Bug bounties, hittelön för skadlig kod, har seglat upp som en viktig metod för att säkra kod och system. Tanken att betala ut belöningar till dem som hittar fel, buggar och sårbarheter i framförallt olika webbtjänster och webbapplikationer är på väg att bli riktigt stort. Framförallt i USA har de flesta stora it-företag, och många offentliga organisationer, inklusive försvaret, ett program för bug bounties eller buggbelöningar.

De som försöker att hitta buggarna kallas följaktligen för bug hunters eller buggjägare, men helst vill de helt enkelt kallas för hackare. För det är vad de är.

”Det billigaste sättet att hitta sårbarheter”

Buggbelöningar som fenomen har funnits åtminstone sedan 1983 då det amerikanska företaget Hunter & Ready utlyste ”A bug for a bug” till den som hittade fel i deras operativsystem VRTX för inbyggda system, och syftade på att den som hittade en bugg fick en folkabubbla som belöning. Drygt tio år senare började Netscape att ge buggbelöningar, och ytterligare runt tio år senare började Facebook, Google och Microsoft med samma sak. Men det dröjde tills 2012 innan någon kom på idén att försöka bygga en tredjepartsaffär kring buggbelöningar och produktifiera fenomenet.

– Det är det särklass billigaste sättet att hitta buggar i sina applikationer, säger Mårten Mickos när Computer Sweden träffar honom på ett kafé på Södermalm i Stockholm. Mickos är förmodligen mest känd som en av grundarna av MySQL och föddes och växte upp i Finland och talar med en sjungande finlandssvenska. Mårten Mickos är idag vd för Hackerone, den särklass största samlingsplatsen och tjänsten för buggbelöningar.

– Bug bounties har blivit ett samhälleligt fenomen, säger Mårten Mickos, det är oundvikligt. Det är samma sak som med open source när jag började på MySQL. Det var ingen som trodde på öppen kod, men så började det växa i sig själv och blev till slut något oundvikligt. Nu är det överallt, och det går inte att klara sig utan det.

– Vi är mjukvarans revisorer. Det är ungefär så det fungerar; vi hittar hål och så ska de lappas. Det är en extern syn på hur mjukvaran är gjord. Det är ofattbart hur kraftfull den här modellen är, och det är mycket billigare att köra ett bug bounty-program än allt annat du kan göra. Du kan köpa pen-test, du kan köpa scanners, och du kan ha din egen testning av mjukvaran – vilket du förstås ska göra ändå – men priset du betalar per sårbarhet du hittar är lägst hos oss. En genomsnittlig bounty ligger på 1000 dollar – det är ju ingenting! Det finns ingen chans att du skulle kunna anställa någon som hittar buggar för det styckpriset, säger Mårten Mickos.

Av hackare för hackare

Hackerone grundades 2012 av två Nederländska hackare, Jobert Abma och Michiel Prins, som flyttade till San Francisco och de fick god kontakt med den dåvarande chefen för produktsäkerhet på Facebook, Alex Rice. De tre startade Hackerone tillsammans med den fjärde grundaren och första vd:n Merijn Terheggen, som nästan på dagen för fyra år sedan ersattes av Mårten Mickos. Hackerone behövde någon som kunde driva den växande organisationen och professionalisera verksamheten. ”Jag är anställd chef – adult supervision, som vi kallar det” säger Mårten Mickos med ett leende.

Idag har Hackerone över en halv miljon hackare knutna till sig, men väntas öka till 750 000 nästa år, och kommer i år att betala ut 35 miljoner dollar i belöningar. En elit bland hackarna, cirka ett tusen personer, tjänar mycket pengar på att hitta buggar. Belöningarna ligger mellan 100 och 100 000 dollar.

Det är upp till kunderna, företagen och organisationerna, att sätta nivån på belöningarna och bedöma allvarlighetsgraden av de sårbarheter som hittas, vilket styr hur stor belöningen blir. Man tittar visserligen på tekniska bedömningar som CVSS, men till sist handlar det om vilka konsekvenser en sårbarhet kan leda till. Enligt Mårten Mickos vore det fel taktik av företagen att snåla med belöningarna eftersom det ger status och drar till sig de bästa hackarna om man är generös med belöningar.

– Även en liten cross-site-scripting-bugg kan leda till en databas med kreditkortsnummer, även om sårbarheten i sig inte är att betrakta som allvarlig, utan det är ”business impact” som ska avgöra belöningen, säger Mårten Mickos. Det vill säga, om en kriminell hade utnyttjat sårbarheten, hur allvarligt hade det varit? Och så sätter man belöningen efter det.

Den tekniskt sett överlägset vanligaste typen av sårbarhet som hackarna hittar är cross-site-scripting. Mickos uppskattar att de står för 40 procent av alla sårbarheter som hittas. Men cross-site-scripting har också oftast en lägre allvarlighetsgrad. De sårbarheter hackarna får riktigt bra betalt för är RCE (Remote Code Execution) och SQL Injection, även om databaserna ”lärt sig” och SQL Injections är på väg ut och blir allt svårare att hitta.

Det är generellt en trend att varje typ av sårbarhet har en viss livstid. Det kommer en ny typ av sårbarhet som industrin till slut lär sig att hantera och den försvinner praktiskt taget helt, men sedan kommer det något nytt, och detta fortsätter i cykler på 10–20 år. Att cross-site-scripting toppar nu beror på Javascript som inte riktigt mognat än.

Hackare är arga unga män – det är därför de är bra

Enligt Mickos är det också ovanligt med tvister mellan företag och hackare om just belöningar, även om det förstås händer. ”Visst finns det klagomål; det är alltid nån som klagar, men statistiskt sett så kanske det rör sig om en tiondels procent som klagar. Man ska heller inte glömma att hackare är lite speciella. Många har aldrig haft att göra med ett företag och vet inte hur man diskuterar och kommer fram till en lösning. Många av dem är arga unga män – men det är också därför de är så bra”!

En hypotes som ibland framförs är att buggbelöningar kan, för första gången i historien, vara den avgörande faktor som får ”svarta” hackare att bli ”vita” eftersom belöningarna utgör en attraktionskraft som skulle få hackare att byta sida. Mårten Mickos håller med om att det kan bli så, men säger också att det är sällan man ser den typen av sidbyten.

– Det är absolut riktigt, men det finns ett aber här, och det är att antalet hackare som går mellan svart och vitt är försvinnande litet. Jag kan ju inte exakt veta, men vi har ju 500 000 hackare som är inskrivna hos oss för att de vill hacka, och jag skulle gissa att 495 000 av dem skulle aldrig göra något kriminellt. Visst finns det dem som ligger på gränsen, men de är försvinnande få.

Det finns dock tydliga exempel på övergångar från den svarta sidan till den vita. En av dem är Thomas ”Tommy” DeVoss – en av de hittills sex hackare, tillsammans med svenske Frans Rosén, som tjänat över en miljon dollar på Hackerone.

Tommy DeVoss
Thomas "Tommy" DeVoss är inte bara en av de sex hittills som tjänat mer än en miljon dollar i prispengar, han är ett lysande exempel på en hackare som bytt sida från svart hacking till vit. DeVoss har suttit i fängelse för fyra fall av dataintrång, och blev lovad livstid för en femte dom.

– Tommy frågade mig en gång ’vet du varför jag hackar här på Hackerone? Jag har blivit dömd fyra gånger för dataintrång och suttit i fängelse för det, och sist sa domaren att om han ser mig här en femte gång kommer han döma mig till livstid’. Då bestämde sig Tommy för att bli vit.

– Och Tommy är världens snällaste person, men han har tatueringar över hela kroppen och kör sportbilar, men han är hur gullig som helst och har en liten dotter som betyder allt för honom. Men han har det där rebelliska i sig som är så typiskt för hackers.

Mårten Mickos säger att Hackerone medvetet utvecklat en positiv kultur och att det är det budskapet de vill föra fram. Hacking är något positivt som hjälper företag, organisationer och hela samhället. Takten i tillökningen är cirka 250 000 hackare per år och Mickos tror att Hackerone kommer ha en miljon hackar om en inte alltför avlägsen framtid.

– Tänk dig att vi är en miljon positiva hackare. Det är mycket mer än det finns kriminella hackare, bara hos oss. Den kriminella sidan består kanske, högt räknat, av 100 000 hackare i hela världen, om man räknar in alla ’nation states’, maffian, yrkeskriminella, haktivister, enskilda kriminella och så vidare.

Hur ska företag tänka om buggbelöningar?

Hur ska företag som tycker att buggbelöningar är en spännande idé nalkas fenomenet på bästa sätt? Enligt Mårten Mickos ser de två tydliga typer av företag som kommer till Hackerone.

– Vi delar in kundmassan i dem som tänker på datasäkerhet från ett programvaru-utvecklingsperspektiv – de har ett ”engineering mindset” – så de talar om CI/CD och SDLC och de kommer till säkerhet från den vinkeln. Då är det jättelätt, de förstår genast och kan köra igång snabbt.

– Så finns den andra gruppen som kanske är 90 procent av alla företag som ser datasäkerheten som en compliance-fråga, och med dem är det en mycket längre resa att inse värdet av det vi gör. För de tänker hela tiden på hur de ska ”cover your ass”, och de tänker inte så hemskt mycket på den verkliga säkerheten i mjukvaran.

Den andra ”blockeringen” handlar om farhågor att bli rättsligt ansvariga för de sårbarheter som hackarna hittar, men det handlar bara om sårbarheter och inte intrång, och sårbarheter är inte olagliga. Den tredje frågan eller oron brukar handla om att företagen kanske inte har kapaciteten att täppa till de hål som hackarna hittar.

– Då säger jag att det är möjligt, men så skiter det sig nog ändå. Om de inte har möjlighet att fixa sina buggar och sårbarheter och uppgradera mjukvaran, så ska de nog inte vara i den här affärsverksamheten, skrattar Mårten Mickos, men tillägger att det är förstås allvarliga frågor.

Mårten Mickos kan inte se något exempel där ett företag inte kan driva ett buggbelöningsprogram, och det finns inga krav på att det måste vara fråga om öppen källkod. Just vad gäller öppen källkod så har de projekten sällan råd att betala ut belöningar, men Hackerone har ett program där de samlar in donationer från olika företag, institutioner och stiftelser, och även EU-kommissionen driver ett program för buggbelöningar via Hackerone. I de fallen är det alltså Hackerone själva som betalar ut belöningarna.

Alla hackare som skriver in sig hos Hackerone måste skriva på avtal där de lovar att följa gällande regler. Och i andra änden finns bolagen som skriver under på att aldrig stämma en hackare som följer dessa regler. Normalt är annars misstron mellan dessa parter ömsesidig – hackare är rädda för att bli stämda, och företagen är rädda för att hackarna publicerar sina fynd. Hackare som bryter mot reglerna kastas ut och företag som inte följer reglerna blir med Mickos ord ”korrigerade”.

En elit av hackarna tjänar stora pengar

För hackarnas del är tillvaron mer ekonomiskt osäker tillvaro. De flesta hackare som skrivit in sig hackar som fritidsintresse och hobby. Enligt Mickos rör det sig om några tusen som tjänar vad som skulle motsvara en hygglig månadslön, och de som tjänar de riktigt stora pengarna är mycket få, några hundra på sin höjd. Mårten Mickos menar att verksamheten fortfarande är ganska liten, Hackerone har cirka 1500 kunder, och han tror att det kommer att se annorlunda ut i framtiden.

Det finns potentiellt många fler företag än det finns kompetens att hacka dem, och det talar för att fler hackare kommer att få mer betalt i framtiden. Hackerone utvecklar samtidigt nya produkter som ska ge hackare en mer stabil och förutsägbar inkomst, till exempel att kontrollera checklistor som OWASP Top 10. Då tilldelas de enklare uppdrag som de vet att de får betalt för.

Även bland hackarna ser Mårten Mickos två typer, som tillämpar var sin taktik. De riktigt skickliga hittar en allvarlig bugg, håvar in 10 000 dollar eller mer, och sen ser man inte röken av dem på ett bra tag innan de hittar en annan allvarlig bugg som ger en stor summa. Och så håller de på, de kommer och går. Den andra gruppen, speciellt de yngre, skjuter vilt på att de ser. De hittar en enkel bugg värd 100 dollar, och sen hittar de samma bugg hos tio företag vilket totalt ger samma summa, men tar också mycket längre tid.

– Den viktigaste egenskapen hos en duktig hackare är nyfikenhet, det är nummer ett. Man kan se det genom att vissa når toppen när de är jätteunga. Santiago Lopez, som var den första som nådde en miljon dollar i bounties, han var 19 då. Jack Cable, som var bäst i ”Hack the Airforce” när vi körde den kampanjen, han var 17. Om Jack Cable var 17 när han slog ut alla andra hackare när han vann, vad kan han ha utvecklat för kunskaper under sitt korta liv? Han har ingen universitetsexamen, ingen studentexamen, han har inte gått kurser, vad kan han ha? Det enda han kan ha är nyfikenhet, och intelligens förstås.

Frans Rosén
Svenske fixstjärnan Frans Rosén är en av de sex hackare på Hackerone som tjänat mer än en miljon dollar på att hjälpa företag att hitta sårbarheter.

– Men det finns förstås undantag, som Frans Rosén som är över 30 och Marc Litchfield är nästan 50, så visst finns det gamla rävar också. Hälften av våra hackare är under 24, det ser vi också när vi köra våra live-hacking-events, och de flesta har ingen formell utbildning, även om Jack Cable nu studerar vid Stanford.

Viktigt att ha en god relation med hackarna

Något som framkommer tydligt när vi samtalar med Mårten Mickos är att Hackerone verkar mycket måna om att odla goda relationer med sina hackare. Inte bara stjärnorna, även om de syns mest, men med alla hackare i deras ”stall”.

– Det var ett beslut vi fattade när jag började som vd då vi hade en jättefin plattform, men vi höll ett avstånd till hackarna. Visst fick de hacka men vi behöver inte känna till dem. Grundarna hade tänkt sig en plattform med anonymitet, men jag tyckte att det är viktigt att vi känner dem personligen. Och då började vi göra evenemang där vi bjöd in dem, som våra live-hacking-event där vi hackar en kund, en dag. Vi flyger in 50–100 av våra bästa hackare och hackar i 24 timmar. Kunderna älskar detta, och det skapar relationer mellan oss och hackarna och mellan hackarna själva. De inser att det är roligare att hacka ihop med andra.

– Men det gäller också att hålla en gräns. Vissa hackare försöker be oss om fördelar eller förhandsinformation, men där säger vi nej. Vi måste också våga säga nej även till de bästa hackarna. Hackarna försöker också hacka vår modell och hitta alla möjliga sätt att tjäna pengar snabbare. Och det måste vi stå emot. Rent tekniskt blir även vi hackade, och vi har ett eget belöningsprogram precis som våra kunder. Vi hade till exempel en ganska hemsk bugg i slutet på förr året som sen hittades och vi fixade den omedelbart. Men sårbarheten hade legat där i två månader, och inget allvarligt hade hänt, men visst fick vi skämmas lite.

Har inte ”hackare” en negativ klang, skrämmer det inte bort vissa företag?

– Nej, inte alls! Vi har gjort ett val att motarbeta den negativa klangen. Grundarna sa att vi ska ta mig tusan heta Hackerone, inte Customerone eller Researcherone eller Niceguyone, utan vi heter Hackerone för att vi är hackare, och även om det finns de som tycker att det är negativt så står vi stolta och kallar oss hackare.

– Detta med hackare som något negativt har också släppt lite, och för det tycker jag att man kan tacka oss. Vi tänker inte fjanta med det här. Hackare är ett bra ord och om världen inte vet det så får vi utbilda alla och ändra på missuppfattningen. Sen hjälper det att det finns ord som ”hackathon” och att Facebook huvudkontor ligger på adressen Hacker Way, och ”life hacks” och allt möjligt där hacking är positivt. Det är också en orsak till varför vi fått så mycket respekt från hackarna. Vi står för hacking och vi hukar oss inte.

– Det behöver inte vara så svårt. Om det finns kriminella hackare så kallar vi dem kriminella. Det är deras namn: bovar, tjuvar, brottslingar. Men inte hackare. Det är samma i alla branscher. Det finns ju bankirer som kriminella och då kallar vi dem kriminella, inte bankirer.

Företagen kan börja smått och öka senare

För företagen går det att lägga upp sina program som de vill. Uber är ett exempel på ett företag som kör ”fullt blås” och har ett helt öppet program där alla hackare kan delta och de betalar för i stort sett vilka sårbarheter som helst. Andra, speciellt de som är nybörjare, kan begränsa sina program dels i fråga om vilka buggar som belönas, dels vilka delsystem det gäller och även i fråga om vilka hackare som kan delta. Det är upp till företagen att definiera vad som är ”in scope” och ”out of scope”.

– Många företag startar med en liten del. Bara denna del, av denna sajt, är 'in scope', och bara dessa hackare är ens inbjudna att få jobba på det. Det är inte öppet, utan enbart på invitation. Och så betalar man lite lägre bounties i början och så kan man köra det bara en kort tid om man vill. Så får man det inpaketerat och så smått att det blir hanterbart. Så kör du ditt program i några veckor, lär dig och ser hur det funkar, och så får du blodad tand och vill göra mer, med större scope, fler hackare, större bounties och sen börjar du köra på kontinuerlig basis.

Det är viktigt att någon, eller en grupp, inom företaget ”äger” buggjägarprogrammet, och att det avsätts en budget för detta. Den naturliga ägaren är CISO:n eller den grupp som ansvarar för säkerheten, men det kan också vara den som ansvarar för produktsäkerheten eller en säkerhetsgrupp som tar ansvar för den generella säkerheten på företaget.

– Vi säljer alltid till säkerhetsteamet. De är alltid ett litet team med mycket pengar att spendera, medan produktutvecklings-teamet är ett stort team med litet pengar att spendera. I ett företag kan du lätt ha 2000 utvecklare och tio personer i säkerhetsteamet, men de gör av med ungefär lika mycket pengar, för säkerhet är så dyrt så säkerhetsgruppen är stora inköpare av produkter och tjänster. Men det är viktigt att komma ihåg att förankra inköp av buggbelöningar med utvecklingsteamet, som är de som ska fixa buggarna som hittas, och även förankra med riskfunktionen på företaget som CFO, legal eller Chief Risk Officer som ska godkänna att man öppnar ett program och bjuder in hackare att bryta sig in, säger Mårten Mickos.

Norden ligger långt fram – med duktiga hackare

– I Norden är vi bra på det här, vi är bra på att ta ansvar. Vi slänger inte bara ur oss kod och hoppas på det bästa som i många andra länder. Så basnivån är hög, och det finns tillräckligt många som sett värdet av bug bounties. Spotify är kanske de mest kända. Vi tycker att det är en bra marknad och uppköparna vet vad de köper och det finns en medvetenhet här som är större än på andra ställen.

– Och sen är det jätteviktigt att det finns hackare. Frans Rosén och Mattias Karlsson med flera är stora i Norden. Kunderna vill gärna prata med hackare och få reda på hur de tänker och hur de jobbar. Så ofta har vi med hackare i olika försäljningssituationer. Då blir kunderna lugnade när de inser att hackarna är logiska, kloka, snälla och väluppfostrade personer och inget farligt. De inser att de har samma intresse, att koden ska bli bättre.

Läs också:
Hackare rapporterar säkerhetsbrister – blir miljonärer
Pengar att tjäna: EU utlyser 8,6 miljoner i buggbelöningar