Computer met programmeercode

Hackers kunnen flink verdienen aan Apple’s beloningsprogramma

Apple start in september met een beloningsprogramma voor hackers. Wat zijn nu eigenlijk de voordelen voor Apple? En waarom doen de hackers mee?

Sommige bedrijven doen het al jaren, Apple begon er deze maand mee: bug bounty’s. Met deze beloningsprogramma’s worden zogenaamde ethische hackers aangespoord om gaten in de beveiliging van het bedrijf te vinden. Vinden ze die en melden ze deze bij dat bedrijf, dan krijgen ze een flink geldbedrag uitgekeerd. Daar worden heel wat hackers blij van, bijvoorbeeld Nathaniel Wakelam.

Computer met programmeercode

Met legaal hacken is flink wat geld te verdienen

De 21-jarige Nathaniel Wakelam verdiende deze maand alleen al 21.150 dollar aan dit soort beloningsprogramma’s, vertelt hij aan The Guardian. Hoewel zijn maandelijkse inkomsten behoorlijk verschillen, kan hij jaarlijks zomaar $250,000 bijverdienen door naar beveiligingslekken te zoeken. En daar hoeft hij de deur niet eens voor uit.

Apple beloont hackers
Nathaniel is wat we een white hat hacker of ethische hacker noemen. Dit betekent dat hij legaal bedrijven hackt en een flink geldbedrag krijgt als hij een lek vindt. Bedrijven maken hier op hun beurt weer gretig gebruik van. Op deze manier vinden ze eenvoudig de gaten in hun beveiliging, maar hoeven ze geen extra mensen in te huren. In navolging van bedrijven als Facebook, Microsoft, Tesla, Google en Yahoo kondigde ook Apple deze maand een dergelijk programma aan.

De bedoeling van Apple’s programma is het verbeteren van de beveiliging van iOS. De iPhone-fabrikant hoopt met beloningen die variëren van 25.000 tot 200.000 dollar hackers te stimuleren om hun bevindingen direct bij hen te melden. Maar Apple wil hiermee ook aantonen hoe lastig het is om in te breken.

Niet alleen commerciële bedrijven hebben een beloningsprogramma, ook de Amerikaanse overheid doet er sinds afgelopen maart aan mee. Ethische hackers worden opgeroepen om het Pentagon binnen te dringen. En dat loont: binnen vijftien minuten werd het eerste lek al gevonden. In totaal hebben 58 hackers in drie weken tijd 134 zwakke plekken gevonden. Daarvoor werd in totaal ruim 70.000 dollar uitgekeerd.

Als hacker verdien je goed
Wakelam verdient dus meer dan genoeg met zijn werk als ethische hacker. Een groot deel hiervan besteedt hij aan een goed doel dat hij runt, waarmee hij jonge hackers aan mentoren koppelt. Daarnaast betaalde hij vorig jaar een reis voor zes personen naar een conferentie in Nieuw-Zeeland. Daar hoefde hij slechts 48 uur voor te werken. “Als je aan zoiets geld kunt verdienen en het gaat gemakkelijk, dan vind ik dat je een verplichting hebt om anderen te helpen”, stelt Wakelam.

Hoeveel ethische hackers en hoeveel beloningsprogramma’s er precies zijn, is niet bekend. Dit komt met name omdat een aantal van de programma’s privé zijn en geen data bekend maken. Bovendien gebruiken bedrijven zoals Facebook externe partijen om de beloningsprogramma’s te managen.

Exodus Intelligence is hier één van. Dit bedrijf kondigde onlangs een beloning van $500.000 aan voor hacks binnen Apple. Ook Zerodium heeft geld uitgekeerd voor Apple, dankzij zogenoemde zero-day exploits. Dit zijn zwakke plekken in de beveiliging die een bedrijf zelf nog niet doorheeft. Veel niet-ethische hackers maken hier gretig gebruik van, door het bedrijf binnen te dringen. Zerodium specialiseert zich hierin en betaalde vorig jaar een miljoen dollar aan hackers die een werkende aanval voor Apple’s besturingssysteem hadden gemaakt.

Hackers zijn nieuwsgierig
Volgens Alex Rice, voormalig hoofd van productbeveiliging bij Facebook en mede-oprichter en CTO bij HackerOne, hebben hackers een natuurlijke nieuwsgierigheid. HackerOne is vergelijkbaar met soortgelijke bedrijven als Exodus Intelligence en Zerodium. Ze hielpen met het organiseren van het beloningsprogramma van het Pentagon.

Hacken is volgens Rice niet eens zo ingewikkeld. “Je denkt bij hacken dat je een erg exclusieve en specifieke set aan vaardigheden nodig hebt. Maar de realiteit is dat de beveiliging van software erg slecht is. Als je technici vraagt hoe ze die beveiliging zouden breken, kunnen de meesten wel uitvogelen hoe dat moet.” En dat blijkt: bij de programma’s van HackerOne werd er in 77 procent van de gevallen binnen 24 uur een lek gevonden. Tot nu toe heeft geen enkele website en geen enkel softwareprogramma het langer dan een week overleefd bij een beloningsprogramma van HackerOne.

Apple’s programma
Vanaf september kunnen hackers aan de slag met Apple’s iOS in de Apple Security Bounty. Helaas kan niet iedereen zich zomaar aanmelden. In eerste instantie worden namelijk alleen de onderzoekers waar Apple eerder mee heeft samengewerkt uitgenodigd om mee te doen.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 23 augustus 2016, 12:15
Categorie Achtergrond
Onderwerpen hack, hackers, ios

Reacties zijn gesloten voor dit artikel.