عام 2016، أصبح برنامج «هاك ذي بنتاجون» (Hack the Pentagon) أول برنامج «مكافأة لاكتشاف الثغرات الأمنية» (bug bounty) يتبع للحكومة الفيدرالية. بعد 13 دقيقة فقط من افتتاح مسابقة اكتشاف الثغرات الأمنية أمام الهاكرز، اكتشف أحدهم أول ثغرة في أحد البرامج. انتهى الأمر بالإبلاغ عن أكثر من 138 ثغرة أمنية، وتم دفع 75 ألف دولار للهاكرز، لذلك اعتُبر برنامج المكافأة ناجحاً.
انتشرت برامج مكافآت أخطاء البرامج المتعلقة بالثغرات الأمنية أكثر في السنوات التي تلت ذلك الحدث. ازداد عدد صائدي الثغرات الأمنية كثيراً، وتضاعفت قيمة المكافأة للقلة القادرة على اكتشاف نقاط الضعف الأمنية المعقدة والمهمة، والتي ترغب الشركات في دفع الملايين من أجل إصلاحها. ولكن على الرغم من إنفاق الكثير من المال على هذه البرنامج، تبقى قيمة المكافآت الفردية منخفضة، وغالباً ما يتقاضى صائد مكافآت الأخطاء المتوسط نحو 250 دولاراً لاكتشاف ثغرة أمنية.
كانت لدى كاتي موسوريس، الهاكر السابقة ورائدة برنامج مكافآت الأخطاء التابع لشركة مايكروسوفت، مخاوف ليس بشأن برنامج «هاك ذي بنتاجون» فقط، ولكن بشأن الطريقة التي يتغير بها مجال مكافأة الأخطاء. تقول موسوريس، والتي عملت أيضاً مستشارةً لبرنامج هاك ذا بنتاغون: «لقد اختاروا البدء ببرنامج مكافآت نقدية فوراً، وكان ذلك بخلاف نصيحتي. كان عليهم أن يبدؤوا بالتدريج».
بالنسبة لموسوريس، كانت برامج مكافآت الأخطاء بمثابة إضافة اختيارية لنظامٍ كامل لم يكن البنتاجون بحاجةٍ إليه. على الرغم من فائدة الكشف عن الأخطاء البرمجية، إلا أن موسوريس شعرت أن العمل الاستقصائي الفعلي المتمثل في العثور على الجذر التقني لمشكلة ما، وإصلاحها، واختبار هذا الإصلاح هو شيء يجب على المؤسسات التركيز عليه قبل دفع المال للموظفين المستقلين. لقد حذرت موسوريس كثيراً من خطورة برامج مكافآت الأخطاء منذ فترة طويلة، وما تدعوه ممارسات العمل الاستغلالية في الصناعة.
إذا سمعت عن اكتشاف أحد الهاكرز اليوم ثغرة في برنامج وحصل على مكافأة مقابل ذلك، فغالباً ما يكون ذلك في إطار برامج مكافآت اكتشاف الأخطاء الحديثة. إليك ما يجب معرفته عن برامج المكافأة، وما يقوله الخبراء حول مشاكلها.
تاريخ موجز عن برامج مكافآت الأخطاء
في منتصف التسعينيات، رأت شركة واحدة فقط أنه من الضروري تقديم مكافآت لاكتشاف الأخطاء، وهي شركة «نتسكيب»، مبتكرة متصفح نتسكيب الشهير وواسع الاستخدام في ذلك الحين. ظلت الجائزة التي تبلغ قيمتها 500 دولاراً هي المعيار حتى عام 2010، حين عرضت شركة جوجل 1337 دولاراً كأعلى جائزةٍ لاكتشاف الأخطاء. في لغة الهاكرز، يعني هذا الرقم «ليت»، اختصاراً لكلمة «النخبة» (elite)، وتستخدم للدلالة فيما بينهم على الهاكرز المحترفين.
أدى هذا العرض الجديد إلى زيادة المنافسة بين شركات البرمجيات. رفعت شركة موزيلا قيمة مكافأتها بسرعة إلى 3000 دولاراً، ثم ما لبثت جوجل أن رفعت مكافأتها إلى 31,337 دولاراً (ما زال هذا الرقم يشير إلى النخبة في لغة الهاكرز)، بينما استشارت مايكروسوفت موسوريس، والتي كانت موظفة فيها في ذلك الوقت، حول ما إذا كانت هناك حاجةٌ لطرح برنامج مكافأة اكتشاف الثغرات الأمنية لمتصفحها، والذي كان مكتوباً بلغة برمجية قديمة.
في ذلك الوقت، كان الناس يرسلون ما يزيد عن 250 ألف بريد إلكتروني سنوياً إلى عنوان (mailto:[email protected]) للإبلاغ عن الأخطاء دون مقابل، لذلك استغرق الأمر بعضاً من العمل لإقناع المسؤولين التنفيذيين بأن الدفع للهاكرز قد يكون مجدياً. في عام 2012، أطلقت موسوريس جائزة «مايكروسوفت بلوهات» للمساعدة في التخفيف من الاستغلال في هذا المجال، والتي منحت 260 ألف دولار مقابل اكتشاف الأخطاء في عام 2012.
اليوم، تستمر هذه الأرقام في الارتفاع. يبلغ الحد الأقصى للجائزة التي تمنحها شركة آبل مليون دولار. وتقول جوجل أنها دفعت 6.7 مليون دولار كمكافئاتٍ لاكتشاف الأخطاء عام 2020. كما دفعت شركة «بوليجون» (Polygon) لتقنيات سلاسل الكتل أو البلوك تشين مكافأةً قدرها 2 مليون دولار لاكتشاف ثغرةٍ أمنية خطيرة كانت تسمح للمهاجمين بمضاعفة كمية العملات المشفرة التي كانوا يسحبونها.
لكن هذه الأرقام المرتفعة تحجب الحقيقة، وهي أن غالبية المكافآت الفردية لاكتشاف الأخطاء تصل إلى نحو 200 دولاراً فقط، والقليل جداً يبلغ 2000 دولاراً، ومعظمها يحصل عليها شباب يعيشون في الخارج حيث تكون تكلفة المعيشة أقل بكثير، وذلك عن طريق شركات وساطة مثل «هاكر ون» (HackerOne)، حيث كانت موسوريس تعمل سابقاً كبيرة مسؤولي السياسات فيها، وشركة «بج كراود» (BugCrowd).
اقرأ أيضاً: إليك ما تحتاج معرفته قبل الاشتراك في البرامج التجريبية
صيد الثغرات الإلكترونية: جيش من العمال ذوي الأجور المنخفضة
يقول كيسي إليس، كبير موظفي التكنولوجيا في شركة بج كراود، وهي منصة أمان جماعية تجمع صائدي المكافآت مع الشركات: «كانت شركتنا أول من ابتكر فكرة إنشاء منصةٍ تجمع الهاكرز الأخلاقيين والشركات التي تحتاج إلى معرفة الثغرات الأمنية في برمجياتها. كان ذلك عام 2013، حيث كان الناس يعتقدون بعدم وجود هاكر يمكن أن يكون صالحاً وأخلاقياً. كما لم يكن الناس مهتمين بالأمن السيبراني كما يهتمون به في الوقت الحالي. لقد تحول الأمن السيبراني من مفهومٍ غامض إلى مجرد حديثٍ يمكن أن يتحدث به الناس على العشاء».
مع بداية عام 2022، بلغ عدد المسجلين على منصة بج كراود 300 ألف شخص. على الرغم من أن صائدي الجوائز على المنصة متنوعون جداً من نواحٍ عدة، إلا أن أغلب من يعمل بشكل مستقل هم من الذكور الشباب الذين تتراوح أعمارهم بين 18-25 عاماً، وينتمون إلى أماكن مختلفة من العالم، مثل الهند وأميركا الجنوبية والفلبين.
وقد تواصل العديد من الأطفال مع المنصة أيضاً. يتذكر إليس كيف أن أحد الأطفال في سن المراهقة وكان قد اكتشف ثغرةً في نظام الغداء المدرسي يمكن من خلالها الحصول على طعامٍ مجاني، قد وجد طريقه إلى منصة بج كراود ليستخدم مهاراته بشكلٍ أخلاقي. ويقول إليس: «لقد أصبح صيد الأخطاء مهنةً منتشرةً على نطاقٍ واسع».
وكتب رئيس قسم التكنولوجيا في شركة «هاك ون» والشريك المؤسس فيها، أليكس رايس، في رسالةٍ بالبريد الإلكتروني: «معظم مدفوعات الأخطاء التي صُنفت على أنها متوسطة الخطورة تصل إلى نحو 500 دولار لعملائنا، بزيادة 11% عن العام الماضي». ويتوقع رايس، مثل بقية العاملين في هذه الصناعة، استمرار ارتفاع أجور هذه الخدمات.
اقرأ أيضاً: يمكن تحريرها: طرق استرجاع الملفات المشفَّرة بفيروس الفدية
من الصعب كسب لقمة العيش كصائد ثغرات إلكترونية
لا يستطيع الباحث الأمني، مات تايت، التحدث عن معظم الأخطاء التي وجدها، لأنه كان يعمل لصالح الحكومة البريطانية وقتها. ولكن ما يمكنه التحدث عنه هو مدى صعوبة العثور على صائد مكافآت أخطاء بدوام كامل في الدول الغربية. يقول: «تبدو أرقام المدفوعات كبيرة جداً، ولكن عندما تتعمق في التفاصيل، فإنها في الواقع ليست بالضرورة كما تبدو. على سبيل المثال، من أجل الحصول على مكافأة اكتشاف الأخطاء من شركة آبل، يجب عليك اكتشاف العديد من الثغرات الأمنية التي تؤثر على عمل التطبيقات المختلفة في نظام آي أو إس. وعلاوة على ذلك، ليس من الواضح ما إذا كانت شركة آبل قد منحت بالفعل أياً من هذه الجوائز الضخمة جداً». ويضيف قائلاً: «لم أسمع أبداً عن أي شخص يعمل في مجال الأمن السيبراني ترك وظيفته ليصبح صائد مكافآت اكتشاف أخطاء بدوامٍ كامل».
كان هذا بالضبط الشيء الذي اهتمت به موسوريس. تقول في هذا الصدد: «تحتاج في هذه البيئة إلى جذب الموظفين والحفاظ عليهم للتقليل من الاستعانة بموظفين خارجيين للقيام بأعمال صغيرة لمرة واحدة وبأجورٍ أعلى».
قد تبدو الأجور التي تُدفع لمرة واحدة جيدة، لكن موسوريس تقول: «في مرحلة ما لن تتمكن الشركات من توفير أسعار مناسبة لعملائها بسبب عدم قدرتها على دفع أجور الأشخاص المحترفين». وقد حذرت موسوريس شركة أبل من ذلك حين بدأت في عرض مكافآتٍ تصل إلى مليون دولار، حيث تقول في هذا: «بصراحة، لم يكن هناك فائدةً من المكافأة الكبيرة. في الواقع، لقد شهد نظام آي أو إس أكبر عددٍ من الهجمات الأمنية في العام الماضي، حتى أكثر من نظام أندرويد».
تتفق موسوريس وإيليس على أن صائدي مكافآت الأخطاء يميلون إلى التركز في البلدان الأقل ثراءً، حيث قد تبلغ قيمة الدولار الأمريكي أكثر بكثير مما هي عليه في الواقع. تقول موسوريس، والتي تدعو إلى إلقاء نظرة نقدية على ممارسات عمل منصات مكافآت الأخطاء: «نحن جزء من منظومة أكبر بكثير، وما نقوم به في أحد أركان النظام له تأثير كبير على بقية مناحي النظام».