Mi az a hibavadászat és miért van átalakulóban?
Brandyn Murtagh pályafutása nem mindennapi, hiszen az első évében a bug bounty vadászként olyan különleges helyszíneken bizonyíthatta tudását, mint a luxusszállodák vagy a las vegasi e-sport arénák. Az ő története a számítástechnika és a biztonság világában kezdődött, amikor mindössze 10-11 évesen elkezdett videojátékokkal játszani és számítógépeket építeni. Murtagh már fiatalon tisztában volt azzal, hogy hacker vagy biztonsági szakember szeretne lenni. Tizenhat éves korában biztonsági üzemeltetési központban kezdett dolgozni, majd húszévesen áttért a penetrációs tesztelésre, ahol a kliensek fizikai és számítógépes biztonságát kellett ellenőriznie. „Meg kellett hamisítanom személyazonosságokat, be kellett törnöm helyszínekre, majd hackelnem kellett. Igazán szórakoztató volt” – mesélte Murtagh.
Az utóbbi egy évben Murtagh teljes munkaidős bug vadásszá és független biztonsági kutatóvá vált, ami azt jelenti, hogy különböző szervezetek számítógépes infrastruktúráját vizsgálja meg biztonsági rések után kutatva. Az internetböngésző-pionír Netscape volt az első technológiai cég, amely a ’90-es években készpénzes „jutalmat” kínált a biztonsági kutatóknak vagy hackereknek, akik felfedezték termékeik hibáit vagy sebezhetőségeit. Azóta olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, illetve az Intigriti Európában, összekötik a hackereket és azokat a szervezeteket, amelyek a szoftvereik és rendszereik biztonsági tesztelését szeretnék elvégezni.
Casey Ellis, a Bugcrowd alapítója hangsúlyozza, hogy bár a hackelés egy „morálisan semleges készség”, a bug vadászoknak a törvény keretein belül kell működniük. Az olyan platformok, mint a Bugcrowd, több fegyelmet hoznak a bug vadászat folyamatába, lehetővé téve a cégek számára, hogy meghatározzák, milyen rendszereket szeretnének, hogy a hackerek támadjanak. Ezen kívül élő hackathonokat is szerveznek, ahol a legjobb bug vadászok versenyeznek és együttműködnek, megmutatva készségeiket és potenciálisan nagy pénzkereseti lehetőségeket kínálva.
A cégek számára a Bugcrowd használatának előnyei nyilvánvalóak. Andre Bastert, az AXIS OS globális termékmenedzsere a svéd Axis Communications hálózati kamerákkal és megfigyelési berendezésekkel foglalkozó cégnél elmondta, hogy a cég operációs rendszere 24 millió kódsorból áll, ezért a sebezhetőségek előfordulása elkerülhetetlen. „Rájöttünk, hogy mindig jó, ha van egy második vélemény” – tette hozzá. Az Axis bug bounty programjának megnyitása óta már 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egyet, amelyet „nagyon súlyosnak” ítéltek. A hacker, aki felfedezte ezt, 25 000 dolláros jutalmat kapott.
A Bugcrowd legjobban kereső hackere a múlt évben több mint 1,2 millió dollárt keresett. Viszont míg a kulcsfontosságú platformokon milliók vannak regisztrálva, Inti De Ceukelaire, az Intigriti fő hackere szerint a napi vagy heti szinten aktívan vadászó hackerek száma „tízezer” körüli. A legjobbak, akiket a legfontosabb élő eseményekre meghívnak, még ennél is kevesebben vannak. Murtagh elmondta, hogy „egy jó hónap úgy néz ki, hogy pár kritikus sebezhetőséget találok, néhány magas kockázatút és sok közepes szintűt. Ideális esetben néhány jó kifizetés.” Ugyanakkor hozzátette, hogy ez nem mindig történik meg.
A mesterséges intelligencia (AI) robbanásszerű fejlődésével a bug vadászok új támadási felületeket fedezhetnek fel. Ellis elmondta, hogy a szervezetek versenyképességi előnyhöz szeretnének jutni az új technológiával, ami általában biztonsági hatással bír. „Ha gyorsan és versenyképesen valósítasz meg egy új technológiát, akkor nem gondolkodsz annyira azon, hogy mi mehet rosszul.” Továbbá, az AI-t nemcsak erősnek, hanem „mindenki által használhatónak” is tervezték.
Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági oktatója rámutatott, hogy az AI az első technológia, amely a formális bug vadász közösség már meglévő keretei között robbant be. Az AI szintén kiegyenlítette a játszóteret a hackerek számára, akik mind etikus, mind nem etikus módon kihasználhatják a technológiát a saját műveleteik felgyorsítására és automatizálására. Ez magában foglalja a sebezhető rendszerek azonosítását célzó felderítést, a kód hibáinak elemzését, vagy lehetséges jelszavak javaslását a rendszerekbe való bejutáshoz.
A modern AI rendszerek nagymértékű nyelvi modellekre való támaszkodása azt is jelenti, hogy a nyelvi készségek és manipuláció fontos részét képezik a hacker eszköztárának. De Ceukelaire klasszikus rendőrségi kihallgatási technikákat alkalmazott a chatbotok megzavarására, hogy „megtörjék” őket. Murtagh elmondta, hogy ilyen szociális mérnöki technikákat használt kiskereskedelmi chatbotok esetében: „Megpróbáltam rávenni a chatbotot, hogy egy másik felhasználó rendelését vagy adatát adja meg.” Ezek a rendszerek azonban a „hagyományos” webalkalmazás technikáknak is ki vannak téve, és Murtagh megemlítette, hogy sikerült néhány sikeres támadást végrehajtania a cross site scripting (XSS) nevű módszerrel.
Dr. Paxton-Fear figyelmeztetett, hogy a chatbotokra és a nagyméretű nyelvi modellekre való túlzott összpontosítás elvonhatja a figyelmet a AI-alapú rendszerek szélesebb összefonódásáról. „Ha van egy sebezhetőség egy rendszerben, az hol jelenik meg minden más rendszerben, amellyel összekapcsolódik? Hol látjuk ezt a kapcsolatot? Itt érdemes keresni az ilyen hibákat.” Jelenleg még nem történt jelentős AI-hoz kapcsolódó adatlopás, de „csak idő kérdése”, hogy ez bekövetkezzen. Eközben a fejlődő AI iparnak biztosítania kell, hogy befogadja a bug vadászokat és a biztonsági kutatókat. „Az a tény, hogy egyes cégek nem teszik, sokkal nehezebbé teszi a munkánk elvégzését, hogy megőrizzük a világ biztonságát.” De Ceukelaire szavaival élve: „Ha valaki hacker, az örökre hacker marad.”
