Mi az a hibavadászat és miért van szükség rá?
Brandyn Murtagh különleges pályafutására a technológia világában nem mindennapi lehetőségek vártak az első évében, amikor bug bounty hunterként, azaz hibavadászként kezdett dolgozni. Az ilyen karrier lehetőséget ad arra, hogy a világ különböző, exkluzív helyszínein, mint például luxus szállodák és Las Vegas-i e-sport arénák, bemutathassa a tudását, miközben a szurkolók biztatják őt, ahogy a neve feljebb kerül a ranglistákon, és a keresete is növekszik. Murtagh már 10-11 éves korában érdeklődött a játékok és számítógépek iránt, és mindig is tudta, hogy „hackerként vagy biztonsági területen szeretne dolgozni”. Tizenhat évesen kezdett el dolgozni egy biztonsági műveleti központban, majd húsz évesen a behatolás tesztelésére váltott, amely magába foglalta az ügyfelek fizikai és számítógépes biztonságának tesztelését is. „Hamisan kellett identitásokat létrehoznom és betörni helyekre, majd hackelni. Ez igazán szórakoztató volt” – idézi fel az élményeit.
Az utóbbi egy évben azonban teljes munkaidős bug vadásszá és független biztonsági kutatóvá vált, ami azt jelenti, hogy szervezetek számítógépes infrastruktúráját kutatja a biztonsági sebezhetőségek után. A múltban a Netscape volt az első technológiai cég, amely a 90-es években készpénzes „jutalmat” kínált a biztonsági kutatóknak vagy hackereknek, akik felfedezték a termékeikben lévő hibákat. Ezt követően olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában megjelentek, hogy összekapcsolják a hackereket és azokat a szervezeteket, amelyek szeretnék tesztelni szoftvereik és rendszereik biztonságát.
A Bugcrowd alapítója, Casey Ellis elmondása szerint a hackelés „morálisan semleges készség”, de a hibavadászoknak a törvény keretein belül kell működniük. Az olyan platformok, mint a Bugcrowd nagyobb fegyelmet biztosítanak a hibavadász folyamatban, lehetővé téve a cégek számára, hogy meghatározzák, mely rendszereket szeretnék, hogy a hackerek teszteljék. Ezen kívül live hackathonokat is szerveznek, ahol a legjobb hibavadászok versenyeznek és együttműködnek, bemutatva tudásukat, és lehetőséget kapva arra, hogy jelentős összegeket keressenek. Az Axis Communications svéd megfigyelő berendezéseket gyártó cég globális termékmenedzsere, Andre Bastert elmondta, hogy a 24 millió sor kódot tartalmazó eszközük operációs rendszerében elkerülhetetlenek a sebezhetőségek. „Rájöttünk, hogy mindig jó, ha van egy második szem, amely ránéz a dolgokra” – mondta.
Az Axis bug bounty programjának megnyitása óta 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egyet, amelyet „nagyon súlyosnak” ítéltek. A hacker, aki ezt felfedezte, 25 000 dolláros jutalmat kapott. A Bugcrowd legjobban kereső hackere az utolsó évben több mint 1,2 millió dollárt keresett. Bár több millió hacker regisztrált a kulcsfontosságú platformokon, Inti De Ceukelaire, az Intigriti fő hacking tisztje szerint a napi vagy heti szinten aktívan vadászó hackerek száma „tízezerre tehető”. Az elitek, akik meghívást kapnak a legfontosabb élő eseményekre, még ennél is kevesebben vannak.
Murtagh szerint egy sikeres hónap általában úgy néz ki, hogy néhány kritikus sebezhetőséget találnak, pár magas kockázatú hibát, és rengeteg közepes súlyú problémát. „Ideális esetben jó kifizetéseket is kapok.” Ugyanakkor hozzátette, hogy „ez nem mindig történik meg”. Az AI robbanásszerű fejlődésével a hibavadászok számára új támadási felületek nyíltak meg. Ellis azt mondja, hogy a szervezetek versenyképes előnyre törekednek az új technológiával, ami jellemzően biztonsági hatással is jár. „Általánosságban elmondható, hogy ha egy új technológiát gyorsan és versenyképesen valósítanak meg, akkor nem gondolkodnak annyira azon, hogy mi is mehetne rosszul.”
A modern AI rendszerek nagy nyelvi modellekre támaszkodása azt is jelenti, hogy a nyelvi készségek és manipuláció fontos részét képezik a hackerek eszköztárának. De Ceukelaire elmondta, hogy klasszikus rendőrségi kihallgatási technikákat használt arra, hogy megzavarja a chatbotsokat. Murtagh pedig megosztotta, hogy miként alkalmazza ezeket a társadalmi manipulációs technikákat a kiskereskedők chatbotjaival: „Megpróbálnám rávenni a chatbotot, hogy egy másik felhasználó rendelését vagy adatait adja ki.”
A fenyegetés azonban nem áll meg itt. Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági oktatója figyelmeztetett arra, hogy a chatbotokra és a nagy nyelvi modellekre való túlzott fókuszálás elvonhatja a figyelmet az AI-vezérelt rendszerek szélesebb összefonódásairól. „Ha egy rendszerben sebezhetőség van, hol jelenik meg az minden más rendszerben, amelyhez kapcsolódik?” kérdezte.
Bár eddig még nem történt komoly AI-hoz kapcsolódó adatlopás, Paxton-Fear szerint „csak idő kérdése”. A folyamatosan fejlődő AI iparnak biztosítania kell, hogy befogadja a hibavadászokat és biztonsági kutatókat, hiszen „ha egyes cégek ezt nem teszik, sokkal nehezebb a dolgunk, hogy megőrizzük a világ biztonságát”. Mindezek ellenére a bug vadászokat valószínűleg nem tántorítják el a kihívások. Ahogy De Ceukelaire mondta: „Egyszer hacker, mindig hacker.”
Ezeket is érdemes megnézni
A NASA megmentésére keresnek milliárdos segítséget, de vajon ő a megfelelő választás?
Visszavonul Gyurcsány Ferenc, véget ér a házassága is
