Немногие карьеры в сфере технологий предлагают возможность продемонстрировать свои навыки в эксклюзивных местах по всему миру, от роскошных отелей до киберспортивных арен Лас-Вегаса, где коллеги подбадривают вас, когда ваше имя продвигается вверх в таблице лидеров, а ваши доходы растут.
Но именно это испытал Брэндин Муртаг в свой первый год в качестве охотника за ошибками.
Муртаг начал играть и собирать компьютеры в 10 или 11 лет и всегда знал: «Я хочу быть хакером или работать в сфере безопасности».
Он начал работать в центре операций по обеспечению безопасности в 16 лет, а в 20 перешел на тестирование на проникновение, работа, которая также включала проверку физической и компьютерной безопасности клиентов: «Мне приходилось подделывать фальшивые удостоверения личности, вламываться в места, а затем взламывать. Довольно весело».
Но в прошлом году он стал штатным охотником за ошибками и независимым исследователем безопасности, то есть он прочесывает компьютерную инфраструктуру организаций на предмет уязвимостей безопасности. И он не оглядывается назад.
Пионер интернет-браузеров Netscape считается первой технологической компанией, которая предложила денежную «премию» исследователям безопасности или хакерам за обнаружение недостатков или уязвимостей в своих продуктах еще в 1990-х годах.
В конечном итоге появились платформы Bugcrowd и HackerOne в США и Intigriti в Европе, чтобы объединить хакеров и организации, которые хотели, чтобы их программное обеспечение и системы были протестированы на наличие уязвимостей безопасности.
Как объясняет основатель Bugcrowd Кейси Эллис, хотя хакерство — это «морально агностический набор навыков», охотники за ошибками должны действовать в рамках закона.
Платформа Bugcrowd привносит больше дисциплины в процесс поиска ошибок, позволяя компаниям устанавливать «область» систем, на которые они хотят нацелить хакеров. И они организуют эти живые хакатоны, где лучшие охотники за ошибками соревнуются и сотрудничают, «взламывая» системы, демонстрируя свои навыки и потенциально зарабатывая большие деньги.
Выгода для компаний, использующих платформу Bugcrowd, также очевидна. Андре Бастерт, глобальный менеджер по продуктам AXIS OS в шведской компании Axis Communications, занимающейся сетевыми камерами и оборудованием для видеонаблюдения, сказал, что с 24 миллионами строк кода в операционной системе устройства уязвимости неизбежны. «Мы поняли, что всегда хорошо иметь вторую пару глаз».
Платформа Bugcrowd означает, что «вы можете использовать хакеров как силу добра», — говорит он. По словам Бастерта, с момента открытия программы вознаграждений за обнаружение ошибок компания Axis обнаружила и исправила около 30 уязвимостей, включая одну, «которую мы считаем очень серьезной». Ответственный за это хакер получил вознаграждение в размере 25 000 долларов США (19 300 фунтов стерлингов).
Так что это может быть прибыльной работой. Самый высокооплачиваемый хакер Bugcrowd за последний год заработал более 1,2 млн долларов США.
Но хотя на ключевых платформах зарегистрированы миллионы хакеров, Инти Де Секелер, главный хакер-директор Intigriti, говорит, что число хакеров, ежедневно или еженедельно занимающихся охотой, составляет «десятки тысяч». Элитный уровень, который приглашается на главные мероприятия в прямом эфире, будет еще меньше.
Муртаг говорит: «Хороший месяц будет выглядеть так, как если бы было найдено несколько критических уязвимостей, несколько высоких и много средних. Несколько дней с хорошей зарплатой в идеальной ситуации». Но он добавляет: «Это происходит не всегда».
Однако с взрывным развитием ИИ у охотников за ошибками появились совершенно новые поверхности для исследования.
Эллис говорит, что организации стремятся получить конкурентное преимущество с помощью этой технологии. И это, как правило, влияет на безопасность.
«В целом, если вы внедряете новую технологию быстро и конкурентоспособно, вы не так много думаете о том, что может пойти не так». Кроме того, он говорит, что ИИ не просто мощный, но и «разработан для использования кем угодно».
Доктор Кэти Пэкстон-Фир, исследователь безопасности и преподаватель кибербезопасности в Университете Манчестер Метрополитен, отмечает, что ИИ — это первая технология, которая ворвалась на сцену, когда уже существует официальное сообщество охотников за ошибками.
И это уравняло условия игры для хакеров, говорит Де Секелер. Хакеры — как этичные, так и нет — могут использовать эту технологию для ускорения и автоматизации своих собственных операций. Это варьируется от проведения разведки для выявления уязвимых систем до анализа кода на наличие недостатков или предложения возможных паролей для взлома систем.
Но зависимость современных систем ИИ от больших языковых моделей также означает, что языковые навыки и манипуляции являются важной частью набора инструментов хакера, говорит Де Секелер.
Он говорит, что использовал классические методы допроса в полиции, чтобы сбить с толку чат-ботов и заставить их «взломать».
Муртаг описывает использование таких методов социальной инженерии в чат-ботах для розничных продавцов: «Я бы попытался заставить чат-бота вызвать запрос или даже запустить себя, чтобы передать мне заказ другого пользователя или данные другого пользователя».
Но эти системы также уязвимы для более «традиционных» методов веб-приложений, говорит он. «Я добился определенного успеха в атаке, называемой межсайтовым скриптингом, когда вы можете по сути обмануть чат-бота, заставив его отобразить вредоносную полезную нагрузку, которая может вызвать всевозможные последствия для безопасности».
Но угроза этим не ограничивается. Доктор Пэкстон-Фир говорит, что чрезмерное внимание к чат-ботам и большим языковым моделям может отвлечь от более широкой взаимосвязанности систем на базе ИИ.
«Если вы получаете уязвимость в одной системе, где она в конечном итоге появляется в каждой другой системе, к которой она подключается? Где мы видим эту связь между ними? Именно там я бы искал подобные недостатки».
Доктор Пэкстон-Фир добавляет, что пока не было серьезных утечек данных, связанных с ИИ, но «я думаю, что это просто вопрос времени».
В то же время, бурно развивающаяся индустрия ИИ должна быть уверена, что она принимает охотников за ошибками и исследователей безопасности, говорит она. «Тот факт, что некоторые компании этого не делают, значительно усложняет для нас нашу работу по поддержанию безопасности мира».
В то же время это вряд ли отпугнет охотников за ошибками. Как говорит Де Секелер: «Однажды хакер, всегда хакер».