Mi az a hibakeresés és miért van szükség rá?
A technológiai karrier egyik legizgalmasabb és legdinamikusabb lehetősége a bug bounty vadászat, amely lehetőséget ad arra, hogy a szakemberek a világ különböző helyein, exkluzív helyszíneken, például luxus szállodákban vagy Las Vegas e-sport arénáiban bizonyítsák tudásukat. A bug bounty hunter-ként dolgozó Brandyn Murtagh az elmúlt egy évben ezt az életformát tapasztalta meg, amikor is a számítógép-építést és a játékokat már gyermekként, 10-11 évesen elkezdte. Már fiatalon tudta, hogy hacker vagy biztonsági szakember szeretne lenni. Tizenhat évesen kezdett el dolgozni egy biztonsági műveleti központban, majd húszévesen áttért a penetrációs tesztelésre, ahol a megbízók fizikai és számítógépes biztonságát tesztelte. Munkája során hamis identitásokat kellett kreálnia, hogy belépjen védett helyekre, és ott hackeljen, amit rendkívül szórakoztatónak talált.
Az elmúlt évben Murtagh teljes munkaidős bug bounty vadásszá és független biztonsági kutatóvá vált, ami azt jelenti, hogy folyamatosan vizsgálja a különböző szervezetek számítógépes infrastruktúráját a biztonsági sebezhetőségek után kutatva. Murtagh eddigi karrierje során nem nézett vissza, és a bug bounty programok rengeteg lehetőséget kínálnak a számára. A Netscape volt az első technológiai vállalat, amely az 1990-es években pénzbeli „jutalmat” ajánlott fel a biztonsági kutatóknak és hackereknek, akik felfedezték a termékeikben található hibákat vagy sebezhetőségeket. Ezt követően olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, alakultak ki, hogy összekapcsolják a hackereket és azokat a szervezeteket, akik szeretnék tesztelni szoftvereik és rendszereik biztonságát.
A Bugcrowd alapítója, Casey Ellis elmondja, hogy bár a hackelés egy „erkölcsileg semleges készség”, a bug bounty vadászoknak a törvény keretein belül kell működniük. Ezek a platformok növelik a bugvadászati folyamat diszciplínáját, lehetővé téve a vállalatok számára, hogy meghatározzák, milyen rendszerekre szeretnék, hogy a hackerek összpontosítsanak. Az élő hackathonok során a legjobb bug bounty vadászok versenyeznek és együttműködnek, „zúzva” a rendszereket, bemutatva képességeiket, és lehetőséget kapnak arra, hogy jelentős összegeket keressenek. Az ilyen platformokat használó vállalatok számára a haszon nyilvánvaló. André Bastert, az AXIS OS globális termékmenedzsere, a svéd Axis Communications kamera- és megfigyelőrendszer-gyártó cégnél elmondta, hogy a 24 millió kódvonalat tartalmazó operációs rendszerükben a sebezhetőségek elkerülhetetlenek. „Rá kellett jönnünk, hogy mindig jó, ha van egy második pár szem” – mondta Bastert. Az Axis bug bounty programjának megnyitása óta már 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egyet, amelyet „nagyon súlyosnak” ítéltek meg. A hiba felfedezéséért a hacker 25 000 dolláros jutalmat kapott.
A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett. Habár a kulcsfontosságú platformokon milliók vannak regisztrálva, Inti De Ceukelaire, az Intigriti vezető hackere elmondta, hogy a napi vagy heti szinten aktívan vadászó hackerek száma „tízezrek”. Az elit szint, akiket a legfontosabb élő eseményekre hívnak meg, még ennél is kisebb. Murtagh elmondta, hogy egy jó hónap általában néhány kritikus és magas sebezhetőség felfedezésével, valamint sok közepes szintű hibával jár. Azt is hozzátette, hogy ez nem mindig valósul meg.
Az AI robbanásszerű fejlődése új lehetőségeket teremtett a bug vadászok számára. Ellis hangsúlyozza, hogy a szervezetek versenyképes előnyhöz szeretnének jutni az új technológiával, ami általában biztonsági hatásokat is von maga után. „Ha gyorsan és versenyképesen vezetsz be egy új technológiát, nem mindig gondolsz arra, hogy mi mehetne rosszul” – mondja. Az AI nemcsak erőteljes, hanem „tervezett, hogy bárki használhassa”. Dr. Katie Paxton-Fear, a manchesteri Metropolitan Egyetem biztonsági kutatója és kiberbiztonsági oktatója kiemeli, hogy az AI az első technológia, amely robbanásszerűen megjelent, miközben a hivatalos bug vadász közösség már létezett.
Az AI szintén kiegyenlítette a hackerek közti versenyt, mondja De Ceukelaire. A hackerek – akár etikusak, akár nem – kihasználhatják a technológiát, hogy felgyorsítsák és automatizálják saját működésüket, a sebezhető rendszerek azonosításától kezdve a kódhibák elemzéséig. Az AI modern rendszereinek nagy nyelvi modellekre való támaszkodása azt is jelenti, hogy a nyelvi készségek és manipulációk fontos részei a hacker eszköztárának. Murtagh elmondta, hogy ő is alkalmazta ezeket a szociális manipulációs technikákat chatbottal való interakciók során, például megpróbálva kényszeríteni őket, hogy egy másik felhasználó rendelését vagy adatait árulják el. Ugyanakkor hangsúlyozta, hogy ezek a rendszerek hagyományos webalkalmazási technikákkal is támadhatók, például a cross-site scripting módszerével.
A biztonsági kockázatok azonban nem érnek véget itt. Dr. Paxton-Fear figyelmeztet, hogy a chatbottokra és a nagy nyelvi modellekre való túlzott összpontosítás eltérítheti a figyelmet az AI-alapú rendszerek szélesebb összefonódásairól. „Ha egy rendszerben sebezhetőséget találsz, az hol jelenik meg más rendszerekben, amelyek kapcsolódnak hozzá?” – teszi fel a kérdést. Jelenleg még nem történt jelentős AI-hoz kapcsolódó adatvédelmi incidens, de Paxton-Fear úgy véli, hogy ez csak idő kérdése. Az újonnan fejlődő AI iparnak elengedhetetlen, hogy a bug vadászokat és biztonsági kutatókat bevonja, mivel „ha egyes cégek ezt nem teszik, az sokkal nehezebbé teszi a feladatunkat, hogy megőrizzük a világ biztonságát.” Azonban Murtagh és társai nem ijednek meg a kihívásoktól. Ahogyan De Ceukelaire mondta: „Egyszer hacker, mindig hacker.”
Ezeket is érdemes megnézni
Francia műköröm trendek és tippek tökéletes manikűrhöz
Stifler mamája és a popkultúra hatása a filmiparra
