Mi az a hibavadászat és miért van átalakulóban?

Brandyn Murtagh pályafutása az IT biztonság világában figyelemre méltó példája annak, hogyan válhat valaki a modern technológiai ipar egyik sikeres szereplőjévé. Már 10-11 éves korában elkezdett érdeklődni a számítógépek és a játékok iránt, és fiatal korától fogva tisztában volt azzal, hogy „hacker szeretne lenni, vagy a biztonság területén dolgozni”. Tizenhat évesen már egy biztonsági műveleti központban dolgozott, ahol betekintést nyert a számítógépes biztonság világába, majd húsz évesen átlépett a penetrációs tesztelés területére. Ebben a szerepben különféle biztonsági teszteket végzett, amely magában foglalta a kliensek fizikai és informatikai rendszereinek védelmének ellenőrzését is. Murtagh elmondása szerint „hamis identitásokat kellett létrehoznia, helyeket kellett feltörnie, és hackelnie kellett. Ez igazán szórakoztató volt.” Az utóbbi egy évben Murtagh teljes munkaidőben bug bounty vadászként dolgozik, ami azt jelenti, hogy különböző szervezetek számítógépes infrastruktúráját kutatja biztonsági sebezhetőségek után, és eddigi tapasztalatai alapján úgy tűnik, hogy nem nézett vissza.

A bug bounty programokat először a Netscape indította el az 1990-es években, amikor pénzbeli jutalmat ajánlottak fel azoknak a biztonsági szakértőknek, akik felfedeztek hibákat a termékeikben. Ezt követően olyan platformok, mint a Bugcrowd és a HackerOne jelentek meg az Egyesült Államokban, valamint az Intigriti Európában, hogy összekapcsolják a hackereket és azokat a szervezeteket, amelyek szeretnék tesztelni szoftvereik és rendszereik biztonságát. Casey Ellis, a Bugcrowd alapítója kifejti, hogy míg a hackelés „morálisan agnosztikus készség”, a bug vadászoknak mindenképpen a törvény keretein belül kell működniük. A Bugcrowd például lehetővé teszi a cégek számára, hogy meghatározzák, mely rendszereket akarják tesztelni, és élő hackathonokat szerveznek, ahol a legjobb bug vadászok versenyeznek és együttműködnek a rendszerek „bombázásában”, megmutatva készségeiket és potenciálisan nagy összegeket keresve.

A cégek számára is világos a Bugcrowd által nyújtott előny. Andre Bastert, az AXIS OS globális termékmenedzsere elmondja, hogy a cég operációs rendszerében 24 millió sor kód található, így a sebezhetőségek elkerülhetetlenek. „Rá kellett jönnünk, hogy mindig jó, ha van egy második szem, amely megnézi a dolgokat.” Az Axis Communications bug bounty programjának megnyitása óta 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egyet, amelyet „nagyon súlyosnak” ítéltek meg. A hacker, aki ezt felfedezte, 25 000 dolláros jutalomban részesült. A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett, ami bizonyítja, hogy ez a munka rendkívül jövedelmező lehet.

Bár a kulcsfontosságú platformokon több millió hacker regisztrált, a napi vagy heti szinten aktívan vadászó hackerek száma „tízezer” körüli. Az elitek, akiket a legnagyobb eseményekre hívnak meg, még ennél is kevesebben vannak. Murtagh elmondása szerint a jó hónap az, amikor néhány kritikus és magas sebezhetőséget talál, de hozzátette, hogy ez nem mindig valósul meg. Az AI robbanásszerű fejlődése azonban új lehetőségeket nyújt a bug vadászok számára, hiszen az intézmények versenyképes előnyre törekednek ezen technológia használatával, ami általában biztonsági hatásokkal is jár.

A modern AI technológiák nemcsak erősek, hanem „mindenki számára használhatóak” is. Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági oktatója rámutat, hogy a mesterséges intelligencia az első technológia, amely megjelent, miközben a formális bug vadász közösség már létezett. Ez lehetővé tette a hackerek számára, hogy gyorsabban és automatizált módon végezzenek műveleteket, például sebezhető rendszerek azonosítását vagy kódok elemzését. Az AI rendszerek nagy nyelvi modellekre való támaszkodása miatt azonban a nyelvi készségek és manipulációk fontos részei a hacker eszköztárának.

Murtagh elmondása szerint a chatbotokkal végzett társadalmi manipulációs technikákat is alkalmazta, hogy adatokat szerezzen más felhasználókról. Ugyanakkor a hagyományos webalkalmazási technikák is hatékonyak lehetnek, például a cross-site scripting támadások, amelyek során a hackerek hamis kódot juttathatnak be a chatbotba, ami biztonsági problémákat okozhat. Dr. Paxton-Fear hangsúlyozza, hogy a mesterséges intelligenciával kapcsolatos sebezhetőségek az interkonnektivitás miatt szélesebb körben is megjelenhetnek, hiszen ha egy rendszerben hiba van, az más rendszerekre is hatással lehet. Jelenleg ugyan még nem történt jelentős AI-hoz kapcsolódó adatlopás, de a szakemberek úgy vélik, hogy ez csupán idő kérdése.

A jövőbeli kihívások ellenére a bug vadászok elkötelezettek maradnak a biztonságosabb digitális világ megteremtése mellett. Murtagh szavaival élve: „Egyszer hacker, mindig hacker.”

Forrás: https://www.bbc.com/news/articles/c99n8r38rdlo