Mi az a hibavadászat és miért van szükség rá?

A technológiai karrier világában kevesen tapasztalhatják meg azt az izgalmat és elismerést, amit a bug bounty vadászok munkája nyújt. Brandyn Murtagh, aki az elmúlt évben teljes munkaidőben foglalkozik bug vadászattal, nemcsak a technikai tudását, hanem a versenyszellemét is kiélheti, mivel világszerte, a legexkluzívabb helyszíneken, például luxusszállodákban és Las Vegas-i e-sport arénákban bizonyíthat. Murtagh már 10-11 éves korában elkezdett videojátékokkal foglalkozni és számítógépeket építeni, és soha nem titkolta, hogy hacker vagy biztonsági szakember szeretne lenni. Tizenhat évesen már egy biztonsági műveleti központban dolgozott, majd húsz éves korában áttért a penetrációs tesztelésre, amelynek során nemcsak a számítógépek, hanem a fizikai biztonság tesztelésével is foglalkozott. „Hamisan létrehozott személyazonosságokat kellett előállítanom, hogy be tudjak hatolni különböző helyekre és hackelni tudjak. Ez nagyon szórakoztató volt” – emlékezett vissza.

Az utóbbi egy évben Murtagh teljes munkaidőben bug vadász lett, amely azt jelenti, hogy szervezetek számítógépes infrastruktúráját kutatja biztonsági sebezhetőségek után. Az internetböngészők úttörője, a Netscape volt az első technológiai cég, amely a 90-es években pénzbeli „jutalmat” ajánlott a biztonsági kutatóknak és hackereknek, akik felfedezték termékeik hibáit. Ezt követően olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, jelentek meg, hogy összekapcsolják a hackereket és azokat a szervezeteket, amelyek biztonsági tesztelést igényelnek. Casey Ellis, a Bugcrowd alapítója szerint a hackelés „erkölcsi szempontból semleges készségeket” jelent, de a bug vadászoknak a törvény keretein belül kell működniük. A Bugcrowd platform lehetővé teszi, hogy a cégek meghatározzák, mely rendszerekre szeretnék, hogy a hackerek összpontosítsanak.

A Bugcrowd által szervezett élő hackathonok során a legjobb bug vadászok versenyeznek és együttműködnek, bemutatva tudásukat, és lehetőséget kapva arra, hogy jelentős összegeket keressenek. A cégek számára is egyértelmű az előny, amit ezek a platformok nyújtanak. Andre Bastert, az AXIS OS globális termékmenedzsere a svéd Axis Communications cégtől elmondta, hogy az eszközük operációs rendszerében 24 millió sor kód található, így a sebezhetőségek elkerülhetetlenek. „Rájöttünk, mindig jó, ha van egy második pár szem, ami átnézi a dolgainkat” – fogalmazott. Az Axis bug bounty programjának megnyitása óta 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egy különösen súlyos hibát is, amiért a hacker 25,000 dolláros jutalmat kapott.

A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett. Bár több millió hacker regisztrált a kulcsfontosságú platformokon, Inti De Ceukelaire, az Intigriti fő hackere szerint azoknak a száma, akik naponta vagy hetente vadásznak a hibákra, „tízezrekben” mérhető. Az elit szint, amelyet a kiemelt élő eseményekre hívnak meg, ennél is kisebb. Murtagh elmondása szerint: „Egy jó hónap úgy nézne ki, hogy néhány kritikus sebezhetőséget, néhány magas szintű hibát, és sok közepes hibát találok. Ideális esetben jó fizetési napokkal.” Ugyanakkor hozzátette, hogy ez nem mindig történik meg.

Az AI robbanásszerű fejlődése új támadási felületeket nyitott meg a bug vadászok előtt. Ellis szerint a szervezetek versenyképes előnyre törekszenek az új technológia által, ami általában biztonsági hatásokat is von maga után. „Általánosságban, ha egy új technológiát gyorsan és versenyképesen vezetnek be, nem gondolnak arra, mi mehet rosszul.” Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági előadója rámutatott, hogy az AI az első olyan technológia, amely már egy formális bug vadász közösséggel együtt jelent meg. De Ceukelaire hangsúlyozta, hogy a hackerek, legyenek etikusak vagy sem, ki tudják használni a technológiát, hogy felgyorsítsák és automatizálják saját működésüket.

Murtagh különböző szociális mérnöki technikákat alkalmazott chatbotokkal való interakció során, hogy megszerezze más felhasználók adatait. „Megpróbáltam olyan kéréseket generálni, amelyek arra késztették a chatbottot, hogy más felhasználók rendeléseit vagy adatait adja ki.” Az AI rendszerek, amelyek a nagy nyelvi modellekre támaszkodnak, szintén kihívások elé állítják a hackereket, hiszen a nyelvi készségek és manipulációk fontos részei a hacker eszköztárának.

A cikk végén Dr. Paxton-Fear megjegyzi, hogy eddig még nem történt jelentős adatlopás az AI miatt, de „csak idő kérdése.” A fejlődő AI iparnak fel kell ismernie a bug vadászok és biztonsági kutatók szerepét, hogy a világ biztonságát megőrizzék. „Az, hogy egyes cégek ezt nem teszik, sokkal nehezebbé teszi a dolgunkat.” A bug vadászokat azonban ez nem tántorítja el. Ahogy De Ceukelaire fogalmazott: „Egyszer hacker, mindig hacker.”

Forrás: https://www.bbc.com/news/articles/c99n8r38rdlo