Martes, 4 de Septiembre de 2018: Tiene que ser una locura…

Querido Diario…

He leído muchas versiones e historias de bug bounty hunters; algunos que dicen que es el mejor empleo del mundo, la cantidad enorme de dinero que ganan… y otras muy malas, otras de aprendizaje y otras de sufrimiento real. Mi historia no es buena… y hoy es “ñeeee”, gracias a que no dependo de ello, y cree una regla a partir de eso. No es lo mismo buscar vulnerabilidades con el estomago vacío que con un rib eye y una copa de vino en la mesa.

Leí este articulo, que me pareció interesante: https://medium.com/@nmalcolm/bug-bounties-and-mental-health-40662b2e497b

Pero no muestra del todo el efecto que puede tener en ti el bug bounty hunting.

Imagina despertar cada día, después de una noche sin dormir; bañarte, cambiarte e ir al Starbucks más cercano y empezar 8 horas diarias. Si encuentras algo, lo explotas, lo reportas y al día siguiente o incluso unas horas después, tendrás en PayPal unos $500 dlls. Nada más para un día de trabajo. Pero no siempre es así…

Había días en los que no encontraba nada, y yo mismo me alentaba con un “bueno.. pero… ayer gané $500 dlls, es más de lo que ganaría la mayor parte de las personas, mañana me irá mejor; puede que mañana gané uno de $1000”. Pero con el tiempo ganaba más. Se terminó en algún punto el dinero para ir a Starcbucks, y terminé en el mismo hotel donde vivía, trabajando y durmiendo… “durmiendo”. Hasta que un día terminé debajo de un puente, y al siguiente fui a pedir dinero como montacarguista.

¿Y por qué?, porque algo que no se menciona en el articulo, no sólo es el estrés, es la frustración y como esa cambia tu forma de trabajo. Yo toda la vida había consultor mimado, el cual ni siquiera trabajaba en un cubiculo, sino me daban una sala de juntas, secretaría para el proyecto, viáticos si era fuera… seguía mi metodología, si encontraba algo bien, sino también, a mi me pagaban y para ser sinceros y por lo que hacía, no me iba nada mal.

Como bug bounty hunter, empecé siguiendo la metodología, y escuchaba en mi cabeza una y otra vez al Ingeniero, quién fuese mi jefe en mi primer empleo “ingeniero.. todas las aplicaciones son iguales, autenticación, autorización, manejo de sesiones… siempre es igual”. Y creo que tiene razón, hacía un TXT y me ponía a trabajar. Pero conforme pasaba el tiempo, dejé el TXT y empecé a explotar juicy bugs, a irme hacia la vulnerabilidad del día anterior, si veía que alguien ya había explotado un fallo en el sitio de EEUU, lo intentaba replicar en el de China… y después de todo eso.. seguía sin nada.

Había días en los que no sé como, pero corría con suerte… otros en los que pasaron meses, sin que ganase algo. Tan pocas veces encontré un fallo, que cuando lo logré, celebraba como si fuese algo especial. Algunas personas dicen que es cosa de constancia, pero… yo era bug bounty hunter 20 horas al día… todos los días.

Morí de hambre… y al principio el hambre me había mejorar, pero la desesperación siempre terminaba ganando. Ese es el verdadero estrés.

Y entonces… ¿es malo ser un bug bounty hunter?, ¿lo dejó?…

Hum… no, pero no es para todos.

Hoy soy un bug bounty hunter, y lo empiezo a disfrutar.. .de hecho me divierto con ello después de pasar horas haciendo cosas aburridas, o después de haber tenido que matar a alguien, o mientras estoy en el hospital todo baleado, uno se desestresa bastante cantando baby girl mientras explota unas vulnerabilidades de SQL injection, pero en mi opinión.. si no eres un hacker de elite, olvídate de vivir de esto únicamente, si quieres complementarlo es perfecto… te encantará el riesgo, aprenderas muchas tecnologías hispter, etc.

¿Qué hago?.. me dedico unas horas en especifico y sólo a eso, unas cuatro horas diarias. Me voy a la metodología, no importa que ya lleve el bounty mucho tiempo, sigo mi TXT (Ingeniero, un saludo)… y cuando es network assessment, no soy agresivo… son el mismo de hace años. que los chinos se peleen, yo estoy en lo mío.

En cuestión de ventas (estoy siguiendo el articul0), a mi no me gustan los públicos… no me gusta Bugcrowd, trabajas mucho tiempo gratis por nada; prefiero HackerOne, Synack, no se diga el modelo de Zerodium.

El aprendizaje.. hum… aprende trucos, lee otros reportes, ve lo que hacen otros y les funciona. No es como que tomes una certificación y aprenderas, como dice Udemy.

Y no gastes todo tu dinero… puedes pasar mucho tiempo viviendo de avena.

Querido Diario… me gusta mucho el canal de este tipo:

 

Marcar el Enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *