Mi az a hibavadászat és miért van változóban?

Brandyn Murtagh karrierje a technológiai világban izgalmas és dinamikus irányba terelődött, amikor bug bounty vadásszá vált. Az első évében számos rangos eseményen vett részt, beleértve a luxus szállodákban és Las Vegas e-sport arénáiban zajló versenyeket, ahol a közönség lelkesedése mellett a neve folyamatosan emelkedett a ranglistákon, miközben a bevételei is folyamatosan gyarapodtak. Murtagh már fiatal korában, 10-11 évesen elkezdett videojátékokkal játszani és számítógépeket építeni, ekkor döntötte el, hogy hacker vagy biztonsági szakember szeretne lenni. Tizenhat évesen kezdett dolgozni egy biztonsági műveleti központban, majd húsz évesen áttért a penetrációs tesztelésre, ahol a kliensek fizikai és számítógépes biztonságát kellett tesztelnie. „Hamisan kellett azonosítanom magam és bejutnom helyekre, hogy hackelhessek. Ez igazán szórakoztató volt” – mesélte Murtagh.

Az elmúlt évben azonban teljes munkaidős bug vadásszá és független biztonsági kutatóvá vált, ami azt jelenti, hogy a szervezetek számítógépes infrastruktúráját kutatja biztonsági sebezhetőségek után. Az internetböngésző-pionír Netscape volt az első technológiai vállalat, amely a 90-es években pénzbeli „jutalmat” kínált biztonsági kutatóknak vagy hackereknek a termékeikben felfedezett hibákért. Ezt követően olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában megjelentek, hogy összekapcsolják a hackereket és azokat a szervezeteket, amelyek biztonsági tesztelést szeretnének a szoftvereik és rendszereik számára.

A Bugcrowd alapítója, Casey Ellis elmondta, hogy míg a hacking „morálisan semleges készség”, a bug vadászoknak a törvények keretein belül kell működniük. A Bugcrowd segít abban, hogy a bug-vadász folyamatok strukturáltabbá váljanak, lehetővé téve a cégek számára, hogy meghatározzák, mely rendszereket szeretnék, ha a hackerek támadnák. Ezen kívül élő hackathonokat is szerveznek, ahol a legjobb bug vadászok versenyeznek és együttműködnek, bemutatva tudásukat és potenciálisan nagy pénzkereseti lehetőséget biztosítva számukra.

A Bugcrowd platformot használó cégek számára a haszon nyilvánvaló. André Bastert, az AXIS OS globális termékmenedzsere, a svéd Axis Communications hálózati kamerákkal és megfigyelő berendezésekkel foglalkozó cég képviseletében elmondta, hogy az operációs rendszerükben 24 millió kódvonal található, így a sebezhetőségek elkerülhetetlenek. „Ráébredtünk, hogy mindig jó dolog, ha van egy második szem, amely átnézi a dolgokat” – tette hozzá. Az Axis bug bounty programja óta több mint 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egy „nagyon súlyos” hibát is, amelyért a felelős hacker 25,000 dolláros jutalmat kapott.

A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett. Habár a fő platformokon milliók regisztráltak, Inti De Ceukelaire, az Intigriti fő hacking tisztviselője elmondta, hogy a napi vagy heti szinten aktív bug vadászok száma „tízezrekre tehető”. Az elit szint, akik meghívást nyernek a legfontosabb eseményekre, még kisebb létszámú.

Murtagh szerint „egy jó hónap úgy néz ki, hogy néhány kritikus sebezhetőséget találok, néhány magas szintűt, és sok közepeset.” Hozzátette, hogy „ez nem mindig történik meg.” Az AI robbanásszerű növekedésével azonban a bug vadászok új támadási felületeket fedezhetnek fel. Ellis elmondta, hogy a szervezetek versenyképességi előny megszerzésére törekednek e technológia révén, ami általában biztonsági hatással bír. „Általában, ha gyorsan és versenyképesen valósítasz meg egy új technológiát, nem gondolsz annyira arra, hogy mi mehet rosszul.”

A modern AI rendszerek nagymértékben támaszkodnak a nagy nyelvi modellekre, így a nyelvi készségek és manipuláció fontos részei a hackerek eszköztárának. De Ceukelaire elmondta, hogy klasszikus rendőrségi kihallgatási technikákat alkalmazott, hogy megzavarja a chatbotokat. Murtagh pedig a kiskereskedők chatbotjainak manipulálásáról számolt be, ahol megpróbálta kicsikarni más felhasználók rendelési adatait. Azonban ezek a rendszerek hagyományos webalkalmazásokkal szembeni támadásoknak is ki vannak téve, mint például a cross-site scripting technika, ahol a hackerek káros kódot juttathatnak a chatbotokba.

A biztonsági szakértő, Dr. Katie Paxton-Fear rámutatott, hogy az AI által vezérelt rendszerek közötti összekapcsoltság fontos szempont. „Ha egy rendszerben sebezhetőséget találsz, az hol jelenik meg a többi kapcsolódó rendszerben? Ez az, ahol a hiányosságokat keresném.” Jelenleg még nem történt komoly AI-hoz kapcsolódó adatb breach, de Dr. Paxton-Fear úgy véli, hogy ez csak idő kérdése. A fejlődő AI iparnak mindenképpen magába kell foglalnia a bug vadászokat és a biztonsági kutatókat, hogy hatékonyabban védhessék a világot a potenciális fenyegetésektől.

Forrás: https://www.bbc.com/news/articles/c99n8r38rdlo