Guardian360 Lighthouse<BR>Het centrale security platform

Guardian360 Lighthouse
Het centrale security platform

BESCHERM JE BEDRIJFSNETWERK 24/7 TEGEN
KWETSBAARHEDEN EN CYBERCRIMINELEN

Data in NL Scanning & detectie van kwetsbaarheden Word AVG compliant
Uitgebreide rapportages Eenvoudige implementatie Makkelijk opzegbaar

03 feb Ethisch hackers onderzocht: ze doen het niet voor het geld

Geplaatst op 07:33h in Opinie door
0 Likes

In januari 2018 publiceerde HackerOne haar 2018 Hacker Report. Naar eigen zeggen is het het grootste onderzoek binnen de gemeenschap van ethisch hackers dat ooit is uitgevoerd, 1698 respondenten deden mee. HackerOne heeft toegang tot deze groep, omdat veel onafhankelijke security onderzoekers bij hen zijn aangesloten via een zogenaamd bug bounty programma.

Bug bounty programma?

Bedrijven die zelf niet voldoende security onderzoekers in dienst kunnen nemen of betalen, kunnen onafhankelijke security onderzoekers betrekken bij de beveiliging van hun organisatie, software en/of systemen. Via een bug bounty programma wordt onderzoekers de mogelijkheid geboden om kwetsbaarheden en andere security issues (bugs) te vinden, in ruil voor een beloning (bounty). Omdat het voor de meeste bedrijven lastig is om de bevindingen van deze onderzoekers goed te beoordelen, wordt er vaak een gespecialiseerde partij betrokken bij het bug bounty programma. In Nederland is Zerocopter een bekende aanbieder van dit soort programma’s. Op hun website schrijven zij over bug bounty het volgende: “Een selecte groep van de bij ons aangesloten ethical hackers, door ons ‘researchers’ genoemd helpt je met het opsporen van eventuele onbekende kwetsbaarheden (zogeheten ‘bugs’) in je systeem en biedt je een oplossing. Beloning (de zogeheten ‘bounty’) van de researchers gebeurt op no-cure-no-pay basis, per goedgekeurde kwetsbaarheid.”

Beloning

De suggestie kan gewekt worden dat security onderzoekers vooral onderzoek doen om er een financiële beloning uit te halen. In sommige landen van de wereld kan dat ook lucratief zijn. Een software engineer in India kan tot wel 16 keer zoveel verdienen wanneer hij bounties opstrijkt, in plaats van in dienst te zijn. In Egypte is dat zo’n 8 keer zoveel en in de Filipijnen zo’n 6 keer zoveel. Deze factoren zijn overigens wel wat arbitrair, kosten die een werkgever voor huisvesting, belastingen en dergelijke moet doorberekenen zijn er niet in meegenomen. Desondanks is het in sommige delen van de wereld zeker de moeite waard om op bugs te jagen.


What makes them hack?

Toch blijkt uit het onderzoek dat financiële beloningen niet op de eerste plaats van ethisch hackers staat. 14,7% van de respondenten wil vooral nieuwe technieken leren, 14% doet het voor de uitdaging, nog eens 14% om plezier te hebben en zo’n 13% doet het voor het geld.

Wat mij betreft bevestigt dit het beeld dat we blij moeten zijn met hackers met goede bedoelingen! Door hun nieuwsgierigheid en doorzettingsvermogen maken zij de digitale wereld een stuk veiliger. Dat is hard nodig ook!

Bronnen
https://info.hacker.one/2018-hacker-report/
https://www.zerocopter.com/nl/seo/bug-bounty

Geen reactie's

Sorry, het is niet mogelijk om te reageren.