A hibavadászat jelentősége és fejlődése
Brandyn Murtagh, a fiatal bug bounty vadász, az elmúlt évben izgalmas és jövedelmező karrierre tett szert a kiberbiztonság világában. A technológiai pályafutása már korán kezdődött, amikor tíz vagy tizenegy évesen belekóstolt a számítógépépítés és a videojátékok világába. Murtagh már akkor tudta, hogy hacker vagy biztonsági szakember szeretne lenni. Hatéves korától kezdve mindent megtett, hogy a kiberbiztonság területén fejlődjön; tizenhat évesen már egy biztonsági műveleti központban dolgozott, húsz évesen pedig a behatolás tesztelésére specializálódott, ahol a kliensek fizikai és számítógépes biztonságát kellett ellenőriznie. „Hamisan kellett személyazonosságokat kreálnom és behatolnom helyszínekre, majd hackelnem. Nagyon szórakoztató volt” – mondta Murtagh.
Az utóbbi egy évben Murtagh teljes munkaidős bug bounty vadásszá és független biztonsági kutatóvá vált, ami azt jelenti, hogy különböző szervezetek számítógépes infrastruktúráját kutatja át biztonsági sebezhetőségek után. Az internetes böngésző úttörője, a Netscape volt az első technológiai vállalat, amely készpénzes „bounty”-t ajánlott fel a biztonsági kutatóknak vagy hackereknek, ha hibákat vagy sebezhetőségeket találtak a termékeikben az 1990-es években. Ezt követően olyan platformok jelentek meg, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, amelyek összekötik a hackereket a szoftvereik és rendszereik biztonsági tesztelésére vágyó szervezetekkel.
Casey Ellis, a Bugcrowd alapítója elmondta, hogy a hackelés „morálisan semleges készségeket” jelent, de a bug vadászoknak a törvény keretein belül kell működniük. A Bugcrowdhoz hasonló platformok nagyobb fegyelmet hoznak a bug-hunting folyamatába, lehetővé téve a cégek számára, hogy meghatározzák, milyen rendszereket szeretnének, hogy a hackerek célozzanak meg. Ezek a platformok élő hackathonokat is szerveznek, ahol a legjobb bug vadászok versenyeznek és együttműködnek, bemutatva tudásukat és lehetőségük van arra, hogy jelentős pénzt keressenek.
A cégek számára a Bugcrowd és hasonló platformok használatának előnyei is világosak. Andre Bastert, az AXIS OS globális termékmenedzsere, a svéd Axis Communications hálózati kamerákkal és megfigyelő berendezésekkel foglalkozó cég képviseletében elmondta, hogy eszközeik operációs rendszerében 24 millió sor kód található, így a sebezhetőségek elkerülhetetlenek. „Rájöttünk, hogy mindig jó, ha van egy második szem,” tette hozzá. Az Axis bug bounty programjának megnyitása óta már mintegy 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egyet, amelyet „nagyon súlyosnak” ítéltek meg. Az érintett hacker 25 000 dolláros jutalmat kapott. Az ilyen munka tehát jövedelmező lehet; a Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett.
Bár a kulcsfontosságú platformokon milliók vannak regisztrálva, Inti De Ceukelaire, az Intigriti vezető hacking tisztviselője elmondta, hogy a napi vagy heti szinten aktívan vadászó hackerek száma „tízezrekben” mérhető. A legjobb hackerek, akiket a legfontosabb élő eseményekre meghívnak, még ennél is kevesebben vannak. Murtagh elmondta, hogy egy jó hónap jellemzően több kritikus sebezhetőség felfedezését jelenti, valamint néhány magas és sok közepes szintű hibát, ami jó jövedelmet is eredményezhet. Ugyanakkor hozzátette, hogy „ez nem mindig így van.”
A mesterséges intelligencia robbanásszerű fejlődése új lehetőségeket teremtett a bug vadászok számára. Ellis szerint a szervezetek versenyképességük megőrzése érdekében sietnek a technológia alkalmazásával, ami jellemzően biztonsági hatásokkal is jár. „Általában, ha új technológiát gyorsan és versenyképesen vezetnek be, nem gondolkodnak annyira azon, hogy mi mehet rosszul.” A mesterséges intelligencia nemcsak hatékony, hanem „mindenki által használható” is. Dr. Katie Paxton-Fear, a Manchester Metropolitan University kiberbiztonsági kutatója szerint a mesterséges intelligencia az első technológia, amely a formális bug hunting közösséggel együtt robbant be a köztudatba. De Ceukelaire szerint ez kiegyenlítette a terepet a hackerek számára, lehetővé téve számukra, hogy kihasználják a technológiát saját műveleteik felgyorsítására és automatizálására.
A modern AI rendszerek nagymértékben támaszkodnak a nagy nyelvi modellekre, ami azt jelenti, hogy a nyelvi készségek és a manipuláció fontos részei a hacker eszköztárának. De Ceukelaire elmondta, hogy klasszikus rendőrségi kihallgatási technikákat használt a chatbotok zavarba hozására. Murtagh pedig arról számolt be, hogy kiskereskedők chatbotjain alkalmazott szociális mérnöki technikákat: „Megpróbáltam rávenni a chatbotot, hogy egy másik felhasználó rendelését vagy adatát adja ki nekem.” Ugyanakkor ezek a rendszerek is sebezhetőek a hagyományos webalkalmazás technikákkal szemben, mint például a cross-site scripting.
A kiberbiztonság szakemberei, mint Dr. Paxton-Fear figyelmeztetnek arra, hogy a chatbotok és a nagy nyelvi modellek túlzott fókuszálása elvonhatja a figyelmünket az AI által vezérelt rendszerek összekapcsoltságáról. „Ha egy rendszerben sebezhetőséget találunk, az hol jelenik meg minden más rendszerben, amelyhez kapcsolódik? Ezen a ponton érdemes keresni az ilyen típusú hibákat.” Jelenleg még nem történt jelentős AI-hoz kapcsolódó adatlopás, de Paxton-Fear szerint „csak idő kérdése”. Eközben a virágzó AI iparnak biztosítania kell, hogy befogadja a bug vadászokat és biztonsági kutatókat. „Az a tény, hogy egyes cégek nem teszik, rendkívül nehézzé teszi a munkánkat, hogy biztonságban tartsuk a világot.” Azonban a bug vadászokat nem tántorítja el ez a kihívás; ahogy De Ceukelaire mondta: „Egyszer hacker, mindig hacker.”
Ezeket is érdemes megnézni
A rh negatív vércsoport titkai és különlegességei
A hálószoba színei: tippek a tökéletes harmóniához
