Mi az a hibakeresés és miért van átalakulásban?
A technológiai karrier sok izgalmas lehetőséget kínál, azonban még kevesebb olyan terület van, ahol a szakemberek valóban megmutathatják tudásukat a világ számos exkluzív helyszínén, a luxusszállodákból Las Vegas e-sport arénáiba. Brandyn Murtagh számára ez a lehetőség az első évében valósult meg, mint bug bounty hunter, vagyis hibavadász. Murtagh már 10-11 éves korában belemerült a számítógépes játékok világába és az számítógép-építésbe, és tudta, hogy „hackereként vagy a biztonsági területen szeretne dolgozni”. Tizenhat évesen már egy biztonsági műveleti központban dolgozott, majd húsz éves korában áttért a penetrációs tesztelésre, ahol a kliensek fizikai és számítógépes biztonságát is tesztelte. „Hamísított személyazonosságokat kellett létrehoznom, hogy bejussak helyekre, majd hackeljek. Nagyon szórakoztató volt” – mesélte Murtagh.
Az utóbbi egy évben Murtagh teljes munkaidős bug vadásszá és független biztonsági kutatóvá vált, ami azt jelenti, hogy szervezetek számítógépes infrastruktúráját kutatja biztonsági sebezhetőségek után. Az internetböngészők úttörője, a Netscape volt az első technológiai vállalat, amely készpénzes „jutalmat” kínált a biztonsági kutatóknak és hackereknek a termékeiben felfedezett hibákért a 90-es években. Ezt követően olyan platformok, mint a Bugcrowd és HackerOne az Egyesült Államokban, valamint az Intigriti Európában jöttek létre, hogy összekapcsolják a hackereket és azokat a szervezeteket, akik a szoftvereik és rendszereik biztonsági tesztelésére vágytak.
A Bugcrowd alapítója, Casey Ellis elmondta, hogy a hackelés „erkölcsileg semleges készség”, de a bug vadászoknak is a törvény keretein belül kell működniük. A Bugcrowd platformok lehetővé teszik a cégek számára, hogy meghatározzák a „terjedelmet”, azaz azt, hogy mely rendszerekre szeretnék, ha a hackerek összpontosítanának. Emellett élő hackathonokat is szerveznek, ahol a legjobb bug vadászok versenyeznek és együttműködnek, „ütve” a rendszereket, bemutatva tudásukat és potenciálisan nagy összegeket keresve. A Bugcrowd platformot használó cégek számára egyértelmű a haszon. Andre Bastert, az AXIS OS globális termékmenedzsere, a svéd Axis Communications biztonsági kamerákat gyártó cég munkatársa elmondta, hogy a készülékeik operációs rendszerében 24 millió kódsor található, így a sebezhetőségek elkerülhetetlenek. „Ráébredtünk, hogy mindig jó, ha van egy második szem, amely figyel.”
A Bugcrowd bug bounty programjának megnyitása óta az Axis 30 sebezhetőséget fedezett fel és javított ki, köztük egyet, amelyet „nagyon súlyosnak” ítéltek meg. A felelős hacker 25 000 dolláros jutalomban részesült, így ez a munka igazán jövedelmező lehet. A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett. Míg a kulcsfontosságú platformokon milliók vannak regisztrálva, Inti De Ceukelaire, az Intigriti vezető hackere elmondta, hogy a napi vagy heti szinten aktívan vadászó hackerek száma „tízezer” körüli. Az elit szint, akiket a zászlóshajó eseményekre meghívnak, még kisebb.
Murtagh elmondta, hogy „egy jó hónap úgy néz ki, mint ha pár kritikus sebezhetőséget talált volna, pár magasat, sok közepest. Néhány jó kifizetés ideális esetben.” Hozzátette azonban, hogy „ez nem mindig történik meg.” Az AI robbanásával a bug vadászok új támadási felületeket fedezhetnek fel. Ellis elmondta, hogy a szervezetek versenyképes előnyre törekszenek az új technológiával, ami általában biztonsági hatással is jár. „Általában, ha egy új technológiát gyorsan és versenyképesen valósítanak meg, nem gondolkodnak annyira azon, hogy mi sülhet el rosszul.”
Az AI nemcsak erőteljes, hanem „mindenki által használható” is, teszi hozzá. Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági oktatója rámutatott, hogy az AI az első technológia, amely robbanásszerűen jelent meg, miközben a formális bug vadász közösség már létezett. De Ceukelaire szerint ez kiegyenlítette a játszóteret a hackerek számára, mivel mind az etikus, mind a nem etikus hackerek képesek kihasználni a technológiát, hogy felgyorsítsák és automatizálják saját műveleteiket. Ez magában foglalja a sebezhető rendszerek azonosítására irányuló felderítést, a kódhibák elemzését, vagy javasolt jelszavakat a rendszerekbe való behatolás érdekében. Azonban a modern AI rendszerek nagy nyelvi modellekre való támaszkodása azt is jelenti, hogy a nyelvi készségek és manipuláció fontos részét képezik a hacker szerszámkészletének.
De Ceukelaire megosztotta, hogy klasszikus rendőrségi kihallgatási technikákat alkalmazott a chatbotok zavarba hozására. Murtagh pedig leírta, hogy hogyan használta a szociális mérnöki technikákat a kiskereskedők chatbotjaival kapcsolatban. „Megpróbáltam úgy irányítani a chatbotot, hogy kérdést generáljon, vagy akár önmagát aktiválja, hogy egy másik felhasználó rendelését vagy adatát adja meg.” Azonban ezek a rendszerek is sebezhetőek a „hagyományos” webalkalmazás technikákkal szemben, mondja. „Sikerült némi sikert elérnem egy cross-site scripting nevű támadás során, ahol lényegében rászedhettem a chatbotot, hogy egy rosszindulatú terhelést renderáljon, ami különféle biztonsági következményekkel járhat.”
A fenyegetések azonban nem állnak meg itt. Dr. Paxton-Fear rámutatott, hogy a chatbotokra és a nagy nyelvi modellekre való túlzott fókuszálás elvonhatja a figyelmet az AI által működtetett rendszerek szélesebb összefüggéseiről. „Ha egy rendszerben sebezhetőséget találsz, hol jelenik meg az minden más kapcsolódó rendszerben? Hol látjuk ezt a kapcsolatot közöttük? Itt kellene keresnem az ilyen típusú hibákat.” Paxton-Fear hangsúlyozta, hogy eddig nem történt jelentős AI-hoz kapcsolódó adatlopás, de „csak idő kérdése”. Eközben pedig a fejlődő AI iparnak biztosítania kell, hogy befogadja a bug vadászokat és a biztonsági kutatókat. „Az a tény, hogy néhány cég nem teszi ezt, sokkal nehezebbé teszi a munkánkat, hogy megőrizzük a világ biztonságát.” Mindezek ellenére a bug vadászokat valószínűleg nem tántorítja el ez a helyzet. Ahogy De Ceukelaire mondta: „Ha egyszer hacker vagy, mindig hacker maradsz.”
