Brandyn Murtagh pályafutása a kiberbiztonság világában különleges élményekkel teli, hiszen az első évében máris világszerte elismert helyszíneken bizonyíthatta tudását, legyen szó luxusszállodákról vagy Las Vegas-i e-sport arénákról. A bug bounty vadászként eltöltött idő alatt Murtagh neve feltűnt a ranglistákon, miközben jövedelme folyamatosan növekedett. Az informatikai világ iránti érdeklődése már fiatal korában megkezdődött, amikor 10-11 évesen elkezdett videojátékokkal játszani és számítógépeket építeni. Már akkor tudta, hogy hacker vagy kiberbiztonsági szakember szeretne lenni.
Tizenhat éves korában kezdett el dolgozni egy biztonsági műveleti központban, majd húszévesen a penetrációs tesztelés területére lépett, ahol a megbízói rendszerek fizikai és informatikai biztonságát kellett tesztelnie. Murtagh elmondása szerint „hamis identitásokat kellett létrehoznom, be kellett hatolnom helyszínekre, majd hackelnem kellett. Igazán szórakoztató volt.” Az utóbbi egy évben azonban már teljes munkaidőben bug bounty vadász lett és független biztonsági kutatóként dolgozik, vagyis szervezetek számítógépes infrastruktúráját vizsgálja biztonsági sebezhetőségek után kutatva. Murtagh nem néz vissza; az új pálya iránti elkötelezettsége egyértelmű.
A Netscape, az internetböngészők úttörője, az első olyan technológiai vállalat, amely a 90-es években pénzbeli „jutalmat” ajánlott fel biztonsági kutatóknak vagy hackereknek, akik felfedeznek hibákat a termékeikben. Ezt követően olyan platformok, mint a Bugcrowd és a HackerOne az Egyesült Államokban, valamint az Intigriti Európában, megjelentek, hogy összekapcsolják a hackereket és a szoftverüket tesztelni kívánó szervezeteket. Casey Ellis, a Bugcrowd alapítója elmagyarázza, hogy bár a hackelés „morálisan semleges készségek összessége”, a bug vadászoknak mindenképpen a törvény keretein belül kell működniük. A Bugcrowd platform lehetővé teszi a cégek számára, hogy meghatározzák, mely rendszereket szeretnék tesztelni, ezzel fegyelmezettebb kereteket biztosítva a bug-vadászat folyamatának.
A cégek számára is világos, hogy a Bugcrowd használata előnyös. Andre Bastert, az AXIS OS globális termékmenedzsere, a svéd Axis Communications cég képviselője rámutatott, hogy a 24 millió kódsorral rendelkező operációs rendszerük esetében a sebezhetőségek elkerülhetetlenek. „Rá kellett jönnünk, hogy mindig jó egy második szempontot bevonni.” Az Axis bug bounty programja óta körülbelül 30 sebezhetőséget fedeztek fel és javítottak ki, köztük egy „nagyon súlyos” hibát is, amelyért a hacker 25 000 dolláros jutalomban részesült. Az ilyen munka tehát kifejezetten jövedelmező lehet, hiszen a Bugcrowd legjobban kereső hackere az elmúlt évben több mint 1,2 millió dollárt keresett.
Bár milliónyi hacker van regisztrálva a legfontosabb platformokon, Inti De Ceukelaire, az Intigriti fő hackere azt mondja, hogy a napi vagy heti szinten aktívan vadászó hackerek száma „tízezer”. Az elit csoport, amelyet a legfontosabb élő eseményekre hívnak meg, még kisebb. Murtagh elmondása szerint: „Egy jó hónap úgy néz ki, hogy néhány kritikus sebezhetőséget találok, néhány magas szintűt, sok közepes szintűt. Ideális esetben néhány szép kifizetés.” Ugyanakkor hozzáteszi, hogy „ez nem mindig történik meg.”
A mesterséges intelligencia (AI) térhódítása új lehetőségeket teremtett a bug vadászok számára, hiszen új támadási felületeket kínál a felfedezéshez. Ellis megjegyzi, hogy a szervezetek versenyt futnak, hogy előnyhöz jussanak az új technológiák terén, ami gyakran biztonsági kockázatokkal jár. „Általában, ha egy új technológiát gyorsan és versenyképesen ültetnek át, nem gondolkodnak annyira a lehetséges hibákon.” Az AI nemcsak erőteljes, hanem „mindenki számára használható” eszköz is, teszi hozzá.
Dr. Katie Paxton-Fear, a Manchester Metropolitan University kiberbiztonsági kutatója hangsúlyozza, hogy az AI az első technológia, amely így gyorsan megjelent, miközben a bug vadász közösség már létezett. Az AI szintén kiegyenlíti a terepet a hackerek számára: mind etikus, mind etikátlan hackerek kihasználhatják a technológiát a saját műveleteik gyorsítására és automatizálására. Murtagh elmondja, hogy a chatbotokkal való interakció során különböző szociális mérnöki technikákat alkalmazott, hogy azokat manipulálja, míg De Ceukelaire klasszikus rendőrségi kihallgatási technikákat is alkalmazott, hogy megtévessze a chatbotokat.
A kiberbiztonsági szakemberek figyelme azonban nem csupán a chatbotokra és a nyelvi modellekre összpontosul, hanem a rendszerek közötti összefüggésekre is. Dr. Paxton-Fear szerint, ha egy rendszerben sebezhetőséget találunk, az hol jelenik meg a többi összekapcsolt rendszerben? A szakértők szerint fontos, hogy a fejlődő AI ipar nyitott legyen a bug vadászokra és a biztonsági kutatókra, hogy a világ biztonságát megőrizzék. A bug vadászok elkötelezettsége a jövőben is megmarad, hiszen, ahogy De Ceukelaire fogalmaz: „Egyszer hacker, mindig hacker.”
