Mi a hibakeresés és miért változik?
Brandyn Murtagh pályafutása egy olyan izgalmas területen bontakozott ki, amely a technológiai karrier lehetőségeit egy új dimenzióba emeli. Az ő története jól példázza, hogy a számítástechnikai biztonság és a hackelés világában mennyi lehetőség rejlik. Murtagh már fiatal korában, 10-11 évesen elkezdett videojátékokat játszani és számítógépeket építeni, és mindig is tudta, hogy szeretne hacker lenni vagy a biztonsággal foglalkozni. Tizenhat éves korában már egy biztonsági műveleti központban dolgozott, húsz évesen pedig a penetrációs tesztelés területén kezdett el tevékenykedni. Ez a munka nem csupán a számítógépes biztonság ellenőrzését jelentette, hanem a kliensek fizikai és digitális védelmét is kellett tesztelnie. Murtagh ezt a kihívást szórakoztatónak találta, hiszen gyakran hamis személyazonosságokat kellett létrehoznia, hogy belépjen különböző helyekre és hackeljen.
Az utóbbi évben Murtagh teljes munkaidős bug bounty vadásszá és független biztonsági kutatóvá vált, amely azt jelenti, hogy különböző szervezetek számítógépes infrastruktúráját kutatja a biztonsági réseket keresve. Az internet böngészőjének úttörője, a Netscape volt az első technológiai cég, amely a 90-es években készpénzes „jutalmat” ajánlott fel a biztonsági kutatóknak vagy hackereknek, akik felfedezték termékeikben található hibákat. Ezt követően olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában jelentek meg, hogy összekapcsolják a hackereket és azokat a szervezeteket, akik szeretnék tesztelni szoftvereik és rendszereik biztonságát.
Casey Ellis, a Bugcrowd alapítója kiemeli, hogy bár a hackelés egy „erkölcsileg semleges készség”, a bug vadászoknak a törvény keretein belül kell működniük. Az olyan platformok, mint a Bugcrowd, nagyobb rendszert visznek a bug vadászat folyamatába, lehetővé téve a cégek számára, hogy meghatározzák, mely rendszereket szeretnék, ha a hackerek célba vennék. Emellett live hackathonokat is szerveznek, ahol a legjobb bug vadászok versenyeznek és együttműködnek, hogy „támadják” a rendszereket, bemutatva képességeiket, miközben lehetőséget kapnak arra, hogy jelentős pénzdíjakat nyerjenek.
A cégek számára, akik a Bugcrowd-hoz hasonló platformokat használnak, a nyereség is nyilvánvaló. Andre Bastert, az AXIS OS globális termékmenedzsere az Axis Communications svéd hálózati kamerák és megfigyelési eszközök gyártójától elmondta, hogy a 24 millió sor kódot tartalmazó eszközoperációs rendszerükben elkerülhetetlenek a hibák. „Mindig jó, ha van egy második szem, amely átnézi a dolgokat”, mondta. Az Axis bug bounty programjának megnyitása óta akár 30 hibát is felfedeztek és javítottak, köztük egy „nagyon súlyos” sebezhetőséget is, amelyért a hacker 25 000 dolláros jutalmat kapott.
A Bugcrowd legjobban kereső hackere az utolsó évben több mint 1,2 millió dollárt keresett. Azonban, míg a fő platformokon milliónyi hacker van regisztrálva, Inti De Ceukelaire, az Intigriti fő hackelési tisztviselője elmondta, hogy a napi vagy heti szinten aktívan vadászó hackerek száma „tízezerre” tehető. Az elit szint, akik a kiemelt eseményekre kapnak meghívót, még kisebb létszámú.
Murtagh elmondása szerint: „Egy jó hónap úgy néz ki, hogy néhány kritikus, néhány magas és sok közepes sebezhetőséget találok. Ideális esetben néhány jó fizetési nap is vár rám.” Hozzátette, hogy ez nem mindig valósul meg. Azonban az AI gyors fejlődése új támadási felületeket nyitott meg a bug vadászok előtt. Ellis megjegyzi, hogy a szervezetek versenyeznek a technológiai előny megszerzéséért, ami tipikusan biztonsági hatással jár. „Általában, ha gyorsan és versenyképesen hajtasz végre új technológiát, nem gondolsz annyira arra, hogy mi mehet rosszul.”
Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági oktatója rámutat, hogy az AI az első technológia, amely robbanásszerűen megjelent, miközben a hivatalos bug vadász közösség már létezett. A hackerek számára, legyenek ők etikusak vagy nem, lehetőséget ad arra, hogy a technológiát saját folyamataik felgyorsítására és automatizálására használják. A modern AI rendszerek nagymértékben támaszkodnak a nyelvi modellekre, így a nyelvi készségek és manipulációk is fontos részei a hacker eszköztárának.
Murtagh például elmondta, hogy ilyen társadalmi mérnöki technikákat alkalmazott a kiskereskedők chatbotjain: „Megpróbáltam rávenni a chatbotot, hogy kérdést tegyen fel, vagy akár önállóan indítson el egy folyamatot, hogy hozzáférhessek egy másik felhasználó rendeléséhez vagy adatához.” Azonban ezek a rendszerek is sebezhetőek a „hagyományos” webalkalmazás technikákkal szemben. „Sikerült elérnem egy támadást, amit cross-site scriptingnek hívnak, ahol lényegében becsaphatod a chatbotot, hogy egy rosszindulatú payload-ot rendereljen, ami különféle biztonsági következményekkel járhat.”
Dr. Paxton-Fear figyelmeztet, hogy a chatbotokra és a nagyméretű nyelvi modellekre való túlzott figyelem elvonhatja a figyelmet az AI által támogatott rendszerek széleskörű összekapcsoltságáról. „Ha egy rendszerben sebezhetőség merül fel, hol jelenik meg ez végül minden más, ahhoz kapcsolódó rendszerben? Ott keresném ezeket a típusú hiányosságokat.” Jelenleg még nem történt jelentős AI-hoz kapcsolódó adatlopás, de Dr. Paxton-Fear úgy véli, „csak idő kérdése”. Eközben a fejlődő AI iparnak biztosítania kell, hogy befogadja a bug vadászokat és biztonsági kutatókat. „Az a tény, hogy egyes cégek ezt nem teszik, sokkal nehezebbé teszi számunkra a világ biztonságban tartását.” A bug vadászokat azonban valószínűleg nem tántorítja el a kihívás, hiszen ahogy De Ceukelaire fogalmazott: „Egyszer hacker, mindig hacker.”
Ezeket is érdemes megnézni
Mi a legjobb módszer a herpesz hatékony kezelésére?
Hogyan ismerd fel a férfi szerelem valódi jeleit?
