Mi az a hibavadászat és miért van átalakulásban?

Brandyn Murtagh, a bug bounty hunter, különleges karrierjével nem csupán a technológiai szektorban, hanem a világ különböző exkluzív helyszínein is bizonyíthatja tudását, legyen szó luxusszállodákról vagy Las Vegas-i e-sport arénákról. Murtagh pályafutása során nemcsak a vezető ranglistákon való szereplés örömeit tapasztalta meg, hanem a pénzkeresés lehetőségét is. Fiatalon, körülbelül 10 vagy 11 éves korában kezdett el érdeklődni a számítógépek építése és a játékok iránt, és mindig is tudta, hogy „hacker vagy biztonsági szakember” szeretne lenni. 16 évesen már a biztonsági műveleti központban dolgozott, két évvel később pedig áttért a penetrációs tesztelésre, amely a kliensek fizikai és számítógépes biztonságának tesztelését foglalta magába. „Hamísított személyazonosságokat kellett létrehoznom, és be kellett törnöm helyekre, majd hackelnem” – mesélte Murtagh, aki a kihívásokat szórakoztatónak találta.

Az utóbbi egy évben Murtagh teljes munkaidős bug vadásszá és független biztonsági kutatóvá vált, és most már szervezetek számítógépes infrastruktúrájában kutat a biztonsági réseket. Az internetböngészők úttörője, a Netscape, az 1990-es években volt az első technológiai cég, amely készpénzes „jutalmat” kínált a biztonsági kutatóknak vagy hackereknek, akik felfedezték a termékeikben található hibákat vagy sebezhetőségeket. Ezt követően olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, létrejöttek, hogy összekapcsolják a hackereket az olyan szervezetekkel, amelyek szeretnék teszteltetni szoftvereiket és rendszereiket.

A Bugcrowd alapítója, Casey Ellis elmondta, hogy míg a hackelés „morálisan semleges készség”, a bug vadászoknak jogi keretek között kell működniük. A Bugcrowd hasonló platformokkal strukturáltabbá válik a hibavadász folyamat, lehetővé téve a cégek számára, hogy meghatározzák, mely rendszereket szeretnék, hogy a hackerek teszteljék. Ezek a platformok élő hackathonokat is szerveznek, ahol a legjobb bug vadászok versenyeznek és együttműködnek a rendszerek „támadásában”, bemutatva tudásukat és potenciálisan nagy pénzkereseti lehetőségeket biztosítva.

A cégek számára, akik a Bugcrowdot használnak, a kockázatok csökkentése nyilvánvaló előnyöket jelent. Andre Bastert, az AXIS OS globális termékmenedzsere, a svéd Axis Communications hálózati kamerákkal és megfigyelő berendezésekkel foglalkozó cég képviseletében elmondta, hogy az operációs rendszerük 24 millió sor kódot tartalmaz, így a sebezhetőségek elkerülhetetlenek. „Rájöttünk, hogy mindig jó, ha van egy második szem” – tette hozzá. Az Axis bug bounty programjának megnyitása óta mintegy 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egyet, amelyet „nagyon súlyosnak” ítéltek. A hacker, aki ezt a hibát felfedezte, 25 000 dolláros jutalmat kapott.

A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett, bár a kulcsfontosságú platformokon regisztrált hackerek száma milliós nagyságrendű, de Inti De Ceukelaire, az Intigriti fő hackere megjegyezte, hogy a napi vagy heti szinten tevékenykedő hackerek száma „tízezrekre” rúg. Az elit szint, amelyet a zászlóshajó élő eseményekre hívnak meg, még ennél is kisebb. Murtagh elmondta, hogy egy jó hónapban néhány kritikus sebezhetőséget, néhány magas szintű hibát és sok közepes szintű problémát talál. Azonban hozzátette, hogy „ez nem mindig így van”.

A mesterséges intelligencia (AI) robbanásszerű fejlődése új támadási felületeket kínál a bug vadászok számára. Ellis elmondta, hogy a szervezetek versenyképes előnyre törekednek az új technológiák bevezetésével, ami általában biztonsági hatással jár. „Általában, ha gyorsan és versenyképesen vezetsz be egy új technológiát, nem gondolsz annyira arra, hogy mi mehet rosszul.” Az AI nemcsak hatékony, hanem „bárki által használható”, tette hozzá.

Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági előadója rámutatott, hogy az AI az első technológia, amely ilyen gyorsan jelent meg, miközben a formális bug vadász közösség már létezett. A hackerek, legyenek etikusak vagy nem, kihasználhatják ezt a technológiát, hogy felgyorsítsák és automatizálják saját működésüket. A technológia kihasználása a sebezhető rendszerek azonosításától kezdve a kód elemzéséig terjed, hogy hibákat találjanak, vagy javasolt jelszavakat generáljanak a rendszerek feltöréséhez.

A modern AI rendszerek nagy nyelvi modellekre való támaszkodása azonban azt is jelenti, hogy a nyelvi készségek és manipulációk fontos részét képezik a hackerek eszköztárának. De Ceukelaire elmondta, hogy klasszikus rendőrségi kihallgatási technikákat alkalmazott, hogy zavarba hozza a chatbotokat. Murtagh például elmondta, hogy a kereskedelmi chatbotokkal való interakció során próbált meg olyan kéréseket generálni, amelyek más felhasználók adataihoz való hozzáférést eredményeztek.

Ugyanakkor a modern technológiák nemcsak a hackereknek, hanem a biztonsági szakembereknek is új kihívásokat jelentenek, hiszen a potenciális sebezhetőségek széles spektrumát nyújtják. Paxton-Fear figyelmeztetett, hogy a chatbotok és a nagy nyelvi modellek túlzott fókuszálása elvonhatja a figyelmet a mesterséges intelligencia által működtetett rendszerek közötti összefonódásról. „Ha egy rendszerben hibát találsz, az hol jelenik meg a többi összekapcsolt rendszerben?” – tette fel a kérdést.

A mesterséges intelligencia terjedése tehát olyan új kihívások elé állítja a szakembereket, amelyek megoldásához elengedhetetlen a bug vadászok és biztonsági kutatók bevonása. Paxton-Fear hangsúlyozta, hogy a fejlődő AI iparnak biztosítania kell, hogy a bug vadászok és a biztonsági kutatók partnerek legyenek, hiszen „azok a cégek, akik nem teszik ezt, sokkal nehezebbé teszik a munkánkat, hogy biztonságosabbá tegyük a világot.” Ennek ellenére a bug vadászok elkötelezettsége és szenvedélye nem csökken. De Ceukelaire szavain: „Egyszer hacker, mindig hacker.”

Forrás: https://www.bbc.com/news/articles/c99n8r38rdlo