- Det å tilby utenforstående en lovlig måte å hacke løsningene sine, samtidig som man betaler for det, skaper tillit, sier Joakim Harbitz, dusørjeger og penetrasjonstester hos Transcendent Group i Oslo, til kode24.
Harbitz jobber til daglig med å teste IT-sikkerheten til Transcendent Groups kunder, men startet med "bug bounties" i begynnelsen av 2019.
Ifølge ham er det viktigste at du hacker fordi det er gøy, ikke fordi du kan tjene penger på det.
Slik blir du dusørjeger for SpareBank 1
Du får gjøre en god gjerning
Da Harbitz startet med bug bounties i 2019 registrerte han seg på en tjeneste som heter HackerOne. Ifølge ham fungerer tjenesten som et bindeledd mellom selskaper som ønsker å få applikasjonene og tjenestene sine testet av etiske hackere.
Siden den gang har Harbitz meldt seg på flere liknende tjenester som Intigriti og BugCrowd og testet IT-sikkerheten til svært mange selskaper, store som små.
- Hovedsakelig gjør jeg det fordi det er spennende og veldig lærerikt. Man får lovlig teste systemene til interessante selskaper, videreutviklet egen kompetanse, samtidig som man gjør en god gjerning for de selskapene man finner sårbarheter for, sier han.
Mattis har vært på sikkerhetskonferansen Paranoia: - På tide å se til Nederland?
Tjener opptil 15 000 dollar
Harbitz kaller det for en "win-win"-situasjon der selskapene får systemene sine testet av svært mange etiske hackere med ulik kompetanse. Og de som finner og rapporterer svakheter, får betalt for arbeidet.
- Hvor mye pleier du å tjene?
- Størrelsen på belønningen varierer veldig, men ligger som regel et sted mellom 100 til 15.000 dollar, sier Harbitz.
Han forteller at det varierer veldig hvor mye tid han bruker i uken på dette.
- For å finne svakheter i applikasjoner må man ofte prøve og feile om og om igjen, som kan bli slitsomt over tid. Om jeg finner noe som kan tyde på at det finnes en svakhet kan jeg fort sitte flere timer en dag, ta en pause og fortsette neste dag. Det er følelsen man får når man finner en kritisk sårbarhet som driver meg.
Dette er den feteste bug-en
Den feteste bug-en Harbitz har funnet kalles for Dependency Confusion. Han viser til at mange programmeringsspråk bruker Package managers, som gjør det enkelt å benytte kode som andre har delt i sin egen kode.
- Selskaper som utvikler egen kode, bruker ofte Package Managers til å dele kode internt. Gjennom å lese i kildekoden til webapplikasjoner har jeg funnet pakkenavn som kun brukes internt hos selskapet og som ikke ligger i de offentlige registrene, sier Harbitz.
Da har han kunnet laste opp en pakke med det samme navnet til de offentlige registrene, men med et høyere versjonsnummer.
- Da hender det at min pakke brukes i stedet ettersom den har et høyere versjonsnummer. Dette har ført til at jeg har kunnet kjøre systemkommandoer på en utviklers maskin, eller en server dypt inn i datasenteret til det aktuelle selskapet, sier Harbitz.
FINN.no betaler folk for å finne feil: - Vi blir angrepet nesten hele tiden
Bug bounties gjør systemene trygge
Den etiske hackeren mener at det er et kvalitetsstempel når et selskap innrømmer at det mest sannsynligvis finnes svakheter i systemene sine som de ikke har oppdaget selv.
- Når de får hjelp med å identifisere og fikse disse, blir systemene tryggere for alle brukerne, sier han.
Harbitz legger til at ved å tilby et bug bounty-program, får man utrolig mange flere folk med ulik kompetanse og ferdigheter enn ved en vanlig sikkerhetstest.
- Det bidrar til økt fokus på sikkerhet og viser at man bryr seg om sikkerheten til løsningene sine, sier han.
«Hack fordi du synes det er gøy, ikke bare fordi du kan tjene penger på det»
Her mener Harbitz du bør starte
Dersom du ønsker å prøve deg på bug bounties selv, mener Harbitz at en god start vil være å lese seg opp på OWASP Top 10 som er en oversikt over de 10 mest vanlige sårbarheter man finner i webapplikasjoner.
- Man kan også lese artikler som er skrevet av andre bug bounty testere hvor de forklarer om hvordan en sårbarhet de har funnet fungerer. Det er en bra måte å lære nye sider av sikkerhetstesting og samtidig få nye idéer til hvordan man kan teste selv.
Harbitz legger til at man også kan prøve seg på for eksempel HackTheBox, som tilbyr et stort utvalg av sårbare servere og tjenester som også har et løsningsforslag om man står fast.
- Det er et bra alternativ om man er helt fersk og trenger litt hjelp på veien. Etter hvert finner man sårbarheter som man er ekstra god på å finne eller som man liker bedre enn andre. Disse bør man fokusere på og jobbe mot å finne nye metoder for å identifisere akkurat disse hos selskaper som tilbyr bug bounty programmer.
Oslo Origo sitter på sensitive data om 700.000 folk. Deres viktigste sikkerhetsverktøy: Kulturen
"Ikke gi opp ved første hinder"
- Hva er ditt beste tips?
- Hack fordi du synes det er gøy, ikke bare fordi du kan tjene penger på det. Ettersom IT-sikkerhet er i stadig endring, bør man være interessert i å sette seg inn i nye systemer og finne ut hvordan ulike sårbarheter fungerer.
Harbitz råder deg til å begynne i det små med å finne sårbarheter som kanskje ikke gir de høyeste utbetalingene, men som kan hjelpe deg med å få sikkerhetstesting "inn i fingrene".
- Etter å ha testet en del systemer og applikasjoner, vil man komme på egne måter å finne nye svakheter på. Sikkerhetstesten er utrolig interessant og givende for både deg og de du hjelper. Ikke gi opp ved første hinder, så vil man etterhvert se at innsatsen man legger inn i arbeidet vil gi avkastning, sier Harbitz.