Mi az a hibavadászat és miért van szükség rá?
Brandyn Murtagh egy olyan különleges karrierutat választott, amely nemcsak technológiai kihívásokkal, hanem izgalmas lehetőségekkel is jár. Csak az első évében, mint bug bounty hunter, nemcsak a saját készségeit bizonyíthatta, hanem olyan exkluzív helyszíneken is megfordulhatott, mint a luxushotelek vagy a Las Vegas-i e-sport arénák. Itt, a közönség biztatása mellett, a ranglistákon való előrejutás és a keresetek növelése mellett élvezheti a játék világát. Murtagh már fiatal korában, 10 vagy 11 évesen beleszeretett a videojátékokba és a számítógépépítésbe, és mindig is tudta, hogy hacker vagy biztonsági szakember szeretne lenni. Tizenhat évesen egy biztonsági műveleti központban kezdett dolgozni, majd húsz évesen penetrációs tesztelővé vált, ahol a kliensek fizikai és számítógépes biztonságát kellett tesztelnie.
Murtagh az utóbbi egy évben teljes munkaidős bug vadásszá és független biztonsági kutatóvá vált, ami azt jelenti, hogy a szervezetek számítógépes infrastruktúráját kutatja a biztonsági sebezhetőségek után. Az internetes böngészőpionír Netscape volt az első technológiai cég, amely pénzbeli „jutalmat” ajánlott a biztonsági kutatóknak vagy hackereknek a termékeiben felfedezett hibákért, még az 1990-es években. Azóta olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, illetve az Intigriti Európában, összekötik a hackereket és a szervezeteket, amelyek szeretnék tesztelni szoftvereik és rendszereik biztonsági sebezhetőségeit.
A Bugcrowd alapítója, Casey Ellis szerint a hackelés „morálisan semleges készség”, de a bug vadászoknak a törvény keretein belül kell működniük. Az ilyen platformok, mint a Bugcrowd, növelik a bug-keresés folyamatának szabályozottságát, lehetővé téve a cégek számára, hogy meghatározzák, milyen rendszereket kívánnak a hackerek célba venni. Ezeken a platformokon rendszeresen rendeznek élő hackathonokat, ahol a legjobb bug vadászok versenyeznek és együttműködnek, miközben bemutatják készségeiket, és lehetőségük nyílik nagyobb összegek megkeresésére.
A cégek számára is egyértelmű a Bugcrowd használatának előnye. André Bastert, az AXIS OS globális termékmenedzsere, a svéd Axis Communications megfigyelő kamerákat gyártó cég képviseletében elmondta, hogy a 24 millió sor kódot tartalmazó operációs rendszerükben a sebezhetőségek elkerülhetetlenek. „Rájöttünk, hogy mindig jó, ha van egy második pár szem” – tette hozzá. Az Axis bug bounty programjának megnyitása óta már 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egyet, amelyet „nagyon súlyosnak” ítéltek. A hacker, aki ezt felfedezte, 25 000 dolláros jutalmat kapott. Ez is mutatja, hogy a bug vadászat jövedelmező lehet. A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett.
Bár milliók regisztráltak a főbb platformokra, Inti De Ceukelaire, az Intigriti fő hackere elmondta, hogy a napi vagy heti szinten aktívan vadászó hackerek száma „tízezrekre” tehető. Az elit szint, ahová a legjobb hackereket hívják meg a vezető eseményekre, még ennél is kisebb. Murtagh elmondta, hogy egy jó hónapban általában néhány kritikus és magas sebezhetőséget találnak, és sok közepes szintűt, így a kifizetések is kedvezőbbek lehetnek. Azonban hozzátette, hogy ez nem mindig történik meg.
A mesterséges intelligencia (AI) robbanásszerű fejlődése új támadási felületeket nyújt a bug vadászok számára. Ellis szerint a szervezetek versenyképes előnyhöz szeretnének jutni a technológia révén, ami gyakran biztonsági következményekkel jár. Az új technológia gyors bevezetése gyakran figyelmen kívül hagyja, hogy mi mehet rosszul. A kutatók megjegyzik, hogy míg az AI hatékony, könnyen használható bárki számára, a hackerek, legyenek azok etikusak vagy nem, kihasználhatják ezt a technológiát saját folyamataik felgyorsítására és automatizálására.
Murtagh például megosztotta, hogy a chatbotok manipulálására alkalmaz közösségi mérnöki technikákat, hogy érzékeny adatokat szerezzen. Az AI rendszerek azonban nemcsak új lehetőségeket kínálnak, hanem a hagyományos webalkalmazás technikákkal is sebezhetők. Az AI által vezérelt rendszerek kölcsönhatásának túlzott figyelmen kívül hagyása komoly biztonsági kockázatokat jelenthet. Dr. Paxton-Fear megemlítette, hogy eddig még nem történt nagyobb AI-ral kapcsolatos adatlopás, de „csak idő kérdése”. Az AI iparágnak tehát érdemes figyelembe vennie a bug vadászokat és biztonsági kutatókat, hogy a világ biztonságát megőrizzék. Mindezek ellenére a bug vadászok számára a kihívás továbbra is izgalmas és vonzó marad.
Ezeket is érdemes megnézni
A purpur kenyér egészségügyi előnyei és ízvilága
Új családi fotó közzétételével ünnepli az udvar Fülöp herceg 99. születésnapját
