Mi az a hibavadászat és miért van szükség rá?

Brandyn Murtagh, a fiatal bug bounty vadász, olyan pályafutásra tett szert az informatikai szektorban, amely lehetővé tette számára, hogy világszerte exkluzív helyszíneken, például luxusszállodákban és Las Vegas-i e-sport arénákban mutassa meg tudását. Murtagh, aki már gyermekkorában, körülbelül 10-11 éves korában kezdett el videojátékokkal játszani és számítógépeket építeni, mindig is tudta, hogy „hacker vagy biztonsági szakember szeretne lenni”. 16 évesen már egy biztonsági műveleti központban dolgozott, és 20 évesen áttért a penetrációs tesztelésre, amely a kliensek fizikai és számítógépes biztonságának tesztelését is magában foglalta. „Hamisan kellett azonosítanom magam, és helyekre betörni, majd hackelni. Nagyon szórakoztató volt” – mesélte Murtagh.

Az utóbbi évben Murtagh teljes munkaidős bug bounty vadásszá és független biztonsági kutatóvá vált, ami azt jelenti, hogy szervezetek számítógépes infrastruktúráját kutatja biztonsági sérülékenységek után. Az internetböngésző-úttörő Netscape volt az első technológiai vállalat, amely a 90-es években készpénzes „jutalmat” ajánlott a biztonsági kutatóknak vagy hackereknek a termékeiben felfedezett hibákért. Ezt követően olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, megjelentek, hogy összekapcsolják a hackereket és azokat a szervezeteket, amelyek biztonsági tesztelést kívánnak végezni szoftvereiken és rendszereiken.

A Bugcrowd alapítója, Casey Ellis elmondta, hogy bár a hackelés „erkölcsileg semleges készség”, a bug vadászoknak a törvény keretein belül kell működniük. Az olyan platformok, mint a Bugcrowd, több fegyelmet hoznak a bug vadászat folyamatába, lehetővé téve a cégek számára, hogy meghatározzák, mely rendszereket szeretnék, hogy a hackerek célozzanak meg. Ezek a platformok élő hackathonokat is szerveznek, ahol a legjobb bug vadászok versenyeznek és együttműködnek, „megütve” a rendszereket, bemutatva tudásukat és potenciálisan nagy pénzkeresetre téve szert.

A cégek számára, akik a Bugcrowd-szerű platformokat használják, világos az előny. Andre Bastert, az AXIS OS globális termékmenedzsere az Axis Communications svéd hálózati kamerákkal és megfigyelő berendezésekkel foglalkozó cégtől elmondta, hogy az operációs rendszerükben 24 millió kódvonal található, ezért a sérülékenységek elkerülhetetlenek. „Rájöttünk, hogy mindig jó, ha van egy második szem” – tette hozzá. A Bugcrowd platform használatával „hackereket használhatunk a jó érdekében” – mondta Bastert. Az Axis bug bounty programjának megnyitása óta 30 sérülékenységet fedeztek fel és javítottak ki, köztük egyet, amelyet „nagyon súlyosnak” ítéltek meg. A hacker, aki ezt felfedezte, 25 000 dolláros jutalmat kapott.

A Bugcrowd legjobban kereső hackere tavaly több mint 1,2 millió dollárt keresett. Habár a kulcsfontosságú platformokon regisztrált hackerek száma milliókra rúg, Inti De Ceukelaire, az Intigriti vezető hackere szerint a napi vagy heti szinten vadászó hackerek száma „tízezerre” tehető. Az elit réteg, amelyet meghívnak a csúcs eseményekre, még ennél is kisebb. Murtagh elmondta, hogy „egy jó hónap több kritikus sérülékenységet, néhány magas szintűt és sok közepes szintűt is tartalmazhat. Az ideális helyzetben jó kifizetések is történhetnek.” Ugyanakkor hozzátette, hogy „ez nem mindig így történik”.

Az AI robbanásszerű fejlődésével a bug vadászok teljesen új támadási felületeket fedezhetnek fel. Ellis szerint a szervezetek versenyképes előnyre törekednek a technológia révén, ami általában biztonsági hatással jár. „Általában, ha egy új technológiát gyorsan és versenyképesen valósítanak meg, nem gondolkodnak annyira azon, hogy mi mehet rosszul.” Paxton-Fear doktornő, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági előadója hangsúlyozta, hogy az AI az első technológia, amely megjelent a színen, miközben a hivatalos bug vadász közösség már létezett. Az AI szintén kiegyenlítette a hackerek játszóterét, ami azt jelenti, hogy a hackerek – akár etikusak, akár nem – kihasználhatják a technológiát saját műveik felgyorsítására és automatizálására.

Murtagh leírta, hogy a chatbotokkal való közösségi mérnöki technikákat alkalmazott: „Megpróbáltam rávenni a chatbotot, hogy egy kérés miatt vagy akár a saját magát aktiválva adjon meg más felhasználók rendeléseit vagy adatokat.” A modern AI rendszerek nyelvi modelljeinek köszönhetően azonban a nyelvi készségek és manipuláció fontos részét képezik a hacker eszköztárának. De Ceukelaire elmondta, hogy klasszikus rendőrségi kihallgatási technikákat használt a chatbotok zavarba hozására.

Az AI világában a bug vadászok szerepe egyre fontosabbá válik, és a jövőben valószínűleg egyre több lehetőség nyílik a biztonsági rések felkutatására. Ahogy De Ceukelaire fogalmazott: „Ha valaki hacker volt, az mindig hacker marad.”

Forrás: https://www.bbc.com/news/articles/c99n8r38rdlo