Mi az a hibakeresés és miért van átalakulóban?

Brandyn Murtagh tapasztalatai a hibavadász karrier során egyedülálló bepillantást nyújtanak a technológiai ipar izgalmas világába, ahol a fiatal szakemberek nemcsak a tudásukat kamatoztathatják, hanem a tehetségükkel pénzt is kereshetnek. Murtagh már fiatalon, mindössze 10-11 éves korában beleszeretett a számítógépek építésébe és a videojátékok világába. Már ekkor tudta, hogy hacker vagy biztonsági szakember szeretne lenni. 16 évesen már egy biztonsági műveleti központban dolgozott, majd 20 éves korában a penetrációs tesztelés területére lépett, ahol a megbízók fizikai és informatikai biztonságát kellett tesztelnie. Ekkor kezdett el hamis identitásokat létrehozni, hogy hozzáférhessen különböző helyszínekhez, és hackelési tevékenységet folytathasson – amit Murtagh „elég szórakoztatónak” tartott.

Az utóbbi egy évben Murtagh teljes munkaidős hibavadásszá és független biztonsági kutatóvá vált, ami azt jelenti, hogy szervezetek számítógépes infrastruktúráját kutatja biztonsági réseket keresve. Az iparági szakértők szerint a hibavadászat lehetőségei az utóbbi évtizedben jelentősen bővültek, mivel a technológiai cégek, mint például a Netscape, az 1990-es években kezdték el az első pénzbeli „bónuszok” felkínálását a hibák felfedezéséért. Azóta olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, megkönnyítik a hackerek és a szoftverek biztonsági tesztelését végző szervezetek közötti kapcsolatot.

A Bugcrowd alapítója, Casey Ellis hangsúlyozza, hogy bár a hackelés „morálisan semleges készség”, a hibavadászoknak a törvény keretein belül kell működniük. Ezek a platformok lehetővé teszik a cégek számára, hogy meghatározzák, mely rendszereket szeretnék teszteltetni, és rendeznek élő hackathonokat, ahol a legjobb hibavadászok versenyeznek és együttműködnek, miközben bemutatják tudásukat. A cégek számára a Bugcrowd használatának előnyei is nyilvánvalóak. Andre Bastert, az AXIS OS globális termékmenedzsere, a svéd Axis Communications biztonsági kamerákkal foglalkozó cégnél elmondta, hogy a 24 millió sor kódot tartalmazó operációs rendszerükben a sebezhetőségek elkerülhetetlenek. „Rá kellett jönnünk, hogy mindig jó dolog, ha van egy második pár szem, ami ellenőrzi a dolgokat.” Az Axis bug bounty programjának megnyitása óta több mint 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egyet, amelyet „nagyon súlyosnak” ítéltek meg. A hacker, aki ezt felfedezte, 25 000 dolláros jutalomban részesült, ami azt mutatja, hogy a hibavadászat jövedelmező munka lehet.

A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett, de míg a platformon regisztrált hackerek száma milliós nagyságrendű, a napi vagy heti szinten aktívan vadászó hackerek száma „tízezrekre” korlátozódik. Murtagh szerint egy jó hónap során néhány kritikus és magas szintű sebezhetőséget fedez fel, de hozzátette, hogy ez nem mindig valósul meg. Az AI gyors fejlődése viszont új kihívásokat és lehetőségeket teremt a hibavadászok számára. Ellis szerint a szervezetek versenyképességük megőrzése érdekében sietnek az új technológiák bevezetésével, ami sokszor biztonsági kockázatokat rejt magában.

Az AI nemcsak hatékony, hanem „mindenki számára használható” technológia is. Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági oktatója rámutatott, hogy az AI a legelső olyan technológia, amely a már létező hibavadász közösség mellett robbant be a köztudatba. Az AI széleskörű elterjedése lehetőséget ad a hackereknek, hogy felgyorsítsák és automatizálják saját tevékenységeiket, legyen szó a sebezhető rendszerek azonosításáról vagy a kódok hibáinak elemzéséről. Murtagh például a chatbotok manipulálásával próbálkozott, hogy más felhasználók adataihoz férhessen hozzá. Az AI rendszerek viszont nemcsak a hagyományos webalkalmazás technikákra érzékenyek, hanem a hibavadászok kreatív megoldásai is sikeresek lehetnek a sebezhetőségek kiaknázásában.

A biztonsági szakértők egyetértenek abban, hogy a jövőben a hibavadászok és a biztonsági kutatók szerepe még fontosabbá válik. Ahogy Paxton-Fear fogalmazott: „Néhány cég nem fogadja el a hibavadászokat, ami megnehezíti a munkánkat a világ biztonságának megőrzésében.” A hibavadászok azonban eltökéltek, és elkötelezettek maradnak a biztonsági kihívások leküzdésében, hiszen „egyszer hacker, mindig hacker” – ahogy De Ceukelaire is fogalmazott.

Forrás: https://www.bbc.com/news/articles/c99n8r38rdlo