Mi az a hibavadászat és miért formálja át a világot?
Brandyn Murtagh pályafutása az utóbbi években kiemelkedő példája annak, hogyan alakulhat át egy hobbi szenvedéllyé, amely nemcsak izgalmas, hanem jövedelmező is lehet. Murtagh már fiatal korában, 10 vagy 11 évesen belemerült a számítógépes játékok világába, és tudta, hogy hacker vagy biztonsági szakember szeretne lenni. Pályafutását 16 évesen egy biztonsági műveleti központban kezdte, majd 20 évesen áttért a penetrációs tesztelésre, ahol a megbízók fizikai és számítógépes biztonságát kellett tesztelnie. Murtagh mókásan mesél arról, hogy hamis személyazonosságokat kellett létrehoznia, és be kellett törnie különböző helyekre, hogy elvégezze a feladatát.
Az utóbbi egy évben Murtagh teljes munkaidős bug bounty vadásszá vált, ami annyit jelent, hogy különböző szervezetek számítógépes infrastruktúráját kutatja a biztonsági réseket keresve. Az internetes böngésző-úttörő Netscape volt az első technológiai vállalat, amely a 90-es években készpénzes „jutalmat” ajánlott fel a biztonsági kutatóknak vagy hackereknek, akik felfedezik a termékeikben található hibákat. Ezt követően olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, összekapcsolták a hackereket azokkal a szervezetekkel, amelyek biztonsági tesztelést szerettek volna végezni.
A Bugcrowd alapítója, Casey Ellis szerint a hacking „erkölcsileg semleges készség”, de a bug vadászoknak a törvények keretein belül kell működniük. A Bugcrowd platform különböző rendszerek „terjedelmét” határozza meg, amelyeket a hackerek célozhatnak meg, és élő hackathonokat is szervez, ahol a legjobb bug vadászok versenyeznek és együttműködnek, bemutatva készségeiket, miközben lehetőséget kapnak arra, hogy jelentős összegeket keressenek.
A cégek számára, amelyek ilyen platformokat használnak, a haszon is nyilvánvaló. Andre Bastert, az Axis Communications globális termékmenedzsere elmondta, hogy készülékeik operációs rendszerében 24 millió sor kód található, ami elkerülhetetlenné teszi a sebezhetőségeket. „Rájöttünk, hogy mindig jó más szemmel is megnézni a dolgokat.” A Bugcrowd platformok lehetővé teszik, hogy a hackereket „jó szándékú erőként” használják. Az Axis bug bounty programjának megnyitása óta 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egyet, amelyet „nagyon súlyosnak” ítéltek. A hacker, aki ezt a hibát felfedezte, 25 000 dolláros jutalomban részesült.
A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett. Habár a legfontosabb platformokon milliónyi hacker van regisztrálva, Inti De Ceukelaire, az Intigriti fő hacking tisztviselője megjegyezte, hogy a napi vagy heti szinten aktív hackerek száma „tízezerre” tehető. A legmagasabb szintű hackerek, akiket a legnagyobb élő eseményekre hívnak meg, még ennél is kevesebben vannak.
Murtagh elmondása szerint egy jó hónap úgy néz ki, hogy néhány kritikus sebezhetőséget fedez fel, néhány magas prioritásút, és sok közepes szintű hibát. „Ideális esetben jó kifizetéseket is kapok,” tette hozzá, de azt is hangsúlyozta, hogy ez nem mindig valósul meg. Az AI robbanásszerű fejlődése új támadási felületeket nyújt a bug vadászok számára, és a cégek versenyképes előnyhöz akarnak jutni az új technológiákkal, ami gyakran biztonsági problémákat is felvet.
Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági előadója rámutatott, hogy az AI az első technológia, amely már egy formális bug vadász közösség létezése mellett lépett a színre. Az AI technológia használatának köszönhetően a hackerek, legyenek etikusak vagy nem, gyorsíthatják és automatizálhatják a műveleteiket. Az AI rendszerek azonban nagy nyelvi modellekre támaszkodnak, ami azt jelenti, hogy a nyelvi készségek és manipuláció fontos részei a hacker eszközkészletének.
A bug vadászok, mint Murtagh, különböző szociális mérnöki technikákat alkalmaznak például a chatbotokkal való interakció során, hogy adatokat szerezzenek különböző felhasználóktól. Az AI és a hagyományos webalkalmazás technikák kombinációja új kihívásokat teremt a biztonsági kutatók számára, akiknek feladata, hogy felfedezzék és kijavítsák a rendszerek közötti sebezhetőségeket. A jövőben a biztonsági szakembereknek folyamatosan figyelemmel kell kísérniük az AI fejlődését, és együtt kell működniük a bug vadászokkal, hogy megőrizzék a digitális világ biztonságát. Murtagh és társai számára a hacker világ sosem alszik, és a kihívások folyamatosan új lehetőségeket kínálnak.
Ezeket is érdemes megnézni
Három tanulság Putyin Vörös téri parádéjából
A brit kormány garantálja a munkavállalók védelmét az Egyesült Királyság és India kereskedelmi megállapodásában
