Mi az a hibakeresés és miért fontos mostanában?

Brandyn Murtagh pályafutása a számítástechnika világában figyelemre méltó példája annak, hogyan lehet egy fiatal tehetség számára a technológiai karrier izgalmas és jövedelmező. Murtagh 10-11 éves korában kezdett el játszani és számítógépeket építeni, és már fiatalon tudta, hogy „hacker” szeretne lenni, vagy a biztonság területén dolgozni. Pályafutása során először 16 évesen kezdett el dolgozni egy biztonsági műveleti központban, majd 20 évesen átlépett a penetrációs tesztelés világába. Ez a munka magában foglalta az ügyfelek fizikai és számítógépes biztonságának tesztelését is, ami különösen izgalmas kihívásokat jelentett: „Hamish személyazonosságokat kellett hamisítanom, helyekre bejutni és hackelni. Nagyon szórakoztató volt” – mesélte Murtagh.

Az utóbbi egy évben Murtagh teljes munkaidős hibavadásszá vált, ami azt jelenti, hogy szervezetek számítógépes infrastruktúráját kutatja biztonsági sebezhetőségek után. Az internetböngésző-készítő Netscape volt az első technológiai vállalat, amely az 1990-es években pénzbeli „jutalmat” ajánlott fel biztonsági kutatóknak vagy hackereknek, ha hibákat találnak termékeikben. Ez a gyakorlat azóta széleskörűen elterjedt, és olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, összekapcsolják a hackereket és azokat a szervezeteket, amelyek biztonsági tesztelést keresnek.

A Bugcrowd alapítója, Casey Ellis szerint a hackelés egy „morálisan semleges készséggel” bír, ugyanakkor a hibavadászoknak a törvények keretein belül kell működniük. A Bugcrowd mint platform lehetővé teszi a vállalatok számára, hogy meghatározzák, mely rendszereket szeretnék, hogy a hackerek teszteljenek, és élő hackathonokat is szerveznek, ahol a legjobb hibavadászok versenyeznek egymással, bemutatva képességeiket és potenciálisan nagy összegeket keresve. A Bugcrowd használata a cégek számára is előnyökkel jár, mivel így egy második szemmel nézhetik át a rendszereiket a sebezhetőségek felfedezése érdekében.

Andre Bastert, az AXIS OS globális termékmenedzsere a svéd Axis Communications vállalattól elmondta, hogy eszközük operációs rendszerében 24 millió sor kód található, így a sebezhetőségek elkerülhetetlenek. „Rájöttünk, hogy mindig jó, ha van egy második szem” – tette hozzá. Az Axis bug bounty programjának megnyitása óta már 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egy „nagyon súlyos” hibát is, amelyért a felelős hacker 25 000 dolláros jutalmat kapott. Murtagh elmondta, hogy egy jó hónap számára általában néhány kritikus és magas kockázatú sebezhetőségről szól, valamint sok közepes szintű hibáról is, amik jó jövedelmet hozhatnak. Ugyanakkor hozzátette, hogy ez nem mindig valósul meg.

Az AI robbanásszerű terjedése új kihívások elé állítja a hibavadászokat. Ellis figyelmeztetett, hogy a szervezetek versenyképességük fenntartása érdekében gyorsan alkalmazzák az új technológiákat, ami gyakran biztonsági problémákat okoz. Az AI nemcsak hatékony, hanem „bárki által használható” is, így a hackerek, legyenek etikusak vagy nem, kihasználhatják ezt a technológiát saját műveik felgyorsítására és automatizálására. Murtagh például a társadalmi manipuláció technikáit alkalmazza chatbotoz, hogy például egy felhasználó adatainak megszerzésére kényszerítse őket.

Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági oktatója figyelmeztetett arra, hogy az AI által vezérelt rendszerek összekapcsoltsága miatt a sebezhetőségek hatása szélesebb körű lehet, mint azt elsőre gondolnánk. Mivel az AI technológiák folyamatosan fejlődnek, a hibavadászoknak és biztonsági kutatóknak folyamatosan alkalmazkodniuk kell a változó környezethez, hogy képesek legyenek megvédeni a digitális világot a fenyegetésektől. A hibavadászok elhivatottsága és kreativitása kulcsfontosságú abban, hogy a technológiai fejlődés mellett a biztonság is biztosítva legyen.

Forrás: https://www.bbc.com/news/articles/c99n8r38rdlo