Mi az a hibakeresés és miért változik a jelentősége?
Brandyn Murtagh karrierje az utóbbi évek egyik legérdekesebb technológiai pályafutása, amely a számítógépes biztonság világába vezetett. Murtagh már fiatal korában, körülbelül 10-11 évesen megismerkedett a számítógépépítés és a videojátékok világával, és már ekkor tudta, hogy hacker vagy biztonsági szakember szeretne lenni. 16 éves korában már egy biztonsági műveleti központban dolgozott, és 20 évesen áttért a penetrációs tesztelésre, ahol a megbízók fizikai és számítógépes biztonságának tesztelése volt a feladata. „Hamisan kellett azonosítanom magam, és bejutnom különböző helyekre, majd hackelnem,” mesélte Murtagh, aki szerint ez egy igazán szórakoztató munka volt. Az utóbbi egy évben azonban teljes munkaidős hibavadásszá és független biztonsági kutatóvá vált, aki szervezetek számítógépes infrastruktúráját kutatja a biztonsági réseket illetően.
A hibavadászok munkája nem újkeletű, hiszen a Netscape, a híres internetes böngésző elsőként kínált pénzbeli „jutalmat” a biztonsági kutatóknak a termékeikben felfedezett hibákért az 1990-es években. Azóta olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, összekötik a hackereket és azokat a szervezeteket, akik szeretnék tesztelni szoftvereik és rendszereik biztonságát. Casey Ellis, a Bugcrowd alapítója hangsúlyozza, hogy bár a hackelés „erkölcsileg semleges készség”, a hibavadászoknak a törvény keretein belül kell működniük. A Bugcrowd platform segítségével a cégek meghatározhatják, hogy milyen rendszereken szeretnék, hogy a hackerek dolgozzanak, mivel ez a folyamat nagyobb rendet teremt a hibavadászatban.
Murtagh elmondása szerint egy jó hónap azt jelenti, hogy néhány kritikus és magas szintű sebezhetőséget talált, de hangsúlyozta, hogy ez nem mindig így történik. Az utóbbi időszakban az AI technológia robbanásszerű fejlődése új kihívások elé állította a hibavadászokat, mivel számos új támadási felület nyílt meg előttük. Ellis szerint a szervezetek versenyképességük megőrzéséért sietve alkalmazzák az új technológiákat, ami gyakran biztonsági problémákhoz vezet. Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági oktatója megjegyzi, hogy az AI az első technológia, amely a hibavadász közösség kialakulásának pillanatában robbant be a köztudatba. A hackerek, legyenek etikusak vagy nem, kihasználhatják ezt a technológiát, hogy felgyorsítsák és automatizálják a saját munkájukat, beleértve a sebezhető rendszerek azonosítását és a hibák kódokban való keresését.
Murtagh elmondta, hogyan használta a társadalmi manipuláció technikáit a kereskedelmi chatbotoknál: „Megpróbáltam rávenni a chatbotot, hogy egy másik felhasználó rendelését vagy adatát szolgáltassa.” A modern AI rendszerek azonban nemcsak a chatbotokra, hanem a webalkalmazások hagyományos technikáira is érzékenyek, mint például a keresztoldali szkripting, amelyen Murtagh is sikereket ért el.
A biztonsági szakértők figyelmeztetnek, hogy nemcsak a chatbotok és a nagy nyelvi modellek jelentenek kockázatot, hanem az AI rendszerek összekapcsoltsága is. Dr. Paxton-Fear hangsúlyozza, hogy ha egy rendszerben sebezhetőség merül fel, az hogyan hat a többi kapcsolódó rendszerre. Jelenleg még nem történt jelentős AI-hoz kapcsolódó adatlopás, de ő biztos benne, hogy ez csak idő kérdése. Az AI iparnak elengedhetetlen, hogy együttműködjön a hibavadászokkal és biztonsági kutatókkal, hogy a világ biztonságát megőrizzék. Murtagh és De Ceukelaire szavai tükrözik a hackerek eltökéltségét: „Egyszer hacker, mindig hacker.”
Ezeket is érdemes megnézni
Mikor csökkennek újra a kamatok?
Xi igazi kihívása nem Trump kereskedelmi háborúja
