211service.com
Crowdsourcing programmatūras kļūdu meklēšanai ir plaukstošs un riskants bizness
Džordžs Vailesols
Viņi ir digitālās drošības pasaules Uberi. Tā vietā, lai saskaņotu neatkarīgus vadītājus ar pasažieriem, uzņēmumi, piemēram, Bugcrowd un HackerOne, saista cilvēkus, kuriem patīk pavadīt laiku, meklējot programmatūras trūkumus, ar uzņēmumiem, kas vēlas viņiem maksāt par atrastajām kļūdām.
Šī kiberdrošības koncerta ekonomika ir paplašinājusies līdz simtiem tūkstošu hakeru, no kuriem daudziem ir bijusi zināma pieredze IT drošības nozarē. Dažiem joprojām ir darbs un viņi brīvajā laikā medī blaktis, savukārt citi iztiku no ārštata. Viņiem ir būtiska loma, palīdzot padarīt kodu drošāku laikā, kad strauji pieaug uzbrukumu skaits un speciālu iekšējās drošības komandu uzturēšanas izmaksas pieaug.
Labākie ārštata kļūdu meklētāji var nopelnīt ievērojamas naudas summas. Uzņēmums HackerOne, kuram ir vairāk nekā 200 000 reģistrētu lietotāju, saka, ka aptuveni 12 procenti cilvēku, kas izmanto tā pakalpojumu, iekasē USD 20 000 vai vairāk gadā, un aptuveni 3 procenti nopelna vairāk nekā 100 000 USD. Hakeri, kas izmanto šīs platformas, galvenokārt nāk no ASV un Eiropas, kā arī no nabadzīgākām valstīm, kur viņu nopelnītā nauda liek dažiem strādāt pilnu slodzi kļūdu medībās. (Filipīnās strādājoša ārštata ētiskā hakera profilu skatiet mūsu sērijā Nākotnes darbi .)
Kodu tīrīšanas līdzekļi
Arvien vairāk lielu uzņēmumu, piemēram, GM, Microsoft un Starbucks, tagad izmanto kļūdu novēršanas programmas, kas piedāvā naudas atlīdzību tiem, kuri pamana un ziņo par kļūdām savā programmatūrā. Tādas platformas kā Bugcrowd var palīdzēt, brīdinot hakeru kopienu par programmām, kas tiek uzsāktas, piešķirot prioritāti uzņēmumiem nosūtītajām kļūdām un apstrādājot tādas lietas kā maksājumi.
Ričards Rašings, viedtālruņu ražotāja Motorola Mobility galvenais informācijas drošības speciālists, saka, ka viņam ļoti patīk kļūdu meklēšana, jo tas nozīmē, ka daudzas acis pastāvīgi pārbauda kodu, un tāpēc, ka ārštata mednieki ātri ziņo par programmatūras trūkumiem, lai iegūtu piemaksas, pirms to dara konkurenti.
Saistīts stāsts
Saistīts stāsts Neatkarīga kibernoziegumi ir reāls karjeras ceļš, ja varat dzīvot lēti.Turklāt laikā, kad eksperti prognozē ka 3,5 miljoni kiberdrošības darbavietu visā pasaulē līdz 2021. gadam būs brīvas, jo nav pietiekami daudz kvalificētu darbinieku, ārštata darbinieki var nedaudz mazināt iekšējo komandu spriedzi.
Tomēr platformas saskaras ar pāris lieliem izaicinājumiem. Viens no tiem ir turpināt paplašināt talantīgo kļūdu mednieku loku. Vēl viens mērķis ir ieviest lielāku juridisko skaidrību par to, kādus rīkus un paņēmienus var droši izmantot ētiski hakeri. Populāra taktika, piemēram, injekcijas uzbrukumu izmantošana, kas ietver koda ievietošanu programmatūras lietojumprogrammās, kas varētu mainīt programmu izpildes veidu, potenciāli var izraisīt kriminālvajāšanu saskaņā ar pretuzlaušanas likumiem, piemēram, Amerikas Datoru krāpšanas un ļaunprātīgas izmantošanas likumu (CFAA).
Jau ir bijuši gadījumi, kad drošības pētniekiem un reportieriem ir saskārās ar iespējamu tiesvedību lai atklātu un ziņotu par ievainojamībām uzņēmumu kodā. Vajadzētu tikai pāris skaļas tiesas prāvas, lai radītu atvēsinošu ietekmi uz nozari.
vienotais hakeris
Lai risinātu talantu problēmu, pūļa pakalpojumu platformas publicē daudz vairāk satura, lai palīdzētu hakeriem uzlabot savas prasmes un piesaistīt vairāk cilvēku koncertdarbiem. Bugcrowd tikko atklāja Bugcrowd universitāti, kas piedāvā bezmaksas tīmekļa seminārus un rakstiskus ceļvežus par tādām lietām kā Burp Suite (jā, tas tiešām ir nosaukums), kas ir grafisks rīks tīmekļa lietojumprogrammu drošības pārbaudei.
Platforma arī sadarbojas ar pieredzējušiem ētiskiem hakeriem, lai palīdzētu tai pamanīt un apmācīt daudzsološus ārštata darbiniekus. Labākie darbinieki ir zinātkāri, izturīgi un vēlas ātri pielāgoties. Tehnoloģija attīstās tik ātri, ka bieži vien ir grūti panākt [to], skaidro Filips Vailijs, Bugcrowd talantu meklētājs Dalasā.
HackerOne arī publicē vairāk apmācības materiālu un apmāca neatkarīgus kļūdu medniekus, kuri var būt dīvaini un dažkārt abrazīvie personāži, kā arī apgūt prasmes, piemēram, kā efektīvāk sazināties ar uzņēmuma IT departamentiem.
Legālais gaisa vāks
Juridiskajā jomā platformas cenšas panākt, lai līgumos, kas reglamentē kļūdu atlīdzību, tiktu iekļauta vairāk drošas zonas valodas. Mērķis, saka Adams Bakuss no HackerOne, ir panākt, lai uzņēmumi būtu skaidrībā par to, ka, ja hakeri saprātīgi ievēros iesaistīšanās noteikumus, viņi netiks saukti tiesā.
Bugcrowd ir sadarbojies ar drošības pētnieku Amitu Elazari kura darbs ir uzsvēris nepieciešamību pēc 'drošības zonas' valodas, lai uzsāktu iniciatīvu ar nosaukumu atklāt.io izveidot standartizētu sistēmu kļūdu atrašanai un ziņošanai par tām. Tas sniegtu nepārprotamu atļauju izmantot kļūdu meklēšanas paņēmienus, kas parasti būtu nepārprotami pretuzlaušanas statūtu noteikumu pārkāpumi.
Tas papildina plašāks grūdiens ASV tādas grupas kā Electronic Frontier Foundation, lai neļautu uzņēmumiem izmantot tādus likumus kā CAFA, lai apklusinātu pētniekus, kuri atklāj nopietnus trūkumus un atbildīgi tos atklāj.
Keisijs Eliss, Bugcrowd dibinātājs un priekšsēdētājs, saka, ka arī dažās citās valstīs, piemēram, Apvienotajā Karalistē un Vācijā, ir stingri pretuzlaušanas likumi, kurus varētu izmantot, lai kavētu ētisku uzlaušanu.
Šādi likumi ir nepieciešami, lai novērstu to, ka visu veidu hakeri rada postu. Nākamais izaicinājums ir panākt saprātīgu līdzsvaru starp ētisku hakeru aizsardzību un uzņēmumu pasargāšanu no negodīgiem, lai nodarītu kaitējumu. To panākt nebūs viegli, taču, ņemot vērā milzīgo talantu trūkumu kiberdrošības pasaulē, tā ir problēma, kas mums steidzami jārisina.
Atjauninājums (27. augusts): šis raksts ir atjaunināts, lai parādītu Amita Elazari lomu disclose.io palaišanā.