Bug bounty: Najdi chybu na webu a vydělej hromadu peněz

Co tě jako první napadne při představě hackera? Zřejmě to nebude zrovna dobročinnost. Nicméně v tomto článku ti ukážeme, že hacker není vždy muž v černé mikině s kapucí, snažící se zpoza zářícího monitoru ukrást něčí data. Takzvaní etičtí hackeři totiž své schopnosti používají k tomu, aby webům pomohli objevit chyby v jejich bezpečnostní infrastruktuře, které by někdo jiný mohl zneužít. A přesně to je podstata programů Bug bounty.

Chceš vědět, jaké výhody to představuje pro firmy i samotné hackery? A jak se stát etickým hackerem?

Co to je Bug bounty?

Programy Bug bounty představují pro společnosti zajímavou příležitost, jak posílit svou kybernetickou bezpečnost. Dle dat z platformy pro odměňování chyb HackerOne totiž vyplývá, že 53 % organizací někdy ztratilo své zákazníky kvůli porušení zabezpečení.

Bug bounty funguje zhruba tak, že společnosti vyzvou hackery a výzkumníky, aby na jejich webech či v aplikacích vyhledali bezpečnostní chyby a slabá místa. Za úspěšný nález potom dostanou tito hackeři odměnu, která se liší podle závažnosti problému i postavení jednotlivé společnosti. Firma si následně vše opraví a tím zvýší své zabezpečení.

Jak vyplývá ze statistik HackerOne, nejčastější bezpečnostní chybou je cross-site scripting (XSS). Při něm se hackeři vydávají za jiné uživatele, kradou důvěrné informace či poškozují samotný web.

Které společnosti k hledání chyb vyzývají?

První Bug bounty program představila firma Netscape již v říjnu 1995, uživatelé v něm pomáhali hledat chyby v beta softwaru Netscape Navigator 2.0. Od té doby se tento fenomén rozšířil i mezi další společnosti, mimo jiné se jedná o Mozilla Foundation, Facebook, Apple, Google, Verizon, Shopify, Spotify, Starbucks nebo třeba Twitter. Zároveň se pak zvyšuje i počet zájemců, kteří se chtějí stát nezávislými hledači chyb.

Chceš se vzdělat v oblasti IT? Přihlas se do rekvalifikačního kurzu a získej práci snů jako programátor:

Výhody Bug bounty programů pro společnosti

Bug bounty nabízí velkým korporacím řadu výhod, především jde o skvělou prevenci. Zároveň se díky práci etických hackerů mohou poučit i interní vývojáři firem.

Pro společnosti je tento krok výhodný i finančně. Peníze vynaložené na prevenci jsou totiž často daleko nižší, než náklady spojené s řešením případného útoku. Odměny se navíc rozdávají pouze v případě, že někdo najde chybu. Firmy tak nemusí plýtvat penězi na vlastního zaměstnance, kterého by platily od hodiny.

Jak popisuje pro HackerOne vedoucí týmu správy zranitelnosti u společnosti Wix:

Externí výzkumní pracovníci jsou nedílnou součástí zabezpečení aplikace, protože rozumí naší platformě. Zjištění, která předkládají, jsou pro nás neuvěřitelně cenná, dokážou totiž přesně identifikovat původ problému. My se pak můžeme zaměřit na to, jak by měl být vyřešen.

V neposlední řadě pak tyto programy dávají společnostem a organizacím možnost objevit talentované výzkumníky, se kterými mohou navázat spolupráci.

Co získají samotní hackeři?

Z Bug Bounty netěží pouze společnosti, ale také hackeři a výzkumníci. Jak už bylo řečeno, za úspěšný nález získají etičtí hackeři slíbenou odměnu.

Například cloudová služba Airtable již vyplatila na odměnách více než 80 tisíc dolarů. Průměrná vyplacená částka se pohybuje okolo 100 dolarů, nejvyšší odměna však dosahuje až k 5 tisícům dolarů. Sociální síť Snapchat potom za období od července 2022 vyplatila etickým hackerům téměř 500 tisíc dolarů, přičemž nejnižší možnou odměnu nastavila na 250 dolarů a nejvyšší na 35 tisíc dolarů. A to už se vyplatí, ne?

Nedávný výzkum společnosti Intigriti zjistil, že 66 % etických hackerů zvažuje vyhledávání chyb jako kariéru na plný úvazek a 96 % z nich by se mu chtělo věnovat více. Mnoho z nich potom považuje Bug bounty za způsob, jak si přivydělat.

Velkou výhodou pro výzkumníky a hackery je také možnost si otestovat své dovednosti při hledání bezpečnostních chyb v infrastruktuře kybernetické bezpečnosti společností. Tato práce je navíc hodně flexibilní. Můžeš ji vykonávat kdykoliv a téměř odkudkoliv. Staneš se tak svým vlastním šéfem.

Jak začít s Bug bounty?

Hledat chyby může každý, kdo má chuť se naučit něco nového. Je ale fajn, pokud již máš nějaké základy programování. Čím zkušenější totiž budeš, tím je pravděpodobnější, že nějakou chybu objevíš. Pokud by ses i ty rád pustil do hledání chyb, inspirovali jsme se stránkou Geeksforgeeks a přichystali jsme několik tipů, které ti pomohou začít:

• Nauč se ovládat počítačové sítě: Pro práci s Bug bounty potřebuješ znalost počítačových sítí. Nemusíš být úplný odborník, ale měl by ses orientovat alespoň v základech internetworkingu, IP adres, MAC adres a protokolových zásobníků. Informace o sítích můžeš nastudovat třeba z našeho e-learningového kurzu Sítě.
• Seznam se s webovými technologiemi: Je potřeba, abys měl alespoň základní znalosti programování a webových protokolů. Ideální je znát programovací jazyky jako je JavaScript, HTML nebo CSS.
• Poznej bezpečnostní opatření webových aplikací a techniky hackování: Musíš se seznámit se základními bezpečnostními mechanismy a postupy. Nevynechej ani způsoby, jak je obejít a nastuduj si i jejich běžné zranitelnosti.
• Procvičuj si naučené dovednosti: Získané znalosti je potřeba si vyzkoušet, a to v různých obtížnostech. K tomu slouží takzvané „zranitelné webové aplikace“. Mezi ně patří třeba bWAPP, DVWA, OWASP Webgoat nebo třeba Butterfly Security Project.
• Otestuj skutečné cíle: Nyní se již můžeš vrhnout na lov chyb na skutečných webových stránkách. Úspěch se však nemusí dostavit okamžitě. Obzvlášť na velkých a vytížených webech jako je Facebook, Twitter nebo Spotify budeš mít velkou konkurenci v podobě zkušených hackerů.

Pokud si nevěříš na kariéru etického hackera, nevadí. Slušné peníze si můžeš vydělat i jako programátor. Absolvuj například některý z našich akreditovaných rekvalifikačních kurzů a získej práci s mnoha benefity. Tyto kurzy ti navíc může proplatit pracovní úřad:

Přečtěte si také