Vad är buggjakt och varför förändras det?

Joe Faytechnology ReporterBugCrowdat-evenemang som BugCrowd Bug Bash-hackare tävlar för att hitta mjukvarubugsfew teknikkarriärer erbjuder chansen att visa dina färdigheter i exklusiva arenor över hela världen, från lyxhotell till las vegas e-sport arenas, kamrater jublande dig på som din namn rör sig upp ledarbrädan och din vinst. hunter.mr Murtagh kom in i spel och byggde datorer på 10 eller 11-åriga och visste alltid ”Jag ville vara en hacker eller arbeta i säkerhet”. Han började arbeta i ett säkerhetsoperationscenter vid 16, och flyttade in i penetrationstest på 20, ett jobb som också involverade att testa säkerheten för klienternas fysiska och datorsäkerhet: ”Jag hade att smida falska identiteter och bryta in i platser och sedan hacka. Forskare, vilket betyder att han skurar organisationers datorinfrastruktur för säkerhetssårbarheter. And he hasn’t looked back.Internet browser pioneer Netscape is regarded as the first technology company to offer a cash ”bounty” to security researchers or hackers for uncovering flaws or vulnerabilities in its products, back in the 1990s.Eventually platforms like Bugcrowd and HackerOne in the US, and Intigriti in Europe, emerged to connect hackers and organizations that wanted their software and systems tested for security vulnerabilities.As BugCrowd-grundaren Casey Ellis förklarar, medan hacking är en ”moraliskt agnostisk kompetensuppsättning”, måste bugjägare fungera inom lagen. Plattor som BugCrowd ger mer disciplin till bug-jaktprocessen, vilket gör att företag kan ställa in ”omfattningen” av vilka system de vill ha hackare att rikta in sig på. Och de driver de live hackathons där topp bugjägare tävlar och samarbetar ”hamring” -system, visar upp sina färdigheter och potentiellt tjänar stora pengar. Betalningen för företag som använder plattformar som BugCrowd är också tydlig. Andre Bastert, Global Product Manager Axis OS, hos Swedish Network Camera och Surveillance Equipment Firm Axis Communications, sa att med 24 miljoner kodrader i sitt enhetsoperativsystem är sårbarheter oundvikliga. ”Vi insåg att det alltid är bra att ha en andra uppsättning ögon.” Plattformar som BugCrowd betyder ”Du kan använda hackare som en kraft för gott”, säger han. Sedan han öppnade sitt Bug Bounty -program har Axis avslöjat – och lappat – så många som 30 sårbarheter, säger Bastert, inklusive en ”Vi anser mycket allvarlig”. Den ansvariga hackaren fick en belöning på 25 000 dollar (£ 19 300). BUGCROWDDE De bästa bugjägarna kan tjäna mer än en miljon pund per år, det kan vara lukrativt arbete. BugCrowds högsta intjänande hackare under det senaste året tjänade över $ 1.2m. men det finns miljoner hackare som är registrerade på de viktigaste plattformarna, Inti de Ceukelaire, Chief Hacking Officer på Intigriti, säger att antalet jaktar dagligen eller veckobasis är ”tiotusentals.” Elitnivån, som är inbjuden till flaggskeppslivevenemanget kommer att vara mindre fortfarande. Men han tillägger, ”Det händer inte alltid.” Men med explosionen av AI har Bug Hunters helt nya attackytor att utforska.MR Ellis säger att organisationer tävlar för att få en konkurrensfördel med tekniken. Och detta har vanligtvis en säkerhetspåverkan. ”I allmänhet, om du implementerar en ny teknik snabbt och konkurrenskraftigt, tänker du inte lika mycket på vad som kan gå fel.” Dessutom, säger han, är AI inte bara kraftfull utan ”utformad för att användas av någon” .dr Katie Paxton-Fear, en säkerhetsforskare och Cybersecurity-föreläsare på Manchester Metropolitan University, påpekar att AI är den första tekniken som exploderar på scenen med den formella buggjakten som redan är på plats. Och det har nivåer för spelplanen för hackare, säger Mr Cerukel. Hackare – både etiska och inte – kan utnyttja tekniken för att påskynda och automatisera sin egen verksamhet. Detta sträcker sig från att genomföra rekognosering för att identifiera sårbara system, till att analysera kod för brister eller föreslå möjliga lösenord för att bryta in i system. Men modern AI -systems beroende av stora språkmodeller betyder också språkkunskaper och manipulation är en viktig del av hackerverktyget, herr de ceukelaire säger. Han säger att han har dragit på klassiska polis Att använda sådana socialtekniska tekniker på chatbots för återförsäljare: ”Jag skulle försöka göra chatboten orsaka en begäran eller till och med utlösa sig att ge mig en annan användares beställning eller en annan användares data.” Getty Imageshackers försöker lura AI -drivna chatbotsbut dessa system är också sårbara för mer ”traditionella” webbapptekniker, säger han. ”Jag har haft en viss framgång i en attack som heter Cross Site Scripting, där du i huvudsak kan lura chatboten att göra en skadlig nyttolast som kan orsaka alla slags säkerhetskonsekvenser.” Men hotet stannar inte där. Dr Paxton-Fear säger att ett överfokus på chatbots och stora språkmodeller kan distrahera från den bredare sammankopplingen av AI-drivna system. ”Om du får en sårbarhet i ett system, var så så småningom visas i alla andra system som det ansluter till? ”Jag tror att det bara är en tidsfråga”. Under tiden måste den växande AI -industrin vara säker på att den omfattar bugägare och säkerhetsforskare, säger hon. ”Det faktum att vissa företag inte gör det så mycket svårare för oss att göra vårt jobb med att bara hålla världen säkra.” Det är osannolikt att de kommer att skjuta upp buggjägarna under tiden. Som de Ceukelaire säger: ”En gång en hacker, alltid en hacker.” Mer teknik för affärsverksamhet