Mi az a hibakeresés és miért van szükség rá?
Brandyn Murtagh tapasztalatait a bug bounty vadászat világában nemcsak a munka, hanem a kihívások és a díjak izgalma is jellemzi. A fiatal szakember már 10-11 éves korában elkezdett foglalkozni a számítógépek építésével és a videojátékokkal, és mindig is tudta, hogy hacker vagy biztonsági szakember szeretne lenni. Tizenhat évesen kezdett dolgozni egy biztonsági műveleti központban, majd húsz éves korában áttért a penetrációs tesztelés területére, ahol nemcsak a számítógépes, hanem a fizikai biztonságot is tesztelte. Murtagh elmondása szerint ez a munka sok izgalmat tartogatott számára, hiszen hamis identitásokat kellett létrehoznia és különböző helyszínekre betörnie, hogy kipróbálja a biztonsági rendszereket.
Az utóbbi egy évben Murtagh teljes munkaidős bug vadásszá vált, ami azt jelenti, hogy szervezetek számítógépes infrastruktúráját kutatja biztonsági sebezhetőségek után. Azóta nem nézett vissza, és a bug bounty programok révén egy új, izgalmas karrierutat talált. A bug bounty programok története az 1990-es évekig nyúlik vissza, amikor a Netscape, az internetböngészők úttörője, először kínált pénzbeli jutalmat a biztonsági kutatóknak és hackereknek a termékeikben felfedezett hibákért. Azóta olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, alakultak meg, hogy összekapcsolják a hackereket azokkal a szervezetekkel, amelyek biztonsági tesztelésre vágynak.
A Bugcrowd alapítója, Casey Ellis elmondta, hogy bár a hacking egy „morálisan agnosztikus készség”, a bug vadászoknak be kell tartaniuk a törvényeket. A Bugcrowd lehetőséget biztosít a cégek számára, hogy meghatározzák, mely rendszereket szeretnék, hogy a hackerek teszteljék. Emellett szervezik a versenyszerű hackathonokat is, ahol a legjobb bug vadászok versenyeznek és együttműködnek, bemutatva tudásukat és lehetőséget kapva a jelentős pénzkeresésre. A Bugcrowd használatának előnye a cégek számára egyértelmű: Andre Bastert, az Axis Communications globális termékmenedzsere elmondta, hogy a cég operációs rendszere 24 millió sor kódot tartalmaz, így a sebezhetőségek elkerülhetetlenek. „Tudtuk, hogy mindig jó, ha van egy második szem, ami átnézi a dolgokat.” Az Axis bug bounty programja óta eddig 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egyet, amelyet „nagyon súlyosnak” ítéltek meg, a hacker pedig 25 000 dolláros jutalmat kapott érte.
A bug bounty vadászat nemcsak izgalmas, hanem jövedelmező is lehet. Az elmúlt év legjobban kereső hackere több mint 1,2 millió dollárt keresett. Noha a kulcsfontosságú platformokon több millió hacker van regisztrálva, Inti De Ceukelaire, az Intigriti fő hacking tisztje szerint a napi vagy heti szinten vadászó hackerek száma „tízezerre” rúg. Az elit szint, amelyet a vezető eseményekre hívnak meg, még kisebb. Murtagh elmondta, hogy egy jó hónapban több kritikus és magas sebezhetőséget is felfedezhet, de ez nem mindig történik meg.
Az AI robbanásszerű fejlődésével a bug vadászoknak új támadási felületeik nyíltak meg. Ellis szerint a szervezetek egyre inkább versenyelőnyre törekednek az új technológiák bevezetésével, ami általában biztonsági hatásokkal is jár. „Ha gyorsan és versenyképesen implementálsz egy új technológiát, nem gondolkodsz annyira azon, hogy mi mehet rosszul.” Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági oktatója megjegyzi, hogy az AI az első olyan technológia, amely már létező bug vadász közösséggel érkezett. A hackerek, akár etikusak, akár nem, ki tudják használni ezt a technológiát, hogy felgyorsítsák saját műveleteiket, legyen szó akár a sebezhető rendszerek azonosításáról, kódok elemzéséről, vagy jelszavak javaslásáról.
A modern AI rendszerek nagy nyelvi modellekre támaszkodása miatt a nyelvi készségek és manipulációk fontos részét képezik a hackerek eszköztárának. De Ceukelaire elmondta, hogy klasszikus rendőrségi kihallgatási technikákat használt a chatbotok „megtévesztésére”. Murtagh például próbálta a chatbotokat arra ösztönözni, hogy kérdéseket tegyenek fel, vagy akár más felhasználók adatait adják ki. Az AI rendszerek azonban hagyományos webalkalmazás technikákra is sebezhetők, például a cross-site scripting, amely lehetővé teszi a hackerek számára, hogy kártékony kódot juttassanak a chatbotokba.
A biztonságos jövő érdekében fontos, hogy a cégek foglalkozzanak a bug vadászokkal és a biztonsági kutatókkal, hogy fenntartsák a világ biztonságát. A bug vadászok számára a kihívás folytatódik, és ahogy De Ceukelaire mondja: „Egyszer hacker, mindig hacker.”
