Як вижити мисливцеві за багами: щоденна боротьба за дохід

В принципі, можна зробити кар’єру незалежного кіберхантера – якщо ви досить невибагливі

Еван Рікафорт працює з дому, і його офіс займає одну кімнату в будинку, розташованому на шосе в Філіппінах, де разом з ним живе його родина. Батьки 22-річного комп’ютерника працюють в продуктовому магазинчику, що належить його родині, і розташованому в південному місті Іпіль, а він сам проводить до 75 годин на тиждень під замком, працюючи на своєму комп’ютері. І тут, серед какофонії мотоциклів, гавкоту собак і плачу дітей, він може займатися порятунком ваших персональних даних.

Рікафорт – мисливець за багами, що належить до певного типу позитивних хакерів, які шукають вразливості, створеного найбільшими технокомпаніям світу, намагаючись випередити поганих хакерів, які могли б скористатися цими уразливими. Роблять вони це не безкоштовно, природно: багато компаній платять (іноді пристойно) за вклади, які допомагають компаніям виправляти код, від якого залежить їх бізнес. І таких пропозицій достатньо, щоб полювання за багами стала однією з народжуваних професій.

У Рікафорта немає освіти в галузі інформатики або програмування. Після того, як один з його друзів почав розповідати про нагороди, зароблених ним пошуком багів, Рікафорт пішов в інтернет і почав читати блоги дослідників безпеки і дивитися навчальні відео по цій темі. Він каже, що його першою нагородою стали “$50 за помилку від якоїсь випадкової контори”. Але збудження від полювання захопило його, і в 2014 полювання стало його основним джерелом доходів.

Спочатку його друзі і сім’я не розуміли його, але після пояснень і потоку нагород вони зрозуміли, що це цілком реальний вибір професії. Та ще й володіє певною метою. «Я допомагаю не тільки компанії, але і всьому суспільству. Користувачам і людям, що використовують цю компанію», — говорить Рікафорт.

Читайте також  Легко додавати нові фічі в старий фреймворк? Муки вибору на прикладі розвитку SObjectizer-а

За останні чотири роки він виявив уразливості в кодах більше 200 компаній, включаючи Apple, Google, Microsoft, PayPal, Yahoo, IBM і Twitch. У минулому році він отримав найбільший на поточний момент приз: цілих $5000 від компанії, яку він не може назвати. «Це змінило моє життя. Словами не описати, що я відчував тоді», — сказав він. Він відсвяткував цю подію як будь-21-річний хлопець: трохи помандрував, і купив собі нову іграшку, велосипед BMX.

Але помилка, яка принесла йому популярність, – і поставила його в один ряд з іншими серйозними мисливцями за помилками – не принесла йому нічого. У 2014 він виявив помилку в Google Nest, яка дозволяла атакуючому отримати доступ до особистої та фінансової інформації користувачів Nest, включаючи ім’я, інформацію про банківську карту, і скани документів. Знахідка помістила його в зал слави гугловської програми з премії за помилки, але компанія повідомила, що оскільки проблема полягала в софті сторонньої компанії, виплата винагороди за неї не покладалася (проте, він отримував гроші від Google за інші уразливості).

На жаль, це був не єдиний випадок, коли йому не заплатили. Інші компанії пропонували йому замість грошей всяке, від матеріальних подарунків до екскурсії по Капітолію. І хоча Рікафорт стверджує, що йому подобається його футболка, отримана від уряду Данії, де написано «Я зламав данський уряд, і отримав всього лише цю дурну футболку», вона не допомагає зводити йому кінці з кінцями.

Тим не менш, він говорить, що на життя йому вистачає – в середній місяць він заробляє близько 10 000 філіппінських песо (близько $187), що дорівнює середній зарплаті у його країні, а в хороший місяць може підняти від 20 000 до 30 000 ($374 — $561).

Читайте також  Теорія щастя. Закон зебри і чужої черги

Так йде справа у багатьох мисливців за помилками: великі коливання виплат, і життя на зарплату, недостатню для багатої західної країни. Але це положення, можливо, буде змінюватися. Такі компанії, як Bugcrowd і HackerOne (Рікафорт працював з обома), полегшують життя спільноти мисливців за помилками, пропонуючи схеми, за якими вони можуть заробляти більше регулярно і зв’язуватися з компаніями, готовими розщедритися.

У будь-якому випадку, як каже Рікафорт, йому подобається те, як результати його роботи змінюють світ. Хоча він і розглянув би пропозицію роботи на повний день в сфері безпеки, він вважає, що найбільших результатів може досягти так, як працює зараз: борючись з уразливими, перебуваючи в тіні. Як він сам каже: «Мені більше по душі нагороди за знайдені помилки».

Степан Лютий

Обожнюю технології в сучасному світі. Хоча частенько і замислююся над тим, як далеко вони нас заведуть. Не те, щоб я прям і знаюся на ядрах, пікселях, коллайдерах і інших парсеках. Просто приходжу в захват від того, що може в творчому пориві вигадати людський розум.

You may also like...

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *