- Jeg ønsker ikke å tråkke utviklere på tærne, men det er mange utviklere som gjerne tar noen snarveier. Dette er snarveier som kan utnyttes av andre, sier Marius Jordet, etisk hacker hos Virosafe og dusørjeger, til kode24.
Til daglig jobber Jordet hos Virosafe som etisk hacker og "social engineer".
Han startet med IT allerede da han var rundt seks-syv år gammel. Og da Jordet var rundt 13 år gammel, startet han med bug bounties.
I dag driver han med det som en hobby ved siden av jobben hos Virosafe.
- Alt jeg kan er selvlært etter utallige timer for PC-en. Jeg er alltid nysgjerrig. Det er det som har drevet meg.
Dusørjegeren Siddharth (19) fant en bug i Snapchat: - Så langt har jeg tjent mellom 2.500 og 10.000 kroner
Er dusørjeger for flere
Jordet forteller at han er dusørjeger for flere bedrifter. En typisk jakt starter med verktøy som automatiserer deler av arbeidet. Enkelte ganger kan det være tilfeldigheter som gjør at han kommer over feil.
- Da blir jeg veldig nysgjerrig på det jeg finner. Det tar veldig mange timer, så jeg kan gjerne sitte noen timer én dag, og fortsette neste dag.
Jordet forteller at de viktigste verktøyene er Subfinder og Burp Suite.
- Hvor mye pleier du å tjene?
- Jeg har tjent alt fra fem dollar-gavekort hos Amazon, til over 25.000 dollar. Hvor mye jeg tjener er varierer med sårbarheten jeg finner og alvorlighetsgraden på dem.
Fant feil i kjent CMS-løsning
Jordet anslår tidsbruken til rundt én til to timer i uken hos diverse bedrifter. Andre uker kan han bruke 10 til 15 timer.
- De siste årene har jeg brukt mer tid innen "social engineering", da dette er hovedfokuset på jobb.
- Hva er den kuleste bug-en du har funnet?
- For flere år siden fant jeg en bug i en kjent CMS-løsning, som gjorde at jeg kunne handle i butikken, og varene ble merket som betalt uten at jeg hadde betalt for dem.
Jordet legger til at det er viktig at bedrifter som utvikler apper, nettsider og diverse har et stort fokus på bug bounty-programmer.
- Det er bedre at vi snille finner et sikkerhetshull en de slemme. Sånn at de mest alvorlige sikkerhetshullene ikke blir utnyttet for økonomisk vinning.
På dagtid sikrer Jon Are koden hos SpareBank 1. På kveldstid angriper han andres
Start i det små
Dersom du ønsker å starte med dusørjakting selv, anbefaler Jordet deg å begynne med tryhackme.com, hackthebox.com eller andre lignende plattformer.
- Aldri gi opp, og sett deg mål. Start i det små og tren på trygge plasser. Få mestringsfølelsen gjennom eksempel tryhackme. Beveg deg deretter oppover.
Jordet legger til at du så kan finne et program fra denne listen. Men det er viktig å huske én ting:
- Aldri prøv å finne sikkerhetshull hos bedrifter du ikke har lov til å finne sikkerhetshull i, sier han.
