Mi az a hibavadászat és miért van szükség rá?
Brandyn Murtagh, a fiatal és tehetséges bug bounty hunter, a technológiai karrierje során olyan élményekkel gazdagodott, amelyek irigylésre méltóak. Az ő története jól példázza, hogyan lehet a számítástechnikai tudást és a hackelés iránti szenvedélyt sikeres karrierre váltani. Murtagh már 10-11 éves korában elkezdett videojátékokkal játszani és számítógépeket építeni, és akkor határozta el, hogy hacker vagy biztonsági szakember szeretne lenni. Tizenhat évesen már egy biztonsági műveleti központban dolgozott, ahol a behatolási tesztelés világába lépett be, ahol nemcsak a számítógépes biztonságot, hanem a fizikai biztonságot is tesztelte. A feladatai között szerepelt álnéven való bejutás különféle helyszínekre és hackelés, ami számára szórakoztató kihívás volt.
Az utóbbi egy évben Murtagh teljes munkaidős bug bounty hunter lett, ami azt jelenti, hogy szervezetek számítógépes infrastruktúráját vizsgálja biztonsági sebezhetőségek után. Az internet böngészőjének úttörője, a Netscape, volt az első olyan technológiai vállalat, amely az 1990-es években pénzbeli „jutalmat” ajánlott a biztonsági kutatóknak vagy hackereknek a termékeikben felfedezett hibákért. Azóta olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, összekötik a hackereket és azokat a szervezeteket, amelyek biztonsági tesztelést szeretnének végezni.
Casey Ellis, a Bugcrowd alapítója elmondta, hogy bár a hackelés „morálisan semleges készség”, a bug bounty hunter-eknek be kell tartaniuk a törvényeket. A Bugcrowd platform lehetővé teszi a vállalatok számára, hogy meghatározzák, mely rendszereket szeretnék, hogy a hackerek teszteljék, így a bug-hunting folyamatot jobban szabályozzák. Ezek a platformok élő hackathonokat is szerveznek, ahol a legjobb bug bounty hunter-ek versenyeznek és együttműködnek, bemutatva képességeiket, miközben lehetőségük van jelentős pénzkeresésre is.
Az AXIS Communications svéd hálózati kamerákkal és megfigyelő berendezésekkel foglalkozó cég globális termékmenedzsere, Andre Bastert hangsúlyozta, hogy a cég operációs rendszerében 24 millió kódsor található, így a sebezhetőségek elkerülhetetlenek. Ők is rájöttek, hogy mindig jól jön egy második szempont. Az AXIS bug bounty programja óta körülbelül 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egyet, amelyet „nagyon súlyosnak” ítéltek meg. A felelős hacker 25 000 dolláros jutalmat kapott, ami jól mutatja, hogy ez a munka mennyire jövedelmező lehet.
A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett, ami a szakma vonzerejét tovább növeli. Bár a platformokon regisztrált hackerek száma milliós nagyságrendű, a napi vagy heti szinten aktívan vadászó hackerek száma „tízezrekre” tehető. A legjobban teljesítő szakemberek, akik a legfontosabb élő eseményekre kapnak meghívót, ennél is kevesebben vannak.
Murtagh elmondta, hogy egy jó hónap általában úgy néz ki, hogy néhány kritikus és magas sebezhetőséget találnak, valamint sok közepes szintű problémát is, de hozzátette, hogy ez nem mindig valósul meg. Az AI robbanásszerű növekedésével a bug bounty hunter-ek új támadási felületeket fedezhetnek fel. A technológiáért versengő szervezetek gyakran nem gondolkodnak el a biztonsági kockázatokon, ha gyorsan és versenyképesen implementálnak új technológiákat. A mesterséges intelligencia nemcsak hatékony, hanem „mindenki által használható” is, ami új kihívásokat jelent a kiberbiztonság terén.
Dr. Katie Paxton-Fear, a manchesteri Metropolitan Egyetem kiberbiztonsági oktatója felhívta a figyelmet arra, hogy a mesterséges intelligencia az első olyan technológia, amely a bug hunting közösség megléte mellett robbant be a köztudatba. Az AI szintén kiegyenlíti a játszóteret a hackerek számára, lehetővé téve számukra, hogy felgyorsítsák és automatizálják műveleteiket, beleértve a sebezhető rendszerek azonosítását és a kódok elemzését.
A mesterséges intelligencia modern rendszereinek nagy nyelvi modellekre való támaszkodása azonban nyelvi készségeket és manipulációt is igényel a hackerek számára. De a hagyományos webalkalmazás-technikai módszerek is hatékonyak lehetnek a chatbotok ellen, és a bug bounty hunter-ek, mint Murtagh, már tapasztalták, hogy a cross site scripting támadások során sikerült sebezhetőségeket kihasználniuk. A kiberbiztonsági szakemberek figyelme azonban nem csupán a chatbotokra kell, hogy összpontosítson, hanem a rendszerek közötti összefüggésekre is.
Dr. Paxton-Fear megjegyezte, hogy eddig még nem történt jelentős adatvédelmi incidens AI miatt, de úgy véli, hogy ez csak idő kérdése. A folyamatosan fejlődő mesterséges intelligencia iparnak fel kellene ismernie a bug bounty hunter-ek és a biztonsági kutatók szerepét, mert a cégek hozzáállása nagymértékben megnehezíti a biztonság fenntartását. A bug bounty hunter-ek számára azonban az elhatározás nem csökken: ahogy De Ceukelaire mondja, „ha egyszer hacker vagy, mindig hacker maradsz”.
Ezeket is érdemes megnézni
Sráckor szereposztás: Ki kicsoda a fiatalok történetében?
A Bosszúállók szereposztásának titkai és érdekességei
