Как выжить охотнику за багами: ежедневная борьба за доход

Original author: Erin Winick
  • Translation

В принципе, можно сделать карьеру независимой киберищейки – если вы достаточно непритязательны




Эван Рикафорт работает из дома, и его офис занимает одну комнату в доме, расположенном на шоссе в Филиппинах, где вместе с ним живёт его семья. Родители 22-летнего компьютерщика работают в продуктовом магазинчике, принадлежащем его семье, и расположенном в южном городе Ипиль, а он сам проводит до 75 часов в неделю взаперти, вкалывая на своём компьютере. И здесь, среди какофонии мотоциклов, лая собак и плача детей, он может заниматься спасением ваших персональных данных.

Рикафорт – охотник за багами, принадлежащий к определённому типу положительных хакеров, ищущих уязвимости в безопасности ПО, созданного крупнейшими технокомпаниями мира, пытаясь опередить плохих хакеров, которые могли бы воспользоваться этими уязвимостями. Делают они это не бесплатно, естественно: многие компании платят (иногда прилично) за вклады, помогающие компаниям исправлять код, от которого зависит их бизнес. И таких предложений достаточно, чтобы охота за багами стала одной из нарождающихся профессий.

У Рикафорта нет образования в области информатики или программирования. После того, как один из его друзей начал рассказывать о наградах, заработанных им поиском багов, Рикафорт пошёл в интернет, и начал читать блоги исследователей безопасности и без устали смотреть обучающие видео по этой теме. Он говорит, что его первой наградой стали "$50 за ошибку от какой-то случайной конторы". Но возбуждение от охоты захватило его, и в 2014 охота стала его основным источником доходов.

Сначала его друзья и семья не понимали его, но после объяснений и потока наград они поняли, что это вполне реальный выбор профессии. Да ещё и обладающий определённой целью. «Я помогаю не только компании, но и всему сообществу. Пользователям и людям, использующим эту компанию», — говорит Рикафорт.

За последние четыре года он обнаружил уязвимости в кодах более 200 компаний, включая Apple, Google, Microsoft, PayPal, Yahoo, IBM и Twitch. В прошлом году он получил крупнейший на текущий момент приз: целых $5000 от компании, которую он не может назвать. «Это изменило мою жизнь. Словами не описать, что я ощутил тогда», — сказал он. Он отпраздновал это событие как любой 21-летний парень: немного попутешествовал, и купил себе новую игрушку, велосипед BMX.



Но ошибка, принесшая ему известность – и поставившая его в один ряд с другими серьёзными охотниками за ошибками – не принесла ему ничего. В 2014 он обнаружил ошибку в Google Nest, позволявшую атакующему получить доступ к личной и финансовой информации пользователей Nest, включая имя, информацию о банковской карте, и сканы документов. Находка поместила его в зал славы гугловской программы по наградам за ошибки, но компания сообщила, что поскольку проблема заключалась в софте сторонней компании, выплата награды за неё не полагалась (однако, он получал деньги от Google за другие уязвимости).



К сожалению, это был не единственный случай, когда ему не заплатили. Другие компании предлагали ему вместо денег всякое, от материальных подарков до экскурсии по Капитолию. И хотя Рикафорт утверждает, что ему нравится его футболка, полученная от правительства Нидерландов, где написано «Я взломал нидерландское правительство, и получил всего лишь эту дурацкую футболку», она не помогает сводить ему концы с концами.

Тем не менее, он говорит, что на жизнь ему хватает – в средний месяц он зарабатывает порядка 10 000 филиппинских песо (порядка $187), что равно средней зарплате в его стране, а в хороший месяц может поднять от 20 000 до 30 000 ($374 — $561).

Так обстоит дело у многих охотников за ошибками: большие колебания выплат, и жизнь на зарплату, недостаточную для богатой западной страны. Но это положение, возможно, будет меняться. Такие компании, как Bugcrowd и HackerOne (Рикафорт работал с обеими), облегчают жизнь сообщества охотников за ошибками, предлагая схемы, по которым они могут зарабатывать более регулярно и связываться с компаниями, готовыми раскошелиться.

В любом случае, как говорит Рикафорт, ему нравится то, какое результаты его работы изменяют мир. Хотя он и рассмотрел бы предложение работы на полный день в сфере безопасности, он считает, что наибольших результатов может достичь так, как работает сейчас: борясь с уязвимостями, находясь в тени. Как он сам говорит: «Мне больше по душе награды за найденные ошибки».
AdBlock has stolen the banner, but banners are not teeth — they will be back

More
Ads

Comments 5

    0
    Dutch — это нидерландский, а не датский.
      +1
      $200 в месяц это очень мало, странный багхантер.
        0
        почему бы ему не устроится на работу программистом или тестировщиком и не получать в разы больше денег за ту же деятельность?
          0
          Вообще, это какой-то очень странный пример багхантера. Заниматься поиском уязвимостей чуть ли не по 10+ часов в день, но при этом получать за это 200-600 долларов, это иногда меньше доллара в час. Надо делать что-то очень странное, чтобы получить такие результаты. Обычно доходы другого порядка.
          0
          На мой взгляд, поиск багов — это скорее хобби и дополнительный доход, нежели основной вид заработка. Получая около 500$ в месяц с основной работы, еще 100 или даже 200, будут очень даже не лишними.

          Only users with full accounts can post comments. Log in, please.