Mi az a hibakeresés és miért van átalakulóban?
Brandyn Murtagh karrierje az utóbbi időben egyre inkább felkeltette a figyelmet. Az ő története jól példázza, hogy a technológiai világban milyen izgalmas lehetőségek rejlenek, különösen a bug bounty vadászok számára. Murtagh már fiatal korában, 10-11 éves korában érdeklődni kezdett a számítógépek iránt, és hamarosan eldöntötte, hogy hacker vagy biztonsági szakember szeretne lenni. 16 évesen már egy biztonsági műveleti központban dolgozott, ahol a fizikai és informatikai védelem tesztelésével foglalkozott. Ekkor még nem sejtette, hogy egy nap teljes munkaidős bug vadásszá válik, aki felfedezi és kihasználja a szoftverek sebezhetőségeit.
A bug bounty programok a 90-es években indultak el, amikor a Netscape, az internetböngészők úttörője, pénzbeli jutalmat kínált a hackereknek a termékeikben felfedezett hibákért. Azóta számos platform, mint például a Bugcrowd és a HackerOne, jelent meg, amelyek összekapcsolják a hackereket az olyan szervezetekkel, amelyek biztonsági tesztelést keresnek. A Bugcrowd alapítója, Casey Ellis hangsúlyozza, hogy míg a hackelés morálisan semleges készség, a bug vadászoknak a törvény keretein belül kell működniük. Ezek a platformok rendszerezettebbé teszik a bugvadászatot, lehetővé téve a cégek számára, hogy meghatározzák, milyen rendszereket szeretnének, hogy a hackerek teszteljenek.
A bug bounty programok nemcsak a hackereknek, hanem a cégeknek is előnyösek. Andre Bastert, az AXIS OS globális termékmenedzsere, elmondta, hogy a cég eszközeinek operációs rendszere 24 millió sor kódot tartalmaz, így a sebezhetőségek elkerülhetetlenek. „Jó, ha van egy második szem, ami átnézi a rendszert” – tette hozzá. Az AXIS bug bounty programja óta már 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egyet, amelyet „nagyon súlyosnak” ítéltek meg. A hacker, aki ezt felfedezte, 25 000 dolláros jutalomban részesült, ami jól mutatja, hogy a bug vadászat mennyire jövedelmező lehet.
A Bugcrowd legjobban kereső hackere tavaly több mint 1,2 millió dollárt keresett. Azonban míg a platformokon milliónyi hacker van regisztrálva, a napi vagy heti szinten aktívan vadászók száma „tízezer” körüli. Az elithez tartozó hackerek, akiket a főbb élő eseményekre meghívnak, még kisebb csoportot alkotnak. Murtagh elmondja, hogy egy jó hónapban több kritikus sebezhetőséget talál, ami jövedelmező napokat hozhat, de azt is hozzáteszi, hogy ez nem mindig történik meg.
Az AI robbanásszerű fejlődése új kihívások elé állítja a bug vadászokat, mivel új támadási felületeket kínál. A cégek versenyeznek, hogy minél gyorsabban alkalmazzák az új technológiákat, ami gyakran a biztonság rovására megy. Dr. Katie Paxton-Fear, a manchesteri Metropolitan Egyetem biztonsági kutatója hangsúlyozza, hogy az AI az első technológia, amely a bug vadász közösség kialakulása után robbant be a köztudatba. Az AI rendszerek nemcsak erősebbek, hanem „mindenki által használhatóak” is, így a hackerek, legyenek etikusak vagy sem, kihasználhatják ezeket az eszközöket saját munkájuk felgyorsítására.
Murtagh leírja, hogy hogyan használja a közösségi mérnöki technikákat a chatbotok manipulálására, hogy hozzáférjen más felhasználók adataihoz. Ugyanakkor a modern AI rendszerek is sebezhetőek a hagyományos webalkalmazási támadásokkal szemben. „Sikerült már megvalósítanom egy olyan támadást, amely a keresztoldali szkriptnyúlványra épül, ahol a chatbotot egy rosszindulatú kód végrehajtására tudtam rábírni” – mondja Murtagh.
A jövőbeli kihívásokkal szemben a biztonsági kutatóknak figyelniük kell a rendszerek közötti összefüggésekre, hiszen egy sebezhetőség egy rendszeren keresztül széleskörű következményekkel járhat. Dr. Paxton-Fear úgy véli, hogy a közeljövőben elkerülhetetlenül bekövetkezik egy AI-hoz köthető adatlopás, és a vállalatoknak fel kell ismerniük a bug vadászok és biztonsági kutatók jelentőségét. „Ha a cégek nem fogadják el őket, az megnehezíti a munkánkat a világ biztonságának megőrzésében” – figyelmeztet. Azonban a bug vadászok számára ez nem tántorító tényező, hiszen ahogy De Ceukelaire mondja: „Egyszer hacker, mindig hacker.”
Ezeket is érdemes megnézni
Üres polcok az M&S boltjaiban a kibertámadás nyomán
Áremelkedés az Egyesült Királyságban: Mennyire gyorsan drágulnak a dolgok?
