הפוסט הזה הוא חלק מהסדרה המתמשכת של Mashable הנשים מתקן STEM, אשר מדגישה נשים פורצות דרך במדע, טכנולוגיה, הנדסה ומתמטיקה, כמו גם יוזמות וארגונים הפועלים לסגירת הפערים המגדריים בתעשיות.

זה לקח חודש של עבודה, אבל ג'סי קינזר הגיע לבסוף לקופה. חוקרת האבטחה הצליחה להשיג הישג לא קטן - גניבת קוד המקור של יותר מ-10,000 אתרים שונים, כולל חברת ייעוץ גדולה של ארבע - וההשלכות של מציאתה היו מדהימות.

אבל בניגוד לתפיסות של אנשים רבים לגבי האקרים מפוקפקים, הצעד הבא שלה לא היה מסחר בנתונים עלרשת אפלה, או יצירת מעלליות כדי למכור להצעה הגבוהה ביותר. במקום זאת, היא עמדה בפני משימה מרתיעה מסוג אחר: פיתוח תהליך חשיפה אחראי כדי להודיע ​​לאלפי החברות הפגיעות שזה עתה פרסמה. זה נכון, לאחר גישה לכל הקוד הזה, התפקיד הבא שלה היה ליידע את הקורבנות בדיוק איך היא עשתה את זה - ואיך הם יכולים למנוע ממישהו עם סט אחר של הנחיות מוסריות לעשות את אותו הדבר.

הכל בעבודה של יום עבור החוקרים, שמונעים על ידי סקרנות, תחושת מטרה משותפת ואפשרות אמיתית לתגמול כספי, מבלים את זמנם בציד באגים באינטרנט. ברוכים הבאים לעולם של פרסי באגים, שבו ההאקרים הם החבר'ה הטובים - או, באותה תכופות, הבנות הטובות.

אם כי, אולי לא בתדירות שבה אפשר לקוות. אדו"ח 2017מהמרכז לבטיחות וחינוך סייבר, עמותה "המחויבת להפוך את עולם הסייבר למקום בטוח יותר לכולם", חקרה את הפער המגדרי בתחום אבטחת הסייבר ואבטחת המידע והממצאים לא היו יפים.

"נשים נמצאות בתת-ייצוג עולמי במקצוע אבטחת הסייבר ב-11 אחוזים, נמוך בהרבה מהייצוג של נשים בכוח העבודה העולמי הכללי", נכתב בממצאי המפתח של המחקר, "בשנת 2016 נשים בתחום אבטחת הסייבר הרוויחו פחות מגברים בכל רמה".

כדי להחמיר את המצב, אסקר 2017מאת חברת אבטחת נקודות הקצה Endgame מצאה כי "85 אחוז מהמשיבים שאינם גברים חוו רמה מסוימת של אפליה בכנסים מקצועיים, ולמעלה ממחציתם חוו הטרדה באותם אירועים".

ברור שהרבה צריך להשתנות.

דיברנו עם שלוש נשים שמוחצות לחלוטין את תחום הבאונטי באגים, שהסבירו איך הן התחילו, למה הן עושות את מה שהן עושות וכמה מהתגליות הבלתי נשכחות שלהן. הם גם שיתפו את מחשבותיהם כיצד לעודד נשים נוספות להצטרף אליהן במסע שלהן להפוך את האינטרנט למקום בטוח יותר.

אבל קודם, קצת רקע.

באג באונטיס

כל עוד יש תוכנה שפורסמה בפומבי, היו חובבים שחיטו בה. אנשים אלה, שלעתים קרובות רואים אותם בחשדנות על ידי מנהלי תאגידים או פקידי ממשל, מגלים לפעמים באגים - חורים לא מכוונים, או תקלות, המובנות במערכת שמאפשרות לתמרן אותה בדרכים שהמעצבים שלה לא התכוונו.

זה, כך הבינו קהילת האבטחה, יכול להיות דבר טוב מאוד.

נראה כי נטסקייפ השתמש לראשונה במונח באגים ב-1995הודעה לעיתונותלגבי תוכנת הבטא Navigator 2.0 שלה. הרעיון עצמו נוסה בעבר, ובעיקר כלל באג אמיתי של פולקסווגן, אבל התוכנית של נטסקייפ הייתה אחד הניסיונות הראשונים של חברת תוכנה גדולה לקודד את הפרקטיקה ולהגדיר כללים ברורים לכל מי שמסתובב במוצרי החברה שלו או שלה זמן פנוי.

ייתכן שהציוץ נמחק

נטסקייפ התייחסה לתוכנית שלה כתחרות "באונטי באגים" ותגמולים מובנים - מפרסים כספיים ועד סחורה - בהתבסס על סוג וחומרת הבאגים שדווחו.

התוכנית הזו, ומאוחר יותר תוכניות פרס באגים כמוה, הרגה שתי ציפורים במכה אחת. ראשית, באגים שדווחו יאפשרו לחברה להפוך את התוכנה שלה לאבטחה יותר. שנית, והנה מחליף המשחק האמיתי, הוא יצר אלטרנטיבה חוקית להאקרים שמקווים להפיק תועלת כלכלית מהעבודה הקשה שלהם.

עם הטמעת תוכניות הבאונטי באגים, שאומצו על ידי אנשים כמוגוגל,מיקרוסופט,פייסבוק, ורועה על ידי חברות כמוHackerOneועומס חרקים, פריצה יכולה להפוך אותך לעשיר (או, לכל הפחות, לשלם את החשבונות שלך) ללא החיסרון של צורך להסתכל מעבר לכתף ולמצוא משטרה בתהליך.

קייטי מוסוריס

"הייתי ילד ממש מוזר ובודד עם מחשב", סיפרקייטי מוסוריסבטלפון אחר צהריים שטוף שמש אחד באוקטובר. "אני חושב שזה סיפור המקור של רבים מאיתנו, במיוחד בימי המחשוב שלפני האינטרנט."

Moussouris, חוקר אבטחה בעל שם בינלאומי ומייסד תוכנית הבאג באונטי במיקרוסופט, תמיד התעניין במחשבים. כשגדלה באזור בוסטון, היא שמה את ידיה לראשונה על אחת בשמונה, ולמדה במהירות כיצד לתכנת את Basic ב-Commodore 64. תוך זמן קצר היא חייגה לאותן מערכות לוח מודעות (BBS) שאותן פוקדים חברים מהחברים הידועים לשמצהצוות הפריצה של L0pht.

היא נשאה את העניין הזה אל חייה המקצועיים, ועבודתה המוקדמת כללה עבודה בניהול מערכות במכון ווייטהד למחקר ביו-רפואי של מרכז הגנום של MIT, ולאחר מכן תפקיד כמנהל מערכת של המחלקה לאווירונאוטיקה ואסטרונאוטיקה של MIT.

"MIT, עד לא מזמן, הייתה בכוונה רשת מאוד פתוחה", אמרה בטלפון. "היו לך סטודנטים, סטודנטים ופרופסורים, כולם העלו את הקופסאות הלא מתוקנות והחדשות המותקנות שלהם באינטרנט הגולמי עם כתובת ה-IP. תפקידי כמנהל מערכות היה לוודא שהם לא ייפרצו לעתים קרובות מדי, ואם הם נפרצו שאוכל להיכנס ולנקות ולשחזר את השירותים שלהם".

הצעד המקצועי הבא של Moussouris כלל מעבר לסן פרנסיסקו כדי לעבוד כמפתח לינוקס עם התמקדות באבטחה.

פסל הדוט-קום של תחילת שנות ה-2000 שינה דברים עבור רבים באזור המפרץ, כולל Mousouris, שהשתמשה במהפך כתירוץ להפוך לבוחן חדירה עצמאי - "האקר להשכרה", כפי שהסבירה.

דלג קדימה כמה שנים, ומוסוריס הועסקה במיקרוסופט בתפקידה הראשון ללא פריצה מזה כעשור. היא עבדה כאסטרטגית, אבל מצאה שהחזון של מיקרוסופט לעבודתה - "חלקו מגייס טכני, חלק משפיע על קהילת ההאקרים" - "קצת דק". אז היא עשתה מה שכל האקר היה עושה: היא מצאה איך לגרום למערכת הארגונית הגדולה יותר לעבוד עבורה.

Moussouris השיקה את Microsoft Security Vulnerability Research - תוכנית שכללה עובדי מיקרוסופט שחיפשו נקודות תורפה במוצרי צד שלישי - נותנת לה את ההזדמנות לעזור לתאם את הגילוי והדיווח של באגים שהשפיעו על מערכת האבטחה הגדולה יותר.

בתחילת 2010, הוצע לה תפקיד ברמת דירקטור בחברה בסן פרנסיסקו והיא הייתה מוכנה לעזוב את מיקרוסופט כאשר המעסיק שלה הציע לה הצעה שהיא לא יכלה לסרב לה. ספציפית, ההזדמנות להתחיל תוכנית פרס באגים בחברה, בסיועה.

שלוש שנים לאחר מכן, לאחר עבודה רבה, הושקה תוכנית Microsoft Bug Bounty. Moussouris השיגה את התמיכה המלאה של צוות Internet Explorer, צוות Windows, וצוות Office 365 התעקש לעלות על הסיפון.

והפרויקט זכה להצלחה. היא עדיין זוכרת את הפרס הראשון של 100,000 דולר שמיקרוסופט שילמה. הנמען היה חברה ג'יימס פורשו, כעת עם Google Project Zero. מוסורי היה במקרה באנגליה באותה תקופה - פורשו התגורר בלונדון - ולכן היא לקחה אותו לשתות בירות בניסיון לשכנע אותו להשתתף בתוכנית.

זה עבד.

"הוא מצא ארבע בריחות שונות בארגז חול ב-30 הימים של השפע של IE", נזכר מוסורי עם יותר ממגע של הפתעה נעימה. "זה היה מדהים עבורנו."

אז, כשידעה דבר טוב כשראתה את זה, היא חזרה לפורשו וביקשה ממנו לנסות שוב. הוא עשה זאת, ובתום "מכופף מחקר" בן שלושה שבועות, הוא גילה ניצול אמין ומסר מסמך טכני מלא שהיה שווה, בעיני מיקרוסופט, תשלום של 100,000 דולר.

"הרגע האהוב עלי היה להתקשר לחבר שלי ג'יימס בטלפון, ואני עמדתי מחוץ לקפיטריה של מיקרוסופט, ואמרתי, 'ג'יימס, עשית היסטוריה'".

אבל מוסוריס לא סיים שם. מאוחר יותר היא המשיכה וסייעה ביצירת תוכנית הבאונטי הראשונה של משרד ההגנה האמריקאי, הידועה בשם Hack the Pentagon.

ובכל זאת, למרות עבודתה בהשקת תוכניות רווחים בסיסיות של באגים, מוסוריס הציעה מילת זהירות. היא הסבירה שאם קהילת האבטחה לא תיזהר, תוכניות הבאונטיות יהפכו למעין איתות סגולה שלא מטפל בבעיות אבטחה אמיתיות.

"מה שאני רואה בשנתיים של הפופולריות של הבאונטי באג הוא סטייה עצומה מהמטרה המקורית של מיקוד עיניים באזורים שאתה רוצה להסתכל עליהם, ל'שפע באגים הוא תחליף ל[מבחן חדירה]' - כלומר שגוי לחלוטין", הסבירה. "למרבה הצער, זה יוצר מערכת אקולוגית מזיקה מאוד הן לצידי באגים והן לחברות שרוצות להתחיל בפרס באגים."

וזו לא הביקורת היחידה שלה על מרחב הבאונטי באג. מוסוריס, שהקים ומנהל כיום את חברת האבטחהLuta Security, רואה בפערי שכר בכל התעשייה משהו שיש לתקן אם יותר נשים יצליחו למצוא הצלחה ארוכת טווח בתחום.

"זו תוצאה של הערכה של עבודת נשים פחות מגברים, וזו בעיה אנדמית", ציינה. "אז, אני מסתכל על זה כסוגיה חברתית יותר. זה לא קשור לעורר יותר נשים להתעניין בטכנולוגיה, אנחנו כבר מתעניינים, אנחנו נולדנו מוכנות".

Moussouris מיהר לזהות את אחת הבעיות המוחשיות שמגיעות עם קיומה של קהילת אבטחה הומוגנית. "דגמי האיום שלנו כנשים שונים מגברים", היא ציינה. "אנחנו צריכים להשתתף."

ובכל זאת, מוסוריס חושב שהגאות משתנה - אם כי לאט.

"אני מחזיק מעמד בשביל ההאקר שלידמויות נסתרותדמות לגו של עצמי בעוד 50 שנה", היא התבדחה לקראת סוף השיחה שלנו. "אני אהיה בת 93, בשלב הזה, ואני חושבת שזה בערך נכון - זה כנראה הזמן שבו נראה את ההכרה הרחבה יותר של תרומות הנשים למחשוב".

ג'סי קינזר

ג'סי קינזרהתעניינה במחקר אבטחה, ולא התכוונה לתת לעובדה שלאוניברסיטת אינדיאנה בלומינגטון - שם היא למדה לתואר ראשון - לא הייתה באותה עת תוכנית ייעודית למנוע ממנה להמשיך בה.

אז, עם קצת הדרכה של פרופסור לאינפורמטיקהז'אן קמפ, היא התחילה לעבוד בעצמה.

"[אני] התחלתי במחקר על תוכנות זדוניות וזיהוי פלילי דיגיטלי", היא הסבירה בטלפון, "והתחלתי לכתוב את מאמרי המחקר האקראיים האלה שבעצם הסתיימו להיקלט על ידי [ממשלת ארה"ב]."

בעיקרו של דבר, כמו כל כך הרבה האקרים לפניה, היא עשתה את דרכה לקהילה.

היא סיימה את לימודיה ב-2010, ולאחר הקולג', עבדה עם קהילת המודיעין האמריקאית במשך חמש שנים - בסופו של דבר קיבלה את התואר השני שלה במדעי המחשב באוניברסיטת קפיטול.

מהר קדימה לפני שלוש או ארבע שנים, וקינסר מצאה את עצמה מעוניינת להרחיב את עבודתה מעבר להתפתחות מאובטחת ולמה שנקרא "צוות אדום". אתה יודע, החלק הממשי של פריצה לדברים של פריצה.

שם נכנסו פרסי הבאגים.

"ממש רציתי לקבל יותר יד על סט מיומנויות טכניות", היא סיפרה. "התחלתי לעשות פרסי באגים כי יכולתי לעשות את זה בצד כדי באמת לשכלל את הכישורים שלי, ואז הייתה לי הזדמנות לפרוץ באופן חוקי נגד כל החברות האקראיות האלה של צד שלישי שעודדו את זה. אז זה היה ממש מגניב".

אחד הדברים המגניבים האלה? קוד המקור הנגנב שהוזכר לעיל ממעל 10,000 אתרי אינטרנט.

"הייתה חברת ייעוץ גדולה של ארבע שהצלחתי למשוך את כל סיסמאות מסד הנתונים שלהם ולגנוב את כל קוד המקור שלהם לאתר שלהם", היא נזכרה. "היו 10,000 אתרים שונים שעשיתי את זה עבורם, נכון, אז הייתי צריך לבוא עם תהליך חשיפה אחראי כדי להודיע ​​לכולם 'היי, יש לך את התצורה השגויה הזו'".

"אז זה היה חבית של כיף," היא צחקה.

קיסר הציגהממצאים שלהבְּ-DEF CON25 בשנת 2017 כחלק מהמסלול הלא מוקלט. המסלול הזה שמור בדרך כלל לממצאים רגישים, שמהם זה נחשב בבירור. במיוחד בהתחשב במספר האתרים שהושפעו.

"עבודת חשיפת הפגיעות ארכה יותר מאשר מציאת וניצול הפגיעות בפועל בגלל מספר האתרים והאנשים שהושפעו להודיע", היא הסבירה. "קוד המקור נחשף בשורש האתר עבור יותר מ-10,000 אתרים, חלקם בבעלות ממשלת ארה"ב.

המחקר הזה, למרות שהוא בעל ערך להפליא, לא בדיוק עשה אותה עשירה. וזה אפילו עצבן כמה אנשים. לפחות חלק מהחברות הפגיעות לא רצו להאמין שמישהו הצליח למשוך את מה שהיא עשתה. אבל, כמובן, קינסר היה.

חלק מהחברות התעלמו ישר מניסיונותיה להודיע ​​להן על ממצאיה, בעוד שחלקן הגיבו בצורה סבירה יותר.

"חלק מהאנשים שנפגעו שלחו לי כסף דרך Paypal או תרמית אקראית כאות הוקרה, אבל רובם לא", היא נזכרה. "זה היה בעיקר כמה מאות דולרים פה ושם. חברה אחת שלחה לי את המטריה הזו בעלת הצורה המוזרה שכולם מסתכלים עליי מוזר כשאני משתמשת כאן במערב התיכון".

אבל זה היה אז.

קינסר עובדת כיום ב-LifeOmic, חברת תוכנה בתחום הבריאות, ומפעילה את המומחיות שלה כמנהלת אבטחת המוצר של החברה. היא בדיוק מסוג האנשים שאתה רוצה להגן על נתונים רפואיים רגישים מפני תוקפים - אחרי הכל, בתור חוקרת פרס באגים, היא (מבחינה חוקית) תוקפת בעצמה.

בנוסף, היא זוכה להפעיל את תוכנית הבאונטי של LifeOmic. במילים אחרות, היא משני צדי המטבע - משלמת את החשבונות שלה במשרה מלאה באבטחה ומרוויחה "כסף כיף" שלה על ידי מציאת חורים בתוכנות של אחרים.

"למעשה שילמתי מקדמה על טסלה עם כספי הבאג שלי", היא ציינה.

קינסר הדגיש שלא צריך רקע אקדמי במחקר תוכנות זדוניות כדי להפוך לציד ראשים באגים. התחום, היא התעקשה, פתוח לכל הבאים.

"אני חושב שהדבר שנשים צריכות לדעת זה שזה בסדר אם אתה לא יודע כלום על התעשייה הזו, אתה תמיד יכול להיכנס לזה". היא הסבירה שקריירה באבטחה "באמת [ניתנת להשגה] אם אתה רק מבלה זמן ומתחיל לעשות את זה, ותוכניות הבאונטיות האלה הן דרך מצוינת לעשות זאת."

קינסר הוסיף שפרסי באגים, באופן ספציפי, מציעים את הגמישות הדרושה כדי להיכנס לזירת הפריצה.

לא שזה בלי אתגרים. "רבים מאיתנו הורים", היא אמרה, "[ו]ברגע שהבן שלי במיטה, אני עובדת על פרסים לפעמים עד 2:00 לפנות בוקר".

קינסר מקווה לראות הבנה רחבה יותר של הקשיים שמציגים היותו הורה ומקצוען אבטחה בו זמנית. ספציפית, טיול בעולם כדי להשתתף בוועידות אבטחה הופך להרבה יותר קשה כאשר אתה צריך למצוא טיפול בילדים.

"זה איזון ייחודי", היא ציינה, "ושמתי לב להרבה יותר נשים בתעשיית האבטחה שמתחילות לדבר על זה, ואיך הן מאזנות את זה וחלק מהאתגרים [שבאים] עם זה".

אליסה הררה

כמו רבים שבחרו בחיים בעבודת אבטחה,אליסה הררהגרם לה להתחיל לפרוץ מוקדם - 16, ליתר דיוק. היא התמכרה במהירות.

הגילוי שלה לגבי תוכניות פרס באג, והאפשרות האמיתית להרוויח מזומנים לעשות את מה שהיא אהבה, שינו את מהלך חייה.

"זו הייתה נקודת מפנה קטנה עבורי כשגיליתי על תוכניות הבאונטיות של באגים ושהיא מוצא לגיטימי אפשרי למשהו שידעתי לעשות", הסבירה במייל. "זו הייתה כל כך החלטה עבורי שלמעשה לא הלכתי לקולג' כי רציתי להקדיש זמן ללמידה על אבטחת מידע והכל על הצד המשפטי של עבודת אבטחה עבור חברות".

כעת, ארבע שנים מאוחר יותר, היא מצליחה מספיק כדי למצוא ודיווח על באגים באמצעות פלטפורמות כמו HackerOne הוא מקור ההכנסה היחיד שלה.

"זה היה די מסע," היא ציינה. מה, ובכן, בהתבסס על כמה מהממצאים שלה, נשמע כמו אנדרסטייטמנט.

כשנשאלה על הבאגים הבלתי נשכחים יותר שהיא גילתה ודיווחה, הררה שיתפה שניים חשובים במיוחד. הראשון שבהם היה כרוך במקרהפריצה למשרד ההגנה האמריקאי.

"הצלחתי למצוא דרך חדשה לגשת לרשתות הפנימיות הלא מסווגות שלהם", הסבירה. "זה היה די ממהר להדגים כיצד שחקן מדינה זדוני יכול להתפשר ולקבל גישה לשרתים צבאיים רגישים".

אכן עומס. כשעבד כחוקר פרס באגים, הררה הורשה לפרוץ באופן חוקי לממשלת ארה"ב. אבל היא פנתה גם לחברות פרטיות - ברשותן, כמובן.

"הפגיעות הנוספת תהיה של חברת ביטוח פרטית שבה הצלחתי להדגים הזרקת פקודה בסיסית שנתנה גישה מלאה לשרתים שלה", היא נזכרה, "שהייתה יכולה להוביל לדליפת נתונים מסיבית".

"החוויות היו שתיהן די אופוריות", הוסיף הררה, "זה כמו לפתור חידה קשה או חידה. זה אחד הדברים שגורמים לי לעבוד לקראת מציאת נקודות תורפה נוספות".

הררה רואה הרבה מקום לעוד אנשים להיכנס לסצנת הבאונטי באגים, ומציינת שארגונים אוהביםקרן נשים אין טקואָנִיץפועלים לספק משאבים ומימון לנשים בקהילת הפריצות.

עם זאת, היא ציינה שהסקרנות והכונן הולכים רחוק לבד.

"בכנות, כל אחד יכול ללמוד על תרומות באגים ואבטחת יישומי אינטרנט", היא הסבירה. "הקהילה לאבטחת מידע בכללותה היא די מסבירת פנים, ויש משאבים שונים זמינים באופן חופשי".

לגבי מה מחזיק אותה? "תמיד יש אתגר חדש מעבר לפינה, במיוחד עם פרסי באגים."