この投稿は Mashable の進行中のシリーズの一部です STEM を修理する女性たち、 この番組では、科学、テクノロジー、エンジニアリング、数学の分野で先駆的な女性に焦点を当てているほか、業界の男女格差を埋める取り組みや組織に焦点を当てています。
1 か月の作業がかかりましたが、ジェシー キンザーはついに大成功を収めました。このセキュリティ研究者は、大手 4 コンサルティング会社を含む 10,000 以上の異なる Web サイトのソース コードを盗むという、かなりの偉業を成し遂げました。そして、彼女の発見の影響は驚くべきものでした。
しかし、影のハッカーに対する多くの人々の認識に反して、彼女の次の行動は、データを取引することではありませんでした。ダークウェブ、または最高入札者に販売するためのエクスプロイトを作成します。むしろ、彼女は別の種類の気の遠くなるような仕事に直面していた。それは、買収した数千の脆弱な企業に通知する責任ある開示プロセスを開発することだった。そうです、そのすべてのコードにアクセスした後、彼女の次の仕事は、被害者に自分がどのようにそれを行ったのかを正確に知らせることでした。そして、異なる道徳的指針を持つ誰かが同じことをするのをどのように阻止できるかを被害者に知らせることでした。
好奇心、共通の目的意識、そして実際に金銭的報酬が得られる可能性に突き動かされて、オンラインでバグを探すことに時間を費やしている研究者にとって、これらはすべて 1 日の作業です。バグ報奨金の世界へようこそ。そこではハッカーが善良な人物、あるいは、同じくらい善良な女性でもあります。
ただし、期待するほど頻繁ではないかもしれません。あ2017年レポート「サイバー世界をすべての人にとってより安全な場所にすることに取り組んでいる」非営利団体であるサイバー安全教育センターの研究者らは、サイバーセキュリティと情報セキュリティの分野における男女格差を調査しましたが、その結果はあまり良いものではありませんでした。
同調査の主要な調査結果には、「サイバーセキュリティの専門職に占める女性の割合は世界的に11%と過小評価されており、世界の労働力全体に占める女性の割合よりもはるかに低い。2016年、サイバーセキュリティに携わる女性の収入は、あらゆるレベルで男性よりも低かった」と書かれている。
さらに悪いことに、2017年調査エンドポイント セキュリティ会社 Endgame の調査によると、「男性以外の回答者の 85% が専門的なカンファレンスである程度の差別を経験しており、半数以上がそれらのイベントでハラスメントを経験したことがある」という。
明らかに、多くのことを変える必要があります。
私たちは、バグ報奨金フィールドを徹底的に粉砕している 3 人の女性に話を聞き、どのように始めたのか、なぜこのような活動をしているのか、そして最も記憶に残る発見のいくつかについて説明しました。彼らはまた、インターネットをより安全な場所にするという探求に、より多くの女性が参加するよう促す方法についても意見を共有しました。
まず最初に、背景について少し説明します。
バグ報奨金
公開されたソフトウェアが存在する限り、それに熱中する愛好家が存在してきました。企業幹部や政府関係者からはしばしば疑惑の目で見られるこうした人々は、システムに組み込まれた意図しない穴や不具合など、設計者が意図しない方法でシステムを操作できるバグを発見することがあります。
セキュリティ コミュニティは、これが非常に良いことであると理解するようになりました。
バグ報奨金という用語は、1995 年に Netscape によって初めて使用されたようです。プレスリリースNavigator 2.0 ソフトウェアのベータ版について。このアイデア自体は以前にも試みられており、特に実際の VW のバグが含まれていましたが、Netscape のプログラムは、この慣行を成文化し、社内で同社の製品をいじる人に対して明確なルールを定めようという、大手ソフトウェア会社による最初の試みの 1 つでした。暇な時間。
ツイートは削除された可能性があります
Netscape は自社のプログラムを「バグ報奨金」コンテストと呼び、報告されたバグの種類と重大度に基づいて、賞金からグッズまで報奨金を体系化しました。
このプログラムと、その後同様のバグ報奨金プログラムは一石二鳥でした。まず、報告されたバグにより、同社はソフトウェアの安全性を高めることができます。 2 番目に、これが本当のゲームチェンジャーですが、これは、ハードワークから経済的利益を得ることを望んでいるハッカーにとって、合法的な代替手段を生み出しました。
バグ報奨金プログラムの導入により、次のような企業が採用しています。グーグル、マイクロソフト、フェイスブック、そして次のような企業によって導かれていますハッカーワンそしてバグクラウド, ハッキングは、その過程で警察に目を向けなければならないという欠点を伴わずに、金持ちになれる (または、少なくとも請求書を支払う) 可能性があります。
ケイティ・ムスリー
ケイティ・ムスリー。 クレジット: Katie Moussouris の厚意による
「私はコンピューターを持っている本当に奇妙で孤独な子供でした」と回想するケイティ・ムスリーある晴れた10月の午後、電話で。 「それが私たちの多く、特にインターネット以前のコンピューティングの時代の原点だと思います。」
国際的に有名なセキュリティ研究者であり、マイクロソフトのバグ報奨金プログラムの創設者であるムスーリスは、常にコンピュータに興味を持っていました。ボストン地域で育った彼女は、8 時に初めて Commodore 64 を手に取り、すぐに Commodore 64 で Basic をプログラムする方法を学びました。やがて、彼女は悪名高い組織のメンバーが頻繁に利用する掲示板システム (BBS) にダイヤルインするようになりました。L0phtハッキングチーム。
彼女はこの関心を職業生活にも持ち込んでおり、初期の仕事には MIT のホワイトヘッド生物医学研究ゲノム センターでのシステム管理の仕事が含まれ、その後は MIT の航空宇宙学部のシステム管理者としての役割も果たしました。
「MITはつい最近まで、意図的に非常にオープンなネットワークでした」と彼女は電話で語った。 「学生、大学院生、教授が全員、パッチを当てていない新品のインストール済みボックスを、IP アドレスを使用して生のインターネット上に公開していました。それらが頻繁にハッキングされないようにするのは、システム管理者としての私の仕事でした。ハッキングされたので、私が入ってクリーンアップし、サービスを復元することができました。」
Moussouris 氏の次の専門的なステップには、セキュリティに重点を置いた Linux 開発者として働くためにサンフランシスコへの移住が含まれていました。
2000 年代初頭のドットコム崩壊は、ベイエリアの多くの人々の状況を変えました。その中には、この混乱を口実に独立したペネトレーション テスター、つまり「雇われハッカー」になったムスーリス氏も含まれます。
数年先を飛ばして、ムスーリスは約 10 年ぶりにマイクロソフトでハッキング以外の職務に就きました。彼女はストラテジストとして働いていたが、「技術採用担当者であり、ハッカーコミュニティの影響力者でもある」という自分の仕事に対するマイクロソフトのビジョンが「少し薄っぺらい」と感じていた。そこで彼女は、ハッカーなら誰しもが行うことと同じことを行いました。大規模な企業システムを自分のために機能させる方法を見つけたのです。
Moussouris 氏は、Microsoft セキュリティ脆弱性調査 (Microsoft 従業員がサードパーティ製品の脆弱性を調査するプログラム) を立ち上げ、より大きなセキュリティ エコシステムに影響を与えるバグの発見と報告の調整を支援する機会を彼女に与えました。
2010 年初頭、彼女はサンフランシスコの企業で取締役レベルのポジションのオファーを受け、マイクロソフトを辞めるつもりだったとき、雇用主から断り切れないオファーがあった。具体的には、彼女が主導する会社でバグ報奨金プログラムを開始するチャンスです。
3 年後、多くの作業を経て、Microsoft バグ報奨金プログラムが開始されました。 Moussouris は Internet Explorer チーム、Windows チームの全面的なサポートを確保しており、Office 365 チームもそれに参加したくてうずうずしていました。
そしてプロジェクトは成功しました。彼女はマイクロソフトが最初に支払った 10 万ドルの報奨金のことを今でも覚えています。受取人は彼女の友人で、現在は Google Project Zero に所属している James Forshaw でした。ムスーリさんはたまたまその時イギリスにいて、フォーショーさんはロンドンに住んでいたので、プログラムに参加するよう説得するために彼をビールに連れ出した。
うまくいきました。
「彼は IE の報奨金の 30 日間で 4 つの異なるサンドボックスからの脱出を発見しました」と Moussouris 氏は、ちょっとした嬉しい驚き以上に思い返しました。 「それは私たちにとって驚くべきことでした。」
「女性としての私たちの脅威モデルは男性とは異なります。」
それで、それを見たときに良いことを知ったので、彼女はフォーショーに戻り、もう一度試してみるよう頼みました。彼はそうし、3 週間の「調査ベンダー」の終わりに、信頼できるエクスプロイトを発見し、Microsoft の目には 10 万ドルを支払う価値のある完全な技術文書を手渡しました。
「私の一番好きな瞬間は、友人のジェームスに電話をかけたときです。マイクロソフトのカフェテリアの外に立って、『ジェームス、あなたは歴史を作りましたね』と言ったときです。」
しかし、ムスーリはそこで終わっていませんでした。彼女はその後、「Hack the Pentagon」として知られる米国国防総省初のバグ報奨金プログラムの作成に貢献しました。
マッシュ可能な光の速度
それでも、基礎的なバグ報奨金プログラムを立ち上げるという彼女の仕事にもかかわらず、ムスリース氏は警告の言葉を述べた。彼女は、セキュリティ コミュニティが注意しないと、バグ報奨金プログラムが、実際のセキュリティ問題に対処しない一種の美徳信号に変わってしまうだろうと説明しました。
「数年間のバグ報奨金の人気で私が目にしたのは、注目したい領域に目を向けるという本来の目的から、『バグ報奨金は[侵入テスト]の代替品である』という大きな目的への逸脱です。絶対に間違っています」と彼女は説明した。 「残念ながら、バグハンターとバグ報奨金を始めようとしている企業の両方にとって、非常に有害なエコシステムを生み出しています。」
そして、バグ報奨金スペースに対する彼女の唯一の批判はこれだけではありません。ムスリー氏は警備会社を設立し、現在経営しているルタセキュリティは、より多くの女性がこの分野で長期的な成功を収めるためには、業界全体の賃金格差を是正する必要があると考えています。
「より多くの女性にテクノロジーに興味を持ってもらうことが目的ではありません。私たちはすでにそうなっていて、生まれながらにしてその準備ができています。」
「これは女性の仕事を男性よりも軽視した結果であり、風土病の問題だ」と彼女は指摘した。 「だから、私はこれをもっと社会問題として見ています。これは、より多くの女性にテクノロジーに興味を持ってもらうことではありません。私たちはすでにそうなっていて、生まれながらにしてその準備ができています。」
ムスーリス氏は、同種のセキュリティ コミュニティに伴う具体的な問題の 1 つをすぐに特定しました。 「女性としての私たちの脅威モデルは男性とは異なります」と彼女は述べた。 「我々も参加すべきだ。」
それでも、ムスーリ氏は、ゆっくりとはいえ、流れは変わりつつあると考えている。
「ハッカーを待ち構えています隠れた人物50年後の自分のレゴボックスセットフィギュア」と会話の終わりに彼女は冗談を言った。コンピューティングに対する女性の貢献。」
ジェシー・キンザー
ジェシー・キンザー クレジット: 提供: Jesse Kinser
ジェシー・キンザー彼女はセキュリティ研究に興味があり、学士号取得のために勉強していたインディアナ大学ブルーミントン校が当時専用のプログラムを持っていなかったという事実を気にせず、その研究を進めるつもりはなかった。
そこで、情報学の教授の指導を受けて、ジャン・キャンプ、彼女は自分で仕事をするようになりました。
「[私は]マルウェアとデジタルフォレンジックの研究を始めました」と彼女は電話で説明しました。「そして、これらのランダムな研究論文を書き始めましたが、実際には[米国政府]に取り上げられることになりました。」
基本的に、これまでの多くのハッカーと同じように、彼女は自らコミュニティに参入しました。
彼女は 2010 年に卒業し、大学卒業後は米国の情報コミュニティで 5 年間働き、最終的にキャピトル テクノロジー大学でコンピューター サイエンスの修士号を取得しました。
3 年か 4 年前に遡ると、キンザーは自分の仕事を安全な開発を超えて、いわゆる「レッド チーム」に拡張することに興味があることに気づきました。実際の侵入はハッキングの一部です。
そこで登場したのがバグ報奨金です。
「本当はもっと実践的な技術スキルを身につけたかったのです」と彼女は語った。 「私がバグ報奨金を始めたのは、自分のスキルを完璧にするために副業としてできるからでした。そうすれば、それを奨励するランダムなサードパーティ企業すべてに対して合法的にハッキングするチャンスが得られました。それは本当に素晴らしいことでした。」
それらのクールなものの 1 つは?前述のソース コードは 10,000 以上の Web サイトから盗まれました。
「実際、私はバグ報奨金でテスラの頭金を支払いました。」
「大手 4 つのコンサルティング会社がありましたが、その会社のデータベースのパスワードをすべて取得し、サイトのソース コード全体を盗むことができました」と彼女は思い出しました。 「私がこれを行った Web サイトは 10,000 個ありました。ですから、すべての Web サイトに『この設定ミスがあるよ』と知らせるために、責任ある開示プロセスを考案する必要がありました。」
「とても楽しかったですね」と彼女は笑った。
キンザー氏が発表彼女の発見でデフコン2017年に未収録トラックの一部として25。この追跡は通常、機密性の高い調査結果のために予約されており、そのうちのこれは明らかに重要です。特に影響を受けるウェブサイトの数を考慮すると。
「影響を受けるサイトや通知する人の数が多かったため、脆弱性の公開作業は実際に脆弱性を発見して悪用するよりも時間がかかりました」と彼女は説明した。 「ソースコードは 10,000 を超えるサイトの Web サイトのルートで公開されており、その一部は米国連邦政府および州政府が所有していた。」
この研究は非常に価値のあるものではありましたが、必ずしも彼女を裕福にしたわけではありません。そしてそれは何人かの人々を怒らせさえしました。少なくとも、脆弱な企業の一部は、誰かが彼女のやったことをやり遂げることができるとは信じたくなかった。しかし、もちろん、キンザーはそうでした。
いくつかの企業は彼女の調査結果を通知しようとする彼女の試みを真っ向から無視したが、少数の企業はより合理的に対応した。
「影響を受けた人の中には、感謝のしるしとしてPaypalやランダムな記念品を介して私にお金を送ってくれた人もいましたが、ほとんどは送金しませんでした」と彼女は思い出した。 「ほとんどがあちこちで数百ドルでした。ある会社がこの奇妙な形の傘を送ってくれましたが、ここ中西部で私が使っていると誰もが私を変な目で見ます。」
しかし、それはそのときのことでした。
Kinser は現在、ヘルスケア分野のソフトウェア会社 LifeOmic で働いており、その専門知識を同社の製品セキュリティ ディレクターとして活かしています。彼女はまさに、機密の医療データを攻撃者から守りたいと思うような人物です。結局のところ、バグ報奨金の研究者である彼女自身も (法的には) 攻撃者なのです。
さらに、彼女は LifeOmic のバグ報奨金プログラムを実行できるようになります。言い換えれば、彼女はコインの裏表にあるということだ。フルタイムのセキュリティの仕事で生活費を支払い、他人のソフトウェアの穴を見つけて「遊びのお金」を稼ぐということだ。
「実際、私はバグ報奨金でテスラの頭金を払いました」と彼女は述べた。
キンザー氏は、バグ賞金稼ぎになるためにマルウェアを研究している学歴は必要ないと強調した。この分野は誰でも参加できる、と彼女は主張した。
「女性が知っておくべきことは、この業界について何も知らなくても大丈夫、いつでも参入できるということだと思います。」彼女は、セキュリティ分野でのキャリアは、「時間をかけて取り組み始めれば、本当に獲得可能です。こうしたバグ報奨金プログラムは、そのための素晴らしい方法です」と説明しました。
Kinser 氏は、特にバグ報奨金はハッキングの現場に参入するために必要な柔軟性を提供すると付け加えました。
課題がないわけではありません。 「私たちの多くは親です」と彼女は言い、「[そして]息子が寝た後、私は時々午前2時まで報奨金の仕事をします。」
キンザー氏は、親であると同時にセキュリティの専門家であることで生じる困難について、より広く理解してもらいたいと考えています。具体的には、託児所を探す必要がある場合、セキュリティカンファレンスに出席するために世界中を旅するのがはるかに困難になります。
「これは独特のバランスです」と彼女は述べ、「セキュリティ業界でより多くの女性がそのバランスについて話し始めていることに気付きました。また、どのようにバランスをとっているのか、それに伴ういくつかの課題についても話し始めています。」
アリッサ・エレーラ
アリッサ・エレーラ クレジット: hackerone / 提供: Alyssa Herrera
セキュリティの仕事で人生を選択した多くの人たちと同じように、アリッサ・エレーラ彼女は早くからハッキングを始めました。正確には 16 歳です。彼女はすぐに夢中になってしまいました。
バグ報奨金プログラムを発見し、好きなことでお金を稼げる本当の可能性を発見したことが、彼女の人生の流れを変えました。
「バグ報奨金プログラムのことを知ったとき、そしてそれが私がやり方を知っていたことの正当な手段になる可能性があることを知ったのは、私にとって小さな転機でした」と彼女は電子メールで説明した。 「これは私にとって非常に大きな決断だったので、実際には大学には行かなかったのです。情報セキュリティや、企業のセキュリティ業務に関わる法的側面について学ぶことに時間を費やしたかったからです。」
4 年後の現在、彼女は HackerOne などのプラットフォームを介してバグを見つけて報告することが唯一の収入源であるほど、うまくやっています。
「難しいなぞなぞやパズルを解くようなものです。」
「なかなか大変な旅でした」と彼女は語った。まあ、彼女の発見のいくつかに基づくと、これは控えめな表現のように聞こえます。
彼女が発見し報告したより記憶に残るバグについて尋ねられたとき、Herrera は特に注目すべき 2 つのバグを共有しました。そのうちの最初のものはたまたま関係していました米国国防総省をハッキングする。
「私は彼らの内部の非機密ネットワークにアクセスする新しい方法を見つけることができました」と彼女は説明した。 「悪意のある国家主体がどのようにして機密性の高い軍のサーバーを侵害し、アクセスできるかを実証するのは、かなり急ぎの作業でした。」
まさにラッシュ。バグ報奨金の研究者として働いていたエレーラは、米国政府を合法的にハッキングすることを許可されました。しかし、彼女は民間企業もターゲットにした――もちろん彼らの許可を得た上でだ。
「もう 1 つの脆弱性は民間保険会社のもので、サーバーへの完全なアクセスを許可する基本的なコマンド インジェクションを実証することができました。これにより大規模なデータ漏洩が発生する可能性がありました。」と彼女は回想しました。
エレーラ氏は、「どちらの経験も非常に多幸感に満ちたものでした。難しいなぞなぞやパズルを解くようなものでした。これが、私がさらなる脆弱性の発見に向けて努力し続けるきっかけの 1 つです。」と付け加えました。
Herrera 氏は、より多くの人々がバグ報奨金の分野に参入する余地が十分にあると考えており、次のような組織が存在すると指摘しています。女性テクノロジー基金そしてウィスプハッキング コミュニティの女性にリソースと資金を提供するために活動します。
しかし、彼女は、好奇心と意欲はそれ自体で大いに役立つと指摘しました。
「正直に言って、バグ報奨金と Web アプリケーションのセキュリティについては誰でも学ぶことができます」と彼女は説明しました。 「情報セキュリティのコミュニティは全体的に非常に歓迎的で、さまざまなリソースが無料で利用できます。」
何が彼女を突き動かしているのでしょうか? 「角を曲がったところには、特にバグ報奨金など、常に新たな課題が待ち受けています。」