Sam Curry har fundet sikkerhedshuller hos Twitter, Starbucks, Verizon og Tesla. For nylig offentliggjorde han sammen med en gruppe samarbejdspartnere en længere tekst, hvori de beskrev, hvordan de igennem tre måneder systematisk havde forsøgt at hacke Apple-tjenester og fundet i alt 55 fejl og sikkerhedshuller.
Folk som Sam Curry er med til at sikre, at sikkerhedshuller bliver fundet og repareret før de bliver udnyttet af IT-kriminelle. Oftest udbetaler store virksomheder dusører, såkaldt ‘bug bounties’, når sikkerhedseksperter og hackere gør dem opmærksomme på nye huller.
Det har skabt en generation af digitale dusørjægere og Sam Curry er en af dem. Samdata-magasinet har derfor snakket med ham om hans arbejde.
Hvordan kom du ind i bug bounty hunting?
Jeg havde hørt om HackerOne (et sikkerhedsfirma, der arbejder med at finde sikkerhedshuller) i high school, mens jeg arbejdede på en fastfood-restaurant som studiejob. Jeg blev udfordret til at finde en sårbarhed i et bug bounty program i spilhacker-miljøet, som jeg var en del af. Jeg brugte en uge på at finde en sårbarhed, selvom jeg kun vidste lidt om sikkerhed i webapplikationer, og til sidst fandt jeg en sårbarhed, der ikke var særligt alvorlig. De betalte mig 500 dollars og så begyndte jeg at bruge al min fritid på at finde flere sårbarheder.
Hvad er din uddannelsesmæssige baggrund?
Jeg har gennemført high school og lidt af college. Jeg opfatter mig selv som auto-didakt i alt hvad der handler om bug bounty hunting. Der er mange mennesker i vores miljø, som jeg ser op til og følger. Det gør det lettere hele tiden at lære nye ting om bug bounty hunting.
Hvordan ser en normal ‘dusørjæger-dag’ ud for dig?
Det er nonstop-hacking i 10-11 timer. Men for at være ærlig, så er det sjældent, at jeg kan klare dét. At finde sårbarheder i bug bounty-progammer kræver mange lange periode med høj fokus. Jeg har typisk ét mål i tankerne og arbejder med en ven eller to på at finde noget interessant at pille ved. Når vi har fundet en eller to ting, der har fået vores opmærksomhed, for eksempel en del af en hjemmeside, der ser ud til at være sårbar, så forsøger vi at prikke hul. Hvis vi lykkes med det sender vi en rapport til firmaet og leder videre.
Nogle dage finder vi ingenting, men andre dage finder vi store områder, der kan have mange forskellige sårbarheder.
Hvad er det bedste ved bug bounty hunting?
Barrieren for at gå i gang er meget lav. Hvis du er interesseret i webapplikationssikkerhed kan du lære det og begynde at hacke for penge uden at du skal overbevise en arbejdsgiver. Jeg er stor fan af det tætte forhold mellem det arbejde du laver og den økonomiske værdi det giver for dem, du arbejder for. Det giver mere kontrol over ens arbejdssituation.
Bug bounty hunting er et sted hvor du kan tilføje reel værdi til et produkt i modsætning til for eksempel salg- eller marketingsafdelinger, hvor det kan være svært at se om man har opnået noget.
Hvad er det værste ved at være digital dusørjæger?
Som alt andet, hvor folk kan tjene penge på kort tid, vil der altid være nogen, der vil udnytte det. Det skaber et mini-community af folk, der kun er interesserede i det finansielle aspekt. Det er forfærdeligt at se folk prøve at få succes med noget, der kræver enten meget hårdt arbejde eller en naturlig interesse, uden at de forstår hvad det kræver at få succes.
Hvilke råd vil du give til andre, der vil gå i samme retning?
Jeg vil give tre råd.
- Find ud af om du faktisk nyder arbejdet. Tving ikke dig selv til at lære noget som en slags lakmus-prøve af din vilje. Du ender typisk med at gøre det dårligt og blive skuffet over dig selv.
- Bliv en del af et fællesskab, der laver dét, som du gerne vil lave. Brug deres energi som motivation og lær så meget du kan fra dem.
- Stress ikke over at lære hurtigt. Det er meget let at være kritisk overfor dine egne evner, men hvis du sætter deadlines for dig selv, så giver du dig selv et dårligt udgangspunkt. Brug tid på at undersøge området før du forpligter dig fuldt ud.
Du kan læse Sam Curry m.fl’s kortlægning af sikkerhedsfejl hos Apple her: https://samcurry.net/hacking-apple/
HackerOne har også bragt et portræt af ham, som er værd at læse: https://www.hackerone.com/blog/hacker-spotlight-interview-zlz