Mi az a hibakeresés és miért fontos ez most?
Brandyn Murtagh egy olyan különleges karriert választott, amely lehetőséget ad arra, hogy a világ különböző exkluzív helyein, például luxusszállodákban vagy Las Vegas e-sport arénáiban bizonyítsa képességeit. Az ő története jól példázza, hogy a bug bounty vadászként végzett munka milyen izgalmas és jövedelmező lehet. Murtagh fiatal korában, körülbelül 10-11 évesen kezdett el játékokkal foglalkozni és számítógépeket építeni. Már ekkor tudta, hogy hacker szeretne lenni, vagy a biztonság területén dolgozni. Tizenhat évesen kezdett el dolgozni egy biztonsági műveleti központban, majd húsz évesen a penetrációs tesztelés területére lépett, ahol a kliensek fizikai és számítógépes biztonságát tesztelte. Elmondása szerint ez a munka izgalmas volt, hiszen hamis személyazonosságokat kellett létrehoznia, és behatolnia különböző helyekre, ahol aztán hackelt.
Az utóbbi egy évben Murtagh teljes munkaidős bug vadász lett és független biztonsági kutató, akinek feladata, hogy a különböző szervezetek számítógépes infrastruktúráját átvizsgálja biztonsági sebezhetőségek után kutatva. Az iparág fejlődése óriási mértékben megkönnyítette az ilyen tevékenységeket. A Netscape, a híres internetes böngésző úttörője, volt az első technológiai cég, amely a 90-es években készpénzes „bounty”-t ajánlott a biztonsági kutatóknak vagy hackereknek, akik felfedezték a termékeikben lévő hibákat vagy sebezhetőségeket. Ezt követően megjelentek olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, amelyek összekötik a hackereket és azokat a szervezeteket, akik biztonsági tesztelést kérnek.
A Bugcrowd alapítója, Casey Ellis elmondta, hogy a hackelés, mint „morálisan semleges készség”, a törvény keretein belül kell, hogy működjön. A platformok, mint a Bugcrowd, rendszert visznek a bug vadászat folyamatába, lehetővé téve a cégek számára, hogy meghatározzák, mely rendszereket szeretnék tesztelni. Emellett élő hackathonokat is szerveznek, ahol a legjobb bug vadászok versenyeznek és együttműködnek, bemutatva készségeiket, és lehetőséget kapva arra, hogy jelentős pénzösszegeket keressenek.
A cégek számára a Bugcrowd és hasonló platformok használata is világosan előnyös. André Bastert, az AXIS OS globális termékmenedzsere, a svéd Axis Communications hálózati kamerákat és megfigyelő berendezéseket gyártó cég képviseletében elmondta, hogy eszközeik operációs rendszerében 24 millió kódvonal található, így a sebezhetőségek elkerülhetetlenek. „Mindig jó, ha van egy második szempont” – mondta Bastert, hozzátéve, hogy az Axis bug bounty programjának megnyitása óta már 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egyet, amelyet nagyon súlyosnak ítéltek. Az ezt felfedező hacker 25 000 dolláros jutalmat kapott.
A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett. Miközben a platformokon milliók regisztráltak, Inti De Ceukelaire, az Intigriti vezető hackere szerint a napi vagy heti szinten vadászó hackerek száma „tízezer” körüli. A legjobbak, akiket meghívnak a kiemelt élő eseményekre, még ennél is kevesebben vannak. Murtagh elmondta, hogy egy jó hónap során általában talál néhány kritikus sebezhetőséget, néhány magas szintűt, és sok közepes szintűt is, de hozzátette, hogy ez nem mindig valósul meg.
A mesterséges intelligencia robbanásszerű fejlődésével a bug vadászok új támadási felületeket fedezhetnek fel. Ellis kifejtette, hogy a szervezetek versenyképességük növelésére sietnek az új technológiákkal, ami gyakran biztonsági hatásokat von maga után. Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója hangsúlyozta, hogy a mesterséges intelligencia az első olyan technológia, amely már a formális bug vadász közösség létezése előtt jelent meg. A hackerek, legyenek etikusak vagy nem, kihasználhatják a technológiát saját műveleteik felgyorsítására és automatizálására.
Murtagh például a chatbotokkal való interakció során alkalmaz szociális manipulációs technikákat, hogy információkat szerezzen más felhasználóktól. Azonban a hagyományos webalkalmazás-technikai módszerek is hatékonyak lehetnek ezeknél a rendszereknél. Paxton-Fear figyelmeztetett arra, hogy a mesterséges intelligencia rendszerek közötti összefüggések figyelmen kívül hagyása komoly kockázatokat rejt magában. Az iparág fejlődése során a bug vadászok szerepe elengedhetetlen marad, hiszen nélkülük nehezen biztosítható a digitális világ védelme.
Ezeket is érdemes megnézni
Kanadai jelöltek a fosszilis tüzelőanyagok mellett, miközben a klímaváltozás háttérbe szorul
A Just Stop Oil mozgalom eltűnt a színről – most még inkább a föld alá húzódik
