211service.com
Crowdsourcing jakten på programvarubuggar är en blomstrande verksamhet – och en riskabel sådan
George Wylesol
De är Ubers i den digitala säkerhetsvärlden. Istället för att matcha oberoende förare med passagerare kopplar företag som Bugcrowd och HackerOne samman människor som gillar att spendera tid på att leta efter brister i mjukvara med företag som är villiga att betala dem för buggar de hittar.
Denna spelningsekonomi för cybersäkerhet har expanderat till hundratusentals hackare, av vilka många har haft viss erfarenhet av IT-säkerhetsbranschen. Vissa har fortfarande jobb och jagar insekter på fritiden, medan andra livnär sig på frilansande. De spelar en viktig roll för att hjälpa till att göra koden säkrare i en tid då attackerna ökar snabbt och kostnaderna för att underhålla dedikerade interna säkerhetsteam skjuter i höjden.
De bästa frilansande buggspottarna kan tjäna betydande summor pengar. HackerOne, som har över 200 000 registrerade användare, säger att cirka 12 procent av personerna som använder dess tjänsteficka 20 000 USD eller mer per år, och cirka 3 procent tjänar över 100 000 USD. Hackarna som använder dessa plattformar kommer mestadels från USA och Europa, men också från fattigare länder där pengarna de kan tjäna leder till att vissa jobbar heltid med insektsjakt. (För en profil av en frilansande etisk hacker baserad i Filippinerna, se vår Jobs of the Future-serie.)
Kodstädare
Fler och fler stora företag som GM, Microsoft och Starbucks kör nu bug-bounty-program som erbjuder monetära belöningar till dem som upptäcker och rapporterar buggar i sin programvara. Plattformar som Bugcrowd kan hjälpa till genom att varna hackare om program som lanseras, prioritera buggar som skickas vidare till företag och hantera saker som betalningar.
Richard Rushing, informationssäkerhetschef för smartphonetillverkaren Motorola Mobility, säger att han verkligen gillar crowdsourcing buggsökningar eftersom det betyder att många ögon ständigt granskar kod, och för att frilansande jägare rapporterar mjukvarubrister snabbt för att ösa på prispengar innan rivalerna gör det.
Relaterad berättelse
Relaterad berättelse Independent cybersleuthing är en realistisk karriärväg, om du kan leva billigt.Dessutom i en tid då experter prognostiserar att 3,5 miljoner cybersäkerhetsjobb över hela världen kommer att vara lediga till 2021 eftersom det inte finns tillräckligt med kvalificerad arbetskraft, frilansare kan lätta en del av påfrestningen på interna team.
Ändå står plattformarna inför ett par stora utmaningar. En är att fortsätta utöka poolen av begåvade insektsjägare. En annan är att skapa större juridisk klarhet om vilka verktyg och tekniker etiska hackare kan använda säkert. Populära taktiker som att använda injektionsattacker, som involverar att infoga kod i mjukvaruapplikationer som kan förändra hur programmen körs, kan potentiellt leda till åtal enligt anti-hackinglagar som America's Computer Fraud and Abuse Act (CFAA).
Det har redan förekommit fall där säkerhetsforskare och reportrar har gjort det inför möjliga rättsliga åtgärder för att avslöja och rapportera sårbarheter i företagens kod. Det skulle bara krävas ett par högprofilerade stämningar för att få en kylande effekt på branschen.
United hacker
För att möta talangutmaningen publicerar crowdsourcing-plattformarna mycket mer innehåll för att hjälpa hackare att uppgradera sina färdigheter och för att locka fler människor till spelningsarbete. Bugcrowd presenterade just Bugcrowd University, som erbjuder gratis webbseminarier och skrivna guider till saker som Burp Suite (ja, det är verkligen namnet), som är ett grafiskt verktyg för att testa webbapplikationers säkerhet.
Plattformen arbetar också med erfarna etiska hackare för att hjälpa den att upptäcka och utbilda lovande frilansare. De bästa rekryterna är nyfikna, ihärdiga och villiga att anpassa sig snabbt. Tekniken utvecklas så snabbt att det ofta är svårt att hinna med den, förklarar Phillip Wylie, Bugcrowds talangspotter i Dallas.
HackerOne publicerar också mer utbildningsmaterial och coachar oberoende buggjägare – som kan vara knäppa och ibland slitande karaktärer – i mjuka färdigheter som hur man kommunicerar mer effektivt med företagens IT-avdelningar.
Lagligt luftskydd
På den juridiska fronten pressar plattformarna på för att ett mer säkert hamnspråk ska infogas i kontrakt som reglerar buggpremier. Syftet, säger Adam Bacchus från HackerOne, är att få företag att vara tydliga med att om hackare följer reglerna för engagemang inom rimliga gränser, kommer de inte att hamna i domstol.
Bugcrowd har samarbetat med Amit Elazari, en säkerhetsforskare vems arbete har lyft fram behovet av ett säkert hamnspråk, för att lansera ett initiativ som heter avslöja.io att skapa ett standardiserat ramverk för att hitta och rapportera buggar. Detta skulle ge uttrycklig auktorisation för att använda bugg-jakttekniker som normalt skulle vara tydliga överträdelser av bestämmelserna i anti-hacking-lagar.
Det kompletterar ett bredare tryck i USA av grupper som Electronic Frontier Foundation för att stoppa företag från att använda lagar som CFAA för att tysta forskare som hittar allvarliga brister och avslöja dem på ett ansvarsfullt sätt.
Casey Ellis, Bugcrowds grundare och ordförande, säger att vissa andra länder, som Storbritannien och Tyskland, också har strikta anti-hackinglagar som kan användas för att förhindra etisk hacking.
Sådana lagar behövs för att förhindra hackare av alla slag från att orsaka förödelse. Utmaningen framöver är att hitta en förnuftig balans mellan att skydda etiska hackare och att skydda företag från oseriösa sådana som är ute efter att orsaka skada. Det kommer inte att vara lätt att få det här rätt, men med tanke på den stora talangbristen i cybersäkerhetsvärlden är det en fråga som vi snarast måste ta itu med.
Uppdatering (27 augusti): Den här artikeln har uppdaterats för att visa Amit Elazaris roll i lanseringen av disclose.io