Mi az a hibavadászat és miért van szükség rá?

Brandyn Murtagh története jól példázza, hogy a technológiai pályafutások közül néhány olyan lehetőségeket kínál, amelyek a világ különböző exkluzív helyszínein, például luxusszállodákban vagy Las Vegas-i e-sport arénákban való részvételt jelentik. Murtagh, aki az elmúlt évben bug bounty hunterként dolgozott, rendkívül izgalmas tapasztalatokat szerzett, miközben a ranglistákon való előrehaladása mellett a pénzkeresete is folyamatosan növekedett. Murtagh már fiatalon, körülbelül 10-11 évesen elkezdett játszani és számítógépeket építeni, és mindig is tudta, hogy hacker vagy biztonsági szakember szeretne lenni. Tizenhat éves korában kezdett dolgozni egy biztonsági üzemeltetési központban, majd húszévesen áttért a penetrációs tesztelésre, ami magában foglalta a kliensek fizikai és számítógépes biztonságának tesztelését is. „Hamisan kellett identitásokat létrehoznom és bejutnom helyekre, majd hackelnem” – mesélte. Az utóbbi egy évben Murtagh teljes munkaidőben bug bounty hunterként és független biztonsági kutatóként dolgozik, ami azt jelenti, hogy szervezetek számítógépes infrastruktúráját vizsgálja a biztonsági rések felderítése érdekében.

A bug bounty programok története a 90-es évekig nyúlik vissza, amikor a Netscape, a web böngészők úttörője, elsőként ajánlott pénzbeli jutalmat a biztonsági kutatóknak és hackereknek a termékeikben felfedezett hibákért. Ezt követően olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, lehetőséget teremtettek a hackerek és a biztonsági tesztelést igénylő szervezetek összekapcsolására. Casey Ellis, a Bugcrowd alapítója kiemelte, hogy bár a hacking egy „morálisan semleges készség”, a bug huntereknek a törvény keretein belül kell működniük. A Bugcrowd platform lehetőséget biztosít a cégek számára, hogy meghatározzák, milyen rendszereket szeretnének, hogy a hackerek teszteljenek, így a bug-hunting folyamat sokkal rendezettebbé válik. Ezen kívül ezek a platformok élő hackathonokat is szerveznek, ahol a legjobb bug hunterek versenyeznek és együttműködnek, bemutatva tudásukat és lehetőséget kapva arra, hogy jelentős pénzösszegeket keressenek.

A cégek számára is világos a Bugcrowd használatának előnye. Andre Bastert, az AXIS OS globális termékmenedzsere a svéd Axis Communications vállalatnál elmondta, hogy az operációs rendszerük 24 millió sor kódot tartalmaz, ezért a sebezhetőségek elkerülhetetlenek. „Ráébredtünk, hogy mindig jó, ha van egy második szem, ami átnézi a dolgokat.” Az Axis a bug bounty programja óta mintegy 30 sebezhetőséget fedezett fel és javított ki, köztük egyet, amelyet „nagyon súlyosnak” ítéltek meg. A hacker, aki ezt felfedezte, 25 000 dolláros jutalmat kapott.

A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett. A kulcsplatformokon regisztrált hackerek száma milliós nagyságrendű, de Inti De Ceukelaire, az Intigriti fő hackere szerint a napi vagy heti szinten aktívak száma „tízezer” körüli. Az elit szint, akiket a fő élő eseményekre meghívnak, még kisebb létszámú. Murtagh elmondta: „Egy jó hónap úgy néz ki, hogy néhány kritikus sebezhetőséget találok, néhány magas szintűt, és sok közepeset. Ideális esetben jó kifizetések is jönnek.” Azonban hozzátette, hogy ez nem mindig így van.

Az AI robbanásszerű fejlődése új lehetőségeket kínál a bug hunterek számára. Ellis megjegyezte, hogy a szervezetek versenyt futnak az új technológiával, ami gyakran biztonsági kockázatokkal jár. „Általában, ha egy új technológiát gyorsan és versenyképesen vezetnek be, nem gondolkodnak annyira azon, hogy mi mehet rosszul.” Az AI nemcsak hatékony, hanem „bárki által használható” is, ami új kihívások elé állítja a biztonsági szakembereket.

Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági oktatója hangsúlyozta, hogy az AI az első olyan technológia, amely a formális bug hunting közösség létrejötte óta berobbant a köztudatba. Az AI lehetőségei megkönnyítik a hackerek munkáját, mind az etikus, mind az etika nélküli hackerek számára. A hackerek kihasználhatják az AI-t a rendszerek feltérképezésére, a kódok hibáinak elemzésére, vagy akár jelszavak javaslására is. Az AI rendszerek nyelvi modellekre való támaszkodása pedig különös figyelmet igényel a nyelvi készségek és manipulációk terén is.

A jövő kihívásai között szerepel, hogy a bug huntereknek és biztonsági kutatóknak együtt kell működniük az AI iparággal, hogy biztosítsák a rendszerek biztonságát. Dr. Paxton-Fear arra figyelmeztetett, hogy a chatbotok és a nyelvi modellek túlzott fókusza elvonhatja a figyelmet az AI-alapú rendszerek összefonódásának szélesebb körű problémáiról. „Ha egy rendszerben sebezhetőség adódik, az hol jelenik meg a többi összekapcsolt rendszerben?” – tette fel a kérdést.

A bug hunterek munkája tehát elengedhetetlen a modern technológiai világban, és Murtagh, De Ceukelaire és a többi hacker elkötelezetten dolgozik azon, hogy a digitális tér biztonságosabbá váljon. Ahogy De Ceukelaire fogalmazott: „Egyszer hacker, mindig hacker.”

Forrás: https://www.bbc.com/news/articles/c99n8r38rdlo