Mi az a hibakeresés és miért van átalakulóban?
Brandyn Murtagh karrierje különleges utat jár be, amely számos lehetőséget kínál a technológiai szektorban. Az elmúlt évben bug bounty hunterként dolgozik, ahol különböző szervezetek számítógépes rendszereit vizsgálja meg sebezhetőségek után kutatva. Murtagh már fiatalon, körülbelül 10-11 éves korában felfedezte a játékok és a számítógép-építés iránti szenvedélyét, és korán tudta, hogy hacker vagy biztonsági szakember akar lenni. Tizennégy évesen már egy biztonsági műveleti központban dolgozott, majd 20 évesen áttért a penetrációs tesztelésre, ahol a fizikai és informatikai biztonságot kellett tesztelnie. Murtagh szórakoztató élményként írta le, hogy hamis személyazonosságokat kellett létrehoznia és különböző helyekre bejutnia, hogy hackelhesse azokat.
Murtagh az utóbbi időben teljes munkaidőben bug bounty hunter lett, és felfedezte, hogy ez a munka nemcsak izgalmas, hanem jövedelmező is. Az internetböngésző-fejlesztő Netscape volt az első technológiai vállalat, amely a 90-es években pénzbeli „bounty”-t kínált a biztonsági kutatóknak vagy hackereknek a termékeikben felfedezett hibákért. Azóta olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, összekötik a hackereket és azokat a szervezeteket, amelyek biztonsági tesztelést szeretnének végezni szoftvereiken és rendszereiken.
A Bugcrowd alapítója, Casey Ellis elmondta, hogy a hackelés egy „erkölcsileg semleges készség”, de a bug bounty hunteroknak a törvény keretein belül kell működniük. A Bugcrowd platform lehetővé teszi a cégek számára, hogy meghatározzák, mely rendszereket szeretnék, hogy a hackerek teszteljék, és rendeznek élő hackathonokat, ahol a legjobb bug bounty hunterok versenyeznek és együttműködnek. A cégek szempontjából a Bugcrowd használata is nyilvánvaló előnyökkel jár. Andre Bastert, az AXIS OS globális termékmenedzsere, a svéd Axis Communications cég részéről elmondta, hogy a 24 millió sor kódot tartalmazó operációs rendszerük sebezhetőségeket rejthet, ezért fontos, hogy legyen egy második vélemény. Az Axis bug bounty programjának megnyitása óta már 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egy nagyon súlyos hibát is, amelyért a hacker 25 000 dolláros jutalomban részesült.
A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett. Míg a platformokon regisztrált hackerek száma több millióra rúg, addig a napi vagy heti rendszerességgel vadászó hackerek száma „tízezerre” tehető. Az elit réteg, amelyet a legfontosabb élő eseményekre hívnak meg, még kisebb. Murtagh elmondta, hogy egy jó hónapban több kritikus és magas prioritású sebezhetőséget találhat, de ez nem mindig garantált. Az AI robbanásszerű fejlődése új lehetőségeket teremtett a bug bounty hunterok számára, mivel a szervezetek versenyképessége érdekében sietve vezetik be az új technológiákat, ami gyakran biztonsági problémákhoz vezet.
Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági oktatója hangsúlyozta, hogy az AI az első technológia, amely megjelent a bug bounty közösség már meglévő struktúrája mellett. Az AI lehetőségei szintén egyenlő esélyeket teremtettek a hackerek számára, mivel mind az etikus, mind az etikátlan hackerek képesek kihasználni a technológiát a saját műveik felgyorsítására és automatizálására. A modern AI rendszerek nagy nyelvi modellekre való támaszkodása azt is jelenti, hogy a nyelvi készségek és manipulációk fontos részét képezik a hackerek eszközkészletének.
Murtagh elmondta, hogy a chatbotokkal kapcsolatos szociális manipulációs technikákat is alkalmazott, például megpróbálta rávenni a chatbotot, hogy más felhasználók rendeléseit vagy adatait adja ki. Azonban ezek a rendszerek más hagyományos webalkalmazási technikáknak is ki vannak téve, például a cross-site scripting támadásoknak. Dr. Paxton-Fear figyelmeztetett arra, hogy ha egy rendszerben sebezhetőséget találunk, az a kapcsolódó rendszerekben is megjelenhet, és ez lehet a hibák keresésének irányvonala.
Bár eddig nem történt jelentős AI-hoz köthető adatlopás, Dr. Paxton-Fear úgy véli, hogy ez csupán idő kérdése. Az AI iparnak biztosítania kell, hogy a bug bounty hunterok és biztonsági kutatók szerepet kapjanak a biztonság fenntartásában. Murtagh és De Ceukelaire szavai alapján a bug bounty hunterok számára a munka folytatódik, és a hacker létforma soha nem szűnik meg.
