- Den største motivasjonen å finne sikkerhetshull for meg er at jeg vet at det er meg som er bidratt til noe bra , sier Dimitrije Pesic (22 år), dusørjeger og apputvikling-student ved Fagskolen Kristiania, til kode24.
I tillegg til å mekke iOS- og Android-apper med Swift/SwiftUI og Koitlin, jakter Pesic aktivt feil. Både på egenhånd og via diverse dusørnettsteder, slik som HackerOne. Ifølge Pesic har han jaktet dusører og drevet med pentesting siden han var veldig ung.
- Motivasjonen å drive mer aktivt med dette startet tilbake i 2014 da jeg fikk min første dusør på 500 dollar av Facebook. Dette gjorde meg bestemt på at jeg skal bruke kunnskapen min på å gjøre tjenestene og nettsidene sikrere. Jeg har startet å gjøre det mer aktivt det siste året.
Dusørjegeren Markus mener mange feil skyldes arbeidsgiverne: - De legger for mye tidspress på utviklerne
Bruker 10 til 15 timer i uka
Pesic forteller at når han ikke henger med kjæresten, bruker han hele fritiden på å finne feil, app-utvikling og IT-arrangementer. Han anslår at han bruker 10 til 15 timer i uka på å jakte feil.
- En Shoutout til Shortcut, som ofte arrangerer og får oss IT-nerder samlet.
Pesic sier at det vanligvis er bedrifter som ligger på HackerOne og Intigriti, som han sjekker på fritiden og velger et mål for dagen.
- Etter å ha bestemt meg for et par targets setter jeg i gang en vanlig gjennomgang av funksjoner, med en proxy i bakgrunnen som logger alt. Etterhvert driver jeg og organiserer side strukturen og ser gjennom requests og responses.
Marius har jakta feil siden han var 13 år: - Mange utviklere tar snarveier
Vil ikke ha for mange forespørsler
Dersom Pesic finner noe han synes er spennende, isolerer han det for videre testing. Andre ganger tester han direkte mot en funksjon, som han tror har potensiale for misbruk.
- Jeg bruker ikke automatiserte verktøy, fordi jeg ikke ønsker unødvendig mange forespørsler, sier han.
Ifølge Pesic konsentrerer han testingen mot OWASP Top 10.
- Om det blir noe funn, nøler jeg ikke med å analysere påvirkningen, og lager et scenario på hvordan dette kan misbrukes.
Han starter så på en grundig rapport, som inneholder både beskrivelse av sikkerhetshullet, "Proof of concept", hvordan man kan fikse sårbarheten og ulike tips.
- Dette sender jeg enten via dusørplattformer eller til de ansvarlige for utvikling eller sikkerhet i bedriften, sier Pesic.
Dusørjegeren Siddharth (19) fant en bug i Snapchat: - Så langt har jeg tjent mellom 2.500 og 10.000 kroner
Blitt rik på erfaringer
Pesic forteller at dusørjaktingen ikke har gjort ham rik.
- Men jeg har blitt rik på erfaringer og har klart å skape nettverk. Jeg fokuserer ikke på økonomisk gevinst.
Ifølge Pesic er det viktigere for ham å bli lagt merke til, og å ha noe å referere til ved senere jobbsøking.
- Selv om jeg er en fattig student, betyr en anerkjennelse på Linkedin eller en takk på mail noen ganger mer enn noen tusen kroner i dusør. Det har selvfølgelig vært noen dusørpenger også, alt mellom 50 dollar til 500 dollar, sier Pesic.
Andre ganger har det vært absolutt ingenting, forteller Pesic. Ikke en gang en takk, selv om kritiske hull har blitt fiksa.
- Jeg har lært meg å leve med det. Samvittigheten min er god og selve tanken at jeg har gjort en riktig ting er en belønning for meg. Beskrivelser av sikkerhetshull holder jeg hemmelig, med mindre det har blitt avtalt en "responsible disclosure", sier Pesic.
Skriver scripts i Python
Ifølge Pesic har han hjulpet flere bedrifter, både norske og internasjonale.
- Men noe av det kuleste må være rapportene mine til Its learning da jeg gikk på videregående. Etter noen e-poster fram og tilbake, fikk jeg tilbud om et internship i Bergen - hvor jeg var å testet hele sommeren.
Senere ga Its learning ham muligheten til å jobbe hjemmefra.
- Det har vært fantastisk å være en del av Its learning, og jeg har lært utrolig mye. Jeg er veldig takknemlig for muligheten jeg fikk. Noe annet jeg kan nevne er den grundige rapporten til Tise, noe jeg har blitt takket for, sier han.
- Hva er de viktigste verktøyene dine?
- Mange vil nok si operativsystemer som Kali Linux, men dette er jeg uenig i. Jeg bruker MacOS, Burp Suite og hjernen min. Noen ganger skriver jeg scripts i Python for å automatisere ting, men som nevnt forsøker jeg å holde antallet forespørsler nede, sier Pesic.
Han legger til at å kunne ha en forestilling om hvordan frontenden og backenden kommuniserer, er en ting som gjør det enklere å visualisere hva som kan gå galt.
På dagtid sikrer Jon Are koden hos SpareBank 1. På kveldstid angriper han andres
Folk blir late
- Hva er de vanligste feilene utviklere gjør?
- Utviklere er veldig flinke til å glemme å sanere input, noe som kan resultere i Cross Site Scripting. Altså at jeg kan injisere ondsinnet JavaScript-kode i en URL-parameter, slik at den onde koden blir gjenspeilet i koden. På denne måten kan kontoen din bli tatt over, eller få en troverdig phishing-side til å bli presentert på selve domenet til selskapet, sier Pesic.
Ifølge dusørjegeren glemmer mange utviklere også å forsikre at forespørsler til API-en blir sjekket opp mot rettighetene til brukeren.
- Det skjer også at folk blir late og ikke orker å oppdatere programvare, eller ikke oppdaterer seg på den seneste informasjonen om sikkerhetshull og trusler, sier Pesic.
Dusørjegeren Roy: - Vi er fullstendig bakpå når det gjelder å sikre IT-systemer
Bør ha et team som tester
Å ha et dusørprogram er noe som virkelig kan lønne seg, både for mindre bedrifter og store selskaper, mener Pesic.
- La oss si at vi tilbyr 200 dollar som dusør for funn av sikkerhetshull med middels konsekvenser og risiko for misbruk. En ansatt som hovedsakelig driver med testing av plattformen hadde kostet oss like mye for en hel arbeidsdag, uten garanti for at sikkerhetshullet blir funnet, sier Pesic.
Samtidig mener han at alle bedrifter, særlig de som har tilgang på sensitive opplysninger om brukerne, bør ha et team som aktivt jobber med å teste nye funksjoner og oppdateringer som skal lanseres.
- Det koster mer å helbrede skaden enn å forebygge den. Og ikke minst - har du et dusørprogram har vi hackere noe å gjøre på fritiden, sier Pesic.
Dusørjegeren Thomas jakter feil 10 timer i uka: - Viktig med klare retningslinjer
"Oppdater alt og alltid!"
Pesic sier at han drømmer om å ha en "vennegjeng" som har interesse for dusørjakting eller generelt etisk hacking.
- En bra måte å starte med dusørjakting er å lære seg hvordan HTTP-forespørsler fungerer, klare å identifisere hva en nettside er bygget på og potensielle faresignaler. Du bør kunne et dataspråk. I det minste ha forståelse for HTML og JavaScript, sier han.
Avslutningsvis har Pesic en appell til bedrifter, selskaper og enkeltpersoner:
- Selv om du har en bra tjeneste og fornøyde kunder, faller alt i vann om sikkerheten ikke er på plass. Mitt beste tips er: Oppdater alt og alltid! Det spiller ingen rolle om det er snakk om et OS eller en Wordpress plugin. En utdatert plugin er nok til at hele det interne nettverket ditt kan bli hacket om du er uheldig, sier han.
Han legger til at det bør være obligatorisk for alle å fullføre Nasjonal sikkerhetsmyndighet sitt kurs Grunnprinsipper for IKT-sikkerhet.
- Selv om sikkerheten er på plass kan en blackhat-hacker bruke sosial manipulering for å hacke seg inn og gjøre skade, sier Pesic.