Mi az a hibakeresés és miért változik a szerepe?
Brandyn Murtagh karrierje az utóbbi évek egyik legizgalmasabb technológiai pályafutása. Az ő története jól példázza, milyen lehetőségeket kínál a bug bounty vadászok világa, ahol a tehetséges hackerek világszerte, különböző exkluzív helyszíneken, például luxushotelekben vagy Las Vegas e-sport arénáiban bizonyíthatják tudásukat. Murtagh pályafutása mindössze egy év alatt emelkedett a bug bounty vadászok közé, ahol a ranglistákon előrehaladva, a közönség buzdítása mellett gyűjtötte a pénzdíjakat.
Murtagh már fiatalon, körülbelül 10-11 évesen elkezdett videojátékokkal játszani és számítógépeket építeni. Gyermekkorától fogva tudta, hogy „hackereként vagy a biztonság területén szeretne dolgozni”. 16 éves korában egy biztonsági üzemeltetési központban kezdett el dolgozni, majd 20 évesen penetrációs tesztelő lett, ahol az ügyfelek fizikai és számítógépes biztonságát kellett tesztelnie. „Ál-azonosságokat kellett létrehoznom, helyszínekre kellett bejutnom, és aztán hackelni. Igazán szórakoztató volt” – mesélte Murtagh. Az utóbbi egy év során azonban teljes munkaidős bug vadásszá és független biztonsági kutatóvá vált, aki szervezetek számítógépes infrastruktúráját kutatja a biztonsági réseik után.
A bug bounty rendszerek, amelyek a 90-es években kezdődtek a Netscape internetböngésző által, mára globálisan elterjedtek. Olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, összekötik a hackereket és azokat a szervezeteket, akik szeretnék tesztelni szoftvereik és rendszereik biztonságát. Casey Ellis, a Bugcrowd alapítója megjegyezte, hogy míg a hackelés egy „erkölcsileg semleges készség”, a bug vadászoknak törvényes keretek között kell működniük. Ezek a platformok rendszereket hoznak létre, amelyek lehetővé teszik a cégek számára, hogy meghatározzák, mely rendszereket szeretnék, hogy a hackerek teszteljék.
A bug bounty programok bevezetésével a cégek számára egyértelművé vált, hogy a hackerek „jótékony erőként” is működhetnek. Andre Bastert, az Axis Communications globális termékmenedzsere elmondta, hogy a cég operációs rendszerében 24 millió sor kód található, ami elkerülhetetlenné teszi a sebezhetőségeket. „Mindig jó, ha van egy második szem, ami átnézi a dolgokat” – mondta Bastert. Az Axis bug bounty programja óta 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egyet, amelyet „nagyon súlyosnak” ítéltek. A hackert, aki felfedezte, 25 000 dolláros jutalomban részesítették.
A bug bounty vadászat világa tehát nemcsak izgalmas, hanem anyagilag is kifizetődő lehet. A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett. Azonban a platformokra regisztrált hackerek száma óriási, míg a napi vagy heti szinten aktívan dolgozók száma „tízezrekben” mérhető. Az elit szint, akiket meghívnak a vezető élő eseményekre, ennél is kisebb. Murtagh megjegyezte, hogy egy jó hónap általában több kritikus és magas sebezhetőség felfedezését jelenti, de hozzátette, hogy ez nem mindig valósul meg.
Az AI robbanásszerű fejlődése új lehetőségeket nyújt a bug vadászok számára, mivel a szervezetek versenyképes előnyre törekednek az új technológia terén. Ellis szerint azonban a gyors technológiai bevezetés gyakran a biztonsági kockázatok figyelmen kívül hagyásával jár. Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója rámutatott, hogy az AI az első olyan technológia, amely a formális bug vadász közösség már meglévő keretei mellett robbant be a köztudatba. Az AI szintén lehetőségeket teremt a hackerek számára, hogy gyorsan és automatizált módon végezzenek műveleteket, beleértve a rendszerek sebezhetőségeinek azonosítását és a kódok hibáinak elemzését.
A modern AI rendszerek nyelvi modellekre való támaszkodása azonban azt is jelenti, hogy a nyelvi készségek és manipulációk fontos részét képezik a hackerek arzenáljának. Murtagh a közösségi manipulációs technikákat használta chatbotokkal való interakció során, hogy információkat szerezzen. Azonban a hagyományos webalkalmazás technikák, mint például a cross site scripting, is sikeres támadási módszerekké válhatnak.
A jövőbeni kihívások között szerepel, hogy a bug vadászoknak és biztonsági kutatóknak folyamatosan alkalmazkodniuk kell az új technológiákhoz, és együtt kell működniük a cégekkel a biztonság fenntartása érdekében. Az AI iparának fel kell ismernie a bug vadászok szerepét, hogy a világ biztonságosabbá váljon, és ezzel együtt a hackerek szerepe is folyamatosan fejlődik. Murtagh és De Ceukelaire szavai jól tükrözik ezt: „Egyszer hacker, mindig hacker.”
Ezeket is érdemes megnézni
Tippek a tökéletes frizura kiválasztásához arcforma alapján
A keresztcsont fájdalom lelki háttere és megoldásai
