211service.com
Crowdsourcing für die Jagd nach Softwarefehlern ist ein boomendes Geschäft – und ein riskantes
George Wylesol
Sie sind die Ubers der digitalen Sicherheitswelt. Anstatt unabhängige Fahrer mit Passagieren zusammenzubringen, verbinden Unternehmen wie Bugcrowd und HackerOne Menschen, die gerne Zeit damit verbringen, nach Fehlern in Software zu suchen, mit Unternehmen, die bereit sind, sie für gefundene Fehler zu bezahlen.
Diese Cybersicherheits-Gig-Ökonomie hat sich auf Hunderttausende von Hackern ausgeweitet, von denen viele bereits Erfahrung in der IT-Sicherheitsbranche gesammelt haben. Einige haben noch Jobs und jagen in ihrer Freizeit Käfer, während andere ihren Lebensunterhalt als Freiberufler verdienen. Sie spielen in einer Zeit, in der Angriffe rapide zunehmen und die Kosten für den Unterhalt dedizierter interner Sicherheitsteams in die Höhe schießen, eine wesentliche Rolle dabei, Code sicherer zu machen.
Die besten freiberuflichen Bugspotter können beträchtliche Summen verdienen. HackerOne, das über 200.000 registrierte Benutzer hat, sagt, dass etwa 12 Prozent der Leute, die seinen Service nutzen, 20.000 Dollar oder mehr pro Jahr einstecken, und etwa 3 Prozent verdienen über 100.000 Dollar. Die Hacker, die diese Plattformen nutzen, stammen hauptsächlich aus den USA und Europa, aber auch aus ärmeren Ländern, wo das Geld, das sie verdienen können, einige dazu bringt, Vollzeit an der Fehlersuche zu arbeiten. (Ein Profil eines freiberuflichen ethischen Hackers mit Sitz auf den Philippinen finden Sie in unserer Serie Jobs of the Future .)
Code-Reiniger
Immer mehr große Unternehmen wie GM, Microsoft und Starbucks führen jetzt Bug-Bounty-Programme durch, die diejenigen finanziell belohnen, die Fehler in ihrer Software entdecken und melden. Plattformen wie Bugcrowd können helfen, indem sie die Hacker-Community auf gestartete Programme aufmerksam machen, Bugs priorisieren, die an Unternehmen gesendet werden, und Dinge wie Zahlungen handhaben.
Richard Rushing, Chief Information Security Officer des Smartphone-Herstellers Motorola Mobility, sagt, dass er Crowdsourcing-Fehlersuchen wirklich mag, weil es bedeutet, dass viele Augen ständig den Code unter die Lupe nehmen, und weil freiberufliche Jäger Softwarefehler schnell melden, um Prämien zu kassieren, bevor es Konkurrenten tun.
Verwandte Geschichte
Verwandte Geschichte Unabhängiges Cybersleuthing ist ein realistischer Karriereweg, wenn Sie günstig leben können.Außerdem zu einer Zeit, als Experten prognostizieren dass bis 2021 weltweit 3,5 Millionen Cybersecurity-Jobs unbesetzt bleiben, weil es an Fachkräften mangelt, können Freelancer interne Teams entlasten.
Dennoch stehen die Plattformen vor einigen großen Herausforderungen. Eine besteht darin, den Pool an talentierten Käferjägern weiter zu erweitern. Eine andere besteht darin, mehr rechtliche Klarheit darüber zu schaffen, welche Tools und Techniken ethische Hacker sicher verwenden können. Beliebte Taktiken wie die Verwendung von Injection-Angriffen, bei denen Code in Softwareanwendungen eingefügt wird, der die Art und Weise ändern könnte, wie die Programme ausgeführt werden, könnte möglicherweise zu einer Strafverfolgung nach Anti-Hacking-Gesetzen wie dem amerikanischen Computer Fraud and Abuse Act (CFAA) führen.
Es gab bereits Fälle, in denen Sicherheitsforscher und Reporter dies getan haben mit möglichen rechtlichen Schritten konfrontiert zum Aufdecken und Melden von Schwachstellen im Code von Unternehmen. Es würde nur ein paar hochkarätige Klagen brauchen, um eine abschreckende Wirkung auf die Branche zu haben.
vereinter Hacker
Um der Talentherausforderung zu begegnen, veröffentlichen die Crowdsourcing-Plattformen viel mehr Inhalte, um Hackern dabei zu helfen, ihre Fähigkeiten zu verbessern und mehr Menschen für die Gig-Arbeit zu gewinnen. Bugcrowd hat gerade die Bugcrowd University vorgestellt, die kostenlose Webinare und schriftliche Anleitungen zu Dingen wie Burp Suite (ja, das ist wirklich der Name) anbietet, einem grafischen Tool zum Testen der Sicherheit von Webanwendungen.
Die Plattform arbeitet auch mit erfahrenen ethischen Hackern zusammen, um vielversprechende Freiberufler zu finden und zu schulen. Die besten Rekruten sind neugierig, hartnäckig und bereit, sich schnell anzupassen. Die Technologie entwickelt sich so schnell, dass es oft schwer ist, mit ihr Schritt zu halten, erklärt Phillip Wylie, Bugcrowds Talentsucher in Dallas.
HackerOne veröffentlicht auch mehr Schulungsmaterial und schult unabhängige Fehlerjäger – die schrullige und manchmal aggressive Charaktere sein können – in Soft Skills, z. B. wie man effektiver mit IT-Abteilungen von Unternehmen kommuniziert.
Legale Luftabdeckung
An der rechtlichen Front drängen die Plattformen darauf, dass mehr Safe-Harbor-Sprachen in Verträge über Bug-Bounties aufgenommen werden. Das Ziel, sagt Adam Bacchus von HackerOne, sei es, Unternehmen klarzumachen, dass Hacker, wenn sie die Einsatzregeln im Rahmen des Zumutbaren befolgen, nicht vor Gericht gestellt werden.
Bugcrowd ist eine Partnerschaft mit Amit Elazari, einem Sicherheitsforscher, eingegangen dessen Arbeit hat die Notwendigkeit einer Safe-Harbor-Sprache hervorgehoben, um eine Initiative namens zu starten offenbaren.io um einen standardisierten Rahmen für das Finden und Melden von Fehlern zu schaffen. Dies würde eine ausdrückliche Genehmigung für die Verwendung von Bug-Hunting-Techniken erteilen, die normalerweise eine klare Verletzung von Bestimmungen in Anti-Hacking-Gesetzen darstellen würden.
Es ergänzt einen breiteren Schub in den USA von Gruppen wie der Electronic Frontier Foundation, um Unternehmen daran zu hindern, Gesetze wie die CFAA anzuwenden, um Forscher zum Schweigen zu bringen, die schwerwiegende Fehler finden, und sie auf verantwortungsvolle Weise offenzulegen.
Casey Ellis, Gründer und Vorsitzender von Bugcrowd, sagt, dass einige andere Länder, wie Großbritannien und Deutschland, ebenfalls strenge Anti-Hacking-Gesetze haben, die verwendet werden könnten, um ethisches Hacken zu verhindern.
Solche Gesetze sind notwendig, um zu verhindern, dass Hacker aller Art Chaos anrichten. Die bevorstehende Herausforderung besteht darin, ein vernünftiges Gleichgewicht zwischen dem Schutz ethischer Hacker und der Abschirmung von Unternehmen vor böswilligen Hackern zu finden, die Schaden anrichten wollen. Dies richtig hinzubekommen, wird nicht einfach sein, aber angesichts des akuten Talentmangels in der Welt der Cybersicherheit ist dies ein Problem, das wir dringend angehen müssen.
Update (27. August): Dieser Artikel wurde aktualisiert, um die Rolle von Amit Elazari beim Start von publish.io aufzuzeigen