Brandyn Murtagh karrierje nem mindennapi utat jár be, hiszen ő a bug bounty vadászok között találta meg a számításait. Az ilyen típusú munka nemcsak izgalmas, hanem lehetőséget ad arra is, hogy a világ különböző, exkluzív helyszínein, például luxushotelekben vagy Las Vegas e-sport arénáiban mutassa be tudását. Murtagh már gyerekkorában, 10-11 éves korában megismerkedett a számítógépes játékok világával, és tudta, hogy hacker vagy biztonsági szakember szeretne lenni. Tizenhat éves korában kezdett el dolgozni egy biztonsági műveleti központban, majd húsz évesen áttért a penetrációs tesztelésre, ahol a fizikai és számítógépes biztonság tesztelése is a feladatai közé tartozott. Murtagh erről így mesélt: „Ál-identitások létrehozásával kellett betörnöm helyekre, majd hackelnem kellett. Elég szórakoztató volt.”
Az elmúlt évben Murtagh teljes munkaidős bug vadásszá vált, független biztonsági kutatóként tevékenykedik, ami annyit jelent, hogy szervezetek számítógépes infrastruktúráját kutatja a biztonsági réseket keresve. Az internetböngésző-készítő Netscape volt az első olyan technológiai cég, amely az 1990-es években készpénzes „jutalmat” ajánlott fel a biztonsági kutatóknak vagy hackereknek a termékeikben felfedezett hibákért. Azóta olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, kapcsolják össze a hackereket és azokat a szervezeteket, akik szeretnék a szoftvereiket és rendszereiket tesztelni a biztonsági sebezhetőségek szempontjából.
A Bugcrowd alapítója, Casey Ellis elmagyarázta, hogy bár a hackelés „erkölcsileg semleges készség”, a bug vadászoknak jogi keretek között kell működniük. Az olyan platformok, mint a Bugcrowd, több fegyelmet hoznak a bug vadászás folyamatába, lehetővé téve a cégek számára, hogy meghatározzák, mely rendszereket szeretnék, hogy a hackerek célba vegyék. Ezen kívül élő hackathonokat is szerveznek, ahol a legjobb bug vadászok versenyeznek és együttműködnek, megmutatva tudásukat, és potenciálisan komoly pénzkereseti lehetőséget biztosítva számukra.
A cégek számára a Bugcrowd használata világos előnyöket kínál. Andre Bastert, az AXIS OS globális termékmenedzsere a svéd Axis Communications cég részéről elmondta, hogy a cég operációs rendszerében 24 millió sor kód található, így a sebezhetőségek elkerülhetetlenek. „Ráébredtünk, hogy mindig jó, ha van egy második szempont is” – tette hozzá. Az Axis bug bounty programjának megnyitása óta körülbelül 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egyet, amit „nagyon súlyosnak” ítéltek meg. A hacker, aki ezt felfedezte, 25 000 dolláros jutalomban részesült. A Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett.
Bár milliónyi hacker regisztrált a kulcsfontosságú platformokon, Inti De Ceukelaire, az Intigriti vezető hackere elmondta, hogy a napi vagy heti rendszerességgel vadászó hackerek száma „tízezerre” tehető. Az elit szint, amely meghívást kap a rangos élő eseményekre, még kisebb lesz. Murtagh elmondta, hogy egy jó hónap úgy nézhet ki, hogy néhány kritikus sebezhetőséget, néhány magas kockázatú hibát és sok közepes szintű hibát talál. Ugyanakkor hozzáfűzte, hogy ez nem minden esetben valósul meg.
Az AI robbanásszerű fejlődése új kihívásokat és lehetőségeket teremtett a bug vadászok számára. Ellis hangsúlyozta, hogy a szervezetek versenyképességük megőrzése érdekében rohanva alkalmazzák ezt a technológiát, ami általában biztonsági hatással jár. „Ha új technológiát gyorsan és versenyképesen valósítanak meg, nem gondolnak annyira arra, hogy mi mehet rosszul” – mondta. A modern AI rendszerek nemcsak erőteljesek, hanem „mindenki által használhatóak” is. Dr. Katie Paxton-Fear, a manchesteri Metropolitan Egyetem biztonsági kutatója és kiberbiztonsági oktatója rámutatott, hogy az AI az első technológia, amely úgy robbant be a köztudatba, hogy a hivatalos bug vadász közösség már létezett. A hackerek, legyenek etikailag elkötelezettek vagy sem, kihasználhatják ezt a technológiát a saját műveleteik felgyorsítására és automatizálására.
Murtagh elmondta, hogy a chatbotokkal való szociális manipulációs technikákat is alkalmazta, például megpróbálta kicsikarni egy másik felhasználó rendelését vagy adatait. A modern rendszerek azonban a „hagyományos” webalkalmazásokkal szemben is sebezhetőek, hiszen Murtagh sikeresen végrehajtott egy cross site scripting támadást is, amely során a chatbotot manipulálta, hogy egy rosszindulatú terhelést rendereljen. A fenyegetések azonban nem állnak meg itt. Dr. Paxton-Fear hangsúlyozta, hogy a chatbotokra és a nagy nyelvi modellekre való túlzott fókuszálás elvonhatja a figyelmet az AI által vezérelt rendszerek széleskörű összekapcsolódásáról. Elmondta, hogy még nem történt jelentős adatlopás AI miatt, de „szerintem ez csak idő kérdése”. Az AI iparnak mindenképpen szüksége van bug vadászokra és biztonsági kutatókra, hogy biztosítsák a rendszerek biztonságát.
A bug vadászok számára a kihívások ellenére a munka izgalmas és jövedelmező lehetőségeket kínál. Murtagh szavaival: „Egyszer hacker, mindig hacker.”
