Die Systeme der Welt sichern, ein Job-Hack

Nikhil Srivastava schreibt: Als Hacker muss man wirklich geduldig sein und sein Bestes geben. Manchmal fängt es an, Ihre geistige Gesundheit zu beeinträchtigen. Angesichts der hohen Konkurrenz in diesem Bereich ist Burnout heutzutage auch bei Hackern weit verbreitet.

Abgesehen von den Herausforderungen gibt es auch viele Vorteile des Jobs

Geschrieben von Nikhil Srivastava

In den meisten Filmen über Hacker zeigt die erste Szene einen Mann in einem schwarzen Hoodie, der in einem dunklen Raum oder einer Garage sitzt und wütend einen Geheimcode auf einem Computerbildschirm eintippt. Er ist distanziert, und schlimmer noch, eine Bedrohung für die Gesellschaft. Die jüngste Kontroverse zwischen NSO und Pegasus hat die Menschen noch misstrauischer gemacht.

Aber das Hacken hat viele Aspekte, und das Leben eines ethischen Hackers wie mir, der dazu beiträgt, die Systeme der Welt vor fatalen Fehlern zu schützen, unterscheidet sich stark von den Charakteren in Filmen.

Ich habe mich im College für Hacking interessiert. Damals habe ich die Schlupflöcher auf meiner College-Website oder sogar auf Regierungsseiten gefunden und gemeldet. Später habe ich mich für eine Karriere in der Anwendungssicherheit entschieden. Es ist kein 9-5-Job und ich bin der Besitzer meiner Zeit.

Es gibt viele Plattformen im Internet, wie Synack, HackerOne, Bugcrowd, Cobalt, Intigriti, die für ethisches Hacken der Systeme ihrer Kunden legal bezahlen und ihnen helfen, es zu sichern. Der Betrag liegt zwischen 500 und 50.000 US-Dollar. Dann gibt es Unternehmen, die unabhängige Programme ausführen – darunter Google, Microsoft, Apple, Facebook – und für jede Schwachstelle bezahlen, die Sie in ihrer Infrastruktur entdecken. Während Sie sich dafür anmelden, müssen Sie einige strenge Regeln beachten. Die erste ist, dass Sie die Details der Schwachstellen nur dem Kunden, sonst niemandem, offenlegen dürfen.

Ich genieße es, in Programme einzusteigen, die eine große Anzahl von Vermögenswerten haben. Es erhöht die Wahrscheinlichkeit, einen kritischen Fehler zu finden. Zuerst starte ich die automatisierten Tools, um alle Assets zu scannen, und beginne dann, die Ergebnisse nach interessanten Dingen zu durchsuchen. Ich konzentriere mich darauf, kritische oder schwerwiegende Probleme zu finden und zu melden. Der nächste Schritt besteht darin, einen detaillierten Bericht an den Kunden zu senden, dessen Sicherheitsteam dann die Schwachstelle behebt. Später steht es mir frei, den Bericht unter Wahrung der Anonymität eines Kunden offenzulegen.

Ich habe einmal am System einer europäischen Spitzenbank gearbeitet. Ich habe einen Code aus der Ferne auf einem ihrer Assets ausgeführt und Zugriff auf die Daten aller ihrer Kunden erhalten! Aufgrund der hohen Sicherheitsauswirkungen und der kritischen Natur der Schwachstelle wurde sie vom Kunden innerhalb von Minuten behoben. Der gesamte Prozess von der Berichterstellung über das Triaging bis hin zur Erkennung von Schwachstellen und deren Behebung und schließlich der Auszahlung dauert je nach Kunde drei bis vier Tage bis hin zu einer Woche. Es kann manchmal eine Zeit großer Angst für beide Parteien sein.

Als Hacker müssen Sie wirklich geduldig und an der Spitze Ihres Spiels sein. Manchmal fängt es an, Ihre geistige Gesundheit zu beeinträchtigen. Angesichts der hohen Konkurrenz in diesem Bereich ist Burnout heutzutage auch bei Hackern weit verbreitet. Manchmal gelingt es Ihnen einfach nicht, in Systeme einzubrechen, und das führt zu Frustration. In einer solchen Situation hilft die Zusammenarbeit mit einem anderen Hacker.

Abgesehen von den Herausforderungen gibt es auch viele Vorteile des Jobs. Live Hacking Events (LHE) sind meine Favoriten. Sie werden eingeladen, sich in die Infrastruktur eines Kunden zu hacken und mit Hackern aus der ganzen Welt zusammenzuleben, was auch einen Einblick in ihre Gedanken gibt. Und natürlich werden Sie für jede gemeldete Schwachstelle bezahlt. Ich war Teil von vier bis fünf solcher Veranstaltungen, die von Synack in Las Vegas (2016), Mexiko (2017), Bali (2018), Costa Rica (2019) und Tokio (2020) veranstaltet wurden. Ich war auch Teil eines kombinierten Live-Hacking-Events von Facebook und Google im Facebook-HQ in Singapur. Ich bin manchmal mit interessanten Artikeln zurückgekommen, wie einem Microsoft Surface Pro 4 mit meinem eingravierten Namen, einem Oculus VR-Headset usw.

Obwohl es ein so ernster Beruf wie jeder andere ist, verstehen ihn nicht viele Leute, und ich erhalte oft lustige Anfragen in den sozialen Medien wie: Kannst du das Konto meiner Freundin hacken? Können Sie die Website meiner Hochschule hacken? und so weiter. Ich blockiere sie meistens.

Der Autor ist ein ethischer Hacker, der Unternehmen wie Google, Microsoft, Tesla, Mozilla, Salesforce, eBay und anderen dabei geholfen hat, Sicherheitslücken zu schließen