Eine der Verdienstmöglichkeiten für Programmierer ist die Suche nach Schwachstellen in den Produkten von IT-Unternehmen durch Bug-Bounty-Programme. Diese Art von Tätigkeit wird als White-Hacking bezeichnet, und die Spezialisten werden als ethische Hacker oder Bug-Hunter bezeichnet. Sie suchen nach Mängeln in Software und Dienstleistungen und melden diese der Unternehmensleitung, wodurch sie helfen, den Fehler zu beheben.
Dies ist eine goldene Gelegenheit für Tester, die im Vergleich zu Entwicklern weniger verdienen und auf diese Weise ihre finanziellen Möglichkeiten ausgleichen können. Aber im Allgemeinen können alle, die sich mit Code auskennen – sowohl Amateure als auch professionelle Programmierer – große Fische fangen.
Lesen Sie auch: «Soll ich mir selbst das Programmieren beibringen oder einen Entwicklerkurs besuchen – was wählen??»
Was ist Bug-Bounty
Bug-Bounty ist eine Belohnungspolitik von Unternehmen für weiße Hacker. Für die Meldung einer Schwachstelle kann man von einer kleinen Vergütung von $100-150 bis zu mehreren Hunderttausend Dollar erhalten. Alles hängt davon ab, wie schwerwiegend der Fehler ist und welche Verluste er verursachen könnte, falls er von Angreifern ausgenutzt wird.
Was bedeutet der Begriff Bug-Bounty? Bug ist ein umgangssprachlicher Begriff für Fehler im Code, das Wort bedeutet wörtlich «Käfer». Bounty bedeutet «Belohnung», «Geschenk».
Nicht immer besteht die Belohnung aus Geld – sie kann zum Beispiel kostenlosen Zugang zu Dienstleistungen sein. Die Motivation zur Fehlersuche kann auch darin bestehen, Erfahrung zu sammeln und zu lernen. Zum Beispiel bietet Google den Teilnehmern seiner Programme an, die erhaltene Belohnung an Wohltätigkeitsorganisationen zu spenden, wenn sie nicht aus finanziellen Gründen gearbeitet haben.
Die Jagd auf Bugs ist in gewisser Weise eine Lotterie. Der Hacker findet zunächst eine Schwachstelle, erstellt dann einen Bericht darüber (Bug-Report), sendet ihn an das Unternehmen und wartet auf eine Entscheidung. Je nach Wichtigkeit des gefundenen Fehlers und der Stufe seiner Bedrohung bestimmt das Unternehmen selbst die Höhe der Belohnung. Manchmal kann es vorkommen, dass das Unternehmen die bereitgestellten Informationen «zur Kenntnis nimmt», den Hacker bedankt und die Zusammenarbeit damit beendet. Daher sollte man sich vor Beginn der Arbeit unbedingt mit den Regeln der Bug-Bounty-Programme vertraut machen und lesen, welche Schwachstellen vergütet werden und welche nicht als wichtig gelten.
Außerdem hängt alles von der Qualität des Berichts ab – wenn der Bug-Hunter das Problem detailliert beschreibt und Lösungsmethoden vorschlägt, erhält er eine höhere Belohnung als jemand, der einen oberflächlichen Bericht liefert.
Aber selbst wenn man gute Arbeit geleistet hat, kann der Spezialist nicht sicher sein, dass er Geld erhält. Wenn mehrere Bug-Hunter gleichzeitig von einem Fehler berichten, erhält die Belohnung derjenige, der zuerst war.
Und dennoch sind die Belohnungen, die Unternehmen anbieten, die Mühe wert, denn man kann damit eine Vergütung von mehreren Hundert bis mehreren Hunderttausend Dollar erhalten, und der höchste Betrag in Bug-Bounty-Programmen beträgt bisher zwei Millionen.
Bug-Bounty-Programme von Unternehmen
Belohnungsprogramme können in ständige und temporäre unterteilt werden:
-
Ständige Programme gelten dauerhaft und zielen darauf ab, die wichtigsten und häufigsten Fehler im Code von Produkten zu finden, die von Verbrauchern weit verbreitet sind. Wenn Sie die Website eines IT-Unternehmens besuchen, können Sie die Regeln für die Einreichung von Berichten und die ungefähren Beträge der Zahlungen finden. Manchmal kommt es vor, dass ein solches Preissystem nicht bereitgestellt wird, und das Unternehmen entscheidet in jedem Fall über jeden Bug-Report. Wenn Sie in die Suche «Unternehmensname + Bug Bounty» eingeben, werden Sie wahrscheinlich ein solches Programm finden.
-
Temporäre Programme sind eine Art offener Tests, an denen jeder teilnehmen kann. Das Unternehmen gibt Fristen bekannt, innerhalb derer es Berichte über gefundene Schwachstellen annimmt und bestimmt, wer die Geldbelohnungen erhält. In der Regel werden auf diese Weise neue Produkte getestet.
Hier werden wir über die ständigen Programme von Unternehmen berichten, die jederzeit genutzt werden können.
Facebook, Instagram und andere Produkte von Meta
Das Unternehmen Meta belohnt weiße Hacker für die Suche nach Schwachstellen in seinen Produkten wie Facebook, Messenger, Instagram, WhatsApp, Workplace und anderen Anwendungen sowie in Open-Source-Anwendungen. In den Regeln können Sie lesen, wie Fehler getestet werden können.
-
Tests dürfen nur von einem eigenen Konto, einem Testkonto oder einem fremden Konto durchgeführt werden, jedoch nur mit schriftlicher Zustimmung.
-
Informationen über einen entdeckten Fehler dürfen nur geteilt werden, nachdem das Unternehmen eine Untersuchung durchgeführt und einen Schluss über die Schwachstelle gezogen hat.
-
Bei der Fehlersuche ist es nicht erlaubt, mit den Konten anderer Personen zu interagieren und auf deren persönliche Informationen ohne schriftliche Zustimmung zuzugreifen.
Dies sind nur einige Punkte, die wir in den Artikel aufgenommen haben; tatsächlich gibt es mehr. Jedes Unternehmen hat eine ähnliche Liste, daher betonen wir noch einmal – lesen Sie die Regeln vor Beginn der Arbeit sorgfältig durch.
Meta gibt keine Preise für gefundene Bugs bekannt und behält sich das Recht vor, in jedem Fall die Belohnung selbst festzulegen.
Amazon
Einer der größten Marktplätze der Welt, Amazon, hat für Bug-Hunter eine Liste von Belohnungen für gefundene Fehler veröffentlicht. Das Unternehmen weist darauf hin, dass in der Liste die höchsten Belohnungen aufgeführt sind, und der genaue Betrag wird bei der Analyse des Bug-Reports bestimmt.
So bewertet die Plattform gefundene Fehler nach Risiken:
-
Kritisch — $10 000-$20 000
-
Hoch — $1500-$5000
-
Mittel — $350-500
-
Niedriges Bedrohungsniveau — $150.
Es gibt auch eine ganze Reihe von Ausnahmen und Vorbehalten. So fallen Fehler, die im IP-Raum von AWS (dies ist die Cloud-Technologie-Plattform, die Amazon gehört, aber dennoch ein anderes Unternehmen ist), nicht in den Interessensbereich des Programms.
Es ist verboten, Testangriffe auf Mitarbeiter und Kunden von Amazon zu richten und zu verlangen, dass man für den gefundenen Bug bezahlt wird, indem man damit droht, ihn gegen das Unternehmen zu verwenden.
Microsoft
Das Kind von Bill Gates hat ebenfalls die Jagd auf Bugs ausgerufen und eine recht umfangreiche Liste von Belohnungen veröffentlicht, die man für gefundene Fehler erhalten kann.
Die höchsten Beträge — jeweils $100 000 für Schwachstellen in den Identitätsdiensten, einschließlich Microsoft-Konto, Azure Active Directory oder bestimmten OpenID-Standards sowie für die Suche nach Methoden zur Umgehung von Schutzmaßnahmen, die in der neuesten Version des Betriebssystems Windows integriert sind.
Apple
Das Unternehmen Apple hat ein festes Belohnungsprogramm für bestimmte Arten von Schwachstellen. Die Preise und Regeln für den Erhalt können unter diesem Link nachgelesen werden.
Eine der größten Belohnungen bietet das Unternehmen für die Entdeckung von Schwachstellen, durch die ein Zero-Click-Angriff durchgeführt werden kann.
In diesem Sommer kündigte Apple eine Belohnung für die Entdeckung eines Sicherheitsfehlers in der neuen Blockierungsmodus-Funktion an, die darauf abzielt, Benutzer vor Angriffen durch Spyware zu schützen. Das Bug-Bounty-Programm wird bereits diesen Herbst starten – verfolgen Sie die Unternehmensnachrichten.
Außerdem hat der IT-Gigant die Vergütung für erfolgreiche Schwachstellensuchen im Blockierungsmodus von einer Million auf $2 000 000 verdoppelt – das ist der höchste Betrag für gefundene Fehler in der Branche.
Google bietet ein Belohnungsprogramm für gefundene Fehler in all seinen Produkten an. Dies betrifft alle Dienste, Anwendungen und Services, die auf Domains wie blogger.com, google.com, projectbaseline.com, youtube.com, verily.com, onduo.com sowie das Betriebssystem Android, den Browser Chrome und Drittanbieter-Software mit Open-Source-Teilen, die in den Entwicklungen von Google selbst verwendet werden.
Jetzt erklären wir, was der letzte Satz bedeutet. Bei der Erstellung von Software schreibt das Unternehmen nicht immer den Code neu, sondern kann auch Open-Source-Bibliotheken verwenden. Dies spart Zeit und Aufwand und vermeidet unnötige Arbeit, die bereits von anderen Programmierern erledigt wurde. Indem das Unternehmen für solche Fehler eine Belohnung zahlt, schützt es nicht nur sich selbst und seine Kunden, sondern macht auch den gesamten Internetraum sicherer.
Der höchste von dem Unternehmen angebotene Belohnungsbetrag beträgt – $31 337.
Lesen Sie auch: «Wie man russische Websites aus der Google-Suche entfernt».
PornHub
Ja, Pornoseiten kümmern sich auch um ihre Sicherheit, besonders so eine bekannte Ressource wie PornHub. Über das Bug-Bounty-Programm von ihnen wird scherzhaft gesagt, dass es eine gute Möglichkeit ist, Angenehmes mit Nützlichem zu verbinden. So oder so, wenn man einen Bug auf der Pornoplattform findet, kann man bis zu $5000 erhalten.
Übrigens, Sie haben vielleicht bemerkt, dass für Amazon und PornHub das Belohnungsprogramm nicht auf der eigenen Ressource, sondern auf einer Plattform veröffentlicht ist, die sich auf die Vermittlung zwischen Bug-Huntern und IT-Unternehmen spezialisiert hat. Dies ist vorteilhaft für Projekte, die es sich nicht leisten können, ein eigenes Team von Experten zu beschäftigen, die über Bug-Reports urteilen.
Bug-Bounty-Plattformen
Dies ist eine eigene Art von Geschäft, die es jungen oder lokalen Unternehmen mit kleinen Budgets ermöglicht, die Dienste von weißen Hackern zu nutzen, sowie für Dienste, die selbst keine Softwareentwicklung betreiben. Aber es geht nicht nur darum, dass alle Unternehmen genügend Ressourcen oder Personal haben, um ihr eigenes Programm zur Fehlersuche zu eröffnen. Die meisten Projekte sind nicht so bekannt, dass Bug-Hunter gezielt nach einer Zusammenarbeit suchen würden. Daher gibt es solche «Börsen», auf denen IT-Unternehmen Angebote veröffentlichen und Bewerber ihre Fähigkeiten im Aufspüren von Schwachstellen testen.
HackerOne
Dies ist eines der ältesten Unternehmen, das die Erfahrungen der Community von weißen Hackern für Cyber-Sicherheitszwecke nutzt und deren Dienste IT-Strukturen weltweit anbietet. HackerOne gibt es seit 2012 und hat seinen Hauptsitz in San Francisco sowie Büros in London und den Niederlanden.
Das Unternehmen wurde mit dem Ziel gegründet, das Internet sicherer zu machen, und verkündet seit 10 Jahren diese Idee als seine Hauptmission.
Bugcrowd
Eine leistungsstarke Crowdsourcing-Plattform, die 2011 in Australien gegründet wurde. Bugcrowd spezialisiert sich auf ein breites Spektrum von Schwachstellen und arbeitet mit großen globalen Unternehmen zusammen. Dazu gehören Unternehmen wie Mastercard, Tesla, Fitbit, Atlassian, Square, Samsung; die Plattform führt Aufträge des US-Verteidigungsministeriums und der Luftwaffe aus. Sie ist in fast 30 Ländern tätig.
HackenProof
Eine ukrainische Bug-Bounty-Plattform, die zur Unternehmensgruppe Hacken gehört, die sich auf Cyber-Sicherheit spezialisiert hat. HackenProof ist einer der Initiatoren der Schwachstellensuche in ukrainischen staatlichen Diensten mit dem Ziel, deren Sicherheit zu verbessern, und nach Beginn der umfassenden Invasion erklärte sie den Cyberkrieg gegen Russland.
Das Unternehmen wurde 2017 gegründet, arbeitet aber bereits mit starken Akteuren auf dem IT-Markt zusammen und konkurriert sicher mit den Veteranen seiner Branche.
***
Dies ist ein kurzer Überblick über die Welt des weißen Hackings und der Belohnungen für gefundene Bugs. Es gibt viele Plattformen und Bug-Bounty-Programme, die es ermöglichen, die Suche nach Schwachstellen zu Ihrer Hauptspezialität zu machen und daraus ein anständiges Einkommen zu erzielen.
Lesen Sie auch: «Überblick über ausländische Freelance-Börsen: Upwork, Freelancer, Fiverr»
Hat Ihnen der Artikel gefallen? Erzählen Sie Ihren Freunden davon: 
