Mi az a hibakeresés és miért van új irányban?
Brandyn Murtagh, aki a bug bounty vadászként szerzett tapasztalataival világszerte elismert helyeken bizonyíthatta tudását, izgalmas karrierutat járt be az informatikai biztonság területén. Murtagh már 10 vagy 11 éves korában elkezdett videojátékokkal játszani és számítógépeket építeni, és mindig is tudta, hogy „hacker akar lenni, vagy a biztonság területén szeretne dolgozni”. Tizenhat évesen már egy biztonsági műveleti központban dolgozott, majd húszéves korában a penetrációs tesztelés irányába lépett, ahol a megbízói rendszerek fizikai és digitális védelmét kellett tesztelnie. „Hamisan kellett azonosítanom magam, be kellett törnöm helyekre, majd hackelnem. Igazán szórakoztató volt” – mesélte Murtagh.
Az utóbbi egy évben Murtagh teljes munkaidős bug vadásszá és független biztonsági kutatóvá vált, ami annyit jelent, hogy a szervezetek számítógépes infrastruktúráját vizsgálja biztonsági sérülékenységek után kutatva. Az internetböngésző-pionír Netscape volt az első technológiai cég, amely a 90-es években készpénzes „jutalmat” ajánlott fel a biztonsági kutatóknak vagy hackereknek, akik felfedezték a termékeikben rejlő hibákat. Ezt követően olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, összekapcsolták a hackereket azokkal a szervezetekkel, amelyek biztonsági tesztelést kértek a szoftverük és rendszereik számára.
A Bugcrowd alapítója, Casey Ellis szerint a hackelés „morálisan semleges készség”, de a bug vadászoknak be kell tartaniuk a törvényt. A Bugcrowd hasonló platformok lehetővé teszik a cégek számára, hogy meghatározzák, hogy milyen rendszereket szeretnének, hogy a hackerek teszteljenek, és élő hackathonokat is szerveznek, ahol a legjobb bug vadászok versenyeznek és együttműködnek, bemutatva tudásukat, és potenciálisan nagy összegeket keresve. Az Axis Communications svéd hálózati kamera és megfigyelő berendezés gyártó globális termékmenedzsere, Andre Bastert elmondta, hogy az eszközeik operációs rendszerében 24 millió kódsor található, így a sérülékenységek elkerülhetetlenek. „Rájöttünk, hogy mindig jó, ha van egy második szempont” – mondta, utalva arra, hogy a Bugcrowd lehetőséget ad arra, hogy a hackereket a jó ügy érdekében használják. Az Axis bug bounty programjának megnyitása óta már 30 sérülékenységet fedeztek fel és javítottak ki, köztük egyet, amelyet „nagyon súlyosnak” ítéltek. A hacker, aki ezt felfedezte, 25 000 dolláros jutalomban részesült.
A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett. Ugyanakkor, míg a kulcsfontosságú platformokon milliónyi hacker van regisztrálva, Inti De Ceukelaire, az Intigriti fő hackelési tisztviselője rámutatott, hogy a napi vagy heti szinten vadászó hackerek száma „tízezer”. Az elit szint, amely meghívást kap a kiemelt eseményekre, még kisebb. Murtagh elmondta, hogy „egy jó hónap úgy néz ki, hogy néhány kritikus sérülékenységet találtam, néhány magas szintűt, és sok közepes szintűt. Néhány jó kifizetés egy ideális helyzetben”. Azonban hozzáteszi, hogy „ez nem mindig így van”.
Az AI robbanásszerű fejlődésével a bug vadászok új támadási felületeket fedezhetnek fel. Ellis szerint a szervezetek versenyképes előnyhöz akarnak jutni ezzel a technológiával, ami általában biztonsági hatással is jár. „Általánosságban, ha egy új technológiát gyorsan és versenyképesen valósítanak meg, akkor nem gondolkodnak annyira azon, hogy mi történhet rosszul.” Emellett az AI nemcsak erőteljes, hanem „mindenki által használható” is. Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági oktatója rámutatott, hogy az AI az első technológia, amely úgy robbant be a köztudatba, hogy a formális bug vadász közösség már létezett. De Ceukelaire szerint az AI szintén egyenlő esélyeket teremtett a hackerek számára. Az etikus és nem etikus hackerek egyaránt kihasználhatják ezt a technológiát, hogy felgyorsítsák és automatizálják saját műveleteiket.
A modern AI rendszerek nagy nyelvi modellekre való támaszkodása azonban azt is jelenti, hogy a nyelvi készségek és manipuláció fontos részét képezik a hacker eszköztárának. De Ceukelaire klasszikus rendőrségi kihallgatási technikákat alkalmazott, hogy zavarba hozza a chatbotokat, és rávegye őket a „megtörésre”. Murtagh elmondta, hogy ilyen szociális mérnöki technikákat használt a kiskereskedelmi chatbotokon: „Megpróbáltam arra rávenni a chatbotot, hogy egy kérést okozzon, vagy akár önmagát aktiválja, hogy más felhasználók rendelését vagy adatait adja meg.” Azonban ezek a rendszerek is sebezhetőek a „hagyományos” webalkalmazás technikákkal szemben. Murtagh sikeresen alkalmazott egy úgynevezett cross-site scripting támadást, ahol sikerült becsapnia a chatbotot, hogy egy rosszindulatú payload-ot jelenítsen meg, ami számos biztonsági következménnyel járhat.
A fenyegetések azonban nem merülnek ki itt. Dr. Paxton-Fear figyelmeztetett, hogy a chatbotok és a nagy nyelvi modellek túlzott fókuszálása elvonhatja a figyelmet az AI-alapú rendszerek közötti széles körű összefonódásoktól. „Ha van egy sérülékenység egy rendszerben, az hol jelenik meg végül minden más rendszerben, amellyel összekapcsolódik? Hol látjuk ezt a kapcsolatot?” – fogalmazott. Rámutatott arra is, hogy eddig nem történt komoly AI-hoz kapcsolódó adatvédelmi incidens, de „szerintem csak idő kérdése”. Eközben a virágzó AI iparnak biztosítania kell, hogy a bug vadászokat és biztonsági kutatókat bevonják a munkájukba. „Az a tény, hogy egyes cégek nem teszik meg, sokkal nehezebbé teszi a munkánkat a világ biztonságban tartása érdekében.” Mindezek ellenére a bug vadászokat valószínűleg nem fogja elriasztani a kihívásoktól. De Ceukelaire szavaival élve: „Egyszer hacker, mindig hacker.”
Ezeket is érdemes megnézni
A Just Stop Oil mozgalom eltűnt a színről, most a föld alá húzódott vissza
M&S: Adatlopás történt kibertámadás során
