Brandyn Murtagh karrierje izgalmas kalandnak bizonyult, amely megmutatja, hogy a technológiai világban milyen lehetőségek rejlenek. Murtagh, aki már 10-11 éves korában elkezdett érdeklődni a számítógépek és a játékok iránt, mindig is azt akarta, hogy hacker legyen vagy biztonsági szakember. Tizenhat éves korában már a biztonsági műveleti központban dolgozott, és húsz évesen áttért a penetrációs tesztelésre, ahol a kliensek fizikai és számítógépes biztonságát kellett tesztelnie. „Kitaláltam hamis identitásokat, bejutottam helyekre, és hackeltem. Elég szórakoztató volt” – mesélte.
Az elmúlt évben Murtagh teljes munkaidős bug bounty vadásszá vált, ami azt jelenti, hogy szervezetek számítógépes infrastruktúráját kutatja a biztonsági réseik után. Azóta sem nézett vissza, és a bug bounty programok világában egyre nagyobb népszerűségnek örvend. Az internetböngésző-pionír Netscape volt az első technológiai vállalat, amely a 90-es években készpénzes „jutalmat” ajánlott fel a biztonsági szakembereknek vagy hackereknek, akik felfedezték a termékeik hibáit vagy sebezhetőségeit. Azóta olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában kapcsolják össze a hackereket és a szervezeteket, akik szeretnék tesztelni szoftvereik és rendszereik biztonságát.
A Bugcrowd alapítója, Casey Ellis elmondta, hogy míg a hackelés egy „erkölcsileg semleges készség”, a bug vadászoknak a törvény keretein belül kell működniük. A Bugcrowd lehetővé teszi a cégek számára, hogy meghatározzák, milyen rendszereket szeretnének, hogy a hackerek teszteljenek, ezzel a bug vadászat folyamatát is rendszerezettebbé téve. Az ilyen platformok élő hackathonokat is szerveznek, ahol a legjobb bug vadászok versenyeznek és együttműködnek, bemutatva tudásukat, miközben lehetőségük nyílik nagy összegek keresésére is.
A cégek számára is egyértelműen előnyös a Bugcrowd használata. Andre Bastert, az AXIS OS globális termékmenedzsere a svéd Axis Communications cégtől elmondta, hogy az operációs rendszerükben 24 millió kódsor található, így a sebezhetőségek elkerülhetetlenek. „Rájöttünk, hogy mindig jól jön egy második szem” – tette hozzá. Az Axis bug bounty programjának elindítása óta mintegy 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egyet, amelyet „nagyon súlyosnak” ítéltek meg. A hacker, aki ezt felfedezte, 25 000 dolláros jutalomban részesült. Az ilyen munkák tehát jövedelmezőek lehetnek: a Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett.
Bár a kulcsfontosságú platformokon milliók regisztráltak, Inti De Ceukelaire, az Intigriti fő hacking tisztviselője hangsúlyozza, hogy a napi vagy heti szinten aktívan vadászó hackerek száma „tízezer”. A legjobbak között, akiket a legfontosabb élő eseményekre hívnak meg, még kevesebben vannak. Murtagh elmondta, hogy „egy jó hónap úgy néz ki, hogy néhány kritikus sebezhetőséget találtam, néhány magasat, sok közepest. Ideális körülmények között néhány jó kifizetés.” De hozzátette, hogy ez nem mindig valósul meg.
Az AI robbanása új lehetőségeket nyújt a bug vadászok számára. Ellis szerint a szervezetek versenyeznek, hogy előnyhöz jussanak a technológia terén, ami általában biztonsági hatással is jár. „Általában, ha egy új technológiát gyorsan és versenyképesen valósítanak meg, nem gondolkodnak annyira, hogy mi mehet rosszul.” Ezenkívül az AI nemcsak hatékony, hanem „mindenki által használhatóan van tervezve”. Dr. Katie Paxton-Fear, a Manchester Metropolitan University biztonsági kutatója és kiberbiztonsági oktatója rámutatott, hogy az AI az első technológia, amely már kialakult bug vadász közösséggel robbant be a köztudatba, és felerősítette a hackerek lehetőségeit.
A hackerek – legyenek etikusak vagy sem – kihasználhatják a technológiát, hogy felgyorsítsák és automatizálják saját működésüket. Ez magában foglalja a sebezhető rendszerek azonosítását, a kód hibáinak elemzését, vagy lehetséges jelszavak javaslatát a rendszerekbe való bejutáshoz. A modern AI rendszerek nagy nyelvi modellekre való támaszkodása azonban azt is jelenti, hogy a nyelvi készségek és manipuláció fontos részét képezik a hacker eszköztárának.
Dr. Paxton-Fear hangsúlyozza, hogy a chatbotokra és a nagy nyelvi modellekre való túlzott fókuszálás elvonhatja a figyelmet az AI által vezérelt rendszerek szélesebb összefonódásáról. „Ha egy rendszerben sebezhetőséget találsz, az hol jelenik meg minden más rendszerben, amellyel kapcsolódik? Hol látjuk ezeket a kapcsolatokat?” – tette fel a kérdést. Hozzátette, hogy eddig nem történt jelentős AI-hoz kapcsolódó adatlopás, de „csak idő kérdése”. Az újonnan fejlődő AI iparnak biztosítania kell, hogy befogadja a bug vadászokat és a biztonsági kutatókat, hogy megkönnyítse munkájukat a világ biztonságának megőrzése érdekében. Az viszont valószínűtlen, hogy ez elriasztja a bug vadászokat. Ahogy De Ceukelaire mondta: „Ha egyszer hacker vagy, mindig hacker maradsz.”
