Brandyn Murtagh pályafutása rendkívül izgalmas irányt vett az elmúlt évben, amikor teljes munkaidős bug bounty vadásszá vált. A bug bounty vadászok olyan szakemberek, akik felfedezik a szoftverek és rendszerek biztonsági réseit, és ezért pénzjutalmat kapnak. Murtagh már gyerekkorában, körülbelül tíz-tizenegy évesen elkezdett érdeklődni a számítógépek és a videojátékok iránt, és mindig is arról álmodott, hogy hacker vagy biztonsági szakember lesz. Tizenhat éves korában már egy biztonsági műveleti központban dolgozott, és húsz éves korára áttért a penetrációs tesztelésre, ahol a feladata az volt, hogy ügyfelek fizikai és számítógépes biztonságát tesztelje. „Hamis személyazonosságokat kellett létrehoznom, be kellett hatolnom helyekre, majd hackelnem kellett. Ez igazán szórakoztató volt” – mondta Murtagh.
Az internetböngésző-fejlesztő Netscape volt az első olyan technológiai vállalat, amely pénzbeli „jutalmat” ajánlott fel a biztonsági kutatóknak és hackereknek, hogy felfedezzék a termékeik hibáit vagy sebezhetőségeit az 1990-es években. Azóta olyan platformok jelentek meg, mint a Bugcrowd és a HackerOne az Egyesült Államokban, illetve az Intigriti Európában, amelyek összekapcsolják a hackereket azokkal a szervezetekkel, akik szeretnék, ha a szoftvereiket és rendszereiket biztonsági tesztelésnek vetnék alá. Casey Ellis, a Bugcrowd alapítója elmondta, hogy míg a hackelés „morálisan semleges készség”, a bug bounty vadászoknak a törvény keretein belül kell dolgozniuk. A Bugcrowd hasonló platformok nagyobb rendet hoznak a bug-keresési folyamatba, lehetővé téve a cégek számára, hogy meghatározzák, mely rendszereket szeretnék, hogy a hackerek célozzák meg.
A bug bounty programok előnyei a cégek számára egyértelműek. Andre Bastert, az Axis Communications globális termékmenedzsere elmondta, hogy a cég operációs rendszere 24 millió sor kódot tartalmaz, így a sebezhetőségek elkerülhetetlenek. „Rájöttünk, hogy mindig jó dolog, ha van egy második szem, ami átnézi a dolgokat” – mondta Bastert. Az Axis eddig mintegy 30 sebezhetőséget fedezett fel és javított ki a bug bounty programjuk keretein belül, köztük egyet, amelyet „nagyon súlyosnak” ítéltek meg. A hacker, aki ezt felfedezte, 25,000 dolláros jutalomban részesült. Az ilyen munkák tehát rendkívül jövedelmezőek lehetnek: a Bugcrowd legjobban kereső hackere tavaly több mint 1,2 millió dollárt keresett.
Bár a kulcsfontosságú platformokon regisztrált hackerek száma milliós nagyságrendű, Inti De Ceukelaire, az Intigriti fő hacking tisztje szerint a napi vagy heti szinten aktív hackerek száma „tízezrek”. A legjobbak, akiket meghívnak a csúcseventekre, még ennél is kevesebben vannak. Murtagh elmondta, hogy egy jó hónap általában néhány kritikus sebezhetőséget, több magas és sok közepes sebezhetőséget jelent. „Ideális esetben jó kifizetések is várhatók.” Azonban hangsúlyozta, hogy ez nem mindig teljesül. Az AI robbanásszerű fejlődése új lehetőségeket nyújt a bug vadászok számára, mivel a szervezetek versenyfutásban próbálnak előnyhöz jutni az új technológiák alkalmazásával, ami gyakran biztonsági hatással is jár.
Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági oktatója figyelmeztetett arra, hogy az AI megjelenése különösen érdekes helyzetet teremtett a bug vadászok számára, mivel ők már léteztek, amikor ez a technológia elterjedt. Az AI nemcsak erősebbé tette a hackereket, hanem lehetővé tette számukra, hogy gyorsabban és automatizált módon végezzék el a munkájukat, például a sebezhető rendszerek azonosítását vagy a kódok elemzését. De Ceukelaire megjegyezte, hogy a modern AI rendszerek a nagyméretű nyelvi modellekre támaszkodnak, így a nyelvi készségek és manipulációk szintén fontos részét képezik a hackerek eszköztárának.
Murtagh elmondta, hogy a chatbotokkal való szociális mérnöki technikák alkalmazásával próbálta kihasználni a rendszereik gyengeségeit. „Megpróbáltam rávenni a chatbotot, hogy kérdéseket tegyen fel, vagy akár kiváltsa önállóan egy másik felhasználó rendelésének vagy adatának megadását.” A kockázatok azonban nem állnak meg a chatbotok körül; Paxton-Fear szerint a bug vadászoknak figyelniük kell az AI által vezérelt rendszerek összekapcsolódására is, mivel egy sebezhetőség az egész rendszerre kihatással lehet. „Ha egy rendszerben sebezhetőség van, akkor az végül minden más rendszerben megjelenik, amellyel összekapcsolódik.”
Míg egyelőre nem történt jelentős AI-hoz kapcsolódó adatlopás, Paxton-Fear úgy véli, ez csak idő kérdése. Az AI iparnak biztosítania kell, hogy a bug vadászokat és biztonsági kutatókat magába foglalja, hiszen „ez megnehezíti a világ biztonságban tartását”. Mindezek ellenére a bug bounty vadászok nem ijednek meg a kihívásoktól, hiszen De Ceukelaire szavaival élve: „Egyszer hacker, mindig hacker.”
