19-årig har fundet bugs for en million dollars på kort tid

Keynote på Version2 Infosecurity: Sådan foregår det når cyberkriminelle tapper dine data via dongles og USB

Mød it-sikkerhedskonsulenten Keld Norman, Dubex på it-sikkerhedsmessen Infosecurity Denmark 2019, som i alt byder på mere end 110 seminarer og cases, 25 udvalgte keynotes og 80 udstillere. To dage med masser af faglig viden og netværk d. 1. og 2. maj i Øksnehallen i København.

Keld Norman fortæller om hvordan det foregår og hvad det kræver, når telefonladere overvåger dig, en USB killer stick slår din PC ihjel, trådløse dongles tillader alle at taste på din computer og meget mere.. Supply chain attacks kaldes det, når man installerer bagdøre i hardwaren, inden det kommer ud til forbrugeren.

Konferenceprogrammet dækker både compliance, cybercrime, IoT, nye teknologier som AI og blockchain samt data og cloud og giver et unikt indblik i de nyeste it-sikkerhedsmæssige udfordringer på et højt fagligt niveau.

På Infosecurity bliver du opdateret om både de nyeste tekniske landvindinger fra spydspidsforskere og får indblik i aktuelle trusselsbilleder fra nogle af verdens bedste rådgivere.

Læs mere og tilmelding, klik her.

Santiago Lopez (19 år) begyndte for tre år siden at læse blogs og se videoer på Youtube for at lære sig at identificere softwarefejl.

Nu er han den første i verden, som har fundet bugs for en million dollars via bugrapporterings-platformen Hackerone.

Forretningsideen bag Hackerone er enkel: Selskaber, som melder sig til at samarbejde, siger ’ja’ til at blive gået efter i sømmene.

Finder du fejl i systemerne hos for eksempel Spotify, rapporteres det til selskabet, og en findeløn udbetales til vedkommende, som afdækkede systemsvigtet.

1.700 bugs

Santiago Lopez har, siden han begyndte, fundet næsten 1.700 forskellige bugs i systemerne hos blandt andet Verizon, Twitter, Wordpress og forskellige myndighedsorganer.

»Da jeg fik mere indsigt i mekanismerne, kunne jeg mærke, at jeg blev draget mod denne type udfordringer og problemløsninger,« siger han til Hackerone.

Første gang, argentineren fandt en fejl, var han kun 17 år gammel. Han fik udbetalt en findeløn på 50 dollars.

Med tiden oparbejdede han et system, og dermed blev det enklere og enklere at afdække fejl. Nu er målsætningen at finde så mange småfejl som muligt på kortest mulig tid.

Santiago Lopez (19 år) har indkasseret en million dollars på at lede efter fejl i software. Illustration: Hackerone

Fuldtidsjob

Det gør, at der kommer klingende mønt i kassen hos den 19-årige, som i dag har fejlsøgning som fuldtidsjob.

Den største findeløn, Lopez indkasserede, var på 9.000 dollars, da han afdækkede en sårbarhed i en serverløsning, som gjorde ham i stand til at overtage hele systemet.

»Jeg arbejder med det mellem seks og syv timer om dagen og ser på det som et helt normalt job,« siger han til Hackerone.

Indtil videre har sitet udbetalt tæt på 45 millioner dollars i findeløn til mere end 300.000 registrerede brugere af hackerplatformen. I alt er der blevet indrapporteret over 100.000 sårbarheder i forskellige grader.

Uden uddannelse

Ifølge selskabets egne tal (pdf) oplyser 81 procent af de registrerede brugere af platformen, at de har lært faget på egen hånd via forskellige blogs og videoer. Kun 6 procent af de adspurgte brugere siger, at de har en højere uddannelse.

Størsteparten af brugerne befinder sig i Indien, mens det er brugere i USA, Canada, Storbritannien, Tyskland og Singapore, som har fået den største del af findelønspengene.

Ni ud af ti brugere af platformen er under 35 år, og de fleste har baggrunde fra andre industrier end it-branchen. Det gør, at de kommer ind med et nyt og friskt blik og derfor ofte er bedre i stand til at finde fejl.

Der er gode penge at tjene. Gennemsnitsindtægten for en sikkerhedsekspert er seks gange så høj for en ’hacker’ som for en, der arbejder med traditionel sikkerhed i Sverige, ifølge Hackerones egne tal. Illustration: Hackerone

De mest brugte værktøjer til at finde sikkerhedshullerne er Burp Suite, Fiddler, Webinspect og ChipWhisperer, fremgår det af rapporten.

Artiklen er fra digi.no.

Kommentarer (4)

Sortér kommentarer

Ældste først
Nyeste først
Bedste først

#1 Claus Bobjerg Juul 5. marts 2019 - 14:27

Danske myndigheder tak

Lad os da for danske myndigheder på denne løsning, det lader til at være billigt og kan være en let måde at komme de mest banale problemer til livs, hvis de bare gider at fixe dem.

#2 Thomas Toft 6. marts 2019 - 01:32

Re: Danske myndigheder tak

Du mener DXC/CSC, KMD, osv? De danske myndigheder laver ikke meget selv. Enten er det vennerne der laver og køre det eller også kalder de vennerne ind som konsulenter.

#3 Martin Storgaard Dieu 6. marts 2019 - 08:28

Du mener DXC/CSC, KMD, osv?

Det er vel myndighederne, som i sidste ende stiller kravene. Hvis kravet er at et ekstert (evt. navngivet) bereau skal lave pentest, så er det jo lige meget hvem der udvikler og vedligeholder systemerne?

Det vil også være fint hvis myndighederne laver en "Vulnerability Disclosure Policy". Her kan man vel godt lade sig inspirere af USA og deres Department of Defence?

#4 Martin Thirup 6. marts 2019 - 16:17

Jeg er helt enig med dig... Men desværre skal vi nok ikke regne med, at det sker pga. CFCS' vurdering https://www.version2.dk/artikel/center-cybersikkerhed-afviser-dansk-duso... (spoiler alert: bullsh*t)

Log ind eller Opret konto for at kommentere