- Mange småfeil kan skyldes av arbeidsgivere som legger for mye tidspress på utviklerne sine, slik at utviklerne må skynde seg å lage en "fungerende" nettside. Det bør være en balanse mellom økonomiske årsaker og deadline, sier Markus Leding, dusørjeger og "Offensive Security Engineer" i River Security, til kode24.
Leding har jaktet feil i rundt to år og er utdanna innenfor sikkerhet på Valencia College i USA, med etisk hacking som spesialitet. Ifølge Leding varierer det fra gang til gang hvem han jakter feil for, og at det gjerne er litt tilfeldig hvem han tar oppdrag for, eller hvilke oppdrag han finner på nett.
- Det er også flere nettsider man kan benytte seg av som stadig legger ut bug bounty-programmer, slik som Intigriti.
Marius har jakta feil siden han var 13 år: - Mange utviklere tar snarveier
Begynner med en analytisk fase
Leding legger til at en typisk jakt på sårbarheter begynner i en analytisk fase.
- Det er viktig å gjøre seg kjent med funksjonaliteten på nettsidene der du søker etter sårbarheter, så med det noterer jeg ned det som virker spennende av ting som parametere, backend løsninger som jeg finner, brukerfelt hvor man kan skrive noe, og mer.
Dersom Leding finner noe interessant, blir neste steg testing med ulike teknikker for å se om funnene faktisk er sårbare eller ikke.
- I noen tilfeller må man gjøre mye testing for å "debugge" hvordan utviklerne har laget logikken, kanskje de har satt opp filtre eller protokoller for å stoppe enkelte sårbarheter og da må man trenge seg gjennom disse også.
«Nå som verden har blitt såpass digital, så blir det mer behov for dusørjegere og andre roller i sikkerhets-bransjen»
Kan fort få 30 000 kroner eller mer
Ifølge Leding er det en del faktorer som spiller på på hvor mye man kan tjene.
- Enkelt forklart en indeks mellom 0 til 10, hvor 10 er en veldig kritisk sårbarhet og 0 er harmløst. Faller sårbarheten man har funnet rundt en til tre på indeksen vil man ofte kunne få utbetalt ett sted mellom 500 kroner til ett par tusen kroner.
Han sier at man kan finne flere av de mindre skadelige sårbarhetene hos samme kunde.
- Så det kan fort bli en grei sum i løpet av en kveld. Dersom man skulle finne ting som havner høyt på denne indeksen, så kan man fort få 30 000 kroner eller mer. Det finnes artikler som har skrevet om dusører utbetalt i seks sifre beløp. Det har ikke vært hensikten at dette skal være levebrødet mitt, men en måte å validere at det jeg har studert og øvd på fungerer i ekte situasjoner, sier Leding.
Leding forteller at han ikke har satt av en fast mengde tid i uka til å jakte feil.
- Jeg følger en slags metodikk som jeg har laget for meg selv. Denne består av informasjon jeg har opparbeidet meg gjennom studiene, kurs, arbeidserfaring og via innsamlet informasjon fra blogger. Disse utformer en slags "handleliste" med steg for steg hva man skal gå igjennom for å finne sårbarheter. Det kan fort bli noen timer i helgene når jeg har mer tid til overs, sier Leding.
Dusørjegeren Siddharth (19) fant en bug i Snapchat: - Så langt har jeg tjent mellom 2.500 og 10.000 kroner
Kodekunnskap gir bedre forståelse
- Hva er de viktigste verktøyene dine?
- Det aller viktigste er nok søkemotorene, der henter jeg mye informasjon på daglig basis. Det er stadig noe nytt og da har søkemotorene ofte ett svar. Jeg bruker søkemotorene mye også i startfasen av en penetrasjonstest. Der henter jeg inn informasjon om målet, slik at jeg kan forberede en strategi for hvordan jeg skal angripe infrastrukturen, sier Leding.
Neste på Ledings liste er scripting og programmering.
- Å lage ting selv gir en mye dypere forståelse. Det vil gjøre deg flinkere til å feilsøke eventuelle problemer som kan oppstå når du driver med dusørjakting og penetrasjonstesting. I tillegg er det ofte slik at eksisterende kode som er ment for spesifikke sårbarheter, trenger noen justeringer eller ekstra kode for å fungere riktig.
Når det gjelder ekstern programvare, bruker Leding ofte Burp Suite.
- Ellers går det litt i Feroxbuster som er bra for "file discovery" og SQLmap for å automatisere "Time-Based Blind SQL injection"-angrep. Utenom det gjør jeg det meste manuelt.
«Det aller viktigste verktøyet er nok søkemotorene, der henter jeg mye informasjon på daglig basis»
Innebærer ofte fortrolighetsavtaler
- Hva er den kuleste feilen du har funnet?
- Jeg fant en spennende sårbarhet i kildekoden til utdanningsportalen min da jeg var student. Denne lot meg laste ned litt av hvert av dokumenter via litt kode som jeg skrev. Dette ble selvfølgelig rapportert inn umiddelbart, i henhold til "Responsible Disclosure", og de fikk fikset problemet.
Han legger til at det som gjorde dette ekstra spennende, var at sårbarheten var unik med tanke på hvordan kildekoden var skrevet.
- Jeg måtte selv finne ut av sårbarheten basert på en teori jeg hadde, ettersom det ikke gikk å få svar på Google - selv om noen offentlig kjente sårbarheter kan ligne litt. Utenom det må jeg nesten holde kortene litt tett til brystet. Det er ikke alltid slik at utviklerne har fikset feilen, eller ønsker informasjonen på trykk. Det ville vært veldig uheldig å dele denne informasjonen, da den fremdeles kan være sensitiv, sier han.
Leding legger til at feltet innebærer en del fortrolighetsavtaler (NDA).
- Det er en del av min jobb å overholde disse avtalene, sier han.
På dagtid sikrer Jon Are koden hos SpareBank 1. På kveldstid angriper han andres
Dusørjegere sikrer samfunnet
Dusørjegeren lister opp en rekke feil som utviklere ofte gjør:
- Feil implementering av håndtering av bruker-data som mates inn til serveren via for eksempel "input fields".
- Maler som er tatt i bruk, men hvor utviklerne ikke har satt seg godt nok inn i hvordan det skal implementeres og at enkelte "default values" forblir.
- Utilstrekkelig sjekk for "edge-cases".
- Manglende filtre for felt som f.eks. fil-opplastninger og "user input".
- Hvorfor er dusørjeging viktig?
- Dusørjegere gjør en viktig jobb med å sikre samfunnet digitalt. Nå som verden har blitt såpass digital, så blir det mer behov for dusørjegere og andre roller i datasikkerhets-bransjen. Det er alltid mer fordelaktig om dusørjegere finner disse sårbarhetene før cyberkriminelle gjør det da det kan forhindre angrep og større økonomiske utgifter, sier Leding.
«Å kunne lage ting selv gir en mye dypere forståelse og vil gjøre en flinkere på å feilsøke eventuelle problemer som kan oppstå når man driver med dusørjakting og penetrasjonstesting»
Skaff deg kunnskap om nettverk
Dersom du ønsker å bli dusørjeger, mener Leding at du bør starte med å få forståelse om nettverk og programmering.
- Om du absolutt vil inn i "action" tidlig, så finnes det mange fine oppgaver du kan løse hos tryhackme.com og hackthebox.com, som raskt vil gi en liten smakebit på hva hacking har å by på, sier han.
Ifølge Leding er HackerOne er også en god ressurs, hvor du blant annet kan få innblikk i sårbarheter som er funnet av andre og fremgangsmåten til sårbarheten. Han anbefaler også nettbokhandlene No Starch Press og packtpub.com.
- Når det gjelder forfattere, liker jeg veldig godt bøkene utgitt av forfatteren Roger A. Grimes. Av bøker som er mer relatert til web apper, så liker jeg “Hacking APIs” av Corey Ball og “The Web Application Hacker’s Handbook” av Dafydd Stuttard”, sier Leding.
Dusørjegeren Roy: - Vi er fullstendig bakpå når det gjelder å sikre IT-systemer
Anbefaler CTF-konkurranser
Leding sier at dersom du har litt teknisk kompetanse er vulnhub.com en god ressurs.
- Der har du tilgang til virtuelle maskiner som er sårbare. Det som gjør det ekstra kult er at du kan følge med på begge sidene av et angrep. Om du liker "Purple Teaming" så er dette perfekt da du kan angripe og overvåke hendelsesforløpet samtidig, sier Leding.
Han trekker også fram at det finnes ulike "Capture the flag"-konkurranser i Norge.
- Disse er også en fin måte å lære mer på. Noen eksempler er ctf.cybertalent.no og ctf.opholmgang.com. En annen CTF som er internasjonal og veldig fin for å lære mer om "Web App Exploitation" er PicoCTF. Akkurat nå ligger det rundt 45 oppgaver i "Web exploitation"-kategorien, sier Leding.
Har du økonomien til det, anbefaler han kurs og eksamen fra Offensive Security og SANS.
- Du lærer veldig mye der. Men det er ofte slik at om du blir ansatt i ett selskap, så du få dekket kursene via jobben, sier leding.