Mi az a hibavadászat és miért van új irányban?
Brandyn Murtagh pályafutása az informatikai biztonság területén olyan élményekkel gazdagodott, amelyeket sokan csak álmodni mernek. Munkája során lehetősége nyílt arra, hogy nemcsak a világ különböző pontjain, hanem exkluzív helyszíneken is bizonyítsa tudását, beleértve a luxusszállodákat és a Las Vegas-i e-sport arénákat. A bug bounty programok révén Murtagh versenyzőként léphetett fel, ahol a nézők buzdították, miközben neve a ranglistákon egyre feljebb került, ezzel együtt pedig a keresete is folyamatosan nőtt.
Brandyn már fiatalon, körülbelül 10-11 évesen kezdett el videojátékokkal játszani és számítógépeket építeni. Gyerekként mindig is tudta, hogy hacker vagy biztonsági szakember szeretne lenni. 16 évesen már egy biztonsági műveleti központban dolgozott, két évvel később pedig penetrációs tesztelővé vált. Ez a munka magában foglalta a kliensek fizikai és számítógépes biztonságának tesztelését is. „Hamísított személyazonosságokat kellett létrehoznom, és be kellett törni különböző helyekre, majd hackelnem kellett. Elég szórakoztató volt” – mesélte Murtagh.
Az utóbbi évben azonban teljes munkaidős bug vadásszá és független biztonsági kutatóvá vált, ami azt jelenti, hogy szervezetek számítógépes infrastruktúráját kutatja a biztonsági hiányosságok után. Az internetböngészők úttörője, a Netscape volt az első technológiai cég, amely pénzbeli „jutalmat” ajánlott fel a biztonsági kutatóknak vagy hackereknek, ha felfedeztek hibákat a termékeikben a 1990-es években. Ezt követően olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, illetve az Intigriti Európában, összekötötték a hackereket és azokat a szervezeteket, akik a szoftvereik és rendszereik biztonsági tesztelését szerették volna.
A Bugcrowd alapítója, Casey Ellis elmondta, hogy a hackelés „erkölcsileg semleges készség”, ám a bug vadászoknak a törvény keretein belül kell működniük. A Bugcrowd platformok lehetővé teszik a cégek számára, hogy meghatározzák, hogy mely rendszereket szeretnék, hogy a hackerek teszteljék. Ezen felül olyan élő hackathonokat szerveznek, ahol a legjobb bug vadászok versenyeznek egymással, bemutatva tudásukat, miközben lehetőséget kapnak arra, hogy jelentős pénzösszegeket keressenek.
A cégek számára a Bugcrowd használatának előnyei egyértelműek. André Bastert, az AXIS OS globális termékmenedzsere, a svéd Axis Communications hálózati kamerákkal és megfigyelő berendezésekkel foglalkozó cég képviseletében elmondta, hogy a 24 millió sor kódot tartalmazó eszközoperációs rendszerükben elkerülhetetlenek a sebezhetőségek. „Ráébredtünk, hogy mindig hasznos, ha van egy másik szem, amely átnézi a dolgokat.” A Bugcrowd platformok révén „a hackereket jótékony erőként használhatjuk” – mondta Bastert.
A bug bounty program megnyitása óta az Axis 30 sebezhetőséget fedezett fel és javított ki, köztük egyet, amelyet „nagyon súlyosnak” ítéltek. A hacker, aki ezt felfedezte, 25 000 dolláros jutalmat kapott. A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett, ami jól mutatja, hogy ez a munka igazán jövedelmező lehet.
Bár a kulcsfontosságú platformokon milliónyi hacker van regisztrálva, Inti De Ceukelaire, az Intigriti vezető hacking tisztviselője szerint a napi vagy heti rendszerességgel vadászó hackerek száma „tízezerre” tehető. Az elit szint, akiket a legfontosabb élő rendezvényekre meghívnak, még ennél is kisebb létszámú. Murtagh úgy fogalmazott, hogy „egy jó hónap úgy néz ki, hogy néhány kritikus sebezhetőséget fedezek fel, néhány magas szintűt, és sok közepes szintűt. Ideális esetben néhány jó kifizetés is jöhet.” Ám hozzátette, hogy „ez nem mindig történik meg.”
Az AI robbanásszerű fejlődésével a bug vadászok új támadási felületeket fedezhetnek fel. Ellis elmondta, hogy a szervezetek igyekeznek versenyelőnyhöz jutni ezzel a technológiával, ami általában biztonsági hatással jár. A modern AI rendszerek használata új kihívásokat jelent a biztonsági szakemberek számára, mivel a hackerek, legyenek etikusak vagy nem, kihasználhatják a technológiát a saját tevékenységeik felgyorsítására és automatizálására.
A biztonsági kutatók, mint Dr. Katie Paxton-Fear, arra figyelmeztetnek, hogy az AI által irányított rendszerek közötti összefonódottság vizsgálata elengedhetetlen. „Ha egy rendszerben sebezhetőség van, az hol jelenik meg a többi kapcsolódó rendszerben?” – mondta. Bár még nem történt jelentős AI-hoz kapcsolódó adatlopás, Paxton-Fear úgy véli, hogy ez csak idő kérdése. Az iparág fejlődése érdekében elengedhetetlen, hogy a cégek együttműködjenek a bug vadászokkal és biztonsági kutatókkal, hogy megőrizzék a világ biztonságát. Az ilyen kihívások ellenére a bug vadászok továbbra is folytatják munkájukat, hiszen ahogy De Ceukelaire fogalmazott: „Egyszer hacker, mindig hacker.”
Ezeket is érdemes megnézni
Trump ásványi üzlete váratlan következményei
Az American Hustle szereposztása: Ki játszik a filmben?
