Mi az a hibavadászat és miért van szükség rá?

A technológiai szakmák közül kevés nyújt olyan lehetőségeket, amelyek során az ember világszerte exkluzív helyszíneken bizonyíthatja a tudását, legyen szó luxusszállodákról vagy Las Vegas-i e-sport arénákról. Brandyn Murtagh, aki az utóbbi egy évben bug bounty vadásszá vált, pontosan ezt tapasztalta meg. Murtagh már 10-11 évesen elkezdett játszani és számítógépeket építeni, és mindig is tudta, hogy „hacker vagy biztonsági szakember” szeretne lenni. Tizenhat évesen egy biztonsági műveleti központban kezdett dolgozni, majd húszéves korára penetrációs tesztelővé avanzsált, ahol a kliens cégek fizikai és számítógépes biztonságát tesztelte. „Hamisan kellett azonosítanom magam, be kellett törnöm helyekre, majd hackeltem. Nagyon szórakoztató volt” – mesélte.

Az elmúlt évben Murtagh teljes munkaidős bug vadásszá és független biztonsági kutatóvá vált, amely azt jelenti, hogy szervezetek számítógépes infrastruktúráját kutatja biztonsági sebezhetőségek után. Az internetböngésző úttörője, a Netscape volt az első technológiai vállalat, amely a 90-es években készpénzes „jutalmat” ajánlott fel biztonsági kutatóknak vagy hackereknek a termékeikben felfedezett hibákért. Ezt követően olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, segítettek összekapcsolni a hackereket és azokat a szervezeteket, amelyek biztonsági tesztelést szerettek volna végezni szoftvereiken és rendszereiken.

A Bugcrowd alapítója, Casey Ellis elmondta, hogy bár a hackelés „morálisan semleges készség”, a bug vadászoknak be kell tartaniuk a törvényt. A Bugcrowd és hasonló platformok hozzájárulnak a bug-keresési folyamat fegyelmezetté tételéhez, lehetővé téve a cégek számára, hogy meghatározzák, mely rendszereket szeretnék, hogy a hackerek teszteljék. Ezek a platformok élő hackathonokat is szerveznek, ahol a legjobb bug vadászok versenyeznek és együttműködnek, „kalapálva” a rendszereket, bemutatva készségeiket és potenciálisan nagy pénzt keresve.

A cégek számára a Bugcrowd használatának előnyei is egyértelműek. Andre Bastert, az AXIS OS globális termékmenedzsere, a svéd Axis Communications hálózati kamerákkal és megfigyelő berendezésekkel foglalkozó cégnél hangsúlyozta, hogy az eszközeik operációs rendszerében 24 millió sor kód található, így a sebezhetőségek elkerülhetetlenek. „Ráébredtünk, hogy mindig jó, ha van egy második szempont” – mondta. A Bugcrowd platform használatával „a hackereket jó célra használhatjuk” – tette hozzá. Az Axis bug bounty programjának megnyitása óta 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egyet, amelyet „nagyon súlyosnak” ítéltek. A hacker, aki ezt felfedezte, 25 000 dolláros jutalomban részesült, ami megerősíti, hogy a bug vadászat valóban jövedelmező munka lehet.

A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett. Habár számos hacker regisztrált a főbb platformokon, Inti De Ceukelaire, az Intigriti fő hackelési tisztviselője megjegyzi, hogy a napi vagy heti szinten aktívan vadászó hackerek száma „tízezrekre” tehető. Az elit szint, akiket a vezető élő eseményekre meghívnak, még ennél is kisebb létszámú. Murtagh elmondta, hogy „egy jó hónap az úgy nézne ki, hogy néhány kritikus sebezhetőséget találok, pár magas szintűt, sok közepeset. Ideális esetben néhány jó kifizetés.” De hozzátette, hogy „ez nem mindig történik meg”.

Az AI robbanásszerű fejlődésével a bug vadászok előtt új támadási felületek nyílnak meg. Ellis elmondása szerint a szervezetek versenyt futnak, hogy versenyelőnyre tegyenek szert az új technológiával, ami általában biztonsági hatással bír. „Általában, ha egy új technológiát gyorsan és versenyképesen valósítanak meg, akkor nem gondolkodnak annyira azon, hogy mi mehet rosszul.” Emellett az AI nemcsak hatékony, hanem „mindenki által használható” is. Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági előadója rámutatott, hogy az AI az első technológia, amely ilyen hirtelen robbant be a köztudatba, miközben a formális bug vadász közösség már létezett. Az AI szintén kiegyenlítette a hackerek játszóterét, hiszen a hackerek, legyenek etikailag helyesek vagy sem, kihasználhatják a technológiát saját műveik felgyorsítására és automatizálására.

Ez a folyamat magában foglalja a sebezhető rendszerek azonosítását, a kód hibáinak elemzését vagy lehetséges jelszavak javaslását a rendszerekbe való behatoláshoz. Azonban a modern AI rendszerek nagy nyelvi modellekre való támaszkodása azt is jelenti, hogy a nyelvi készségek és manipuláció fontos részei a hacker eszköztárának. De Ceukelaire elmondta, hogy klasszikus rendőri kihallgatási technikákat használt a chatbotok zűrzavarához, hogy „megrekedjenek”. Murtagh példaként említette, hogy kiskereskedelmi chatbotokkal dolgozva próbálta előidézni, hogy a chatbot kérdéseket tegyen fel, vagy akár más felhasználók rendeléseit vagy adatait adja meg.

A fenyegetés azonban nem áll meg itt. Dr. Paxton-Fear hangsúlyozta, hogy a chatbotokra és nagy nyelvi modellekre való túlzott összpontosítás elvonhatja a figyelmet az AI által vezérelt rendszerek közötti széleskörű összefonódásoktól. „Ha egy rendszerben sebezhetőséget találunk, hol jelenik meg ez végül minden más rendszerben, amellyel összekapcsolódik? Hol látjuk ezt a kapcsolatot?” – tette fel a kérdést. Azt is hozzátette, hogy még nem történt jelentős AI-hoz kapcsolódó adatlopás, de „szerintem csak idő kérdése”. Közben a virágzó AI iparnak biztosítania kell, hogy befogadja a bug vadászokat és biztonsági kutatókat. „Az, hogy egyes cégek ezt nem teszik, sokkal nehezebbé teszi a világ biztonságban tartásához szükséges munkánkat.” Azonban ez valószínűleg nem tántorítja el a bug vadászokat. Ahogy De Ceukelaire mondta: „Egyszer hacker, mindig hacker.”

Forrás: https://www.bbc.com/news/articles/c99n8r38rdlo