КАК МОЖНО ЗАРАБАТЫВАТЬ ОХОТЯСЬ ЗА ЧУЖИМИ ОШИБКАМИ

КАК МОЖНО ЗАРАБАТЫВАТЬ ОХОТЯСЬ ЗА ЧУЖИМИ ОШИБКАМИ

1 апреля, 2020 Выкл. Автор kentavenue

 

Есть много способов заработать деньги в области IT. Есть варианты карьеры, которые не имеют ничего общего с программированием и есть люди в ИТ, которые в своей жизни не написали ни одной строчки кода. Есть дизайнеры UX и UI, бизнес-аналитики, технические писатели, тестировщики игр и т. д. Охотники за багами обычно имеют некоторый технический опыт, но это не всегда так.

 

ЧТО ТАКОЕ ОХОТА ЗА ОШИБКАМИ

Этичные хакеры или специалисты по компьютерной безопасности — это люди, которые ищут уязвимости в сетях и на веб-сайтах. Мы должны проводить различие между этичными хакерами, так называемыми белыми шляпами, серыми шляпами и хакерами в черных шляпах. Первые ищут меры безопасности с добрыми намерениями и с разрешением от компании; хакеры в серых шляпах делают то же самое, но без разрешения; черные шляпы в основном находят ошибки с плохим намерением и без разрешения. Тем не менее, программы Big Bounty были созданы, чтобы держать хакеров подальше от темной стороны взлома.

Такие программы есть у многих крупных компаний в сфере технологий, включая Facebook, Google, Microsoft, Reddit, Mozilla, Tesla, Pinterest, и даже программа правительства США «Взломать Пентагон», которая была запущена в 2016 году, и недавно созданная — «Взломай армию».

В то время как охота за ошибками в основном ориентирована на веб-сайты, 2020 год принес нам растущий спрос на VPN и нагрузку на сеть в целом. Больше людей работают из дома, рабочие места децентрализованы, и сети могут быть уязвимы.

Многие исследователи отмечают, что тестирование и поиск ошибок все больше и больше возлагается на искусственный интеллект. Иногда это имеет смысл, но творческий потенциал человеческого разума (пока) нельзя сравнивать с уровнем, на котором искусственный интеллект находиться сегодня.

Кроме того, конкуренция большая. Тысячи людей охотятся за багами. Ежедневно отправляются тысячи отчетов об ошибках. Не все найденные ошибки будут вознаграждены, и многие из охотников получат в награду только футболку или авторучку.

 

КАК СТАТЬ ОХОТНИКОМ ЗА ОШИБКАМИ

Уже упоминалось, что не все ИТ-специалисты имеют навыки программирования. При поиске ошибок желательно иметь технический опыт, но и отсутствие его не является препятствием.

Во всяком случае, вы должны быть увлечены этим. Проводить долгие часы, пытаясь найти ошибку, может быть скучно и утомительно. Кроме того, большинство людей удивлены количеством документов, которые нужно прочитать и написать. Нужно оставаться в курсе последних новостей, читать исследовательские работы, в социальных сетях следить за известными экспертами по безопасности, а также читать рецензии и отчеты.

Итак, что вам нужно знать, чтобы начать охотиться за багами? Вы должны, по крайней мере, иметь базовые знания по работе с сетевыми технологиями, HTML, PHP, javascript и владеть базовыми навыками Linux. Чем больше вы знаете, тем лучше, поэтому старайтесь учиться, оставаться в курсе событий, читать рецензии других людей. Если у вас есть некоторые навыки программирования, делайте обзоры кода, следите за тем, что происходит на DEF CON (крупнейшей в мире конференции хакеров). Заходите на hacker101 и делайте как можно больше упражнений. Известные хакеры говорят, что большое значение в поиске ошибок имеет интуиция, но интуиция появляется только после длительной практики.

 

КАК ЗАРАБАТЫВАТЬ НА ПОИСКЕ ОШИБОК?

На этичном взломе можно хорошо заработать. В 2019 году Google выплатил специалистам в области безопасности более 6,5 миллионов долларов. Есть плюсы и минусы в работе по поиску ошибок. Вы можете потратить недели или даже месяцы на поиск, но ошибку так и не обнаружите или вы можете стать счастливчиком и найти ее после нескольких дней поиска. В зависимости от серьезности ошибки, вас могут вознаградить парой сотен долларов, или награда может быть просто футболка или, что еще хуже, ничего.

Охотники за ошибками должны знать, что многие отправленные отчеты об ошибках помечены как дубликаты, это означает, что кто-то до вас уже обнаружил эту ошибку. Часто, в зависимости от серьезности ошибки, компания может решить, что целостность и функциональность веб-сайта или приложения важнее, чем исправление незначительной ошибки. В таком случае, если компания еще не приступила к устранению проблемы, может быть получено много повторяющихся отчетов об ошибках.

Очень важно отметить, что вы не должны просто пытаться взломать любой случайный сайт. Это может привести к неприятностям. Поищите Bug Bounty программы. Полный их список можно найти на сайте hackerone.com. В список входят такие крупные компании, как YouTube, Instagram, Google, Yandex, Intel и многие другие. Участие в этих программах даст вам уверенность в том, что если вы обнаружите ошибку, у вас будет больше шансов получить за нее вознаграждение.