Mi az a hibakeresés és miért van átalakulóban?

Brandyn Murtagh különleges karrierjét a technológiai világban nem sokan tudják magukénak mondani. Az ő története egy izgalmas utazás, amely a számítógép-építéstől és a játékoktól kezdődött, egészen odáig, hogy bug bounty hunterként, azaz biztonsági kutatóként tevékenykedik. Murtagh már 10-11 éves korában elkezdett foglalkozni a számítástechnikával és a videojátékokkal, és mindig tudta, hogy hacker vagy biztonsági szakember szeretne lenni. 16 évesen kezdett el dolgozni egy biztonsági műveleti központban, majd 20 évesen áttért a penetrációs tesztelésre, ahol ügyfelek fizikai és számítógépes biztonságát tesztelte. „Hamisan kellett azonosítanom magam, be kellett hatolnom különböző helyekre, majd hackelnem kellett. Ez igazán szórakoztató volt” – mesélte Murtagh.

Az utóbbi egy évben Murtagh teljes munkaidős bug hunter lett, ami azt jelenti, hogy szervezetek számítógépes infrastruktúráját kutatja biztonsági sebezhetőségek után. Az internetböngésző-pionír Netscape volt az első technológiai cég, amely a 90-es években pénzbeli „jutalmat” ajánlott fel a biztonsági kutatóknak vagy hackereknek a termékeikben felfedezett hibákért. Ezt követően az Egyesült Államokban létrejöttek olyan platformok, mint a Bugcrowd és a HackerOne, míg Európában az Intigriti, amelyek összekapcsolják a hackereket és azokat a szervezeteket, amelyek szeretnék tesztelni szoftvereik és rendszereik biztonságát.

A Bugcrowd alapítója, Casey Ellis elmondta, hogy a hackelés egy „morálisan semleges készség”, de a bug hunter-eknek törvényes keretek között kell működniük. A Bugcrowd platform lehetővé teszi a vállalatok számára, hogy meghatározzák, milyen rendszereket szeretnének, hogy a hackerek teszteljenek. Emellett élő hackathonokat is szerveznek, ahol a legjobb bug hunter-ek versenyeznek és együttműködnek, „ütve” a rendszereket, bemutatva készségeiket, és potenciálisan jelentős pénzt keresve.

A Bugcrowd használatának előnyei a vállalatok számára is nyilvánvalóak. Andre Bastert, az AXIS OS globális termékmenedzsere, a svéd Axis Communications cégtől megjegyezte, hogy eszközeik operációs rendszerében 24 millió kódsor található, így a sebezhetőségek elkerülhetetlenek. „Ráébredtünk, hogy mindig jó, ha van egy második szem, amely átnézi a dolgokat” – tette hozzá Bastert. Az Axis bug bounty programja óta már 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egyet, amit „nagyon súlyosnak” ítéltek. A hacker, aki ezt felfedezte, 25,000 dolláros jutalomban részesült.

Bár a Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett, a platformokat regisztráló hackerek száma milliós nagyságrendű, de Inti De Ceukelaire, az Intigriti fő hackere szerint a napi vagy heti rendszerességgel vadászó hackerek száma „tízezrekre” tehető. A legjobban teljesítő, élő eseményekre meghívott hackerek száma még ennél is kisebb. Murtagh elmondta, hogy egy jó hónap úgy néz ki, hogy néhány kritikus sebezhetőséget találnak, néhány magas szintűt és sok közepest. „Néha azonban ez nem mindig történik meg.”

Az AI robbanásszerű fejlődésével a bug hunter-ek új támadási felületeket fedezhetnek fel. Ellis szerint a szervezetek versenyt futnak, hogy előnyhöz jussanak e technológia révén, ami gyakran biztonsági problémákat is felvet. „Általában, ha egy új technológiát gyorsan és versenyszerűen vezetnek be, nem gondolkodnak annyira azon, hogy mi mehet rosszul.” Emellett az AI nemcsak hatékony, hanem „mindenki számára használható”. Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági oktatója rámutatott, hogy az AI az első technológia, amely a formális bug hunting közösség már meglévő keretei között robbant be.

A hackerek – legyenek etikusak vagy nem – kihasználhatják ezt a technológiát, hogy felgyorsítsák és automatizálják saját műveleteiket. Ez magában foglalja a sebezhető rendszerek azonosítását, a kód hibáinak elemzését vagy a lehetséges jelszavak javaslatát, hogy bejussanak a rendszerekbe. Azonban a modern AI rendszerek nagy nyelvi modellekre való támaszkodása azt is jelenti, hogy a nyelvi készségek és manipulációk fontos részét képezik a hacker eszköztárának. De Ceukelaire elmondta, hogy klasszikus rendőrségi kihallgatási technikákat alkalmazott a chatbotok félrevezetésére.

A jövő tehát tele van lehetőségekkel, de a fenyegetések is folyamatosan változnak. A bug hunter-eknek folyamatosan alkalmazkodniuk kell az új kihívásokhoz, és a világ biztonságának megőrzése érdekében dolgozniuk kell. Ahogy De Ceukelaire fogalmazott: „Egyszer hacker, mindig hacker.”

Forrás: https://www.bbc.com/news/articles/c99n8r38rdlo