Mi az a hibakeresés és miért van átalakulóban?
Brandyn Murtagh pályafutása bemutatja, milyen izgalmas lehetőségek rejlenek a kiberbiztonsági szakmában, különösen a hibavadászok világában. Murtagh, aki már fiatalon, körülbelül 10-11 évesen kezdett el számítógépekkel foglalkozni és játékokat játszani, mindig is tudta, hogy „hackereként” szeretne dolgozni, vagy valamilyen formában a biztonsággal foglalkozni. Tizenhat évesen már a biztonsági műveleti központban dolgozott, majd huszonegy évesen a behatolási tesztelés területére lépett, ahol a kliensek számítógépes és fizikai biztonságát kellett tesztelnie. Ez a munka magában foglalta a hamis identitások létrehozását és a különböző helyszínekbe való behatolást is, amelyet Murtagh szórakoztatónak talált. Az utóbbi egy évben azonban teljes munkaidős hibavadásszá és független biztonsági kutatóvá vált, akinek feladata, hogy szervezetek számítógépes infrastruktúrájában keressen biztonsági sebezhetőségeket.
A hiba vadászat világa nem új keletű, hiszen a Netscape, az internetböngészők úttörője, volt az első technológiai vállalat, amely az 1990-es években készpénzes „jutalmat” ajánlott a biztonsági kutatóknak vagy hackereknek a termékeikben felfedezett hibákért. Ezt követően olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, összekötötték a hackereket és azokat a szervezeteket, amelyek a szoftverük és rendszereik tesztelésére vágytak. Casey Ellis, a Bugcrowd alapítója elmagyarázta, hogy bár a hackelés „morálisan semleges készség”, a hibavadászoknak mindenképpen jogi keretek között kell működniük. Ezek a platformok nagyobb fegyelmet adnak a hibavadászati folyamatnak, lehetővé téve a cégek számára, hogy meghatározzák, mely rendszereken szeretnék, hogy a hackerek dolgozzanak.
A Bugcrowd lehetőséget biztosít élő hackathonok lebonyolítására is, ahol a legjobb hibavadászok versenyeznek és együttműködnek, „kalapálva” a rendszereket, bemutatva tudásukat, és ezzel potenciálisan nagy összegű jutalmakra is szert tehetnek. Az ilyen platformok előnye a cégek számára egyértelmű: Andre Bastert, az AXIS OS globális termékmenedzsere elmondta, hogy a cégük 24 millió sor kódot tartalmazó operációs rendszere miatt a sebezhetőségek elkerülhetetlenek. „Rájöttünk, hogy mindig jó, ha van egy második szempont” – fogalmazott Bastert, hozzátéve, hogy a Bugcrowd segítségével „a hackereket jó célokra is felhasználhatjuk”.
Az Axis Communications bug bounty programjának megnyitása óta már 30 sebezhetőséget tártak fel és javítottak ki, köztük egy „nagyon súlyos” hibát is, amelyért a hacker 25 000 dolláros jutalmat kapott. Ez a munka tehát nemcsak izgalmas, hanem jövedelmező is lehet: a Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett. Míg a kulcsfontosságú platformokon milliók regisztráltak, Inti De Ceukelaire, az Intigriti fő hackere szerint a napi vagy heti rendszerességgel vadászó hackerek száma „tízezrekre” tehető. Az elit szintű hackerek, akiket a legfontosabb élő eseményekre hívnak meg, még kisebb létszámúak.
Murtagh elmondta, hogy egy jó hónapban több kritikus sebezhetőséget is felfedezhet, de hozzátette, hogy ez nem mindig valósul meg. Az AI robbanásszerű fejlődésével azonban a hibavadászok számára új támadási felületek nyíltak meg. Ellis szerint a szervezetek versenyképes előnyre törekszenek e technológia révén, ami gyakran biztonsági hatásokat is von maga után. Az új technológiák gyors bevezetése gyakran a hibák figyelmen kívül hagyását eredményezi.
Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági oktatója rámutatott, hogy az AI az első olyan technológia, amely már a hivatalos hibavadász közösség kialakulása előtt megjelent. Ez a technológia szintén egyenlő esélyeket teremt a hackerek számára, akik mind etikus, mind etikátlan módon kihasználhatják az AI-t a műveleteik felgyorsítására és automatizálására. Az AI rendszerek nagy nyelvi modellekre való támaszkodása miatt a nyelvi készségek is fontos részét képezik a hacker eszköztárának.
Murtagh például a chatbotokkal való interakció során alkalmazta a társadalmi manipulációs technikákat, amelyekkel megpróbálta kicsikarni más felhasználók adatait. Ugyanakkor a hagyományos webalkalmazás technikák is alkalmazhatóak a modern AI rendszerekben. A szakértők figyelmeztetnek, hogy a chatbotokra és a nagy nyelvi modellekre való túlzott fókuszálás elvonhatja a figyelmet a rendszerek közötti összefüggésekből, amelyek újabb sebezhetőségekhez vezethetnek.
Miközben az AI ipar növekszik, elengedhetetlen, hogy a vállalatok figyelembe vegyék a hibavadászokat és a biztonsági kutatókat a világ biztonságának megőrzésében. A hibavadászok számára a kihívások és lehetőségek folyamatosan bővülnek, és a technológia fejlődésével a munkahelyük is egyre izgalmasabbá válik. Ahogy De Ceukelaire fogalmazott: „Ha egyszer hacker voltál, mindig hacker maradsz.”
Ezeket is érdemes megnézni
Cigánybáró szereposztás: Ki játszik a kultikus műben?
A világ 10 legnagyobb parlamentje és érdekességeik
