Mi az a hibakeresés és miért van szükség rá?
Brandyn Murtagh pályafutása rendkívül izgalmas fordulatokat tartogatott az elmúlt évben, amikor is bug bounty hunterként, azaz hibavadászként kezdett dolgozni. Az ilyen pályafutások ritkán kínálnak lehetőséget arra, hogy az ember a világ exkluzív helyszínein, például luxusszállodákban vagy Las Vegas-i e-sport arénákban mutathassa meg tudását, miközben a közönség buzdítja őt. Murtagh már fiatalon, körülbelül 10-11 éves korában felfedezte a számítógépek és a játékok iránti szenvedélyét, és már akkor tudta, hogy „hackelni vagy biztonsággal foglalkozni” szeretne. 16 éves korában kezdett el dolgozni egy biztonsági műveleti központban, majd 20 évesen átlépett a penetrációs tesztelés területére, ahol a kliensek fizikai és számítógépes biztonságát tesztelte. „Hamisan kellett azonosítanom magam, bejutnom helyekre, majd hackelnem. Ez igazán szórakoztató volt” – mesélte Murtagh.
Az elmúlt évben teljes munkaidős bug vadásszá és független biztonsági kutatóvá vált, ami azt jelenti, hogy szervezetek számítógépes infrastruktúráját kutatja biztonsági sebezhetőségek után. Az internetes böngészők úttörője, a Netscape volt az első technológiai vállalat, amely a 90-es években pénzbeli „jutalmat” ajánlott fel a biztonsági kutatóknak vagy hackereknek, akik felfedezték a termékeikben található hibákat. Ezt követően olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, összekötötték a hackereket azokkal a szervezetekkel, amelyek biztonsági tesztelést kívántak végezni a szoftvereiken és rendszereiken.
Casey Ellis, a Bugcrowd alapítója elmondta, hogy bár a hackelés „morálisan semleges készség”, a bug vadászoknak a törvények keretein belül kell működniük. A Bugcrowd platform lehetőséget biztosít arra, hogy a cégek meghatározzák, hogy milyen rendszereket szeretnének, hogy a hackerek teszteljenek. Emellett élő hackathonokat is szerveznek, ahol a legjobb bug vadászok versenyeznek és együttműködnek, bemutatva képességeiket, és esetlegesen nagy pénznyereményekre is szert téve. Az Axis Communications, a svéd hálózati kamerákat és megfigyelő berendezéseket gyártó vállalat globális termékmenedzsere, Andre Bastert elmondta, hogy eszközeik operációs rendszerében 24 millió kódsor található, így a sebezhetőségek elkerülhetetlenek. „Ráébredtünk, hogy mindig jó, ha van egy második pár szem” – tette hozzá. Az Axis bug bounty programjának megnyitása óta 30 sebezhetőséget fedeztek fel – és javítottak ki, köztük egyet, amit „nagyon súlyosnak” ítéltek meg. Az érintett hacker 25 000 dolláros jutalmat kapott.
A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett. Míg a kulcsfontosságú platformokon regisztrált hackerek száma több millióra rúg, Inti De Ceukelaire, az Intigriti vezető hackere elmondta, hogy a napi vagy heti szinten aktívan vadászó hackerek száma „tízezer” körül mozog. Az elit szintre meghívott hackerek száma még ennél is kisebb. Murtagh kifejtette, hogy egy jó hónap azzal jár, hogy néhány kritikus és magas kockázatú sebezhetőséget fedez fel, és sok közepes szintű hibát is. Az ideális helyzetben jó kifizetésekre is számíthat. Azonban hozzátette, hogy ez nem mindig valósul meg.
Az AI robbanásszerű fejlődése új támadási felületeket nyújt a bug vadászok számára. Ellis elmondta, hogy a szervezetek versenyképes előnyre törnek a technológiában, ami általában biztonsági hatással van. „Ha gyorsan és versenyképesen vezetsz be egy új technológiát, valószínűleg nem gondolsz annyira arra, hogy mi romolhat el” – magyarázta. Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója hangsúlyozta, hogy az AI az első technológia, amely már a formális bug vadász közösség létezése előtt robbant be a köztudatba. De Ceukelaire szerint ez egyenlőbbé tette a hackerek számára a játéktér, hiszen mind az etikus, mind az etikátlan hackerek kihasználhatják a technológiát, hogy felgyorsítsák és automatizálják saját műveleteiket.
Az AI rendszerek nyelvi modellekre való támaszkodása miatt a nyelvi készségek és manipuláció is fontos részét képezik a hackerek eszköztárának. De Ceukelaire elmondta, hogy klasszikus rendőrségi kihallgatási technikákat alkalmazott, hogy megtévesszen chatbots rendszereket. Murtagh például próbálta olyan helyzetbe hozni a chatbottokat, hogy más felhasználók rendeléseit vagy adatait adják ki. Azonban ezeket a rendszereket hagyományos webalkalmazás technikákkal is támadhatók. Murtagh megosztotta, hogy sikerült megvalósítania egy olyan támadást, amelyet cross-site scriptingnek hívnak, ahol becsapta a chatbotot, hogy rosszindulatú kódot rendereljen.
A fenyegetés azonban nem áll meg itt. Dr. Paxton-Fear figyelmeztetett, hogy a chatbotokra és nagy nyelvi modellekre való túlzott fókuszálás elvonhatja a figyelmet az AI-alapú rendszerek szélesebb összefonódásáról. „Ha egy rendszerben sebezhetőséget találsz, az hol jelenik meg a tö többi összekapcsolt rendszerben?” – tette fel a kérdést. Jelenleg még nem történt jelentős AI-hoz kapcsolódó adatszivárgás, de Paxton-Fear szerint „ez csak idő kérdése”. Eközben a növekvő AI iparnak biztosítania kell, hogy befogadja a bug vadászokat és biztonsági kutatókat, mivel „az, hogy egyes vállalatok ezt nem teszik, rendkívül megnehezíti a világ biztonságának megőrzését”. Azonban ez valószínűleg nem tántorítja el a bug vadászokat, mivel De Ceukelaire megjegyezte: „Egyszer hacker, mindig hacker.”
