Mi az a hibavadászat és miért van szükség rá?
Brandyn Murtagh egy különleges karriert választott magának, amely lehetőséget ad arra, hogy világszerte, exkluzív helyszíneken bizonyíthassa tudását. Munkája során olyan luxus szállodákban vagy Las Vegas-i e-sport arénákban versenyezhet, ahol a közönség szurkol neki, miközben neve folyamatosan emelkedik a ranglistákon, és jövedelme is gyarapszik. Murtagh története a számítógépes biztonság és a hackelés világában 10-11 éves korában kezdődött, amikor is szenvedélyesen érdeklődött a játékok és a számítógép-építés iránt. Fiatal korától fogva tudta, hogy hacker szeretne lenni, vagy a biztonság területén dolgozni. Tizenhat évesen már egy biztonsági műveleti központban dolgozott, majd húszévesen áttért a penetrációs tesztelésre, ahol a kliensek fizikai és számítógépes biztonságát kellett tesztelnie. Munkája során hamis személyazonosságokat kellett létrehoznia, hogy bejuthasson különböző helyszínekre, hogy azokat feltörje. Murtagh az elmúlt évben teljes munkaidős bug bounty vadásszá és független biztonsági kutatóvá vált, ami azt jelenti, hogy szervezetek számítógépes infrastruktúráját vizsgálja biztonsági sebezhetőségek után kutatva. Munkája során nem nézett vissza, és úgy tűnik, az útja csak felfelé ível.
A Netscape, az internetböngésző-pioneer, tekinthető az első technológiai cégnek, amely készpénzes „bounty” díjat ajánlott fel a biztonsági kutatóknak vagy hackereknek a termékeikben felfedezett hibákért az 1990-es években. Azóta olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, lehetőséget adtak arra, hogy a hackerek és a szoftverüket, rendszereiket tesztelni kívánó szervezetek összekapcsolódjanak. Casey Ellis, a Bugcrowd alapítója szerint, bár a hackelés „morálisan semleges készség”, a bug vadászoknak a törvény keretein belül kell működniük. A Bugcrowd platform lehetővé teszi a cégek számára, hogy meghatározzák, milyen rendszereket szeretnének, hogy a hackerek teszteljenek. Emellett működtetnek élő hackathonokat is, ahol a legjobb bug vadászok versenyeznek és együttműködnek, „ütve” a rendszereket, miközben készségeiket demonstrálják, és lehetőségük van jelentős pénzkeresetre.
A Bugcrowd platformot használó cégek számára is világos, hogy miért éri meg a biztonsági kutatók bevonása. Andre Bastert, az AXIS OS globális termékmenedzsere, a svéd Axis Communications hálózati kamerákkal és megfigyelőberendezésekkel foglalkozó cég képviseletében elmondta, hogy a 24 millió sor kódot tartalmazó eszközük operációs rendszerében elkerülhetetlenek a sebezhetőségek. „Ráébredtünk, hogy mindig jó, ha van egy második szem, ami átnézi a dolgainkat.” Az Axis bug bounty programja óta körülbelül 30 sebezhetőséget találtak és javítottak ki, köztük egyet, amelyet „nagyon súlyosnak” ítéltek. A hacker, aki ezt felfedezte, 25 000 dolláros jutalmat kapott. A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett. Bár több millió hacker regisztrált a főbb platformokon, Inti De Ceukelaire, az Intigriti vezető hackere szerint a napi vagy heti szinten vadászó hackerek száma „tízezrekben” mérhető, míg az elit szint, akiket a csúcsélő eseményekre invitálnak, még ennél is kisebb.
Murtagh úgy véli, hogy egy jó hónapban néhány kritikus sebezhetőséget talál, emellett néhány magas, és sok közepes súlyosságú hibát is. Ideális esetben ez jó kereseti lehetőséget jelent számára. Ugyanakkor hozzátette, hogy ez nem mindig így van. Az AI robbanásszerű fejlődésével a bug vadászok új támadási felületeket fedezhetnek fel. A technológiai cégek versenyképességük növelésére sietnek, ami általában biztonsági hatásokkal is jár. A modern AI rendszerek nemcsak erősek, hanem „mindenki számára használatra készítettek”. Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági oktatója hangsúlyozza, hogy az AI az első technológia, amely úgy jelent meg, hogy a formális bug vadász közösség már létezett. A hackerek, legyenek etikusak vagy sem, ki tudják használni a technológiát, hogy felgyorsítsák és automatizálják saját munkájukat, kezdve a sebezhető rendszerek azonosításától, a kódhibák elemzésén át egészen a jelszavak javaslásáig, amelyekkel be tudnak törni a rendszerekbe. Az AI rendszerek nagymértékben támaszkodnak a nyelvi modellekre, így a nyelvi készségek és manipulációk fontos részét képezik a hacker eszköztárának.
Murtagh elmondta, hogy ilyen szociális mérnöki technikákat alkalmazott chatobotokkal, például kereskedői chatbotokkal, hogy más felhasználók rendelését vagy adatait szerezhesse meg. A hagyományos webalkalmazás-technikai támadások is hatékonyak lehetnek ezek ellen a rendszerek ellen. Murtagh tapasztalata szerint a cross-site scripting nevű támadási módszerrel sikerült manipulálnia a chatbotokat, hogy azok rosszindulatú kódot jelenítsenek meg. Az AI-alapú rendszerek összekapcsoltsága miatt azonban a sebezhetőségek egy másik rendszerben is megjelenhetnek, ami további kihívásokat jelent a biztonsági kutatók számára. Dr. Paxton-Fear megjegyzése szerint egyelőre nem történt komoly AI-hoz kapcsolódó adatlopás, de „csak idő kérdése”. Az AI iparnak tehát biztosítania kell, hogy befogadja a bug vadászokat és a biztonsági kutatókat, hogy hatékonyan végezhessék a munkájukat, és megőrizzék a világ biztonságát. A bug vadászok számára ez a kihívás nem tántoríthatja el őket attól, hogy folytassák a munkájukat, hiszen, ahogy De Ceukelaire fogalmazott: „Egyszer hacker, mindig hacker.”
Ezeket is érdemes megnézni
Enyedi Ildikó újabb Oscar-esélyes alkotása hódítja meg a világot
A fogcsap beültetés menete: lépések és fontos tudnivalók
