Lovac na bugove – zvuči li vam to kao zanimanje, odnosno profesija? Vrlo vjerojatno ne. No, postoje na tisuće pojedinaca koji se bave time. Ili to rade da bi živjeli ili kao hobi u slobodno vrijeme.
Danas kompanije jako puno plaćaju osobe koje pronađu ranjivost u njihovom sustavu. Prvi s tom praksom su počeli web preglednici i to davne 1995.-e godine. Prvo “natjecanje” u traženju bugova napravio je Netscape, a zatim Mozilla 2004.-e godine. Danas sve veće kompanije imaju otvoren poziv hakerima da nađu bugove i da im jave ako išta pronađu.
Cilj takvog traženja bugova je nalaženje ranjivost prije nego ta ranjivost postane javna. Da je netko Microsoftu javio za propust koji se nedavno dogodio (ransomware WannaCry) dobio bi vjerojatno preko 200.000 dolara za tu informaciju. U svakom slučaju to je win-win situacija.
Hakeri dobiju novac i njihovo ime ide na listu hakera koji su pomogli kompaniji, a kompanija zakrpa propust i nema nikakve štete. Problem je ako hakeri ne jave kompaniji za bug i iskoriste ga. Tada mogu završiti u zatvoru zbog “hakiranja” i pokušaja uništavanja kompanije.
Možda se čini kao da su tu dvostruki kriteriji, no zakon je malo složeniji od toga.
Zanimljivo je da novac za ovakve stvari daju praktički sve tehničke kompanije (Microsoft, Google, Facebook, Amazon, Yahoo, Uber, 1Password, Reddit, Pinterest, Square …) ali i mnoge ne-tehničke komapnije koje rade za banke, zdravstvo i druge industrije.
Samo ove godine, isplaćeno je preko 16 milijuna dolara za tqakve bugove, što dovoljno govori o tome koliki je novac u igri i koliko su kompanije spremne platiti za svoje bugove. Nemojmo se zavaravati – svaki softverski proizvod ima bug, pitanje je samo koliko je velik i koliku štetu mu može nanijeti. Mi ćemo u ovom tekstu pokazati vam 7 primjera tehničkih kompanija koje su platile dobru svotu novca bug hunterima za propuste koje su našli.
Maksimalni iznosi koje možete zaraditi
Sve kompanije imaju neki maksimum koji vam mogu dati za bug. Tako će vam Apple dati maksimalno 200.000 dolara za jedan bug, Exsodus 125.000 dolara, Microsoft 150.000 dolara, Google također 150.000 dolara itd. Prije su te cifre varirale, što ćete vidjeti dalje u tekstu, no ovisi koliko je velik bug toliko novaca ćete dobiti. Neki sitni bugovi će vam donijeti 1 do 5 tisuća dolara, a veliki ove maksimalne cifre.
Ponavljamo, Microsoft i slične kompanije nemaju problema da vam na račun prebace 100 ili 200 tisuća dolara za bug koji će spriječiti katastrofu većih razmjera. Stoga, ako vas zanima penetracija u operativne sustave i sigurnost kao takva, razmislite o ovome. Može biti vrlo unosan posao, a možete i puno toga naučiti putem.
1) Microsoft: 200.000 dolara
Prva kompanije je naravno Microsoft. Kompanija ima puno proizvoda i naravno da će imati i bugova. Oni su na jednom Blue Hat natjecanju isplatili ukupno 260.000 dolara, s time da je 200.000 uzeo jedan čovjek. Riječ je o doktorandu sa sveučilišta Columbia, a njegovo ime je Vasilis Pappas. On i dvoje drugih hakera (između 20-ak natjecatelja) su pokazali kako zaobići sigurnosnu kontrolu unutar Windowsa.
To se zove Return oriented programming (ROP). Pappas je napravio KBouncer aplikaciju koja je uspjela zaobići određene sigurnosne provjere i dobiti pristup nečemu čemu nije smio dobiti pristup. Očito veliki bug čim je za to dobio 200.000 dolara. U svakom slučaju, fantastičan primjer kako kompanija ne smije štedjeti na nagradama jer je to poticaj i drugim hakerima da probaju hakirati određeni proizvod.
2) Department of Defense (DoD): 150.000 dolara
DoD ili Američko ministarstvo obrane je jedan mjesec isplatilo oko 150.000 dolara hakerima. To se dogodilo u mandatu predsjednika Obame koji je doslovno poručio “Hakirajte Pentagon!”. Oko 250 hakera je prihvatilo taj “poziv” i krenuli su tražiti ranjivosti. Našli su ih 138. Isplaćeno je u prosjeku preko 10.000 dolara za svaki bug.
Ti propusti su odmah pokrpani, a tajnik ministra je objavio da ih je to natjecanje koštalo 850.000 dolara manje od profesionalnog nadzora i testiranja, tako da su bili i više nego zadovoljni. Inače, svi ti hakeri su se prijavili preko kompanije HackerOne – to je zapravo platforma koju drže sigurnosni stručnjaci velikih IT kompanija i preko kojih se ovakve “akcije” i odvijaju. Barem u velikom broju slučaja. Slobodno pogledajte tko su i što su.
3) Google: 100.000 dolara
Google je imao program koji se zvao Vulnerbility Reward Program (VRP) i koji se odnosio samo na njihovu tražilicu. Danas krovna kompanija Alphabet taj program koristi za traženje ranjivosti u svim njihovim proizvodima – Googleu, Chromeu, Androidu, GMailu, Bloggeru … Do sada su isplatili preko 9 milijuna dolara, od čega 3 milijuna je isplaćeno u prošloj godini. Ova godina bi ju možda mogla i nadmašiti.
Najveća zasebna nagrada iznosila je 100.000 dolara, ali se ne zna kome je isplaćena niti koji bug je pronađen i riješen. No, Google je odlučio maksimalnu nagradu dignuti na 200.000 dolara, te su poduplali novac koji se dodijeljuje u humanitarne svrhe. Ako haker, recimo, dobije 50.000 dolara i odluči zadržati polovicu tog iznosa, a pola dati u humanitarne svrhe, Google neće uplatiti 25.000 u humanitarne svrhe, nego 50.000. Hvale vrijedan potez jedne od najvećih TI kompanija današnjice.
4) United Airlines: 1 milijun nagradnih milja
Zanimljiv potez koji je napravila avio kompanija United Airlines je osnivanje bug bounty programa 2015.-e godine. Oni nisu ponudili novčanu nagradu, nego nagradne besplatne milje koje osoba može iskoristiti. Cilj programa je bio hakiranje njihovog web portala za bukiranje karata, odnosno rezervaciju letova.
Dva CISCO-ova stručnjaka su ih “posramili” odmah nakon što je program krenuo, te su našli i popravili dva buga koji su im obojici donijeli 1 milijun nagradnih milja. Te milje su im dovoljne da otprilike 20 puta prijeđu Ameriku uzduž i poprijeko, odnosno da imaju dovoljno milja da praktički cijeli život besplatno lete ovom kompanijom. Zanimljivo i korisno za one koji se puno služe avio prijevozom.
5) Facebook: 40.000 dolara
Facebook je jedna od kompanija koja je u bug bounty programu od 2011.-e godine, s time da oni održavaju i interne hackathone u kojima zaposlenici traže bugove. O tome nema puno informacija, ali zato ima o ovom “javnom” dijelu. Do sada su isplatili preko 4.3 milijuna dolara koji su raspoređeni na cca. 800 hakera i istraživača, kako ih oni zovu.
Najveći iznos od 40.000 dolara su isplatili Rusu Andrewu Leonovom, koji je našao bug u third-party softveru za editiranje slika. Preko tog softvera ste mogli izvršiti kod na Facebooku i napraviti im štetu. Facebook je mislio da je popravio taj bug i prije dotičnog Rusa, no on im je dokazao da nisu. Osim što je pronašao bug, dao im je i rješenje istoga i zaradio svoj novac sasvim pošteno.
6) Yahoo: 15.000 dolara
Yahoo je kompanija koja ima jako puno problema, a bugovi su samo jedan od njih. Finac Jouko Pynnönen im je našao dva buga u Yahoo mailu i zaradio dva puta po 10.000 dolara. Oba buga su dala napadaču mogućnost da čita tuđe email poruke, što je katastrofa. Mnogi su rekli da je nagrada koju su dali jednostavno premala, no Yahoo je ignorirao takve kritike.
Osim spomenutog Finca, najveću pojedinačnu nagradu dobio je Ibraham Raafat koji je našao propust u Flickru i zaradio 15.000 dolara. Zbog tako malih nagrada, mnogi hakeri niti ne žele hakirati Yahoo i pomoći im u otklanjanju bugova. No, kako je Yahoo prodan Verizonu, to je sada njihov problem i nadamo se da će oni ipak malo povećati nagrade jer je to jedini način da privuku sigurnosne sturčnjake da im pomognu. A možda i ne žele jer im je proizvod pun mana i bugova pa je manja šteta ignorirati te bugove, nego ih ispravljati. Tko zna.
7) Apple: “Vidjeti ćemo …”
Apple je kompanija koja se dugo opirala ovakvim programima, no prošle godine su jednostavno morali izaći pred javnost i hakerima ponuditi određene nagrade. To su najavili na Black Hat konferenciji 2016.-te godine. Do sada hakeri nisu dobivali nagrade, a sada bi mogli dobiti i do 200.000 dolara. Posebice ako uspiju “zeznuti” secure boot i učiniti ga nesigurnim.
Tada će biti pozvani na intervju da pokažu kako su to napravili i da vide kolika bi šteta mogla biti. Ako dokažete da imate full kontrolu nad bootom, tada vas čeka lijepa nagrada. Također, kao i Google, poduplati će novac koji odlučite dati u humanitarne svrhe. Ako se odreknete tih 200.000 dolara, Apple će donirati 400.000 dolara ustanovi ili ustanovama kojima želite donirati novac.
Piše: B.P.