Hírek,  Tech

Mi az a hibakeresés és miért van új irányban a fejlődése?

Brandyn Murtagh, a fiatal informatikai szakember, izgalmas pályafutásának első évében máris olyan lehetőségekben részesült, amelyekre sokan csak álmodni mernek. A bug bounty vadászok, mint amilyen ő is, lehetőséget kapnak arra, hogy készségeiket világszerte, exkluzív helyszíneken, például luxusszállodákban vagy Las Vegas e-sport arénáiban mutassák be. Ebben a világban a közönség szurkolása kíséri a versenyt, ahogy a résztvevők nevei egyre feljebb kerülnek a ranglistákon, és a keresetük is növekszik. Murtagh már gyermekként érdeklődött a számítógépek iránt, 10-11 éves korában kezdett el videojátékokkal játszani és számítógépeket építeni, mindig is tudta, hogy „hacker szeretne lenni vagy a biztonság területén dolgozni”.

Tizenhat évesen már egy biztonsági műveleti központban dolgozott, majd húszéves korára átkerült a behatolási tesztelés területére, ami magában foglalta a kliensek fizikai és számítógépes biztonságának tesztelését is. „Hamisan kellett identitásokat alkotnom, be kellett törnöm helyekre, majd hackelnem kellett. Elég szórakoztató volt” – meséli. Az utóbbi egy évben teljes munkaidőben bug vadásszá vált és független biztonsági kutatóként dolgozik, ami azt jelenti, hogy szervezetek számítógépes infrastruktúráját kutatja a biztonsági sebezhetőségek után. Azóta pedig nem nézett vissza.

A Netscape, az internetböngészők úttörője, az 1990-es években kezdte el az első technológiai cégként a készpénzes „bounty” programját, amely biztonsági kutatók vagy hackerek által felfedezett hibákért járt. Ezt követően olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, és az Intigriti Európában, összekapcsolták a hackereket és azokat a szervezeteket, akik a szoftverük és rendszereik biztonsági tesztelését szerették volna. Casey Ellis, a Bugcrowd alapítója kifejti, hogy bár a hackelés „morálisan semleges készség”, a bug vadászoknak a törvények keretein belül kell működniük. A Bugcrowd platformok nagyobb fegyelmet hoznak a bug vadászat folyamatába, lehetővé téve a cégek számára, hogy meghatározzák, mely rendszereket akarják, hogy a hackerek támadják meg.

Az ilyen jellegű élő hackathonok során a legjobb bug vadászok versenyeznek és együttműködnek, miközben „megdolgozzák” a rendszereket, bemutatva készségeiket, és potenciálisan nagy pénzeket keresve. Az ilyen platformok használata a cégek számára is világos előnyöket jelent. Andre Bastert, az AXIS OS globális termékmenedzsere, a svéd Axis Communications cég részéről elmondta, hogy a 24 millió sor kódot tartalmazó operációs rendszerükben a sebezhetőségek elkerülhetetlenek. „Rájöttünk, hogy mindig jó egy második szem” – tette hozzá. Az Axis bug bounty programjának megnyitása óta 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egyet, amit „nagyon súlyosnak” ítéltek. A hacker, aki felfedezte, 25 000 dolláros jutalmat kapott, ami jól mutatja, hogy ez a munka jövedelmező lehet.

Bár számos hacker regisztrált a főbb platformokon, Inti De Ceukelaire, az Intigriti fő hackere szerint azoknak a száma, akik napi vagy heti szinten aktívan vadásznak, „tízezrekben” mérhető. Az elit szint, aki meghívást kap a kiemelt élő eseményekre, még ennél is kisebb csoportot alkot. Murtagh elmondja, hogy egy jó hónap úgy néz ki, hogy pár kritikus sebezhetőséget talált, néhány magas és sok közepes hibát. „Ideális esetben jó fizetési napok követik egymást” – teszi hozzá, bár megjegyzi, hogy ez nem mindig történik meg. Az AI robbanásszerű fejlődésével a bug vadászok előtt teljesen új támadási felületek nyíltak meg. Ellis figyelmeztet, hogy a szervezetek versenyképes előnyhöz akarnak jutni az új technológiákkal, ami általában biztonsági következményekkel jár.

A modern AI rendszerek nagy nyelvi modellekre támaszkodnak, ami azt jelenti, hogy a nyelvi készségek és manipulációk fontos részét képezik a hacker eszközkészletének. De Ceukelaire elmondja, hogy klasszikus rendőrségi kihallgatási technikákat használt a chatbots megzavarására. Murtagh megosztja, hogy hogyan alkalmazta a szociális manipulációs technikákat a kiskereskedők chatbots-ainál, hogy kibővítse a hozzáférését más felhasználók adataihoz. A fenyegetések azonban nem állnak meg itt. Dr. Katie Paxton-Fear, a manchesteri Metropolitan Egyetem biztonsági kutatója figyelmeztet arra, hogy a chatbots-ra és a nagy nyelvi modellekre való túlzott fókuszálás elvonhatja a figyelmet a rendszerek közötti összefonódás szélesebb képéről. „Ha egy rendszerben sebezhetőség van, az hol jelenik meg minden más kapcsolódó rendszerben?” – teszi fel a kérdést.

Bár eddig még nem történt jelentős AI által okozott adatlopás, Paxton-Fear szerint „csak idő kérdése”. A növekvő AI iparnak biztosítania kell, hogy magába foglalja a bug vadászokat és biztonsági kutatókat. „Az, hogy néhány vállalat nem teszi ezt, sokkal nehezebbé teszi a munkánkat, hogy megőrizzük a világ biztonságát.” Azonban a bug vadászok eltökéltsége valószínűleg nem fog csökkenni. De Ceukelaire szavaival: „Egyszer hacker, mindig hacker.”

Forrás: https://www.bbc.com/news/articles/c99n8r38rdlo

Ezeket is érdemes megnézni

A világ legnagyobb nője: Érdekességek és inspiráló történetek

2025.05.29.

Az EU határozottan ellenzi az Egyesült Államok acélvámemelési tervét

2025.06.02.

Élet építőkövei találhatóak egy aszteroidán, állítják a tudósok

2025.05.10.

Szólj hozzá

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük