Mi az a hibakeresés és miért van szükség rá?
Brandyn Murtagh, a fiatal és tehetséges bug bounty hunter, már az első évében olyan lehetőségekhez jutott, amik sokak számára álomszerűnek tűnnek. Az ő története jól példázza, hogy a technológiai karrier egyes ágazatai milyen izgalmas kihívásokat és lehetőségeket kínálnak. Murtagh már 10-11 éves korában szenvedett a játékok és számítógépek iránti szenvedélytől, és soha nem titkolta, hogy hacker vagy biztonsági szakember szeretne lenni. Tizenhat évesen kezdett el dolgozni egy biztonsági műveleti központban, majd húsz évesen a penetrációs tesztelés területére lépett, ahol a fizikai és számítógépes biztonságot egyaránt tesztelte. „Hamisan kellett azonosítanom magam, bejutnom különböző helyekre, majd hackelnem. Nagyon szórakoztató volt” – mesélte Murtagh.
Az elmúlt évben Murtagh teljes munkaidős bug hunter és független biztonsági kutató lett, ami azt jelenti, hogy szervezetek számítógépes infrastruktúráját kutatja a biztonsági sebezhetőségek után. Az útja során nem nézett vissza, és úgy tűnik, hogy a jövője fényesen alakul. A Netscape, az internetes böngészők úttörője volt az első olyan technológiai vállalat, amely az 1990-es években készpénzes „jutalmat” ajánlott fel biztonsági kutatóknak vagy hackereknek a termékeikben található hibák vagy sebezhetőségek felfedezéséért. Ezt követően olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, összekötötték a hackereket és azokat a szervezeteket, akik szeretnék tesztelni szoftvereik és rendszereik biztonságát.
Casey Ellis, a Bugcrowd alapítója elmondta, hogy bár a hackelés „morálisan semleges készségek összessége”, a bug hunter-eknek a törvények keretein belül kell működniük. A Bugcrowd platform például lehetővé teszi a vállalatok számára, hogy meghatározzák, mely rendszereket szeretnék, hogy a hackerek teszteljenek. Ezen kívül élő hackathonokat is szerveznek, ahol a legjobb bug hunter-ek versenyeznek és együttműködnek, hogy megmutassák képességeiket, és potenciálisan nagy pénzkeresetre tegyenek szert. A Bugcrowd-t használó cégek számára a jutalom is nyilvánvaló. Andre Bastert, az AXIS OS globális termékmenedzsere, a svéd Axis Communications biztonsági kamerákkal és megfigyelő berendezésekkel foglalkozó vállalatnál elmondta, hogy az operációs rendszerükben lévő 24 millió sor kód sebezhetőségek előfordulásához vezet. „Rájöttünk, hogy mindig jó, ha van egy második szempont” – tette hozzá. Az Axis bug bounty programjának megnyitása óta 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egyet, amit „nagyon súlyosnak” ítéltek meg. A hacker, aki ezt felfedezte, 25 000 dolláros jutalmat kapott.
A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett. Míg a kulcsfontosságú platformokon milliónyi hacker van regisztrálva, Inti De Ceukelaire, az Intigriti fő hacking tisztviselője szerint a napi vagy heti szinten aktívan tevékenykedő hackerek száma „tízezrekre” tehető. Az elit szint, amelyet meghívnak a csúcseventekre, még ennél is kisebb. Murtagh elmondta, hogy „egy jó hónap úgy néz ki, hogy pár kritikus sebezhetőséget találtam, néhány magas kockázatú hibát és sok közepes szintű sebezhetőséget. Az ideális helyzetben jó kifizetések is jöhetnek.” Azonban hozzátette, hogy „ez nem mindig így van”.
Az AI robbanásszerű fejlődésével a bug hunter-ek új támadási felületeket fedezhetnek fel. Ellis elmondta, hogy a szervezetek versenyképességük megőrzése érdekében igyekeznek gyorsan bevezetni az új technológiákat, ami gyakran biztonsági kockázatokkal jár. Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági előadója kiemelte, hogy az AI az első technológia, amely ilyen gyorsan terjedt el, miközben a bug hunting közösség már létezett. Az AI szintén kiegyenlíti a terepet a hackerek számára, lehetővé téve számukra, hogy felgyorsítsák és automatizálják saját folyamataikat, legyen szó a sebezhető rendszerek azonosításáról vagy kódok elemzéséről a hibák felfedezésére.
Murtagh különösen érdekli a chatbotokkal való munka, és megosztotta tapasztalatait arról, hogyan használta a szociális mérnöki technikákat a kereskedelmi chatbotokkal való interakció során. A modern AI rendszerek azonban hagyományos webalkalmazás technikákkal is sebezhetőek. A szakértők figyelmeztetnek arra, hogy a chatbotokra és a nagy nyelvi modellekre való túlzott fókuszálás elvonhatja a figyelmet az AI által működtetett rendszerek széleskörű összefonódásáról. Dr. Paxton-Fear arra figyelmeztet, hogy egy AI-hoz kapcsolódó adatvédelmi incidens elkerülhetetlen, és a növekvő AI iparnak elengedhetetlenül szüksége van a bug hunter-ek és biztonsági kutatók támogatására. „A tény, hogy egyes cégek nem teszik ezt, megnehezíti a világ biztonságban tartását” – mondta.
A bug hunter-ek számára azonban ez valószínűleg nem lesz elrettentő tényező. De Ceukelaire szavaival élve: „Egyszer hacker, mindig hacker.”
Ezeket is érdemes megnézni
Tavaszi köröm minták amelyek feldobják a megjelenésedet
Gáspár Melinda új könyve a siker titkairól
