[Перевод] Как выжить охотнику за багами: ежедневная борьба за доход

В принципе, можно сделать карьеру независимой киберищейки — если вы достаточно непритязательны


ce8b12189cd81b2e97c3485c8cc066e6.png

Эван Рикафорт работает из дома, и его офис занимает одну комнату в доме, расположенном на шоссе в Филиппинах, где вместе с ним живёт его семья. Родители 22-летнего компьютерщика работают в продуктовом магазинчике, принадлежащем его семье, и расположенном в южном городе Ипиль, а он сам проводит до 75 часов в неделю взаперти, вкалывая на своём компьютере. И здесь, среди какофонии мотоциклов, лая собак и плача детей, он может заниматься спасением ваших персональных данных.

Рикафорт — охотник за багами, принадлежащий к определённому типу положительных хакеров, ищущих уязвимости в безопасности ПО, созданного крупнейшими технокомпаниями мира, пытаясь опередить плохих хакеров, которые могли бы воспользоваться этими уязвимостями. Делают они это не бесплатно, естественно: многие компании платят (иногда прилично) за вклады, помогающие компаниям исправлять код, от которого зависит их бизнес. И таких предложений достаточно, чтобы охота за багами стала одной из нарождающихся профессий.
У Рикафорта нет образования в области информатики или программирования. После того, как один из его друзей начал рассказывать о наградах, заработанных им поиском багов, Рикафорт пошёл в интернет, и начал читать блоги исследователей безопасности и без устали смотреть обучающие видео по этой теме. Он говорит, что его первой наградой стали »$50 за ошибку от какой-то случайной конторы». Но возбуждение от охоты захватило его, и в 2014 охота стала его основным источником доходов.

Сначала его друзья и семья не понимали его, но после объяснений и потока наград они поняли, что это вполне реальный выбор профессии. Да ещё и обладающий определённой целью. «Я помогаю не только компании, но и всему сообществу. Пользователям и людям, использующим эту компанию», — говорит Рикафорт.

За последние четыре года он обнаружил уязвимости в кодах более 200 компаний, включая Apple, Google, Microsoft, PayPal, Yahoo, IBM и Twitch. В прошлом году он получил крупнейший на текущий момент приз: целых $5000 от компании, которую он не может назвать. «Это изменило мою жизнь. Словами не описать, что я ощутил тогда», — сказал он. Он отпраздновал это событие как любой 21-летний парень: немного попутешествовал, и купил себе новую игрушку, велосипед BMX.

b20e0bb26bd2562c52e989d67a162f2c.jpg

Но ошибка, принесшая ему известность — и поставившая его в один ряд с другими серьёзными охотниками за ошибками — не принесла ему ничего. В 2014 он обнаружил ошибку в Google Nest, позволявшую атакующему получить доступ к личной и финансовой информации пользователей Nest, включая имя, информацию о банковской карте, и сканы документов. Находка поместила его в зал славы гугловской программы по наградам за ошибки, но компания сообщила, что поскольку проблема заключалась в софте сторонней компании, выплата награды за неё не полагалась (однако, он получал деньги от Google за другие уязвимости).

b7543226bb5e074fd2f99b497954f9e0.jpg

К сожалению, это был не единственный случай, когда ему не заплатили. Другие компании предлагали ему вместо денег всякое, от материальных подарков до экскурсии по Капитолию. И хотя Рикафорт утверждает, что ему нравится его футболка, полученная от правительства Нидерландов, где написано «Я взломал нидерландское правительство, и получил всего лишь эту дурацкую футболку», она не помогает сводить ему концы с концами.

Тем не менее, он говорит, что на жизнь ему хватает — в средний месяц он зарабатывает порядка 10 000 филиппинских песо (порядка $187), что равно средней зарплате в его стране, а в хороший месяц может поднять от 20 000 до 30 000 ($374 — $561).

Так обстоит дело у многих охотников за ошибками: большие колебания выплат, и жизнь на зарплату, недостаточную для богатой западной страны. Но это положение, возможно, будет меняться. Такие компании, как Bugcrowd и HackerOne (Рикафорт работал с обеими), облегчают жизнь сообщества охотников за ошибками, предлагая схемы, по которым они могут зарабатывать более регулярно и связываться с компаниями, готовыми раскошелиться.

В любом случае, как говорит Рикафорт, ему нравится то, какое результаты его работы изменяют мир. Хотя он и рассмотрел бы предложение работы на полный день в сфере безопасности, он считает, что наибольших результатов может достичь так, как работает сейчас: борясь с уязвимостями, находясь в тени. Как он сам говорит: «Мне больше по душе награды за найденные ошибки».

© Habrahabr.ru