ダグラス・デイは、HackerOneのハッカー諮問委員会のメンバーであり、フルタイムのプロフェッショナルハッカーです。ハッカー諮問委員会のメンバーシップは自発的で無報酬ですが、彼の収入の95%以上はバグバウンティハッキングから得ています。残りは、時折契約するペネトレーションテストやレッドチーミングから得ています。
「私は常に自分をプロフェッショナルハッカーだと考えていたわけではありませんが、常にハッカーではありました。今では、ハッカーであり、プロフェッショナルハッカーでもあります。」
では、ハッカーとは何か?
デイはコンピューターハッカーですが、これはより広い属の特定の種であることを知っています。「私のハッカーの定義は、設計者が意図しなかった方法でシステムを使用する人です。ほとんどの場合、人々がハッキングについて話すとき、コンピューターハッキングを意味します。この場合、ハッカーとは、決して使用されることを意図されなかった方法でコンピューターアプリケーションやウェブサイトを使用する人です。」
しかし彼は、ハッカーになるためにコンピューターをハックする必要はないと強調します。「より広い意味でハッカーになることもできます。鉛筆で錠前を開ける人は、錠前と鉛筆の両方をハッキングしています。」鉛筆は決して錠前を開けるために設計されておらず、錠前も鉛筆で開けられるように設計されていません。壊れたテーブルも同様です。「脚に延長部品をボルトで固定して壊れたテーブルを応急修理したことがあるなら、テーブルと延長部品をハッキングしているのです。」これらの概念はコンピューターハッキングに簡単に対応します。錠前は誤動作しているシステムであり、正当なユーザーが必要なことを行うのを妨げています。鉛筆はハッキングツールです。壊れたテーブルも誤動作しているシステムであり、延長部品はそれを修正するように設計されたハックです。
ダグラス・デイは純粋にコンピューターハッカーです。
このハッカーになるまで
「私は遅咲きでした」とデイは言います。「10歳になる前からコンピューターに夢中で分解していたオタクっ子の一人だったと言いたいところですが、そうではありませんでした。家族のコンピューターをゲームをするために使っていただけです。」学校の11年生になるまで、特別なことは何も起こりませんでした。技術への理解への衝動やオタク性はありませんでした。
「それから、マイクロエレクトロニクスのクラスを受講し、本格的なロボット工学に実際に触れる初めての経験をしました。ソーラーパネルカーを作り、電子ネズミ捕りを作りました。それが技術オタクへの最初の進出で、楽しくてクールでした。」しかし、彼はまだハッカーではなく、ハッカーになろうとも思っていませんでした。
この段階で、彼はエンジニアになりたいと知っていましたが、どんな種類のエンジニアかはわかりませんでした。大学に進学したとき、彼がコンピューターサイエンスを選んだのは、エンジニアリングを学んだのと同時期に基礎的なプログラミングクラスに参加していたからです。決断する時が来たとき、彼はコンピューターサイエンスを選びました。なぜなら、「その時点で、橋を建てるよりもプログラムを構築する経験の方が多かったからです。」
大学にいた2010年頃まで、彼はサイバーセキュリティが存在することを知らず、好奇心を持ち始めました。大学にはサイバーセキュリティのコースはありませんでしたが。彼はいくつかのSANSコースをチェックしました。「予算には合いませんでしたが、プロジェクトの一つがセキュリティ開発であるソフトウェア開発インターンシップを見つけました。そこで、サイバーセキュリティが興味深い分野であることを本当に理解しました。猫とネズミのような駆け引きがありました。」
しかし、初期のキャリアに入っても、セキュリティに焦点を当てる計画はありませんでした。彼はコンピューターサイエンスの学位を取得して大学を卒業し、最初のエントリーレベルのソフトウェアの仕事に就きましたが、セキュリティに進むとは思ってもいませんでした。ましてやコンピューターハッカーになるとは。「ただエンジニアになりたかっただけです。」最初のセキュリティ関連の仕事に就いたのは2016年で、ハッキングキャリアを始めるさらに3年前のことでした。
「New Relicのアプリケーションセキュリティチームで働いていました。以前の仕事はほとんど脆弱性管理だったので、ハッキングをまだ理解していませんでした。しかし、私の仕事の一部は、バグバウンティプログラムでの作業でした。そこでは、研究者が私たちのプラットフォームでバグを見つけるために良いお金を払っていました。バグがどれほど単純で初歩的なものかに驚きました。顧客が6桁または7桁を支払って使用しているエンタープライズレベルのソフトウェアでです。」
彼は、15人の強力なセキュリティチームと数百人の本当に賢いソフトウェア開発者を雇用しているソフトウェアでバグを見つけるのがこんなに簡単なはずがないと思いました。「それで、私たちがハッカーに私たちをハックさせるために支払うのを数ヶ月間ただ見ていて、彼らがどれだけ稼いでいるかを見た後(これは私が最初の家を購入して妻と家族を始めたいと思っていた頃でした)、さて、これを副業でやってみて、家の頭金を補うのに十分なお金を稼げたらどうだろうと思いました。」
彼は2018年10月にHackerOneでアカウントを作成し、最初のバウンティを得たのはわずか2ヶ月後でした。「それはたった200ドルだったので、衝撃的ではありませんでした。しかし、これは私の人生で初めて、独立して、つまり雇用主以外で、1ドルを稼いだことであり、それはただハッキングを通じてでした。」数週間後、彼は2つ目のバウンティを得て、さらにもう一つ。彼はこれが単に頭金を助けるだけでなく、家族の収入への深刻な補足になる可能性があると判断しました。彼は夜と週末にハッキングして少なくとも追加で20,000ドルを稼ぐという目標を設定しましたが、2019年末までに-家を購入した時-HackerOneだけで追加で92,000ドルを稼いでいました。
家族が成長するにつれて、余暇を家族と過ごすかハッキングでより多くのお金を稼ぐかを選ぶのが難しくなりました。この時点で、彼はHackerOneで良いお金を稼いでおり、本業からの副業としてハッキングするだけで確固たる実績を確立していました。「これをフルタイムでやる必要があることはわかっていました。2024年7月5日、私はフルタイムのハッカーになり、物事は単に減速していません。」
動機
デイのハッカーへの道は、決して従来型ではありません。標準的な道は、コンピューターに夢中な幼い子供から、ゲームプレイを通じてゲームハッキングへ、インターネットフォーラムで他のハッカーと交流し、追加のスキルを学ぶこと、そして学校の友達に名声を求めるいたずらをすることです。そして、これらの早熟な若者にとって分かれ道が来ます。一部は不吉な(悪意のある)領域に左折し、大多数は倫理的ハッキングと有益な雇用への正しい道を取ります。彼らは、物事がどのように機能するかを理解するための抗いがたく飽くなき好奇心に駆り立てられます。そしてこれは、それらの物事を分解することによってのみ達成できます。多くの場合、好奇心は続きます。「別のことをさせることができるか、あるいはおそらく同じことだがより良く、異なる方法で組み立て直すことができるか?」これは選択ではなく、心理的な衝動であり、原因と実践の両方においてしばしば一定の神経多様性によって助けられます。
これはダグラス・デイではありません。彼の目的地は心理的な必然ではなく、合理的なキャリア選択でした。彼は早熟な子供時代のオタクとして出発しませんでした。彼は大学の学位のためにコンピューターサイエンスを選びましたが、主に学校で基礎的なプログラミングコースを受講したからです。彼はサイバーセキュリティに興味を持つようになりましたが、それに向かって駆り立てられたわけではありません。そして最終的に、彼は心理的な必然性からではなく、家族により良く提供するためにハッカーになることを選びました。
「それは家族のために家を買いたいという私の欲望によって始まり、予想しなかった方法でそこから連鎖しました。それは流星のようになりました。私はただいくつかの補足的な副収入を持つことを期待していて、それが自分と家族を維持するのに十分であることを期待していませんでした。私がハッキングのフルタイムへの退屈な道を取ったと思います。なぜなら、そのジャンプをするのに5年かかったからです。そして実際に引き金を引いたのは、フルタイムでそれができると非常に、非常に自信を持った後だけでした。」
この家族主導の動機と彼の宗教的信念(彼は自分を「信仰を持つ人」と表現しています)は、彼がダークウェブでより高い価格で脆弱性を販売したいという誘惑を受けたことがないことを意味します。「バグバウンティをやっている私が知っているほとんどの人は、投獄のリスクなしに普通の生活を送りたい普通の人々です。確かに、私はおそらく闇市場で物を売ることができますが、自分自身を法的危険にさらすリスクは、今度は私の家族を危険にさらすことになるので、私が考えるようなリスクではありません。私はそういう男ではありません。」
しかし、彼は一部のバグバウンティハンターがそれを真剣に考える理由を理解しています。バウンティハンターは一般的に、彼らが提供するサービスの価値に対して過小評価されています。彼は闇市場で脆弱性を販売したいという誘惑を受けたことはありませんが、時折フラストレーションを感じたことがあります。
「たとえば、700万ドルの損害を引き起こすバグがあり、それに対して2,000ドルを支払われている場合、それで何か怪しいことをしようとは決して誘惑されません。しかし、自分が支払われている金額とそれが価値がある金額との不一致を知っていることは、時々私を冷笑的でフラストレーションを感じさせました。おそらくセキュリティエンジニアに戻るべきか、あるいは完全に別のことをしてベーグルショップを開くべきかもしれません。」
ダグラス・デイという矛盾
デイは選択によってプロフェッショナルハッカーになりました。しかし、それは彼が生まれつきのハッカーではないという意味ではありません。彼がバグを探す楽しさとプロセスを説明するとき、それは他のコンピューターハッカーの経験とほとんど変わりません。
「私が本当にハッキングを楽しむ理由は単純な好奇心ではなく、バグを見つけて開発者を出し抜く方法を見つけたときのアドレナリンラッシュまたはエンドルフィンラッシュのためです。それは猫とネズミのようなもので、私が猫でシステムがネズミです。おそらくそれを持っていることに気づくことに本当の高揚感があります。そして、もう少し詳細を把握する必要があり、最終的にバグが機能することの確認を得るまで。自分一人で、数十人の開発者と山ほどのお金を持つこの大きな組織を出し抜くことができたことを知るだけで、巨大な内的報酬があります。」
彼のバグ発見プロセスも他のコンピューターハッカーの仕事と似ています。分解の後に組み立て直しが続き、意図しない結果につながります。「分解は、部品を分解して、それらがどのように組み合わさり、どのように一緒に機能するかを理解することです。このウェブページは何をするのか? この機能は何をするのか? アプリケーションのこの部分は何をするのか? それは車のボンネットを開けて、エンジンの異なる部品がどのように接続され、一緒に機能するかを見るようなものです。」
それから組み立て直し部分が来ます。「規定されたワークフローを通過してこのスイッチを押した後にこのボタンを押す代わりに、プロセスを逆にしたらどうなるでしょうか? その場合、何が起こるでしょうか? エンジンに供給されるデータの一部を変更したらどうなるでしょうか、そしてどのようにそれができるでしょうか? 私がコンピューターをハッキングする時間の約99%は、この組み立て直し段階であり、開発者が決して意図しなかったアクションまたは結果を達成する方法で何かを組み立て直すことです。」
しかし、ハッキングとのこの自然な親和性にもかかわらず、彼は職業を選んだのであり、それによって選ばれたのではありません。これは疑問を投げかけます。ハッキングは誰にでも存在する自然な人間の傾向なのでしょうか? 私たち全員が物事を分解してそれらがどのように機能するかを見て、そして私たちの理解からより良いものを作りたいという欲望を持っているのでしょうか? それはまさに科学と進歩の本質ではないでしょうか? 私たちの間の唯一の違いは、強度(私たちが心理学によってどの程度駆り立てられるか)と焦点(私たちがハックすることを選ぶ対象)です。
まとめ
デイを他のほとんどのハッカーと区別するのは、ハッカーであることへの合理的な選択の要素です。彼は心理的な必然性を通じてコンピューターハッキングに駆り立てられたのではありません。物事を分解して組み立て直すことによってのみ引っかくことができる抗いがたいかゆみではなく、自分自身と家族のためにより良い生活を送りたいという欲望によってです。それが私たちのほとんどが働く理由ですが、本当に満足でき、報われ、合法的なキャリアを見つけるのは私たちのうちのほんの数人だけです。
ダグラス・デイが示しているのは、バグバウンティプログラムが、ハックする以外にほとんど選択肢がない生まれつきのハッカーのための安全で倫理的な避難所というだけでなく、選択の職業になりうるということです。彼が言ったように、「私は常に自分をプロフェッショナルハッカーだと考えていたわけではありませんが、常にハッカーではありました。今では、ハッカーであり、プロフェッショナルハッカーでもあります。」
翻訳元: https://www.securityweek.com/hacker-conversations-professional-hacker-douglas-day/
