Mi az a hibakeresés és miért van új irányban?
A technológiai karrierek világában kevesen kínálnak olyan lehetőségeket, amelyek során az ember képességeit exkluzív helyszíneken, a luxusszállodákban vagy éppen a Las Vegas-i e-sport arénákban mutathatja be, miközben a társak szurkolnak, ahogy a neve a ranglistán egyre feljebb kerül, és a keresete is folyamatosan növekszik. Brandyn Murtagh is ezt tapasztalta meg, amikor bug bounty hunterként az első évét töltötte el a szakmában. Murtagh már 10 vagy 11 éves korában megismerkedett a játékkal és a számítógépépítéssel, és mindig is tudta, hogy „hacker szeretne lenni, vagy a biztonsági területen dolgozni”. Tizenhat éves korában kezdett dolgozni egy biztonsági műveleti központban, majd húsz évesen áttért a penetrációs tesztelésre, amely során nemcsak a számítógépes biztonságot, hanem a kliensek fizikai biztonságát is tesztelte: „Hamisan kellett azonosítanom magam, be kellett törnöm helyekre, majd hackelnem. Elég szórakoztató.” Az elmúlt évben teljes munkaidőben bug hunter lett és független biztonsági kutatóvá vált, ami azt jelenti, hogy szervezetek számítógépes infrastruktúráját kutatja a biztonsági sebezhetőségek után. Murtagh eddigi tapasztalatait tekintve nem nézett vissza.
Az internet böngészőpionírja, a Netscape volt az első olyan technológiai vállalat, amely az 1990-es években készpénzes „jutalmat” ajánlott fel a biztonsági kutatóknak vagy hackereknek, ha felfedeznek hibákat vagy sebezhetőségeket a termékeiben. Ezt követően olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, illetve az Intigriti Európában megjelentek, hogy összekapcsolják a hackereket és azokat a szervezeteket, akik szeretnék tesztelni szoftvereik és rendszereik biztonságát. Casey Ellis, a Bugcrowd alapítója elmondta, hogy míg a hackelés „erkölcsileg semleges készség”, a bug hunternak a törvények keretein belül kell működnie. A Bugcrowdhoz hasonló platformok több fegyelmet hoznak a bug vadászat folyamatába, lehetővé téve a cégek számára, hogy meghatározzák, mely rendszereket szeretnék, hogy a hackerek célozzanak meg. Ezek a platformok élő hackathonokat is szerveznek, ahol a legjobb bug huntek versenyeznek és együttműködnek, „kalapálva” a rendszereket, bemutatva tudásukat, és potenciálisan nagy pénzösszegeket keresve.
A Bugcrowd használatával a cégek számára is világos a haszon. Andre Bastert, az AXIS OS globális termékmenedzsere, a svéd Axis Communications biztonsági kamerák és megfigyelő berendezések gyártója elmondta, hogy a cég operációs rendszerében 24 millió sor kód található, így a sebezhetőségek elkerülhetetlenek. „Rájöttünk, hogy mindig jó egy második pár szem.” A Bugcrowd platformoknak köszönhetően „a hackereket a jó érdekében használhatjuk”, mondta. Az Axis bug bounty programjának megnyitása óta akár 30 sebezhetőséget fedeztek fel és javítottak ki, mondja Bastert, köztük egy „nagyon súlyos” hibát. A hacker, aki ezt felfedezte, 25 000 dolláros (kb. 19 300 font) jutalomban részesült. Tehát ez valóban jövedelmező munka lehet. A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett.
Miközben a kulcsplatformokon milliók vannak regisztrálva, Inti De Ceukelaire, az Intigriti fő hackereként azt mondja, hogy a napi vagy heti szinten vadászó hackerek száma „tízezer” körüli. Az elit szint, akiket a fő eseményekre meghívnak, még kisebb számú. Murtagh így fogalmazott: „Egy jó hónap úgy néz ki, hogy néhány kritikus sebezhetőséget, egy pár magas szintűt és sok közepest találok. Ideális esetben néhány jó kifizető nap.” De hozzáfűzte, hogy „ez nem mindig történik meg.” Az AI robbanásszerű fejlődésével azonban a bug huntek új támadási felületeket fedezhetnek fel. Ellis szerint a szervezetek versenyképességük érdekében sietnek, hogy előnyhöz jussanak e technológiával, ami általában biztonsági hatással jár. „Általánosságban elmondható, hogy ha egy új technológiát gyorsan és versenyképes módon valósítanak meg, akkor nem gondolkodnak annyira azon, hogy mi mehet rosszul.”
A modern AI rendszerek nagyszámú nyelvi modellre való támaszkodása azt is jelenti, hogy a nyelvi készségek és manipulációk fontos részét képezik a hacker eszköztárának. De Ceukelaire elmondta, hogy klasszikus rendőrségi kihallgatási technikákat alkalmazott a chatbotok zavarba hozására, hogy „megbontsák” a védelmüket. Murtagh említette, hogy ilyen társadalmi manipulációs technikákat alkalmaz chatbotos kereskedők esetében: „Megpróbáltam rávenni a chatbotot, hogy egy kérést generáljon, vagy még azt is, hogy önmaga indítson el egy folyamatot, amely más felhasználók rendelését vagy adatait adja meg.” De ezek a rendszerek is sebezhetőek a „hagyományos” webalkalmazás technikákkal szemben.
A fenyegetés azonban nem áll meg itt. Dr. Katie Paxton-Fear, a manchesteri Metropolitan Egyetem biztonsági kutatója és kiberbiztonsági előadója rámutatott, hogy a chatbotokra és nagy nyelvi modellekre való túlzott fókuszálás elvonhatja a figyelmet az AI-alapú rendszerek közötti szélesebb összefonódásoktól. „Ha egy rendszerben sebezhetőség van, az hol jelenik meg a többi összekapcsolt rendszerben?” – tette fel a kérdést. Dr. Paxton-Fear hozzátette, hogy még nem történt meg komoly AI-kapcsolatú adatlopás, de „csak idő kérdése”. A növekvő AI iparnak biztosítania kell, hogy bevonja a bug hunteket és a biztonsági kutatókat, mivel „azok a cégek, akik ezt nem teszik, sokkal nehezebbé teszik a munkánkat, hogy biztonságban tartsuk a világot.” Azonban a bug huntek valószínűleg nem hátrálnak meg. Ahogy De Ceukelaire fogalmazott: „Egyszer hacker, mindig hacker.”
Ezeket is érdemes megnézni
Hibásan osztottak ki ingyen tészta szószt és kávét a boltban
Az Egyesült Királyságnak mindent meg kell tennie az EU-val való kereskedelem újjáépítéséért, figyelmeztet a bank vezetője
