Crowdsourcing van de jacht op softwarefouten is een booming business - en een riskante onderneming

George Wylesol





Zij zijn de Ubers van de digitale beveiligingswereld. In plaats van onafhankelijke chauffeurs te matchen met passagiers, verbinden bedrijven als Bugcrowd en HackerOne mensen die graag tijd besteden aan het zoeken naar fouten in software met bedrijven die bereid zijn hen te betalen voor bugs die ze vinden.

Deze gig-economie op het gebied van cyberbeveiliging is uitgegroeid tot honderdduizenden hackers, van wie velen enige ervaring hebben in de IT-beveiligingsindustrie. Sommigen hebben nog steeds een baan en jagen in hun vrije tijd op insecten, terwijl anderen hun brood verdienen met freelancen. Ze spelen een essentiële rol bij het helpen veiliger maken van code in een tijd waarin aanvallen snel toenemen en de kosten van het onderhouden van toegewijde interne beveiligingsteams omhoogschieten.

De beste freelance bugspotters kunnen aanzienlijke sommen geld verdienen. HackerOne, dat meer dan 200.000 geregistreerde gebruikers heeft, zegt dat ongeveer 12 procent van de mensen die gebruik maken van zijn dienstenpakket $ 20.000 of meer per jaar gebruikt, en ongeveer 3 procent meer dan $ 100.000 verdient. De hackers die deze platforms gebruiken, komen voornamelijk uit de VS en Europa, maar ook uit armere landen waar het geld dat ze kunnen verdienen ertoe leidt dat sommigen fulltime aan het zoeken naar bugs werken. (Zie onze serie Jobs of the Future voor een profiel van een freelance ethische hacker in de Filippijnen.)



Code cleaners

Steeds meer grote bedrijven zoals GM, Microsoft en Starbucks voeren nu bug bounty-programma's uit die geldelijke beloningen bieden aan degenen die bugs in hun software opsporen en rapporteren. Platforms zoals Bugcrowd kunnen helpen door de hackgemeenschap te waarschuwen voor programma's die worden gelanceerd, prioriteit te geven aan bugs die naar bedrijven worden doorgestuurd en zaken als betalingen af ​​te handelen.

Richard Rushing, chief information security officer van smartphonemaker Motorola Mobility, zegt dat hij dol is op het zoeken naar bugs via crowdsourcing, omdat dit betekent dat veel ogen constant code aan het onderzoeken zijn en omdat freelancejagers softwarefouten snel melden om premies op te halen voordat rivalen dat doen.

Verwant verhaal Onafhankelijk cyberspeuren is een realistisch carrièrepad, als je goedkoop kunt leven.

Bovendien, in een tijd waarin experts voorspellen dat er in 2021 wereldwijd 3,5 miljoen cyberbeveiligingsbanen vacant zullen zijn omdat er niet genoeg geschoolde werknemers zijn, kunnen freelancers de druk op interne teams verlichten.



Toch staan ​​de platforms voor een aantal grote uitdagingen. Een daarvan is om de pool van getalenteerde insectenjagers te blijven uitbreiden. Een andere is om meer juridische duidelijkheid te scheppen over welke tools en technieken ethische hackers veilig kunnen gebruiken. Populaire tactieken zoals het gebruik van injectie-aanvallen, waarbij code in softwaretoepassingen wordt ingevoegd die de manier waarop de programma's worden uitgevoerd, zou kunnen veranderen, kunnen mogelijk leiden tot vervolging op grond van anti-hackwetten zoals de America's Computer Fraud and Abuse Act (CFAA).

Er zijn al gevallen geweest waarin beveiligingsonderzoekers en -verslaggevers hebben geconfronteerd met mogelijke juridische stappen voor het opsporen en rapporteren van kwetsbaarheden in de bedrijfscode. Er zouden maar een paar spraakmakende rechtszaken nodig zijn om een ​​huiveringwekkend effect op de industrie te hebben.

verenigde hacker

Om de talentuitdaging aan te gaan, publiceren de crowdsourcingplatforms veel meer inhoud om hackers te helpen hun vaardigheden te verbeteren en meer mensen aan te trekken voor optredens. Bugcrowd heeft zojuist Bugcrowd University onthuld, die gratis webinars en geschreven handleidingen biedt voor zaken als Burp Suite (ja, dat is echt de naam), een grafisch hulpmiddel voor het testen van de beveiliging van webapplicaties.



Het platform werkt ook samen met ervaren ethische hackers om veelbelovende freelancers te herkennen en op te leiden. De beste rekruten zijn nieuwsgierig, vasthoudend en bereid om zich snel aan te passen. De technologie evolueert zo snel dat het vaak moeilijk is om de achterstand in te halen, legt Phillip Wylie uit, Bugcrowds talentspotter in Dallas.

HackerOne publiceert ook meer trainingsmateriaal en coacht onafhankelijke bugjagers - die eigenzinnige en soms schurende karakters kunnen zijn - in zachte vaardigheden, zoals hoe effectiever te communiceren met zakelijke IT-afdelingen.

Wettelijke luchtdekking

Op juridisch vlak dringen de platforms erop aan dat er meer veilige haventaal wordt opgenomen in contracten die bugpremies regelen. Het doel, zegt Adam Bacchus van HackerOne, is om bedrijven duidelijk te maken dat als hackers de rules of engagement redelijkerwijs volgen, ze niet voor de rechter zullen verschijnen.



Bugcrowd werkt samen met Amit Elazari, een beveiligingsonderzoeker wiens werk? heeft gewezen op de noodzaak van veilige haventaal, om een ​​initiatief te lanceren genaamd onthullen.io om een ​​gestandaardiseerd raamwerk te creëren voor het vinden en rapporteren van bugs. Dit zou expliciete toestemming geven voor het gebruik van bug-hunting-technieken die normaal gesproken duidelijke schendingen zijn van bepalingen in anti-hacking-statuten.

Het is een aanvulling op een breder duwtje in de VS door groepen zoals de Electronic Frontier Foundation om te voorkomen dat bedrijven wetten zoals de CFAA gebruiken om onderzoekers die ernstige gebreken ontdekken het zwijgen op te leggen en deze op een verantwoorde manier bekend te maken.

Casey Ellis, de oprichter en voorzitter van Bugcrowd, zegt dat sommige andere landen, zoals het VK en Duitsland, ook strikte anti-hackwetten hebben die kunnen worden gebruikt om ethisch hacken te belemmeren.

Dergelijke wetten zijn nodig om te voorkomen dat allerlei soorten hackers schade aanrichten. De uitdaging die voor ons ligt is om een ​​verstandig evenwicht te vinden tussen het beschermen van ethische hackers en het beschermen van bedrijven tegen malafide hackers die schade willen berokkenen. Het zal niet eenvoudig zijn om dit goed te krijgen, maar gezien het nijpende tekort aan talent in de cyberbeveiligingswereld, is dit een probleem dat we dringend moeten aanpakken.

Update (27 augustus): dit artikel is bijgewerkt om de rol van Amit Elazari te laten zien bij het lanceren van disclosure.io

zich verstoppen