Mi az a hibavadászat és miért van átalakulóban?

Brandyn Murtagh karrierje az elmúlt évben egy igazán izgalmas és dinamikus területen bontakozott ki: a bug bounty vadászat világában. Ez a szakma lehetőséget ad arra, hogy a tehetséges hackerek világszerte, különböző exkluzív helyszíneken, mint például luxushotelek vagy Las Vegas e-sport arénái, mutathassák be tudásukat. Murtagh számára ez nem csupán munka, hanem szenvedély, amely már gyermekkorában, 10 vagy 11 éves korában kezdődött, amikor elkezdett videojátékokkal foglalkozni és számítógépeket építeni. Mindig is tudta, hogy hacker szeretne lenni, vagy valamilyen biztonsági területen dolgozni.

Tizenhat évesen már a biztonsági műveleti központban dolgozott, ahol a behatolási tesztelés területére lépett, amely a kliensek fizikai és számítógépes biztonságának tesztelését is magában foglalta. Szórakoztató élmény volt számára, hiszen hamis identitásokkal kellett belépnie helyszínekre, hogy aztán hackelhesse őket. Az elmúlt évben azonban Murtagh teljes munkaidős bug bounty vadásszá és független biztonsági kutatóvá vált, aki az organizációk számítógépes infrastruktúrájában keresi a biztonsági réseket. Azóta nem nézett vissza.

A bug bounty programok története egészen az 1990-es évekig nyúlik vissza, amikor a Netscape, az internetböngésző úttörője, először pénzbeli „jutalmat” ajánlott fel a biztonsági kutatóknak és hackereknek a termékeikben felfedezett hibákért. Azóta olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, illetve az Intigriti Európában, összekötik a hackereket és azokat a cégeket, amelyek szeretnék tesztelni szoftvereik és rendszereik biztonságát. Casey Ellis, a Bugcrowd alapítója hangsúlyozza, hogy bár a hackelés „morálisan agnosztikus készségek összessége”, a bug vadászoknak be kell tartaniuk a törvényeket. A platformok, mint a Bugcrowd, több fegyelmet hoznak a bug vadászat folyamatába, lehetővé téve a cégek számára, hogy meghatározzák, milyen rendszereket szeretnének, hogy a hackerek teszteljenek.

Ezek a platformok élő hackathonokat is szerveznek, ahol a legjobb bug vadászok versenyeznek és együttműködnek, miközben bemutatják képességeiket, és lehetőségük van jelentős összegeket keresni. A cégek számára is nyilvánvaló a Bugcrowd használatának előnye. Andre Bastert, az AXIS OS globális termékmenedzsere, a svéd Axis Communications hálózati kamerák és megfigyelő berendezések gyártója elmondta, hogy a 24 millió sor kódot tartalmazó eszközük operációs rendszerében elkerülhetetlenek a biztonsági réseket. „Rájöttünk, hogy mindig jó, ha van egy második szem, amely figyel.” A Bugcrowd segítségével a hackereket „jó szándékú erőként” tudják használni.

Az Axis bug bounty programjának megnyitása óta akár 30 sebezhetőséget is felfedeztek és javítottak, köztük egyet, amelyet „nagyon súlyosnak” ítéltek meg. A felelős hacker 25 000 dolláros (kb. 19 300 font) jutalmat kapott. A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett. Habár milliók regisztráltak a kulcsfontosságú platformokon, Inti De Ceukelaire, az Intigriti fő hackere szerint a napi vagy heti szinten aktív hackerek száma „tízezerre” tehető. Az elit szint, akik meghívást kapnak a vezető élő eseményekre, még kisebb csoportot alkot.

Murtagh elmondása szerint egy jó hónap általában néhány kritikus sebezhetőség felfedezésével, néhány magas szintű hibával, és sok közepes súlyosságú hibával telik. „Néhány jó kifizetés ideális helyzetben megtörténik, de ez nem mindig valósul meg.” Az AI robbanásszerű terjedésével a bug vadászok új támadási felületeket fedezhetnek fel. Ellis szerint a szervezetek versenyképességük megőrzése érdekében igyekeznek gyorsan és hatékonyan alkalmazni az új technológiát, ami gyakran biztonsági kockázatokat is jelent.

Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági előadója kiemeli, hogy az AI az első technológia, amely már a formális bug vadászközösség létrejötte előtt robbant be a köztudatba. Az AI nemcsak hatékony, hanem „bárki által használható” is. A hackerek, legyenek etikusak vagy sem, kihasználhatják ezt a technológiát, hogy felgyorsítsák és automatizálják saját műveleteiket, kezdve a sebezhető rendszerek azonosításától a kódok elemzésén át a jelszavak javaslásáig.

A modern AI rendszerek azonban nagymértékben támaszkodnak a nagy nyelvi modellekre, ami azt jelenti, hogy a nyelvi készségek és manipuláció fontos részét képezik a hackerek eszköztárának. De Ceukelaire elmondása szerint klasszikus rendőrségi kihallgatási technikákat alkalmazott a chatbotok összezavarására. Murtagh például a kiskereskedelmi chatbotokkal dolgozva próbálta rávenni a rendszereket, hogy más felhasználók adatait felfedjék. Ugyanakkor a chatbotok sebezhetők a hagyományos webalkalmazás technikákra is, mint például a cross site scripting.

A kihívások azonban nem érnek véget itt. Paxton-Fear arra figyelmeztet, hogy a chatbotokra és a nagy nyelvi modellekre való túlzott fókuszálás elvonhatja a figyelmet az AI által vezérelt rendszerek összefonódásának szélesebb összefüggéseiről. „Ha egy rendszerben sebezhetőséget találsz, az hol jelenik meg a többi összekapcsolt rendszerben?” – teszi fel a kérdést. Vallja, hogy még nem történt jelentős AI-hoz köthető adatszivárgás, de „ez csak idő kérdése”. A folyamatosan fejlődő AI iparnak viszont biztosítania kell, hogy a bug vadászok és biztonsági kutatók szakértelme bekerüljön a folyamatba. „Az, hogy egyes cégek ezt nem teszik meg, sokkal nehezebbé teszi a munkánkat, hogy megőrizzük a világ biztonságát.” Azonban a bug vadászokat ez nem tántorítja el. De Ceukelaire megjegyzi: „Egyszer hacker, mindig hacker.”

Forrás: https://www.bbc.com/news/articles/c99n8r38rdlo