Mi az a hibakeresés és miért van új irányban?
A technológiai karrier világában kevés olyan lehetőség adódik, amely lehetővé teszi, hogy valaki világszerte exkluzív helyszíneken, például luxusszállodákban vagy Las Vegas e-sport arénáiban mutathassa meg tudását, miközben a közönség buzdítja őt, ahogy a neve felkerül a ranglistára, és a keresete egyre nő. Brandyn Murtagh, a fiatal és tehetséges bug bounty vadász, pontosan ezt tapasztalta meg pályafutása első évében. Murtagh 10 vagy 11 éves korában kezdett el számítógépes játékokkal foglalkozni és gépeket építeni, és mindig is tudta, hogy „hekker szeretne lenni, vagy a biztonsággal szeretne foglalkozni”. 16 évesen már egy biztonsági műveleti központban dolgozott, majd 20 évesen a penetrációs tesztelés területére lépett, ahol a kliensek fizikai és számítógépes biztonságának tesztelésével foglalkozott. „Hamisan kellett személyazonosságokat alkotnom és bejutnom különböző helyekre, majd hackelnem. Egészen szórakoztató volt” – mesélte. Az elmúlt évben Murtagh teljes munkaidős bug vadásszá és független biztonsági kutatóvá vált, ami annyit jelent, hogy szervezetek számítógépes infrastruktúráját vizsgálja meg biztonsági sebezhetőségek után kutatva. Azóta nem nézett vissza.
A Netscape, az internetböngészők úttörője, az 1990-es években volt az első technológiai vállalat, amely készpénzes „bounty”-t ajánlott fel biztonsági kutatóknak vagy hackereknek a termékeikben található hibák vagy sebezhetőségek felfedezéséért. Azóta olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, jelentek meg, hogy összekapcsolják a hackereket és azokat a szervezeteket, akik szeretnék tesztelni szoftvereik és rendszereik biztonságát. Casey Ellis, a Bugcrowd alapítója elmagyarázta, hogy bár a hackelés „erkölcsileg semleges készség”, a bug vadászoknak a törvény keretein belül kell működniük. A Bugcrowdhoz hasonló platformok nagyobb fegyelmet hoznak a bug vadászat folyamatába, lehetővé téve a cégek számára, hogy meghatározzák, mely rendszereket szeretnék, hogy a hackerek célozzák meg. Ezenkívül élő hackathonokat is szerveznek, ahol a legjobb bug vadászok versenyeznek és együttműködnek a rendszerek „kalapálásában”, bemutatva tudásukat és potenciálisan nagy pénzkereseti lehetőségeket kínálva.
A Bugcrowd használatának előnyei a cégek számára egyértelműek. Andre Bastert, az AXIS OS globális termékmenedzsere, a svéd Axis Communications hálózati kamerákkal és megfigyelő berendezésekkel foglalkozó cégnél elmondta, hogy az eszközeik operációs rendszerében 24 millió sor kód található, így a sebezhetőségek elkerülhetetlenek. „Ráébredtünk, hogy mindig jó, ha van egy második szempont” – mondta. A Bugcrowd platform használatával „a hackereket a jó érdekében tudjuk hasznosítani” – tette hozzá. Az Axis bug bounty programjának megnyitása óta 30 sebezhetőséget fedeztek fel és javítottak ki, közöttük egyet, amelyet „nagyon súlyosnak” minősítettek. A hacker, aki ezt felfedezte, 25 000 dolláros (kb. 19 300 font) jutalomban részesült. Tehát ez egy jövedelmező munka lehet. A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett.
Bár a kulcsfontosságú platformokon milliónyi hacker van regisztrálva, Inti De Ceukelaire, az Intigriti fő hackereként kijelentette, hogy a napi vagy heti szinten vadászó hackerek száma „tízezer”. Az elit szint, akiket a legjobb élő eseményekre hívnak meg, még ennél is kisebb. Murtagh elmondta: „Egy jó hónap kritikus sebezhetőségek felfedezését jelenti, néhány magas szintűt, sok közepeset. Az ideális helyzetben néhány jó kifizetés is várható.” Ugyanakkor hozzáfűzte: „Ez nem mindig így van.” Az AI robbanásszerű fejlődésével a bug vadászok számára új támadási felületek állnak rendelkezésre. Ellis szerint a szervezetek versenyképességüket szeretnék növelni e technológiával, ami általában biztonsági hatással jár. „Általánosságban elmondható, hogy ha egy új technológiát gyorsan és versenyképesen vezetnek be, nem annyira gondolkodnak azon, hogy mi mehet rosszul.”
Emellett hangsúlyozta, hogy az AI nemcsak hatékony, hanem „bárki által használható”. Dr. Katie Paxton-Fear, a manchesteri Metropolitan Egyetem biztonsági kutatója és kiberbiztonsági oktatója arra figyelmeztetett, hogy az AI az első technológia, amely a hivatalos bug vadász közösség már meglévő kereteibe robbant be. Ez a hackerek számára is kiegyenlítette a terepet, mondta De Ceukelaire. A hackerek – legyenek etikusak vagy nem – kihasználhatják a technológiát, hogy felgyorsítsák és automatizálják saját működésüket. Ez magában foglalja a sebezhető rendszerek azonosítását célzó felderítést, a hibákra való kód-analízist, vagy lehetséges jelszavak javaslatát a rendszerekbe való behatoláshoz.
Az AI modern rendszereinek nagy nyelvi modellekre való támaszkodása azonban azt is jelenti, hogy a nyelvi készségek és manipulációk fontos részét képezik a hacker eszköztárának. De Ceukelaire elmondta, hogy klasszikus rendőrségi kihallgatási technikákat használt, hogy zavarba hozza a chatbotokat, és „megrekedjenek”. Murtagh leírta, hogy hogyan használja ezeket a szociális manipulációs technikákat a kiskereskedelmi chatbotokkal: „Megpróbáltam rávenni a chatbotot, hogy kérdéseket tegyen fel, vagy akár kiváltson egy olyan eseményt, amely során megadja egy másik felhasználó rendelését vagy adatait.” Azonban ezek a rendszerek is sebezhetők a „hagyományosabb” webalkalmazás technikákra. „Volt néhány sikerem egy cross site scripting nevű támadásban, ahol lényegében becsaphatod a chatbotot, hogy egy rosszindulatú payloadot rendereljen, ami mindenféle biztonsági következménnyel járhat.”
De a fenyegetések itt nem állnak meg. Dr. Paxton-Fear hangsúlyozta, hogy a chatbotokra és a nagy nyelvi modellekre való túlzott fókuszálás elvonhatja a figyelmet az AI-alapú rendszerek szélesebb összefonódottságáról. „Ha egy rendszerben sebezhetőséget találsz, az hol jelenik meg végül minden más rendszerben, amely hozzá kapcsolódik? Hol látható ez a kapcsolódás?” – tette fel a kérdést. Hozzáfűzte, hogy még nem történt jelentős AI-hoz kapcsolódó adatlopás, de „szerintem ez csak idő kérdése”.
A feljövő AI ipar számára kulcsfontosságú, hogy befogadja a bug vadászokat és a biztons
Ezeket is érdemes megnézni
Amerika és Nagy-Britannia új kereskedelmi megállapodást hirdetett meg
Trump elhagyta az amerikai gazdaság alapját, a következmények zűrzavart ígérnek
