Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Aus dem Leben eines Fehlerjägers

Softwarefirmen loben Tausende Dollar Belohnung für gefundene Programmfehler aus. Einige freie Bug Hunter bestreiten damit ihren Lebensunterhalt.

In Pocket speichern vorlesen Druckansicht
Aus dem Leben eines Fehlerjägers

(Bild: Evan Ricafort)

Lesezeit: 5 Min.
MIT Technology Review
Von
  • Erin Winick
Inhaltsverzeichnis

Evan Ricafort arbeitet zu Hause. Sein Büro ist ein Raum in dem Haus, das er mit seiner Familie teilt; es liegt nahe einer großen Autobahn in der Stadt Ipil im Süden der Philippinen. Die Eltern des 22jährigen betreiben ein kleines Lebensmittelgeschäft. Er selbst verbringt 75 Stunden die Woche an seinem Schreibtisch und arbeitet an seinem bestens ausgestatteten PC. Dort, inmitten einer Kakophonie aus Motorrädern, bellenden Hunden und schreienden Babys, könnte er sogar die Daten mancher Leserin und manchen Lesers dieses Beitrags retten.
Mehr Infos

Lesen Sie dazu auch:

Der Code, für den ich mich immer noch schäme

Wenn das Sexspielzeug spioniert

Kampf der Maschinen

Offen für alles

Bug Hunter für Großkonzerne

Denn Ricafort ist ein Fehlerjäger, ein Bug Hunter. Diese Bezeichnung beschreibt eine besondere Art von "guten" Hackern, die nach Lücken in der Software suchen, die von einigen der größten Technikfirmen der Welt entwickelt und vermarktet werden. Das wiederum muss so schnell wie möglich geschehen, bevor die Fehler von den "bösen Jungs" ausgenutzt werden könnten. Kostenlos ist diese Arbeit natürlich nicht. Viele Firmen bezahlen – und manchmal sogar sehr gut – für Fehlereinreichungen, die dabei helfen, geschäftskritischen Programmcode abzusichern. Dazu haben sie sogenannte Bug-Bounty-Programme aufgelegt: Wer einen Bug findet, bekommt Summe X. Und solche sicherheitskritischen Fehler gibt es nicht wenige, weshalb der Job des Fehlerjägers eine große Zukunft haben könnte.

Ricafort hat selbst keine Ausbildung in dem, was er tut, hat keinen Informatikabschluss hinter sich. Nachdem einer seiner Freunde im Netz darüber berichtet hatte, was er als Fehlerjäger verdiente, begann er, sich in den Blogs anderer Sicherheitsforscher umzusehen und schaute sich zahlreiche Videos an, in denen gezeigt wurde, wie die Arbeit funktioniert. Sein erstes Geld waren "nicht mehr als 50 Dollar von irgendeiner Firma", sagt er. Doch die Fehlerjagd sei aufregend gewesen, weshalb er sich 2014 entschloss, daraus einen Vollzeitjob zu machen.

Lücken im Code von Apple, Google, Microsoft

Zunächst verstanden weder seine Freunde noch seine Familie, was er da tat. Nachdem er ihnen den Job erklärte und die ersten Gelder auf dem Konto eingingen, wurde ihnen klar, dass Ricafort sich da eine echte Karriereoption aufgetan hatte – die zudem sehr sinnstiftend ist. "Man hilft ja nicht nur den Firmen, sondern der ganzen Community. Den Nutzern und all den Leuten, die die Software verwenden."

In den vergangenen vier Jahren fand er Lücken im Code von mehr als 200 Firmen, darunter bekannte Namen wie Apple, Google, Microsoft, PayPal, Yahoo, IBM oder Twitch. Im letzten Jahr holte er sich die für ihn bislang größte Summe: 5000 US-Dollar für einen Fehler (er verrät nicht, welche Firma das war). "Das hat mein Leben verändert, ich kann das gar nicht in Worte fassen." Er feierte, wie das wohl jeder 21jährige tun würde: Er reiste etwas herum und kaufte sich ein neues Spielzeug, ein BMX-Rad.

Doch der Fehler, für den Ricafort wohl am bekanntesten ist – der Bug, der ihm in der Gemeinde der Bug Hunter einen Namen verschaffte – brachte keinen Cent. 2014 fand er einen Bug beim Thermostat Nest, einem Smarthome-Gerät, das Google gehört. Der Fehler ermöglichte den Zugriff auf persönliche Daten der NestKunden, inklusive deren Finanzdetails. Dazu zählten auch Kreditkarten und gescannte Kopien von Pässen oder anderer Ausweise. Ricafort landete daraufhin in der "Hall of Fame" des "Google Vulnerability Reward Program". Geld gab es nicht, weil das Problem laut dem Konzern in der Software eines Lieferanten steckte und nicht in Google-Technik. In anderen Fällen hat Ricafort vom Suchmaschinenriesen aber bereits Zahlungen erhalten.

Zur Belohnung ein T-Shirt

Ganz einfach ist der Job aber nicht. So kommt es vor, dass Unternehmen nicht zahlen wollen oder dem Fehlerjäger Alternativen zu Bargeld offerieren. So wurde er beispielsweise schon einmal zu einer Tour des US-Kapitols eingeladen. Von der niederländischen Regierung gab's ein T-Shirt (siehe Foto), auf dem auch noch steht, was Ricafort nicht mag: "Ich habe die niederländische Regierung gehackt und alles was ich dafür bekommen habe war dieses lausige Hemd."

Nichtdestotrotz kommt mittlerweile so viel Geld zusammen, dass er auf den Philippinen gut leben kann. Im Schnitt sind dies pro Monat 10.000 Pesos (ungefähr 190 Dollar). Das ist ein mittleres Einkommen in dem Land. In guten Zeit sind es aber auch schon mal 20.000 bis 30.000 Pesos, also bis zu 560 Dollar.

Auf den Philippinen ein gutes Einkommen

Das läuft bei vielen Fehlerjägern so: Die Einnahmen schwanken stark und liegen oft unter dem Einkommen dessen, was man in westlichen Ländern benötigen würde. Das könnte sich jedoch bald ändern. Firmen wie Bugcrowd oder HackerOne (mit denen Ricafort bereits zusammenarbeitet), erleichtern es den Bug Huntern, regelmäßige Einnahmen zu generieren. Sie fassen Bug-Bounty-Programme zusammen oder helfen den guten Hackern, mit Firmen in Kontakt zu kommen. In der IT-Branche steht man dem häufig sehr offen gegenüber.

Ricafort freut sich jedenfalls, dass seine Arbeit einen positiven Einfluss hat. Eine Vollzeitstelle als Cybersicherheitsexperte klingt für ihn zwar verlockend, aber er glaubt, dass er aus seiner jetzigen Position heraus am meisten helfen kann. Er liebt es, Fehler alleine und ohne große Aufmerksamkeit zu finden. "An der Fehlerjagd hängt mein Herz."

(bsc)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten