.000 dolara.

„Legalno hakujem najveće svetske kompanije i plaćen sam za to, što je zabavno i predstavlja za mene veliki izazov.“

Sandim Singh je jedan od 10 najplaćenijih hakra na platformi HackerOne

Sandeep Singh

To je oblast koja ne zahteva formalno obrazovanje ili iskustvo da biste u njoj bili uspešni. Šivam, kao i mnogi drugi, kaže da je proces savladao preko resursa na internetu i blogova.

„Proveo sam mnoge besane noći učeći kako da hakujem, kao i sam proces napadanja sistema. Čak sam zbog toga napustio fakultet na drugoj godini.“

On je sad nezajažljivu želju za pronalaženjem grešaka u kodovima pretvorio u unosnu karijeru, baš kao i američka hakerka po imenu Džesi Kinser.

„Moje interesovanje za hakovanje javilo se na koledžu, kad sam počela na svoju ruku da istražujem mobilno hakovanje i digitalnu forenziku“, objasnila je ona u mejlu.

„Tokom jednog projekta, pronašla sam način da uvedem maliciozne aplikacije u Androidovu prodavnicu aplikacija, a da to niko ne primeti.“

Velika lova

Stručnjaci kažu da programi raspisivanja nagrada za otkrivanje bagova igraju veliku ulogu u motivisanju hakera.

„Ovi programi pružaju zakonsku alternativu za tehnički umešne pojedince koji bi inače mogli biti skloni kriminalnim aktivnostima kao što su pravo hakovanje sistema i prodavanje njihovih podataka ilegalno“, kaže Teri Rej, generalni tehnički direktor u kompaniji za sigurnost podataka Imperva.

Hakeri iz Amerike i Indije su 2018. godine imali najveći udeo na svetu u uzimanju raspisanih nagrada, prema kompaniji za sajber bezbednost HakerVan.

Neki od njih uspevaju da zarade i više od 350.000 dolara godišnje.

Participants compete behind their computers during the ethical hacking contest Insomni'hack 2014 on March 21, 2014 in Geneva

Getty Images

Sandip Sing, danas poznat u globalnom hakerskom svetu kao ‘geekboy’, kaže da to zahteva mnogo napornog rada.

„Trebalo mi je šest meseci i 54 prijave da nabodem prvi prihvaćen izveštaj i osvojim nagradu.“

Pojačavanje bezbednosti

Kompanije kao što su HakerVan, Bag Kraud, Sajnek i druge sada raspisuju programe dodeljivanja nagrada za lov na bagove u ime velikih organizacija, pa čak i vlada.

One funkcionišu kao agenti za proverene etičke hakere, tako što verifikuju obavljeni posao i staraju se o poverljivosti klijenata.

HakerVan, najveća od tri najpoznatije firme za lov na bagove, u evidenciji drži skoro 550.000 hakera i do sada je isplatila više od 70 miliona dolara, kaže Ben Sadegipur, šef hakerskih operacija u firmi.

„Nagrade za bagove nisu novost u tehnološkoj profesiji, ali one postaju sve veće kao prirodan korak u pojačavanju bezbednosnog stanja neke organizacije.“

Kompanije shvataju da rizik od nedovoljnog rada na pronalaženju ovih ranjivosti može dovesti do potencijalnog hakerskog napada, koji za posledicu ima ukradene podatke, finansijski gubitak i narušenu reputaciju.

„Poslednjih godina, sajber upadi su se povećali za više od 80 odsto godišnje, ali postoji ograničen broj talenata iz oblasti bezbednosti“, prema tvrdnji kompanije za sajber bezbednost Sajnek.

Javni protiv privatnih programa za nagrade

Sajnek nije baš siguran u javne programe raspisivanja nagrada za lov na bagove koje pokreću nezavisni tehnološki giganti, uključujući Fejsbuk i Gugl, zato što oni pružaju „neproverenim i neobučenim hakerima pristup osetljivim digitalnom imetku jedne kompanije.

„Na primer, haker je upao u globalni restoranski vodič Zomejto 2017. godine i navodno zapretio da će prodati podatke 17 miliona korisnika na tržištu mračnog veba ukoliko kompanija ne pokrene program dodeljivanja nagrada za pronalaženje bagova“, kaže Sajnek.

Zomejto je napisao blog post u kom je priznao da je „deo naše infrastrukture hakovao etički haker.“

Kompanija je na kraju popustila pred zahtevima hakera i obećala da će pokrenuti program dodeljivanja nagrade za otkrivanje bagova, a haker je uništio podatke.

Stručnjaci savetuju da kompanije treba da imaju aktiviran čitav niz drugih dobro administriranih odbrana mnogo pre nego što uopšte pomisle na to da dozvole lovcima na nagrade da krenu da njuškaju po njihovom posedu.

„Lov na nagrade treba da bude kraj procesa, a ne njegov početak“, kaže Ijan Glover, šef organizacije Krest, koja izdaje sertifikate za etičke testere bezbednosti u Velikoj Britaniji.

Ima i drugih problema sa lovom naslepo, uključujući činjenicu da je neautorizovani pristup sistemu u mnogim zemljama ilegalan.

Firme za sajber bezbednost kažu da putem pouzdanih hakera mogu da ponude kontrolisanije testiranje.

Ben Sadeghipour's firm HackerOne has paid out more than $70m in bug bounties so far

Getty Images

Za hakere, to tako postaje lakši način za prijavljivanje grešaka, budući da mnoge internet stranice ili aplikacije takođe nemaju formalnu strukturu za prijavljivanje bagova, pored generičke mejl adrese admina.

„Firme za lov na bagove pomažu da se prijave grešaka nađu pred pravim ljudima“, kaže tester bezbednosti Robi Vigins.

Problemi u okviru profesije

Bilo da je javan ili privatan, prostor za lov na bagove postaje tesan. I ne zarađuju svi mnogo.

Šačica ljudi zaradila je mnogo novca, ali većina nije. Profesija se suočava sa još jednim upadljivim problemom: rodnom neravnotežom.

„Sajber bezbednost je u istorijskom smislu oblast kojom dominiraju muškarci, tako da ne iznenađuje da je samo prošle godine globalnu hakersku zajednicu činilo 4 odsto žena“, kaže nam Kejsi Elis iz Bag Krauda.

Ova kompanija, zajedno sa drugim divovima iz oblasti, kaže da lansira razne inicijative kako bi podstakla više žena da im se pridruže u njihovoj misiji pretvaranja interneta u bezbednije mesto. Ali mnogo toga mora da se promeni.

„Ovo je rezultat toga što se ženski rad vrednuje manje nego muški i to je endemski problem“, rekla je Džesi Kinser jednom prilikom u intervjuu za Mešabl.

„Tako da ja na to gledam više kao na društveni problem. Suština nije u tome da se više žena zainteresuje za tehnologiju, mi već jesmo zainteresovane, i rođene smo spremne za to.“

I kako zahtevi za bezbedniji internet postaju sve glasniji, ona se nada da će se više žena pridružiti hakerskoj zajednici i naći podršku u okviru nje. A ona misli da su čak i male promene od velikog značaja.

„Bilo šta nevezano za veličinu predstavlja pozitivan zamajac u dobrom pravcu“, kaže ona.


Pratite nas na Fejsbuku i Tviteru. Ako imate predlog teme za nas, javite se na bbcnasrpskom@bbc.co.uk