מה זה BUG BOUNTY ואיך אנשי סייבר עושים מזה כסף?

השנה היא 2024 וכיום למעשה אין כמעט ארגון גדול שלא נפגע מפריצת אבטחה מידע/סייבר. אין ספק שמרבית מהארגונים כבר הבינו את זה, ובצעד מאוד מוזר, בערך לפני כעשור, הם ביצעו תהליך מוזר, תהליך כל כך מוזר, אבל הגיוני בשם: Bug Bounty אבל מה זה בכלל אומר? ומה האינטרס של חברות היום "להזמין" אנשי סייבר שיפרצו אליה בתור "אתגר"? ואיך זה משתלם לאותם אנשי סייבר? תתפלאו לשמוע, אבל מסתרר כאן סיפור נפלא, והאמת? עם המון היגיון מאחריו.

מה זה באג באונטי ואיך מיישמים את התכנית

במילים פשוטות ההגדרה של Bug Bounty היא תכנית בה חברות/ארגונים/מדינות מזמינות אנשי סייבר (האקרים לבנים) למצוא במוצרים הדיגיטלים שיש ברשותן באגים, בעיות או פריצות אבטחה. בתמורה אותם אנשים זוכים לתגמול כספי גדול במיוחד. הרעיון? למנוע מבעוד מועד את הפריצה ולתפוס את פריצת האבטחה מ"ראש" ולמנוע כאוס של ממש לארגון.

אז למה שאנשי הסייבר ואבטחת המידע של אותו ארגון לא יוכלו לגלות זאת בעצמם? כיום יש עשרות אלפי דרכים לפרוץ לארגונים, כאלו שגם אנשי הסייבר המדופלמים ביותר לא מכירים. וכשארגון מזמין את כל אנשי הסייבר בעולם להעיז לפרוץ אליו או לגלות פריצת אבטחה בארגון שלו - תהיו בטוחים שתמיד יסתרר איפשהו בעולם הטיפוס שיצליח לעשות זאת.

הפרסים שמקבלים בתכניות Bug Bounty מאוד גדולים, לדוגמה: בשנת 2016 הפנטגון הזמינו שיפרצו אליהם למערכות (כן, אנחנו יודעים, מוזר, אבל זה לגמרי עבד), כמה הם שילמו על כך לאותו איש אבטחת מידע? 150 אלף דולר. אולי לכם זה נשמע הרבה, אבל בשביל ארגון של אחת מהמדינות העשירות בעולם - זה נחשב לנזיד עדשים. הפנטגון אפילו דיווחו שאם האקרים "אמיתיים" היו עושים זאת, כאלו שיכלו לסחוט אותם או ממש לעשות את הפריצה בפני עצמם, הנזק היה הרבה יותר גבוה, בערך כמיליון דולר.

למה ארגונים כל כך מפחדים מהאקרים?

אף ארגון כיום אינו חסין בפני פריצות, וככל שהארגון גדול יותר - כך הנזקים חמורים יותר. אם לדוגמה חנות איקומרס חווה פריצה, זה אולי משבר די עמוק לבעלים של העסק, אבל הבעיה היא בינם לבין עצמם. מתי היא הופכת לחמורה יותר? כשפרטים של הגולשים/הלקוחות מתגלים, וכשמתגלים פרטים כאלו רגישים, בעלי הפלטפורמה עומדים בסכנה ממשית.

אז מעבר לגניבת מידע, אילו עוד סכנות עומדות בפני אותם ארגונים? ובכן, ש הרבה מהן. אם נסיר את העניין של גניבת מידע של לקוחות, אנחנו נגיע לדבר העלול לגרום לנזק לא פחות גרוע: גניבת מידע על הארגון. אתם בוודאי שמעתם על זה בעצמכם, כמה פעמים יצא לכם לקרוא או לראות סרטון מודלף של משחק וידיאו פופלרי? בחלק מהמקרים באמת מדובר בהדלפה שמתרחשת "בטעות" על-ידי החברה, ובמקרים אחרים, מדובר בהאקרים מתוחכמים במיוחד שהצליחו להשיג את הסרטונים הכל כך סודיים האלו.

בשורה התחתונה, מעבר ל"קנס" הכספי והסחיטה שאותם ארגונים או חברות עומדים בפניהן, הם עומדים בסיכונים הרבה יותר טרגיים: גניבת מידע של לקוחות (אירוע שעלול לגרום להמון נזקים לאותו ארגון, אפילו ברמות משפטיות) וגניבת מידע ארגוני.

איך הכל התחיל? תכנית ה- Bug Bounty הראשונה

נחזור קצת אחורה, לשנת 1995, באותה התקופה שהאינטרנט הפך לנגיש יותר. החברה ההולנדית Netscape, פיתחה בשנת 1995 את Netscape Navigator 2.0, אחד מדפדפני האינטרנט הראשונים בהיסטוריה, ובשל כך היא התחילה את תכנית ה- Bug Bounty הראשונה בהיסטוריה (או לפחות מהמוכרות שיצאו). המטרה? למצוא באגים בדפדפן. התכנית הזאת נחלה הצלחה היסטרית, ובזכותה החברה מצאה עשרות באגים ובעיות שונות במערכות.

באותה תקופה התראיין מאט הורנר, סמנכ"ל השיווק של Netscape: "המענקים והפרסים שהענקנו ליוזרים עזרו לנו לאתר באגים ובעיות במהרה, התכנית הזאת (Bug Bounty) פיתחה למעשה ביקורת ובדיקה מקיפה ביותר עבור הדפדפן שלנו ועזרה לנו לפתח מוצרים ברמה הגבוהה ביותר"

אילו עוד חברות עושות שימוש ב - Bug Bounty

אם תהיתם אילו עוד חברות עושות זאת, מדובר ברשימה שאינה נגמרת, כמו: אינטל, סנאפצ'אט, דרופ בוקס, סיסקו, פייסבוק, גוגל, מוזילה (פיירפוקס), טוויטר, AVAST ועוד. ולא לחינם, הן יודעות שמדובר כאן ב-WIN WIN SITUATION: מנגד אנשי סייבר ואבטחת מידע מקבלים תשלום, ומצד שני הם לא חווים פריצה אמיתית לארגון שלהם ומגלים את החולשות הקיימות שם.

ואם תהיתם, "באג באונטי ישראל" זהו גם שם דבר. הסטארטאפ הישראלי המוכר רייזאפ (riseup) התחיל תכנית Bug Bounty (באג באונטי) משל עצמו, והזמין אנשי סייבר (יש שיגידו האקרים) למצוא באגים במערכת שלה. הם אפילו עשו על כך האקתון בו הם הזמינו אנשי אבטחת מידע לעשות זאת בלייב.

עניין ה-Bug Bounty הפך לכל כך פופולרי ומוכר, שהוא אפילו נחשב ל(סוג) של ענף ספורט, ואפילו בשנת 2022 הקבוצה הישראלית הצליחה להגיע לחצי הגמר, כשמצאה פריצת אבטחה המשפיעה על 8 מיליון אתרים ברחבי העולם. והפרטים? עדיין סודיים לגמרי. כי בכל זאת, הם לא רוצים שאף אחד ינצל את זה.

אילו סוגים של אנשי אבטחת מידע מסוגלים לעשות זאת?

קיימים המון סוגים של אנשי אבטחת מידע בעולם, ייתכן שלרבים מהאלו העוסקים במלאכת ה- Bug Bounty ייקראו "האקרים לבנים" - ההאקרים שנמצאים בצד הטוב. ייתכן שמרבית מאותם ההאקרים התחילו את דרכים כאנשי בדיקות חדירות (PT), הרעיון? למצוא חולשות או פריצות אבטחה בארגון בו הם עובדים. זו עבודה מאתגרת במיוחד, אבל יחד עם זאת, מאוד משתלמת, בין אם זה ברמת הסיפוק העצמי או בין אם זה השכר והתנאים המפנקים שנמצאים בתפקיד.

לפניכם רשימת קורסים נוספים הרלוונטים לתחום: