همه‌چیز درباره باگ هانتینگ تمام وقت از زبان الکس

همه‌چیز درباره باگ هانتینگ تمام وقت از زبان الکس

وقتی من خودم را در صنعت امنیت سایبری، به عنوان باگ بانتی هانتر تمام وقت معرفی کردم که همه درآمدم از باگ بانتی بود، سوالات زیادی برای افراد ایجاد می‌شد، درصورتیکه وقتی برای افراد بیرون از حیطه امنیت سایبری دراین مورد صحبت میکنم فکر می‌کنند که آنها را دست انداخته‌ام. در این پست تجربیاتم را پس از ۱۲ ماه باگ هانتینگ، درمورد منبع درآمد اصلی خود بازتاب می‌دهم و سعی می‌کنم به برخی از سوالات رایج‌تری که دریافت می‌کنم پاسخ دهم.

داستان زندگی الکس

سلام، من الکس یا همانطورکه در تمام شبکه‌های اجتماعی شناخته شده‌ام  @ajxchapman هستم. به همراه همسر و حیوان خانگی‌مان در لندن زندگی می‌کنم و در میانه دهه چهارم (واقعا!!!) زندگیم هستم.

در سال 2007 از رشته علوم کامپیوتر فارغ التحصیل شدم و بالافاصله بعد از دانشگاه در زمینه تست نفوذ در گروه تجاری Enterprise Risk Services شرکت  Deloitte شروع بکار کردم. پس از چند سال به یک گروه مشاور امنیتی کوچکتر به نام Context Information Security رفتم و دراین شرکت به مدت 6سال مشغول تست نفوذ، redteaming و تحقیقات امنیتی شدم. با بیش از 10 سال سابقه به عنوان پن‌تستر از Yahoo برای پوزیشن تیم قرمز داخلی یاهو پیشنهاد دریافت کردم، که بعدها توسط Verizon تحت عنوان نام تجاری Oath خریداری شد. اینجا بود که من برای اولین بار با باگ بانتی مدرن آشنا شدم. اینجا من به تیمی ملحق شدم که مسئول ارزیابی تأثیر فنی و تجاری گزارش‌های باگ دریافتی از طریق برنامه عمومی باگ بانتی یاهو بود. با بیش از یک سال سابقه کار در یاهو، فرصت کار در HackerOne را پذیرفتم تا به شرکت‌های دیگر در راه‌اندازی و اجرای برنامه‌های باگ بانتی موفق کمک کنم. در طول مدت زمانی که در یاهو و هکر وان کار می‌کردم، دراوقات فراغتم شروع به شکار باگ کردم و با میزان موفقیت اولیه خوبی، باگ ها را به برنامه های باگ بانتی گزارش می‌ دادم.

دراین زمان متاسفانه در زندگی شخصی من یک اتفاق پیش‌بینی نشده رخ داد. من و همسرم منتظر اولین فرزندمان بودیم که در آپریل 2018 متوجه شدیم که دختر به دنیا نیامده ما دچار یک اختلال کروموزی به نام سندرم ادواردز است. این خبر بدی برای ما بود و ما میدانستیم که ما فرصت زیادی برای دیدن دخترمان پس از تولد نداریم. HackerOne، به‌عنوان کارفرمای آن زمان من، در این مدت رفتار فوق‌العاده‌ای با من داشت و با دادن مرخصی و پشتیبانی از من به من فرصت عزاداری داد، اما در نهایت وقتی در اوایل ژانویه 2019  به سر کار برگشتم، واضح بود که هنوز به زمان نیاز دارم تا خودم را به مسیر درست برگردانم، بنابراین تصمیم گرفتم تا استفا دهم.

دراین زمان بود که تصمیم گرفتم تا به باگ هانتینگ تمام وقت فرصت خودنمایی بدهم، چرا که به من اجازه میداد تا درکنار کسب درآمد خوب و قابل قبول، علاوه بر داشتن تایم کاری و فضای کاری منعطف درکنار خانواده‌ام از سلامت روانی خودم هم مراقبت کنم.

پول و تعهد کاری

هیچ جای تعجب نیست که از زمان شروع باگ هانتینگ به عنوان یک حرفه تمام وقت اغلب از من سؤالاتی در مورد پول، درآمد مورد انتظار و تداوم کار تمام وقت باگ هانتینگ پرسیده می شود.

من واقعا آدم خوش‌شانسی بودم که وقتی کارم را در باگ هانتینگ به صورت تمام وقت شروع کردم، از لحاظ مالی در شرایط پایداری قرار داشتم که به من اجازه داد تا در ماه‌های اولیه که درآمد خوبی از این کار نداشتم فشار زیادی روی من اعمال نشود. من پس انداز متوسطی داشتم و همسرم کار خوبی داشت که در صورت لزوم می‌توانست هزینه های ما را پوشش دهد. این به طور قابل توجهی خطر شروع این سرمایه‌گذاری را برای من کاهش داد.

من برای خودم هدف ماهانه 10000 دلار از درآمدهای باگ بانتی را تعیین کردم. این هدف تقریبا با توجه به حقوق قبلی من، حقوق مورد انتظار در صورت بازگشت به شغل، خروجی ها، تعهدات مالی و عوامل کیفیت زندگی محاسبه شد (همچنین به این دلیل که عدد گرد خوبی بود). هدف من دستیابی به این هدف مالی بدین صورت بود که باید درهرماه دو تا سه هفته به سختی کار می‌کردم و به من اجازه می‌داد استراحت کنم و در صورت لزوم از خودم و خانواده‌ام مراقبت میکردم.

به منظور دستیابی به این اهداف، من به طور کلی بیشتر تمرکزم را در برنامه‌های باگ بانتی روی شناسایی مشکلات با تاثیر بالا و حیاتی با میزان پرداخت بالا می گذارم. درکل در باگ هانتینگ ، من برخی از مشکلات با تأثیر متوسط را هم گزارش می‌کنم، به‌خصوص اگر در حین جستجو یا زنجیره مشکلات با تأثیر بالاتر، با آنها برخورد کنم، اما معمولاً باگ هایی با  تأثیر کمتر را گزارش نمی‌کنم. من در هنگام ارسال باگ‌ها دربرابر اهداف رویدادهای زنده تست نفوذ، این تاکتیک را کمی تغییر می‌دهم و بیشتر دوست دارم تمام باگ ها را  شکار و تأثیرات آنها را گزارش کنم. من قبلاً برخی از آمار باگ‌هایی که در سال 2019 گزارش کرده بودم را منتشر کردم که بینش بیشتری در مورد سبک باگ هانتینگ من می دهد.

آمار نمونه از بازبینی سالانه باگ هانتینگ 2019

خرسندم که بگویم دراین یکسال سفری که در باگ هانتینگ شروع کردم به اکثر اهدافی که تعیین کرده بودم رسیده‌ام. این به من این امکان را داد که بیشتر براساس ترجیحات فنی خودم انتخاب کنم و روی کارم متمرکز شوم و در زمان انتخاب کار انعطاف پذیری بیشتری داشته باشم.

مزایا و معایب باگ هانتینگ

مزایا معایب
  • انعطاف پذیری
  • کامیونیتی
  • استقلال
  • تنوع

 

  • ریسک مالی
  • عدم قطعیت
  • انزوا
  • فرسودگی شغلی

 

باگ هانتینگ انعطاف‌پذیری لازم را در این مرحله از زندگی‌ام به من داد، چیزی که نمی‌توان از کارفرمایان تمام وقت انتظار داشت که با آن خودشان را وفق دهند. دراین حرفه می توانم وقتی حالم خوب بود کار کنم و زمان‌هایی که حال خوبی ندارم به استراحت بپردازم. می توانم از ساعت 6 صبح کارم را شروع کنم یا از ساعت 23 مشغول شوم. اگر در موقعیتی هستم که به راحتی اهدافم را یکی پس از دیگری فتح می‌کنم، می توانم استراحت کنم، ساعات کاریم را کاهش دهم و در زمان‎‌های استراحت به یادگیری یا برنامه نویسی بپردازم. عوض اینکه بیشتر و سخت تر کار کنم تا پول بیشتری دریافت کنم، می‌توانم روی اهداف بیشتری کار کنم و به آسانی پول بیشتری بدست بیاورم.

همانطور که گفته شد، باگ هانتینگ تمام وقت ریسک مالی قابل توجهی را به همراه ندارد (بله، پول درکنار مزیت بودن، عییب‌هایی هم میتواند داشته باشد). از آنجایی که پرداختی‌های برنامه‌های باگ بانتی معمولاً بر اساس نتیجه گزارشات است، اگر باگی پیدا نکنید درنتیجه پولی هم دریافت نخواهید کرد. این می تواند منجر به هفته های خسته کننده‌ای شود که در آن ساعات زیادی صرف کار کرده‌اید ولیکن چون خروجی‌ای نداشته‌اید درازای آن پولی هم دریافت نخواهید کرد. بدیهی است که این اتفاق باعث بیشتر شدن فشار مالی روی فرد خواهد شد که در یک شغل با درآمد ثابت شما این مسائل را تجربه نخواهید کرد.

کامیونیتی باگ بانتی یک منبع دانش، مشوق و پشتیبانی قوی برای هانترها است. تعداد زیادی از باگ بانتی هانترهای ماهر و کاربلد در شبکه‌های اجتماعی وجود دارد که روز به روز به تعداد افرادیکه باگ هانتینگ را به عنوان یک کار تمام وقت انتخاب می‌کنند افزوده می‌شود استریم‌ها و جلسات پرسش و پاسخ از @NahamSec، ابزارهایی که @Tomnomnom معرفی می‌کند و تکنیک‌های و رایت‌های باگ بانتی‌ای که از طرف @orange_8361@albinowax@samwcyo ارائه می‌شوند، یک گوشه کوچکی از منابع یادگیری باگ بانتی هستند که در تمام سطوح با هر میزان تجربه می‌توان از آنها برای یادگیری استفاده کرد. با اولویت قرار دادن Hactivity پلتفرم HackerOne، من دیگر هیچ بهانه‌ای برای یادگرفتن آخرین و به روز ترین تکنیک‌های باگ بانتی و باگ ها ندارم.

فشار مالی می تواند با عدم اطمینان میزان و زمان پاداش دریافتی بابت گزارش هایی که ارسال کرده‌ایم به شکل مضاعفی روی شما فشار بیاورد. کار کردن روی برنامه‌ای که محدوده پاداش پرداختی آن مشخص است و پرداختی‌های آن سریعا به حساب هانتر واریز می‌شود از میزان این فشار عصبی تا حدودی می‌کاهد. من سعی می‌کنم با استفاده از کران‌های پایین‌تر پاداش‌ها و محدودیت‌های بالاتر در زمان پرداخت را محاسبه کنم، به این ترتیب من گرفتار پرداخت‌های پاداش پایینی که پرداخت آن ها زمان زیادی طول می‌کشد، نمی‌شوم. بدین ترتیب حتی اگر بررسی یکی از گزارش‌هایم هم ماه‌ها طول بکشد، باز در آخر این بازه  ضرر نمی‌کنم.

باگ هانتینگ یک فرصت عالی برای مستقل شدن است، یک فرصت مناسب برای کار کردن برای خودم، به طوریکه خودم کارفرما و رئیس خودم هستم، درست در نقطه مقابل کار کردن برای یک فرد دیگر قرار دارد. دراین مدل کار کردن تمام پرداختی‌ها مستقیم وارد جیب خودم می‌شود (البته با کسر مالیات)، و به اینصورت نیست که من سخت کار کنم و پول به جیب شخص دیگری برود.

 

انزوای اجتماعی یکی از مشکلات رایج بین افراد دورکار است که اثرات آن روی باگ هانترهایی که به تنهایی کار می‌کنند بیشتر از دیگران نمایان می‌شود. به عنوان یک فرد درونگرا، این شرایط برای من اصلا بغرنج و آزاردهنده نیست، ولیکن من هم گاها این نیاز را در خودم احساس میکنم که بیرون بروم و کسی را (هرکسی) برای صحبت کردن پیدا کنم. اینجا مشکل واقعی ما این است که مستقیماً در کنار افراد دیگر با مجموعه مهارت‌های مشابه یا مکمل کار نمی‌کنیم تا بتوانیم با آنها در تعامل باشیم و ایده‌ها یمان را باهم به اشتراک بگذاریم و یا بتوانیم  روی مشکلات با هم کار کنیم.

 

تنوع  موجود در باگ هانتینگ برای من خیلی جذاب است. اگر احساس خستگی بیش از حد داشته باشم یا روی یک وب اپلیکیشن شکار موفقی نداشته باشم، می توانم مسیرم را عوض کنم و روی مهندسی معکوس یک اپلیکیشن ویندوزی یک برنامه باگ بانتی دیگر کار کنم. یک روزبا شرکت‌های مالی کار می‌کنم، روز دیگر با شرکت‌های بازی سازی کار می‌کنم. این درصورتیست که تمام اینها را بدون نیاز به پیشنهاد کار فریلنسری یا نوشتن حتی یک خط قرار داد با مشتری انجام می‌دهم. در پلتفرم‌های باگ بانتی مثل HackerOne  و Bugcrowd برنامه های متنوع زیادی وجود دارد که میتوانید از بینشان برنامه دلخواهتان را انتخاب کنید و شروع کنید به کار کردن.

استرس غیرقابل کنترل و فرسودگی شغلی  از عوارض رایج باگ هانتینگ هستند که درصورت برآورده نشدن انتظارات و اهداف مالی تشدید می‌شوند. خیلی راحت می‌توانید تمام وقت خود را صرف شکارباگ کنید و جنبه‌های دیگر زندگی‌تان را نادیده بگیرید که این سبک از کار رو زندگی به آسانی شما را به فرسودگی شغلی می‌رساند. خود من به علت صرف زمان زیاد برای باگ هانتینگ و عدم توجه به خودم و زندگی شخصیم، برای چند هفته متوالی حس و حال کار کردن نداشتم.

توصیه‌ها

باتوجه به تجربه ای که از شکار جایزه آسیب‌پذیری دراین 12 ماه رسیده ام و پاداش‌های نقدی ای که دریافت کرده‌ام، نکات و توصیه‌های کاربردی زیر را بدست آورده‌ام که آرزو داشتم قبل از شروع بکار اینها را میدانستم.

ساختن یک پایپلاین (خط تولید) – باگ هانتینگ هم فراز و نشیب های مخصوص خودش را دارد، من گاها برای چند ماه متوالی دوبرابر اهدافم باگ پیدا کردم و دریافتی داشتم، ولیکن در مقابل ماه‌هایی هم بودند حتی یک باگ هم نتوانستم پیدا کنم. این خیلی مهم هست که توانایی مدیریت این بالا و پایین‌های مسیر را داشته باشیم و زود دچار فرسودگی شغلی نشویم (یا فقط مشغول باشیم و زمانی برای زندگی شخصی و خودمان نداشته باشیم). یک روش برای مدیریت چنین شرایطی ساختن یک پایپلاین از باگ‌های ثبت شده، و حوزه‌های بیشتر برای کاوش درمیان برنامه‌ها و پلتفرم‌های مختلف است. اینکار به شما کمک می‌کند تا جاهاییکه آورده‌ی بیشتری برایتان داشته را رصد کنید و به شما سرنخ‌هایی می دهد تا متوجه شوید که کجاها باگ هانتینگ به خوبی پیشرفته است.

هرچیزی را ثبت کنید –  جمع‌آوری داده‌ها در مورد کاری که انجام می‌دهم، و نحوه برخوردم با آن، کلید توسعه رویکرد من بوده است. به غیر از یادداشت‌های هدف، سعی می‌کنم سوابق دقیقی از هرچیزی را ثبت کنم، اینکه چه برنامه‌هایی خوب و سریع پرداخت می‌کنند، از چه برنامه‌هایی تجربیات بدی داشته‌ام، از شکار چه باگ‌هایی لذت می‌برم و چه زمانی از روز بیشترین بازدهی را دارم. تمام این اطلاعات به من کمک می‌کند تا برنامه ریزی دقیقی داشته باشم و زمان ارزشمندم را به درستی صرف کارم بکنم.

شکست‌های تان را زیاد بزرگ نکنید – گله و شکایت عمده‌ای که در مورد باگ بانتی هانتینگ وجود دارد، به طور کلی ارسال مشکلاتی است که به عنوان تکراری از گزارش‌های ارسالی قبلی علامت‌گذاری می‌شوند و در نتیجه هیچ گونه پاداشی درازای آن‌ها پرداخت نمی‌شود. درکل در باگ هانتینگ، اجتناب از باگ‌های تکراری برای نتیجه گیری و سلامت روانی خودتان یک امر ضروری است. طبق تجربه من، گزارش‌هایی که احتمال زیادی دارد که  تکراری باشند در سطح پایین‌تر، مشکلات با احتمال شناسایی آسان ، مانند Cross Site Scripting، یا در برنامه‌هایی با میانگین زمان بسیار طولانی برای حل (120 روز به بالا) قرار دارند..

هرموفقیتی را هرچند کوچک جشن بگیرید – درزمان گزارش باگ‌ها شفاف و مختصر و ومفیدهمه چیز را بیان کنید، و یک دستورالعمل مرحله به مرحله برای بازتولید مسیر یافتن باگ در گزارش بگنجانید. درصورتیکه اگر گزارش به ریخته باشد و دستورالعمل مشخصی برای بازتولید آسیب پذیری نداشته باشد، عقب و جلو رفتن در گزارش برای تیم باگ بانتی مشتری و تیم تریاژ زمانبر و خسته کننده خواهد بود.

گزارش‌هایی که خوب نوشته شده‌اند و اثبات مفهومی (PoC) شفای دارند و گاها از ویدیو برای نشان دادن اثرات باگ هم در آنها استفاده شده است، تاثیر مثبتی در نتایج پرداخت پاداش یا جوایز بانتی از طرف مشتری داردِ، چرا که به درستی اثر آسیب‌پذیری را متوجه شده‌اند و زودتر و با اعتماد بیشتری به گزارش شما عکس‌العمل نشان خواهند داد.

منابع مالیتان را مدیریت کنید – مانند هر شغل دیگری که با رفتن به آن  بایستی حقوق و تعهد مورد نیاز را از سمت خودتان ارزیابی می کنید، همین کار را برای باگ بانتی هانتینگ هم انجام دهید.از عملی بودن این موارد و اینکه درصورت برآورده نشدن اهداف مالی تان جایگزین مناسبی برای آن دارید مطمئن شوید. در حالت ایده‌آل، فقط باید با برنامه‌هایی کار کنید که تجربه‌ای قابل لمس از مقیاس‌های پرداخت و زمان‌های پرداخت آن  دارید تا بتوانید پیش‌بینی نسبتا دقیقی از شرایط داشته باشید.

برای محاسبه مالیات و تشکیل پرونده طبق تجربه شخصی خودم پیشنهاد می‌کنم که با ی حسابدار حرفه‌ای که از قوانین و شرایط مالیات محل زندگی شما کاملا آگاه است قرار داد ببندید.

سخن پایانی

برای من شروع بکار تمام وقت در زمینه باگ بانتی هانتینگ بهترین انتخابی بود که در آن شرایط و موقعیت می توانستم داشته باشم. این برای من خیلی راحت است که بگویم باگ بانتی هانتینگ یک کار بسیار خوب و پردرآمدی است و توصیه کنم که حتما به صورت تمام وقت به آن بپردازید، ولیکن آگاه باشید که هرکس چنین ادعایی داشت هشدارهای بسیاری دراین ادعا پنهان شده است. من ازلحاظ اجتماعی، مالی و تجربی در شرایط بسیار خوبی قرار داشتم که این موقعیت باعث شد تا باگ بانتی هانتینگ برای من یک سرمایه‌گذاری کم خطر باشد. سایر افرادیکه از شرایط شخصی متفاوتی برخوردار هستند، ممکن است تعداد کمی از این افراد در زمینه باگ بانتی هانتینگ بتوانند موقعیت خوبی بدست بیاورند و این موقعیت برای همه قابل دسترسی نیست.

پیشنهاد من برای هرکسی که کار در زمینه امنیت سایبری را شروع کرده این است که از باگ بانتی هانتینگ به عنوان یک روش یادگیری عالی استفاده کند. دراین حالت شما می توانید به طیف گسترده‌ای از سیستم‌ها و محیط های مختلف دسترسی داشته باشید، با تیم‌های امنیتی خوبی که در سراسر دنیا فعالیت می‌کنند همکاری کنید و درصورت امکان درکنار همه این‌ها پولی هم بدست آورید. به یاد داشته باشید که بدون محکم کردن جای پای تان در عملیات امنیتی یا تست نفوذ، حساب کردن روی درآمد باگ بانتی هانتینگ به عنوان تنها منبع درآمد کار پرریسک و سختی است. برای فردی که چند سالی در زمینه امنیت سایبری تجربه و سابقه کار دارد، کار به صورت تمام و قت در باگ بانتی هانتینگ یک گزینه قابل قبول برای شغل تمام وقت می‌تواند باشد. اما بهتر است از آن به عنوان یک روش برای یک شبه پولدار شدن (Get Rich Quick™) یا یک گزینه راحت نمی توان استفاده کرد (هرچند برای هردو گزینه استثنائاتی هم وجود دارد.)، چراکه درهر صورت رسیدن به هدف موردنظر نیازمند تلاش سخت و عزم راسخ است.

اگر درنظر دارید باگ بانتی هانتینگ را به صورت یک کار تمام وقت ادامه دهید، یا دراین زمینه سوال دارید، در قسمت کامنت ها با ما در ارتباط باشید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *