A hibakeresés jelentősége és fejlődése

A technológiai karrier lehetőségei közül talán a legizgalmasabbak közé tartozik a hibavadászathoz kapcsolódó munka, amely nemcsak izgalmas kihívásokkal, hanem különleges helyszínekkel is várja a szakembereket világszerte. Brandyn Murtagh, aki a hibavadászat világában szerzett tapasztalatait osztja meg, például olyan luxus szállodákban és Las Vegas-i e-sport arénákban mutathatta meg tudását, ahol a közönség lelkesedése kísérte, ahogy neve felkerült a ranglistákra, és a keresete is folyamatosan gyarapodott. Murtagh már fiatal korában, körülbelül 10-11 évesen elkezdett foglalkozni a játékkal és számítógépek építésével, és mindig is tudta, hogy hacker vagy biztonsági szakember szeretne lenni. Tizenhat éves korában már a biztonsági műveletek központjában dolgozott, majd húszévesen áttért a behatolási tesztelésre, ahol a kliensek fizikai és számítógépes biztonságát kellett tesztelnie. „Hamisan kellett azonosítanom magam, be kellett hatolnom helyszínekre, majd hackelnem. Nagyon szórakoztató volt” – mesélte.

Az utóbbi évben Murtagh teljes munkaidős hibavadásszá és független biztonsági kutatóvá vált, ami azt jelenti, hogy a szervezetek számítógépes infrastruktúráját kutatja biztonsági sebezhetőségek után. Az útja során nem nézett vissza. A Netscape, az internetböngészők úttörője, már az 1990-es években bevezette a hibavadász programot, amely keretében pénzjutalmat kínált a biztonsági kutatóknak a termékeikben felfedezett hibákért. Ezt követően olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, segítettek a hackerek és a biztonsági tesztelést végző szervezetek összekapcsolásában.

A Bugcrowd alapítója, Casey Ellis elmondta, hogy míg a hackelés „erkölcsileg semleges készség”, a hibavadászoknak a törvények keretein belül kell működniük. A Bugcrowd által működtetett platformok lehetővé teszik a cégek számára, hogy meghatározzák, milyen rendszereket szeretnének, hogy a hackerek teszteljenek. Ezen platformok élő hackathonokat is szerveznek, ahol a legjobbnak számító hibavadászok versenyeznek és együtt dolgoznak, megmutatva tudásukat, és potenciálisan jelentős összegeket keresnek.

A Bugcrowd használatával a cégek számára is egyértelműek a „bounty” program előnyei. André Bastert, az Axis Communications globális termékmenedzsere elmondta, hogy készülékük operációs rendszere 24 millió kódsorból áll, így a sebezhetőségek elkerülhetetlenek. „Rájöttünk, hogy mindig jó, ha van egy második szem, ami megvizsgálja a dolgokat.” Az Axis bug bounty programja óta több mint 30 sebezhetőséget találtak és javítottak ki, köztük egyet, amelyet „nagyon súlyosnak” minősítettek, ezért a hacker, aki ezt felfedezte, 25,000 dolláros jutalomban részesült. A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett.

Bár a platformokon regisztrált hackerek száma milliós nagyságrendű, Inti De Ceukelaire, az Intigriti fő hacking tisztje elmondta, hogy a napi vagy heti szinten aktívan dolgozó hackerek száma „tízezres nagyságrendű”. A legjobbak, akiket a főbb élő eseményekre hívnak, még ennél is kevesebben vannak. Murtagh szerint egy jó hónap úgy néz ki, hogy néhány kritikus sebezhetőséget találnak, néhány magasabb szintű problémát, és sok közepeset is. „Ideális esetben ez jó keresethez vezethet” – tette hozzá, de azt is hangsúlyozta, hogy ez nem mindig valósul meg.

Az AI robbanásszerű fejlődése új lehetőségeket nyújt a hibavadászok számára. Ellis megjegyezte, hogy a szervezetek versenyképességük megőrzése érdekében sietnek az új technológiák bevezetésével, ami jellemzően biztonsági hatásokkal is jár. A modern AI rendszerek nagy nyelvi modellekre támaszkodása miatt a nyelvi készségek és manipulációk fontos részét képezik a hackerek eszköztárának. De Ceukelaire elmondta, hogy klasszikus rendőrségi kihallgatási technikákra alapozva próbálja meg „megtörni” a chatbotokat.

Murtagh például olyan szociális mérnöki technikákat alkalmaz, amelyek lehetővé teszik, hogy a chatbotokat manipulálja, hogy hozzáférjen más felhasználók adataihoz. De figyelmeztetett, hogy ezeken a rendszereken a hagyományos webalkalmazás technikák is működhetnek, így a cross-site scripting technika alkalmazásával sikerült néhány sebezhetőséget felfedeznie.

Az AI és a chatbotok körüli fókuszálás azonban figyelmeztető jeleket is hordoz, hiszen a rendszerek közötti összefonódás miatt egy sebezhetőség más rendszerekre is kihatással lehet. Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója arra figyelmeztetett, hogy noha eddig nem történt jelentős AI-hoz kapcsolódó adatlopás, ez csupán idő kérdése. A szakembereknek tehát mindent meg kell tenniük, hogy a hibavadászokat és a biztonsági kutatókat bevonják az AI ipar fejlődésébe, hiszen a világ biztonságának megőrzése érdekében ez elengedhetetlen. A hibavadászok számára azonban a kihívások továbbra is vonzóak maradnak, hiszen De Ceukelaire szavaival élve: „Egyszer hacker, mindig hacker.”

Forrás: https://www.bbc.com/news/articles/c99n8r38rdlo