Dusørjegeren Roy: - Vi er fullstendig bakpå når det gjelder å sikre IT-systemer

Roy Solberg fant militære hemmeligheter. - Det ble en tydelig påminnelse om hvor umodent felt dette er.

Roy Solberg mener at bug bounties-programmer bare er en liten brikke i et større puslespill. 📸: Privat
Roy Solberg mener at bug bounties-programmer bare er en liten brikke i et større puslespill. 📸: Privat Vis mer

- Ofte har firmaer med slike programmer vist at de er kommet langt i modningsprosessen, og at de tar sikkerhet på alvor, sier Roy Solberg, dusørjeger og Android-tech lead i Fotmob, til kode24.

Solberg er utdannet sivilingeniør med master i teknologi, og har jobbet som konsulent i mange år.

Ifølge ham selv har han alltid sett på tjenester han bruker for å se om de tar sikkerhet på alvor. Men han begynte ikke å jakte bug bounties før FINN publiserte sine erfaringer med bug bounties i oktober 2020.

Dette ser han etter i et program

Solberg liker best å jakte sårbarheter i norske programmer.

- Ellers blir det gjerne programmer hvor teknologiene passer godt med de jeg kjenner best selv, sier han.

Når Solberg vurderer om han skal jakte i et program, er dette noen av kriteriene:

  • - Responstid.
  • - Stort "scope", eller noe som passer meg midt i blinken.
  • - Alder på programmet og hvor hyppig det pleier å komme oppdateringer.
  • - Antall sårbarheter funnet, og ikke minst andelen rapporter som blir godkjent.
  • - Størrelse på dusørene.
«Bug bounties er ikke for alle firmaer, men det kan være svært nyttig for mange»

Du blir fort hektet

Ifølge Solberg er den vanligste summen han tjener rundt én tusenlapp, men beløpet har variert opp til 15.000 kroner.

- De alvorligste sårbarhetene jeg har funnet har dessverre vært på programmer uten belønning, sier han.

- Hvor mye tid i uka bruker du på å jakte feil?

- Det går i perioder. Som oftest er det null timer, men det er fort gjort å bli hektet på det når man først er i gang, sier Solberg.

Fant militær infolekkasje

- Hva er den kuleste feilen du har funnet?

- Selv om det ikke var så avansert, husker jeg spesielt en militær informasjonslekkasje. Det var en så tydelig påminnelse om hvor umodent felt IT-sikkerhet er. Vi som samfunn er fullstendig bakpå når det gjelder å sikre IT-systemer og kritisk viktig informasjon, sier Solberg.

Han mener at bug bounty-programmer bare er en liten brikke i et større puslespill.

- Jeg håper virkelig at vi i årene fremover får se flere norske firmaer ta det steget. Bug bounties er ikke for alle, men det kan være svært nyttig for mange, sier Solberg.

Start nå

- Hvor starter man hvis man vil begynne med dette?

- Hvis man allerede kan kode, som mange av kode24s lesere kan, har man en god forutsetning for å begynne med det i dag. Da vet man hva som rører seg når en applikasjon kjører eller tar imot data fra en bruker. Om det er noen spesielle rammeverk, språk eller teknologier man kan bedre enn andre, kan man finne programmer med disse og starte å plukke på dem, sier Solberg.

Han sier at da er det bare å registrere seg på sider som HackerOne og Intigriti, og starte å hacke.

- Ønsker man å lære mer kan man bruke tjenester som for eksempel TryHackMe eller Hack The Box. Det er også veldig mange veldig gode YouTube-videoer der ute.

- Hva er ditt beste tips?

- Selv om man lærer mye av å se på YouTube, så ikke bruk opp tiden der. Det viktigste er å faktisk prøve seg frem. Vær nysgjerrig, lær, ha det gøy og bli kjent med tjenestene man skal hacke. Les andres rapporter. Det kan være en enorm kilde til læring.