Mi az a hibakeresés és miért van szükség rá?
Brandyn Murtagh izgalmas és jövedelmező pályafutásra tett szert a bug bounty vadászként eltöltött első évében. Ez a munka nem csupán technológiai kihívásokat kínál, hanem a világ különböző, exkluzív helyszínein való részvételt is lehetővé tesz, legyen szó luxusszállodákról vagy Las Vegas-i e-sport arénákról. Murtagh már gyermekkorában, 10-11 éves korában érdeklődött a játékok és számítógép-építés iránt, és úgy érezte, hogy „hacker szeretne lenni, vagy a biztonság területén dolgozni”. 16 évesen már egy biztonsági műveleti központban dolgozott, majd 20 évesen a penetrációs tesztelés felé fordult, ahol kliensek számítógépes és fizikai biztonságát tesztelte. „Hamisan kellett azonosítanom magam, be kellett törni helyszínekre, majd hackelni. Elég szórakoztató volt” – mondta Murtagh.
Az elmúlt évben Murtagh teljes munkaidős bug vadásszá és független biztonsági kutatóvá vált, ami azt jelenti, hogy folyamatosan keres biztonsági sebezhetőségeket különböző szervezetek számítógépes infrastruktúrájában. Az internetböngészők úttörője, a Netscape volt az első technológiai vállalat, amely az 1990-es években készpénzes „jutalmat” ajánlott fel a biztonsági kutatóknak vagy hackereknek a termékeikben felfedezett hibákért. Ezt követően olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában jöttek létre, hogy összekapcsolják a hackereket és azokat a szervezeteket, amelyek a szoftvereik és rendszereik biztonsági tesztelésére keresnek szakembereket.
A Bugcrowd alapítója, Casey Ellis elmondta, hogy a hackelés „morálisan semleges készség”, azonban a bug vadászoknak a törvény keretein belül kell működniük. A Bugcrowd platform lehetővé teszi a cégek számára, hogy meghatározzák, milyen rendszereket szeretnének, hogy a hackerek teszteljenek. Ezeken a platformokon élő hackathonokat is rendeznek, ahol a legjobb bug vadászok versenyeznek és együttműködnek, „megverve” a rendszereket, bemutatva tudásukat, és potenciálisan jelentős összegeket keresve.
Azok a vállalatok, amelyek a Bugcrowd-hoz hasonló platformokat használnak, világosan látják a hasznot. Andre Bastert, az Axis Communications globális termékmenedzsere kifejtette, hogy a cég operációs rendszere 24 millió kódsorból áll, így a sebezhetőségek elkerülhetetlenek. „Rájöttünk, hogy mindig jó, ha van egy második pár szem” – mondta Bastert. Az Axis bug bounty programjának megnyitása óta már 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egyet, amelyet „nagyon súlyosnak” ítéltek meg. A hacker, aki ezt felfedezte, 25 000 dolláros jutalomban részesült.
A Bugcrowd legjobban kereső hackere az utolsó évben több mint 1,2 millió dollárt keresett. Bár milliók vannak regisztrálva a kulcsfontosságú platformokon, Inti De Ceukelaire, az Intigriti fő hackelő tisztje elmondta, hogy a napi vagy heti szinten aktívan vadászók száma „tízezrekben” mérhető. Az elit szint, akik meghívást kapnak a kiemelt élő eseményekre, még ennél is kisebb.
Murtagh egy jó hónapban több kritikus sebezhetőséget találna, emellett néhány magas és számos közepes kockázatú hibát is. Azonban hozzátette, hogy „ez nem mindig történik meg”. Az AI robbanásszerű fejlődése új támadási felületeket nyitott meg a bug vadászok előtt. Ellis szerint a szervezetek versenyképes előnyhöz akarnak jutni a technológiával, ami általában biztonsági hatással jár. „Ha gyorsan és versenyképesen vezetsz be egy új technológiát, akkor nem gondolsz annyira arra, mi mehet rosszul” – mondta.
A modern AI rendszerek nagymértékben támaszkodnak a nagy nyelvi modellekre, ami azt jelenti, hogy a nyelvi készségek és manipulációk fontos részét képezik a hackerek eszköztárának. De Ceukelaire klasszikus rendőrségi kihallgatási technikákat használt, hogy zavarba hozza a chatbotokat és rávegye őket a „megtörésre”. Murtagh például elmondta, hogy megpróbálta a chatbotokat arra bírni, hogy más felhasználók rendelését vagy adatait adjanak ki neki.
A fenyegetések azonban nem állnak meg itt. Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági oktatója hangsúlyozta, hogy a chatbotokra és a nagy nyelvi modellekre való túlzott fókuszálás elvonhatja a figyelmet az AI által működtetett rendszerek szélesebb összefonódásáról. „Ha van egy sebezhetőség egy rendszeren, hol jelenik meg az később minden más kapcsolódó rendszeren?” – tette fel a kérdést. Jelenleg még nem történt jelentős AI-hoz kapcsolódó adatlopás, de Paxton-Fear szerint „csak idő kérdése”.
Az AI iparnak sürgősen szüksége van a bug vadászokra és biztonsági kutatókra ahhoz, hogy biztonságosabbá tegyék a világot. A vállalatoknak, akik ezt nem teszik meg, sokkal nehezebb dolguk lesz abban, hogy a világot biztonságban tartsák. De Ceukelaire megjegyezte: „Egyszer hacker, mindig hacker.” A bug vadászok elkötelezettsége és kreatív megoldáskeresése biztosítja, hogy a technológiai fejlődés mellett a biztonság is folyamatosan fejlődjön.
Ezeket is érdemes megnézni
Fedezd fel a csillagjegyek titkait: mit ígérnek a bolygók?
A jámborság titkai és jelentősége a modern világban
