A hibavadászat új dimenziói és jelentősége
A technológiai karrier lehetőségei közül kevés kínál olyan izgalmas lehetőségeket, mint a bug bounty vadászat, amely során a szakemberek világszerte, exkluzív helyszíneken, például luxusszállodákban vagy Las Vegas e-sport arénáiban bizonyíthatják tudásukat. Brandyn Murtagh, aki az utóbbi egy évben bug bounty vadászként dolgozik, éppen ezt tapasztalta meg. A fiatal szakember már 10 vagy 11 éves korában elkezdett videojátékokkal játszani és számítógépeket építeni, és mindig is tudta, hogy hacker vagy biztonsági szakember szeretne lenni. Tizenhat évesen már egy biztonsági műveleti központban dolgozott, majd 20 éves korában áttért a penetrációs tesztelésre, ami magában foglalta a kliensek fizikai és számítógépes biztonságának tesztelését is. „Álidentitásokat kellett létrehoznom, be kellett törnöm helyekre, majd hackelnem. Igazán szórakoztató volt” – mondta Murtagh.
Az elmúlt évben Murtagh teljes munkaidős bug vadásszá és független biztonsági kutatóvá vált, ami azt jelenti, hogy szervezetek informatikai infrastruktúráját kutatja a biztonsági sebezhetőségek után. Az internetböngészők úttörője, a Netscape, az 1990-es években volt az első technológiai vállalat, amely készpénzes „jutalmat” ajánlott fel a biztonsági kutatóknak vagy hackereknek a termékeikben fellelhető hibák vagy sebezhetőségek felfedezéséért. Ezt követően olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, létrejöttek, hogy összekapcsolják a hackereket az olyan szervezetekkel, amelyek szeretnék tesztelni szoftvereik és rendszereik biztonságát.
A Bugcrowd alapítója, Casey Ellis elmondta, hogy bár a hackelés „morálisan semleges készség”, a bug vadászoknak a törvény keretein belül kell működniük. A Bugcrowd és hasonló platformok több fegyelmet hoznak a bugvadászat folyamatába, lehetővé téve a cégek számára, hogy meghatározzák, mely rendszereket szeretnék, hogy a hackerek teszteljék. Ezek a platformok élő hackathonokat is szerveznek, ahol a legjobb bug vadászok versenyeznek és együttműködnek, „támadva” a rendszereket, bemutatva tudásukat és potenciális nagy pénznyereményeket szerezve.
A cégek számára nyilvánvaló előnyökkel jár a Bugcrowd és hasonló platformok használata. Andre Bastert, az AXIS OS globális termékmenedzsere, a svéd Axis Communications hálózati kamera és megfigyelő berendezéseket gyártó cég képviseletében elmondta, hogy az operációs rendszerükben 24 millió sor kód található, így a sebezhetőségek elkerülhetetlenek. „Rájöttünk, hogy mindig jó, ha van egy második pár szem, amely figyel” – tette hozzá. Az Axis bug bounty programjának megnyitása óta mintegy 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egyet, amelyet „nagyon súlyosnak” ítéltek. A hacker, aki ezt felfedezte, 25 000 dollár jutalmat kapott.
A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett. Azonban, míg a legfontosabb platformokon milliónyi hacker van regisztrálva, Inti De Ceukelaire, az Intigriti fő hackelő tisztje szerint naponta vagy hetente aktívan vadászó hackerek száma „tízezer” körüli. Az elit szint, akiket a főbb élő eseményekre hívnak meg, még ennél is kisebb.
Murtagh elmondta, hogy egy jó hónap általában úgy néz ki, hogy néhány kritikus sebezhetőséget találnak, néhány magas szintűt, és sok közepes súlyú hibát. „Ideális esetben néhány jó kifizetés” is társul ehhez, de hozzátette, hogy „ez nem mindig történik meg”. Az AI robbanásszerű fejlődésével a bug vadászok új támadási felületeket kutathatnak. Ellis szerint a szervezetek versenyképes előnyhöz akarnak jutni e technológia révén, ami gyakran biztonsági hatással is jár. „Általánosságban, ha gyorsan és versenyképesen implementál egy új technológiát, nem mindig gondolkodik azon, mi mehet rosszul” – mondta.
Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági oktatója rámutatott, hogy az AI az első technológia, amely ekkora mértékben robbant be a színre, miközben a formális bug vadász közösség már létezett. Az AI használata lehetőséget teremt a hackerek számára, hogy gyorsítsák és automatizálják saját működéseiket, beleértve a sebezhető rendszerek azonosítását, a kódhibák elemzését vagy jelszavak javaslását. Az AI modern rendszereinek nagy nyelvi modellekre való támaszkodása azonban azt is jelenti, hogy a nyelvi készségek és manipulációk fontos részét képezik a hacker eszköztárának.
De Ceukelaire megjegyezte, hogy klasszikus rendőrségi kihallgatási technikákat alkalmazott, hogy zavarba hozza a chatbotokat, és „megkopassza” őket. Murtagh elmondta, hogy a kereskedelmi chatbotokkal való interakció során próbálta kicsalni más felhasználók rendelését vagy adatait. Azonban ezek a rendszerek is sebezhetők a hagyományos webalkalmazásokkal kapcsolatos technikákra. „Sikerült néhány sikeres támadást végrehajtanom, például a cross site scripting nevű támadással, ahol gyakorlatilag becsaphatod a chatbotot, hogy egy rosszindulatú kódot futtasson, ami számos biztonsági problémát okozhat.”
A fenyegetések azonban nem állnak meg itt. Paxton-Fear szerint a chatbotokra és a nagy nyelvi modellekre való túlzott összpontosítás elvonhatja a figyelmet az AI által vezérelt rendszerek szélesebb összefonódottságáról. „Ha egy rendszerben sebezhetőséget találsz, az hogyan jelenik meg a többi, hozzá kapcsolódó rendszerben? Hol látjuk ezeket az összefüggéseket? Ott kell keresned ezeket a hibákat” – tette hozzá. Paxton-Fear hangsúlyozta, hogy eddig nem volt jelentős AI-hoz kapcsolódó adatlopás, de „szerintem csak idő kérdése”. Közben a növekvő AI iparnak biztosítania kell, hogy befogadja a bug vadászokat és biztonsági kutatókat. „Az a tény, hogy egyes cégek nem teszik, sokkal nehezebbé teszi a munkánkat, hogy megőrizzük a világ biztonságát.” Azonban ez valószínűleg nem tántorítja el a bug vadászokat, ahogy De Ceukelaire fogalmazott: „Egyszer hacker, mindig hacker.”
Ezeket is érdemes megnézni
NAV ellenőrzés menete: lépésről lépésre útmutató vállalkozóknak
A legnagyobb madárpók titkai és élőhelye a természetben
