Original-URL des Artikels: https://www.golem.de/news/bug-bounty-hunter-mit-hacker-101-tutorials-zum-millionaer-1905-141116.html    Veröffentlicht: 16.05.2019 12:09    Kurz-URL: https://glm.io/141116

Bug Bounty Hunter

Mit "Hacker 101"-Tutorials zum Millionär

Santiago Lopez hat sich als Junge selbst das Hacken beigebracht und spürt Sicherheitslücken in der Software von Unternehmen auf. Gerade hat er damit seine erste Million verdient. Im Interview mit Golem.de erzählt er von seinem Alltag.

Der 19-jährige Bug-Bounty-Jäger Santiago Lopez lebt mit seinen Eltern in Buenos Aires wie ein ganz normaler Jugendlicher. Dass er neuerdings zwei Sportwagen in der Garage stehen hat und ein eigenes Strandhaus besitzt, in das er sich gerne zum Hacken zurückzieht, unterscheidet ihn aber dann doch von seinen Kumpels, die alle nichts mit Hacken zu tun haben. Lopez arbeitet seit drei Jahren jeden Tag diszipliniert daran, über die Plattform Hacker One Sicherheitslücken für Firmen aufzuspüren. Mittlerweile konnte er schon für Twitter und die US-Regierung Bugs finden. Beigebracht hat er sich das nötige Handwerkszeug selbst in kürzester Zeit mit Videotutorials von Seiten wie "Hacker 101".

Golem.de: Wie sieht ein typischer Tag für Sie aus? Sind Sie nur noch am Hacken, oder bleibt noch Zeit für andere Dinge?

Santiago Lopez: Ich verbringe jeden Tag um die sechs oder sieben Stunden mit Hacken; meistens am Abend. Den Rest der Zeit mache ich normale Dinge, die man in meinem Alter eben so tut - Football spielen, Zocken und mit meinen Freunden rumhängen. Trotzdem bleibt das Hacken immer im Hinterkopf. Ich wache jeden Tag auf und denke daran, was ich heute wieder Aufregendes entdecke.

Golem.de: Was machen Sie momentan neben Ihrem Job?

Lopez: Gerade sind Bug Bountys meine Hauptbeschäftigung. Ich studiere nicht oder so.

Golem.de: Wie sind Sie in Argentinien aufgewachsen?

Lopez: In unserem Familienhaus in Buenos Aires. Ich bin dort ganz normal zur Schule gegangen und habe am liebsten Sport getrieben. Meine Mutter ist Grundschullehrerin, mein Vater ist schon im Ruhestand und war Beamter. Beide haben überhaupt nichts mit Technik zu tun. Ich habe noch zwei Brüder, die hacken auch beide nicht.

Golem.de: Was denkt Ihre Familie darüber, dass Sie Geld mit Hacking verdienen?

Als ich ihnen das erste Mal davon erzählt habe, konnten sie es nicht glauben. Sie dachten, Hacker sind schlimme Leute, die andere nur ausnehmen. Sie glaubten nicht, dass sie auch gut sein und ganz legal Geld verdienen können. Nachdem ich jede Menge Zeit damit zugebracht habe, das meinen Freunden und meiner Familie zu erklären, haben sie mir dann doch geglaubt und sich über meinen Erfolg gefreut.

Mit einem Film fing alles an

Golem.de: Wann haben Sie Ihren ersten Computer bekommen?

Lopez: Das war mit zwölf Jahren. Ich saß von da an ständig am Rechner; ich habe das immer sehr gemocht.

Golem.de: Wie Sind Sie das erste Mal mit Hacken in Berührung gekommen?

Lopez: Als ich "Hackers" gesehen habe. Der Film hat mir eine ganz neue Welt eröffnet und ich habe dadurch angefangen, mich richtig dafür zu interessieren.

Golem.de: Haben Sie damals nicht darüber nachgedacht, eher ein Black-Hat-Hacker zu werden? Im Film legt ein Hacker immerhin Tausende Systeme mit einem Virus lahm.

Lopez: Als ich mit dem Hacken angefangen habe, habe ich tatsächlich kurz daran gedacht. Als ich dann aber im Internet Bug Bountys für mich entdeckt habe, war ich davon total begeistert, weil ich mein Können für etwas Gutes einsetzen und trotzdem viel Geld damit machen konnte. Dann bin ich dabei geblieben.

Golem.de: Wie haben Sie dann gelernt zu hacken?

Lopez: Ich habe mir mit 16 Jahren verschiedene Hacking-Techniken selbst mit Online-Tutorials und Büchern beigebracht. Die Gratisvideos auf der Seite "Hacker 101" sind ein guter Anfangspunkt für jeden, der damit anfangen möchte. Mittlerweile hacke ich seit drei Jahren, aber ich lerne jeden Tag etwas Neues dazu, weil sich die digitale Welt ständig verändert.

Golem.de: Was war dann Ihr erster richtiger Hack?

Lopez: Mein erster Hack war 2016 eine Website und ich habe eine Cross-Site-Request-Forgery entdeckt. Das hat mir 50 US-Dollar eingebracht. Ich habe ziemlich lange dafür gebraucht, diese erste Schwachstelle aufzuspüren, aber mit Geduld und Anstrengung habe ich es schließlich geschafft - und das Erfolgsgefühl war es wirklich wert.

Golem.de: Was hat Ihnen so gut am Bug Bounty Hunting gefallen?

Lopez: Ich liebe die Herausforderung; die Aufgabe, die der Bug für mich darstellt. Bug Bountys sind außerdem rational und transparent - das liegt mir.

Firmen laden Hacker zur Fehlerjagd ein

Golem.de: Wie kann man sich Ihren Arbeitsplatz vorstellen?

Lopez: Ich arbeite normalerweise alleine am Abend von zu Hause aus, am liebsten in meinem Strandhaus, das ist schön ruhig und friedlich. Ich brauche Stille, um mich beim Hacken zu konzentrieren.

Golem.de: Mit welcher Technik gehen Sie vor?

Lopez: Ich mache manuelles Hacking; es ist sehr wichtig, nicht nur Automatisierungsprogramme zu verwenden. Ganz selten verwende ich eigene Programme, je nach Situation ergibt das Sinn. Ich liebe außerdem Burp Suite, ein grafisches Tool zum Testen der Sicherheit von Webanwendungen. Für mich ist es das wirkungsvollste und vollständigste Programm für Bug Bounty Hunter; ich habe eine Menge Bugs damit aufgespürt.

Golem.de: Haben Sie schon gute Jobangebote von den Firmen bekommen, für die Sie Schwachstellen gefunden haben?

Lopez: Ja, ich habe Angebote bekommen, in IT-Sicherheitsabteilungen diverser Unternehmen zu arbeiten, aber angenommen habe ich keines davon. Auf jeden Fall muss ich erstmal einen Abschluss machen. Irgendwann in meinem Leben plane ich nämlich zu studieren, am liebsten irgendwas mit Technik. Erst danach will ich darüber nachdenken, in so einer Position zu arbeiten.

Golem.de: Was war bisher Ihr größter Erfolg?

Lopez: Ich glaube, der Hacker zu sein, der ich heute bin, ist ein großer Erfolg für mich. Ich bin sehr stolz darauf, das Internet zu einem sichereren Ort zu machen.

Golem.de: Wie kommen Sie zu Ihren Aufträgen?

Lopez: Normalerweise ist man auf Bug-Bounty-Seiten wie "Hacker One" angemeldet. Dann laden Firmen offiziell dazu ein, ihre Netzwerke nach Sicherheitslücken zu überprüfen. "Hacker One" fragt mich an, an der Jagd nach Bugs teilzunehmen. Ich spüre sie dann auf; die Fehler behebe ich aber nicht. Das machen die internen Sicherheitsteams der Unternehmen selbst.

Golem.de: Verlangen die Unternehmen dazu Verschwiegenheitserklärungen von den Hackern?

Lopez: Nein, ich musste noch nie NDAs (non-disclosure agreements, Anm. d. Red.) unterschreiben, aber ich habe mich über die Plattform verpflichtet, nicht konkret über die Bugs zu sprechen, die ich gefunden habe.

Golem.de: Wie kommen Sie dann zu Ihrer Prämie?

Lopez: Die Prämien sind im Vorfeld festgelegt und werden in unterschiedlicher Höhe je nach Grad der Lücke ausgeschüttet. Wenn es sich um einen Fehler handelt, der eine echte Gefahr für die Firma darstellt, ist die Bezahlung auch dementsprechend hoch.

Golem.de: Streicht die Plattform "Hacker One" einen Teil davon ein?

Lopez: Nein, sie behält nichts davon.

Eine Million Dollar in drei Jahren

Golem.de: Wie viel verdient man im Schnitt für einen gefundenen Bug?

Lopez: Ich suche immer weniger kritische Bugs; ich bin kein Fan von den ganz schweren Fehlern. Mein Ziel ist, in kurzer Zeit so viele kleine Sicherheitslücken wie möglich zu finden, wofür ich jeweils zwischen 500 und 2.000 US-Dollar bekomme. Ich hatte aber auch schon phantastische Perioden in meiner Hacking-Karriere, wo ich zwischen 50.000 und 75.000 Dollar im Monat für kritische Bugs verdient habe.

Golem.de: Hand aufs Herz: Haben Sie in erster Linie wegen des Geldes angefangen, Schwachstellen in Systemen aufzuspüren? Oder aus anderen Gründen?

Lopez: Als ich mit dem Hacken angefangen habe, hat mich das Geld noch nicht wirklich gekümmert. Ich war einfach glücklich, dass ich meine erste Schwachstelle gefunden habe. Ich habe nie zu träumen gewagt, so viel Geld damit zu verdienen, wie ich es dann habe. Aber ich bin damit jetzt natürlich recht zufrieden.

Golem.de: Vor kurzem haben Sie Ihre erste Million mit Bug Bounty Hunting geknackt. Was haben Sie mit dem ganzen Geld gemacht?

Lopez: Als ich angefangen habe, gutes Geld damit zu verdienen, habe ich mir einen neuen Computer, zwei Autos und ein sehr schönes Strandhaus auf einem Privatgrundstück in Argentinien gekauft, in dem ich sehr gerne Zeit verbringe. Mehr habe ich bisher noch nicht investiert. Ich bin kein großer Fan davon, zu viel Geld auszugeben. Ich spare es lieber.

Golem.de: Muss man den Firmen eigentlich Rechnungen schreiben oder wie läuft das in Ihrer Branche mit der Bezahlung?

Lopez: Nein, ich arbeite ja über "Hacker One", die zwischen uns Hackern und den Firmen vermittelt.

Golem.de: Und die Steuer?

Lopez: Klar, die muss ich zahlen wie jeder andere auch.

Golem.de: Wie viele und welche Firmen haben Sie bisher beauftragt?

Lopez: Ich weiß keine genauen Zahlen mehr, aber ich habe schon mit riesigen Organisationen wie Twitter, Verizon und der US-Regierung gearbeitet. Bis jetzt habe ich über 1.700 Bugs gefunden.

Golem.de: Wie erklären Sie sich, dass die meisten Bug Bounty Hunter nur ein Taschengeld verdienen, während Sie gerade Ihre erste Million damit gemacht haben?

Lopez: Ich kann das nicht wirklich erklären. Ich glaube, es kommt darauf an, Zeit darauf zu verwenden, Websites zu recherchieren und Fehler zu finden. Es ist viel Arbeit und dauert, ist es aber am Ende auf jeden Fall wert.

Golem.de: Ich habe gelesen, dass andere Bug Bounty Hunter manchmal gar nicht bezahlt werden und Ärger mit Firmen haben, die die Prämien nicht auszahlen.

Lopez: Das ist mir noch nicht passiert. Mein Rat ist, sich bei einer bekannten Plattform anzumelden und darüber zu arbeiten, dann passiert das in der Regel auch nicht.

Golem.de: Aber machen Sie noch irgendwas anders als die anderen?

Lopez: Ich glaube nicht. Ich mache einfach einen Job, den ich liebe. Bugs zu finden, gibt mir eben ein echtes High.

Golem.de: Ich verstehe immer noch nicht, wie Sie eine Million damit verdient haben.

Lopez: Ich ziehe es vor, viele kleine Bugs zu finden. Vielleicht ist es das. Ich arbeite an so vielen wie nur irgendwie möglich und erwirtschafte mir dadurch mein Einkommen.  (maj)


© 1997–2019 Golem.de, https://www.golem.de/