Mengamankan sistem dunia, satu peretasan pekerjaan

Nikhil Srivastava menulis: Menjadi seorang hacker, Anda harus benar-benar sabar dan berada di puncak permainan Anda. Terkadang, itu mulai memengaruhi kesehatan mental Anda. Mengingat tingginya persaingan di lapangan, burnout juga cukup umum di kalangan hacker akhir-akhir ini.

Selain tantangannya, ada banyak keuntungan dari pekerjaan itu juga

Ditulis oleh Nikhil Srivastava

Di sebagian besar film tentang peretas, adegan pertama menunjukkan seorang pria mengenakan hoodie hitam, duduk di ruangan gelap atau garasi, dengan marah mengetik beberapa kode rahasia di layar komputer. Dia menyendiri, dan lebih buruk lagi, merupakan ancaman bagi masyarakat. Kontroversi NSO-Pegasus baru-baru ini membuat orang semakin curiga.

Tetapi peretasan memiliki banyak aspek, dan kehidupan seorang peretas etis seperti saya, yang membantu mengamankan sistem dunia dari kesalahan fatal, sangat berbeda dari karakter dalam film.

Saya mulai tertarik dengan hacking di perguruan tinggi. Saat itu, saya akan menemukan celah di situs web perguruan tinggi saya atau bahkan situs web pemerintah dan melaporkannya. Kemudian, saya memutuskan untuk berkarir di bidang keamanan aplikasi. Ini bukan pekerjaan 9-5 dan saya adalah pemilik waktu saya.

Ada banyak platform di Internet, seperti Synack, HackerOne, Bugcrowd, Cobalt, Intigriti, yang membayar peretasan etis sistem klien mereka secara legal, dan membantu mereka mengamankannya. Jumlahnya berkisar dari $ 500 hingga $ 50k. Kemudian, ada perusahaan yang menjalankan program independen — termasuk Google , Microsoft , Apple , Facebook — dan membayar setiap kerentanan yang Anda deteksi di infrastruktur mereka. Saat mendaftar untuk ini, Anda harus mengikuti beberapa aturan ketat, yang pertama adalah Anda hanya dapat mengungkapkan detail kerentanan kepada klien, tidak ada orang lain.

Saya menikmati membobol program yang memiliki sejumlah besar aset. Ini meningkatkan kemungkinan menemukan bug kritis. Pertama, saya memulai alat otomatis untuk memindai semua aset, dan kemudian mulai mencari hasil untuk hal-hal menarik. Saya fokus untuk menemukan dan melaporkan masalah kritis atau dengan tingkat keparahan yang tinggi. Langkah selanjutnya adalah mengirim laporan terperinci ke klien yang tim keamanannya kemudian memperbaiki kerentanannya. Kemudian, saya bebas untuk mengungkapkan laporan tersebut dengan tetap menjaga anonimitas klien.

Suatu kali, saya sedang mengerjakan sistem bank top Eropa. Saya mengeksekusi kode dari jarak jauh di salah satu aset mereka dan mendapatkan akses ke data semua pelanggan mereka! Karena dampak keamanan tinggi dan sifat kritis dari kerentanan, itu diperbaiki oleh klien dalam beberapa menit. Seluruh proses dari pelaporan ke triaging untuk mendeteksi kerentanan dan memperbaikinya dan akhirnya mendapatkan bayaran memakan waktu tiga-empat hari sampai seminggu tergantung pada klien. Kadang-kadang bisa menjadi periode kecemasan besar bagi kedua belah pihak.

Menjadi seorang hacker, Anda harus benar-benar sabar dan berada di puncak permainan Anda. Terkadang, itu mulai memengaruhi kesehatan mental Anda. Mengingat tingginya persaingan di lapangan, burnout juga cukup umum di kalangan hacker akhir-akhir ini. Terkadang, Anda gagal membobol sistem, dan itu menyebabkan frustrasi. Dalam situasi seperti itu, berkolaborasi dengan peretas lain membantu.

Selain tantangan, ada banyak keuntungan dari pekerjaan itu juga. Acara Peretasan Langsung (LHE) adalah favorit saya. Anda diundang untuk meretas infrastruktur klien dan tinggal bersama peretas dari seluruh dunia, yang juga memberikan wawasan tentang pikiran mereka. Dan tentu saja, Anda dibayar untuk setiap kerentanan yang Anda laporkan. Saya telah menjadi bagian dari empat-lima acara yang diselenggarakan oleh Synack di Las Vegas (2016), Meksiko (2017), Bali (2018), Kosta Rika (2019) dan Tokyo (2020). Saya juga telah menjadi bagian dari Acara Peretasan Langsung gabungan Facebook dan Google di Markas Besar Facebook di Singapura. Saya kadang-kadang kembali dengan barang dagangan yang menarik, seperti Microsoft Surface Pro 4 dengan nama saya terukir di atasnya, Headset Oculus VR, dll.

Meskipun profesi ini sama seriusnya dengan yang lain, tidak banyak orang yang memahaminya, dan saya sering menerima permintaan lucu di media sosial seperti, Bisakah Anda meretas akun pacar saya? Bisakah Anda meretas situs web kampus saya? dan seterusnya. Saya kebanyakan memblokir mereka.

Penulis adalah seorang hacker etis yang telah membantu perusahaan seperti Google, Microsoft, Tesla, Mozilla, Salesforce, eBay, antara lain, memperbaiki kerentanan keamanan