Mi az a hibavadászat és miért formálja át a jövőt?

Brandyn Murtagh, a fiatal bug bounty vadász, a technológiai karrierjének első évében olyan helyeken mutathatta meg a tudását, mint a luxus szállodák és a Las Vegas-i e-sport arénák, ahol a közönség szurkolt neki, miközben a ranglistán egyre feljebb került, és a keresete is nőtt. Murtagh született informatikai tehetség, aki 10-11 éves korában kezdett el videojátékokat játszani és számítógépeket építeni. Már fiatalon tudta, hogy hacker vagy biztonsági szakember szeretne lenni. 16 évesen kezdett el dolgozni egy biztonsági műveleti központban, majd 20 évesen a penetrációs tesztelésre váltott, ahol a kliensek fizikai és számítógépes biztonságának tesztelése volt a feladata. „Hamisan kellett azonosítanom magam, be kellett törni helyekre, és aztán hackelni. Nagyon szórakoztató volt” – mesélte Murtagh.

Az utóbbi egy évben Murtagh teljes munkaidős bug vadásszá és független biztonsági kutatóvá vált, ami azt jelenti, hogy szervezetek számítógépes infrastruktúráját kutatja fel biztonsági sebezhetőségek után. Az internetböngésző úttörője, a Netscape volt az első technológiai vállalat a 90-es években, amely készpénzes „jutalmat” kínált a biztonsági kutatóknak vagy hackereknek a termékeikben felfedezett hibákért. Ezt követően olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, összekötötték a hackereket és azokat a szervezeteket, akik szeretnék tesztelni szoftvereik és rendszereik biztonságát.

A Bugcrowd alapítója, Casey Ellis szerint bár a hacking egy „morálisan semleges készség”, a bug vadászoknak jogi keretek között kell működniük. A Bugcrowd platformok lehetővé teszik a vállalatok számára, hogy meghatározzák a „terjedelmet”, azaz milyen rendszereket akarjanak, hogy a hackerek célozzanak meg. Ezen kívül élő hackathonokat is szerveznek, ahol a legjobb bug vadászok versenyeznek és együttműködnek a rendszerek „ütögetésében”, bemutatva készségeiket, és potenciálisan nagy pénzt keresve. A Bugcrowd használata a cégek számára is egyértelmű előnyöket jelent. Andre Bastert, az AXIS OS globális termékmenedzsere elmondta, hogy a svéd Axis Communications hálózati kamerák és megfigyelő berendezések gyártója számára 24 millió sor kódot tartalmazó operációs rendszerükben elkerülhetetlenek a sebezhetőségek. „Rájöttünk, hogy mindig jó, ha van egy második pár szem” – tette hozzá.

Az Axis bug bounty programja óta 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egyet, amelyet „nagyon súlyosnak” ítéltek. A felelős hacker 25 000 dolláros jutalomban részesült. Az ilyen munka tehát jövedelmező lehet. A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett. Azonban míg a kulcsfontosságú platformokon milliónyi hacker van regisztrálva, Inti De Ceukelaire, az Intigriti fő hacking tisztje szerint a napi vagy heti szinten vadászó szám „tízezer” körüli. A legjobb szintre, akiket a kiemelkedő élő eseményekre hívnak meg, még kevesebben tartoznak.

Murtagh elmondta, hogy egy jó hónapban a kritikus sebezhetőségek mellett több magas és közepes szintű hibát is felfedezhet. „Ideális helyzetben néhány jó kifizetés is vár ránk” – tette hozzá, de hozzátette, hogy ez nem mindig valósul meg. Azonban az AI robbanásszerű fejlődése új támadási felületeket nyitott meg a bug vadászok előtt. Ellis szerint a szervezetek versenyképességi előnyhöz szeretnének jutni az új technológia révén, ami általában biztonsági hatásokat is hordoz. „Ha gyorsan és versenyképesen valósítasz meg egy új technológiát, nem gondolsz annyira arra, mi mehet rosszul” – mondta.

Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági oktatója kiemelte, hogy az AI az első technológia, amely ilyen robbanásszerűen jelent meg, miközben a formális bug vadász közösség már létezett. Az AI szintén kiegyenlítette a játszóteret a hackerek számára, mondta De Ceukelaire. A hackerek – legyenek etikusak vagy nem – kihasználhatják a technológiát, hogy felgyorsítsák és automatizálják saját műveleteiket, például sebezhető rendszerek azonosításával vagy kódok hibáinak elemzésével.

A modern AI rendszerek nagy nyelvi modellekre támaszkodása miatt a nyelvi készségek és manipulációk is fontos részei a hacker eszköztárának. De Ceukelaire klasszikus rendőrségi kihallgatási technikákat alkalmazott a chatbotok zavarására, hogy információkat szerezzen. Murtagh elmondta, hogy kereskedelmi chatbotok esetében próbálkozott hasonló módszerekkel, hogy más felhasználók adataihoz juthasson. Azonban a hagyományos webalkalmazás technikák is eredményesek lehetnek, mint például a cross site scripting.

A fenyegetés azonban nem áll meg itt. Dr. Paxton-Fear figyelmeztetett arra, hogy ha túlzottan a chatbotokra és a nagy nyelvi modellekre összpontosítunk, az elvonja a figyelmet a AI-alapú rendszerek közötti szélesebb összefonódásról. „Ha egy rendszerben találsz egy sebezhetőséget, az hol jelenik meg minden más rendszerben, amellyel összekapcsolódik?” – tette fel a kérdést. Jelenleg még nem történt jelentős AI-hoz kapcsolódó adatvédelmi incidens, de ő úgy véli, hogy ez csak idő kérdése.

A virágzó AI iparnak biztosítania kell, hogy foglalkozik a bug vadászokkal és biztonsági kutatókkal. „Az, hogy egyes cégek ezt nem teszik, rendkívül megnehezíti a munkánkat, hogy biztonságban tartsuk a világot.” Mindezek ellenére a bug vadászok nem fogják feladni, hiszen ahogy De Ceukelaire mondta: „Egyszer hacker, mindig hacker.”

Forrás: https://www.bbc.com/news/articles/c99n8r38rdlo