Hírek,  Tech

A hibavadászat jelentősége és fejlődése

Brandyn Murtagh életében a technológiai pályafutása során olyan lehetőségek nyíltak meg előtte, amelyekről sokan csak álmodoznak. Az elmúlt évben már bug bounty hunterként, vagyis hibavadászként dolgozik, ami lehetővé teszi számára, hogy világszerte, exkluzív helyszíneken, például luxusszállodákban vagy Las Vegas e-sport arénáiban bizonyítsa tudását. Murtagh már 10-11 éves korában elkezdett videojátékokkal játszani és számítógépeket építeni, és mindig is tudta, hogy „hacker” vagy biztonsági szakember szeretne lenni. 16 évesen kezdett el dolgozni egy biztonsági üzemeltetési központban, majd 20 évesen áttért a penetrációs tesztelésre, ahol a cégek fizikai és számítógépes biztonságát kellett tesztelnie. „Hamísított személyazonosságokat kellett létrehoznom, be kellett jutnom helyekre, majd hackelnem kellett. Nagyon szórakoztató volt” – meséli Murtagh a korai tapasztalatairól.

Az utóbbi egy évben Murtagh teljes munkaidőben bug hunter lett, ami azt jelenti, hogy szervezetek számítógépes infrastruktúráját kutatja biztonsági sebezhetőségek után. Az internetböngészők úttörője, a Netscape volt az első technológiai vállalat, amely a 90-es években készpénzes „bounty”-t, azaz jutalmat kínált a biztonsági kutatók vagy hackerek számára a termékeikben található hibák felfedezéséért. Később olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, jöttek létre, hogy összekapcsolják a hackereket és azokat a szervezeteket, amelyek szeretnék tesztelni szoftvereik és rendszereik biztonságát.

Casey Ellis, a Bugcrowd alapítója kifejti, hogy bár a hacking „erkölcsileg semleges készség”, a bug vadászoknak a törvény keretein belül kell működniük. A Bugcrowd által biztosított keretek lehetővé teszik a cégek számára, hogy meghatározzák, mely rendszereket szeretnék, hogy a hackerek teszteljenek. Emellett élő hackathonokat is szerveznek, ahol a legjobb bug vadászok versenyeznek és együttműködnek a rendszerek „bombázása” során, megmutatva képességeiket, és lehetőséget kapva a jelentős pénzkeresetre.

A Bugcrowd platformot használó cégek számára a haszon is egyértelmű. Andre Bastert, az AXIS OS globális termékmenedzsere, a svéd Axis Communications nevű hálózati kamerákkal és megfigyelő berendezésekkel foglalkozó cég képviseletében elmondta, hogy az operációs rendszerükben 24 millió sor kód található, így a sebezhetőségek elkerülhetetlenek. „Rájöttünk, hogy mindig jó, ha van egy második szem, ami figyel” – mondta. Az Axis bug bounty programjának megnyitása óta akár 30 sebezhetőséget is felfedeztek és javítottak, köztük egyet, amit „nagyon súlyosnak” ítéltek meg. Az ezt felfedező hacker 25 000 dolláros (kb. 19 300 font) jutalmat kapott, ami jól mutatja, hogy ez a munka valóban jövedelmező lehet.

A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett. Habár a kulcsfontosságú platformokon milliók vannak regisztrálva, Inti De Ceukelaire, az Intigriti vezető hackere szerint a napi vagy heti rendszerességgel aktívan dolgozók száma „tízezrekre” tehető. Az elit szint, akiket a vezető élő eseményekre hívnak meg, még kevesebb. Murtagh elmondja, hogy „egy jó hónap úgy nézne ki, hogy néhány kritikus sebezhetőséget találtam, néhány magasat, és sok közepeset. Az ideális helyzetben néhány jó kifizetés is jöhet.” Ugyanakkor hozzátette, hogy „ez nem mindig következik be.”

Az AI robbanásszerű fejlődése új lehetőségeket kínál a bug vadászok számára. Ellis elmondja, hogy a szervezetek versenyfutásban vannak, hogy előnyhöz jussanak az új technológiával, ami általában biztonsági hatással bír. „Általánosságban elmondható, hogy ha gyorsan és versenyképesen hajt végre egy új technológiát, nem gondol annyira arra, hogy mi mehet rosszul.” Ezen kívül az AI nemcsak erőteljes, hanem „úgy lett tervezve, hogy bárki használhassa”. Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági oktatója kiemeli, hogy az AI az első olyan technológia, ami a formális bug vadász közösség már meglévő keretei között robbant be. A hackerek, legyenek ők etikusak vagy nem, kihasználhatják ezt a technológiát, hogy felgyorsítsák és automatizálják saját működésüket.

Murtagh elmondja, hogy a chatbotokkal való szociális mérnökségi technikákat is alkalmazta: „Megpróbáltam rávenni a chatbotot, hogy kérdést tegyen fel, vagy akár saját magát triggerelje, hogy megadjon nekem egy másik felhasználó rendelését vagy adatát.” A modern AI rendszerek azonban a „hagyományos” webalkalmazási technikákra is sebezhetőek, mint például a cross-site scripting, ahol a hacker becsapja a chatbotot, hogy végrehajtson egy rosszindulatú utasítást. Azonban a fenyegetés nem áll meg itt. Dr. Paxton-Fear figyelmeztet, hogy a chatbotokra és nagy nyelvi modellekre való túlzott fókuszálás eltérítheti a figyelmet az AI-alapú rendszerek szélesebb összefüggéseitől.

A kiberbiztonsági szakemberek és bug vadászok fontos szerepet játszanak a világ biztonságának megőrzésében, és a cégeknek érdemes figyelembe venniük ennek jelentőségét. Ahogy De Ceukelaire fogalmaz, „Egyszer hacker, mindig hacker.” Az AI világának fejlődése új kihívásokat hoz, de a bug vadászok számára mindig is lesz feladat, hogy megőrizzék a digitális környezet biztonságát.

Forrás: https://www.bbc.com/news/articles/c99n8r38rdlo

Ezeket is érdemes megnézni

Heathrow leállása mögött álló okok továbbra is rejtélyesek

2025.05.12.

Hormonnal kezelt marhahús nem kerülhet az Egyesült Királyságba az amerikai megállapodás után

2025.05.12.

Mi az a hibakeresés és miért van átalakulóban?

2025.05.10.

Szólj hozzá

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük