Sztuczna inteligencja (AI) nie ma szans na replikację ludzkiej kreatywności potrzebnej do zostania Hacker z zasadamiale zakłóci to sposób, w jaki hakerzy przeprowadzają testy penetracyjne i pracują nad programami nagród za błędy, i już teraz zwiększa wartość hakowania dla organizacji, które są gotowe nawiązać kontakt ze społecznością hakerów, a nie od razu go odrzucić.
Tak twierdzą hakerzy, którzy przyczynili się do powstania najnowszej edycji W umyśle hakera (ITMOAH)sprawozdanie roczne z firma Bugcrowd zajmująca się testami penetracyjnymi korzystająca z crowdsourcingu, który ma na celu dogłębne spojrzenie na sposób myślenia i działania hakerów oraz dlaczego robią to, co robią. Nic dziwnego, że w tym roku w dużym stopniu opiera się na sztucznej inteligencji.
Jeśli chodzi o egzystencjalne pytania dotyczące tego, czy sztuczna inteligencja może przewyższyć przeciętnego hakera lub uczynić go nieistotnym, 21% respondentów stwierdziło, że sztuczna inteligencja już ich przewyższa, a jedna trzecia stwierdziła, że będzie w stanie to zrobić za około pięć lat .
Zdecydowana większość, 78%, stwierdziła, że sztuczna inteligencja zakłóci sposób, w jaki pracują nad testami penetracyjnymi lub programami nagród za błędy w okresie od teraz do 2028 r., przy czym 40% twierdzi, że już zmieniło sposób, w jaki ludzie hakują, a 91% hakerów twierdzi, że generatywna sztuczna inteligencja albo już lub w przyszłości zwiększy wartość ich pracy.
Osiągnięcie lepszych wyników niż człowiek wykonujący powtarzalną, czasem monotonną pracę, taką jak analiza danych, to jedno, ale hakerstwo jako zawód zachęca także do kreatywności myśli i to właśnie tutaj społeczność wydaje się uważać, że ludzie będą nadal mieć przewagę, z 72% mówiąc, że nie sądzili, że sztuczna inteligencja kiedykolwiek będzie w stanie odtworzyć te cechy.
„Zrobiłem sporo z AI i choć jest imponująca, nie sądzę, aby zastąpiła ludzi przez dłuższy czas, jeśli w ogóle”, powiedział jeden z respondentów, 20-letni weteran bezpieczeństwa cybernetycznego, który hakuje na platformie Bugcrowd za pomocą uchwytu Nerdwell.
„AI jest bardzo dobra w tym, co robi – rozpoznawaniu wzorców i stosowaniu dobrze znanych rozwiązań dobrze znanych problemów” – powiedział. „Ludzie są biologicznie stworzeni do poszukiwania nowości i ciekawości. Nasze mózgi są dosłownie podłączone do kreatywności i znajdowania nowatorskich rozwiązań nowych problemów”.
Błędy i problemy
Inny haker Bugcrowd, znany jako Orwa Godfather, dodał: „AI jest świetna, ale mnie nie zastąpi. Istnieje kilka błędów i problemów, tak jak każda inna technologia.
„Może to jednak mieć wpływ na moje miejsce w hakerstwie. Na przykład automatyzacja ma ogromny potencjał, by pomóc hakerom” – powiedział OrwaOjciec chrzestny, który zaczął hakować w 2020 roku, a kiedy jest z dala od klawiatury, pracuje jako zawodowy szef kuchni.
„Może to ułatwić pracę i zaoszczędzić czas” – powiedział. „Jeśli znajdę błąd podczas testu piórem i nie chcę spędzać 30 minut na pisaniu raportu, mogę zacząć od wykorzystania sztucznej inteligencji do napisania dla mnie opisów. Sztuczna inteligencja przyspiesza hakowanie”.
Jak hakerzy wykorzystują sztuczną inteligencję?
Bez względu na to, jakie są ich przeczucia, hakerzy Bugcrowd wdrapują się na pokład pociągu AI, przy czym 85% twierdzi, że bawiło się generatywną technologią AI, a 64% już w jakiś sposób włącza ją do swoich przepływów pracy związanych z bezpieczeństwem – kolejne 30% twierdzi, że planuje robić to w przyszłości.
Hakerzy, którzy przyjęli lub planują przyjąć generatywną sztuczną inteligencję, są najbardziej skłonni do jej użycia Otwórz ChatGPT AI (klient Bugcrowd) – cytowany przez 98% respondentów – z Google Bard i Microsoft Bing Chat AI na poziomie 40%.
Te, które zdecydowały się na ten krok, wykorzystują generatywną technologię sztucznej inteligencji na wiele różnych sposobów, przy czym najczęściej używanymi funkcjami są streszczanie lub generowanie tekstu, generowanie kodu, ulepszanie wyszukiwania, chatboty, generowanie obrazów, projektowanie, gromadzenie lub streszczanie danych oraz maszyny uczenie się.
W szczególności w ramach przepływów pracy związanych z badaniami bezpieczeństwa hakerzy stwierdzili, że generatywna sztuczna inteligencja jest najbardziej przydatna do automatyzacji zadań, analizowania danych oraz identyfikowania i sprawdzania luk w zabezpieczeniach. Rzadziej stosowane aplikacje obejmowały prowadzenie rekonesansu, kategoryzowanie zagrożeń, wykrywanie anomalii, ustalanie priorytetów ryzyka i budowanie modeli szkoleniowych.
Wielu hakerów, którzy nie są rodzimymi użytkownikami języka angielskiego lub nie mówią płynnie po angielsku, korzysta również z usług takich jak ChatGPT do tłumaczenia lub pisania raportów i zgłaszania błędów oraz napędzania większej współpracy ponad granicami krajowymi.
Co to jest haker?
W ciągu ostatniej dekady roczny raport Bugcrowd służył również drugorzędnemu celowi, jakim był pomoc w humanizowaniu społeczności hakerskiej i obalaniu negatywnych i nieprzydatnych stereotypów na temat tego, kim naprawdę jest haker.
Jest to szczególnie ważne, biorąc pod uwagę fakt, że pomimo wielu lat sprzeciwu i prób edukacji, wiele osób, które powinny wiedzieć lepiej, chętnie i celowo myli termin haker z terminem cyberprzestępca.
„Podjęliśmy odpowiedzialność za pomoc rynkowi w zrozumieniu, kim właściwie jest haker” – powiedział Casey Ellis, założyciel Bugcrowd, dyrektor ds. ostatnich targach cybernetycznych Infosecurity Europe.
„Myślę, że kiedy zaczynaliśmy, wszyscy zakładali, że to coś złego” – powiedział. „Po około 10 latach jesteśmy teraz w punkcie, w którym ludzie rozumieją, że hakowanie to tak naprawdę zestaw umiejętności. Jak większość zestawów umiejętności, ma podwójne zastosowanie. To jak otwieranie zamków. Jeśli masz tę umiejętność, możesz zostać ślusarzem lub włamywaczem. Nie ma nic złego w otwieraniu zamków – tak właśnie go używasz. Hakowanie jest takie samo.”
Czy z dziećmi wszystko w porządku?
2023 ITMOAH Raport pokazuje, jak pewne fundamentalne zmiany w kulturze hakerskiej i demografii mogą wstrząsnąć krajobrazem bezpieczeństwa cybernetycznego w nadchodzących latach.
Po raz pierwszy, jak wynika z raportu, większość aktywnych hakerów, od 55% do 60%, to obecnie członkowie kohorty pokolenia Z, obecnie nastolatkowie i dwudziestolatkowie, podczas gdy od 33% do 36% to milenialsi w wieku późnych latach 20. do wczesnych lat 40.
I pomimo kulturowe korzenie hakerstwa w latach 80tylko 2% to członkowie pokolenia X, osoby urodzone między połową lat 60. a około 1980 r., z których najmłodsi mają obecnie około 45 lat.
Czy zatem stereotypy o nastoletnich hakerach faktycznie się sprawdzają, a co bardziej trafne, czy z dziećmi wszystko w porządku? „Widzimy dość szybkie przyspieszenie uczestnictwa osób poniżej 18 roku życia” — powiedział Ellis. „To wciąż bardzo mała populacja, tylko 6%, ale wzrosła z 3% rok do roku, co jest dużą zmianą”.
Powiedział, że ten trend będzie coraz bardziej istotny, ponieważ dzisiejsi nastolatkowie myślą o technologii w zasadniczo inny sposób niż ci, którzy urodzili się nawet kilka lat wcześniej.
„Mam 15-letnią córkę i sposób, w jaki wchodzi w interakcje z technologią, jest zupełnie inny niż ja” — powiedział Ellis. „Jej wprowadzenie do technologii dotyczyło interfejsu – moje dotyczyło hydrauliki. Po prostu myślimy o Internecie w zupełnie inny sposób.
„Teraz wiem rzeczy, których ona nigdy się nie dowie, ponieważ dorastałem z nakrętkami i śrubami, ale ona pomyśli o interfejsie w sposób, w jaki ja prawdopodobnie nigdy nie będę, ponieważ jestem tak pochłonięty śrubkami i nakrętkami.
„Mówisz o millenialsach jako o cyfrowych tubylcach, ale pokolenie Z i młodsi to tak naprawdę cyfrowi tubylcy” – powiedział. „Są w stanie wędrować po tym środowisku w intuicyjny sposób, którego tak naprawdę nie możemy zrozumieć. Mogę spróbować wczuć się w to i mogę przejść większość drogi, ale zdaję sobie sprawę z faktu, że nigdy w pełni nie zrozumiem, ponieważ to nie jest moje doświadczenie”.
Ta generacja okazuje się również biegła w kwestionowaniu obyczajów i założeń starszych, które często były wbudowane w technologię, a Ellis powiedział, że daje im to przewagę w ustalaniu, co będzie dalej i gdzie mogą leżeć przyszłe luki.
Inną częścią tego trendu jest to, że dzisiejsi nastolatkowie są bardziej zmotywowani politycznie i społecznie oraz bardziej zróżnicowani, w przeciwieństwie do osób starszych. Czynnik ten już teraz zmienia krajobraz cybernetyczny i z pewnością będzie się zmieniał.
Weźmy na przykład Lapsus$, prowadzony przez nastolatków kolektyw cyberprzestępców zaatakował systemy usługi współdzielenia przejazdów Uber w 2022 roku bez żadnego szczególnego powodu poza nimi nie dbał o etykę Ubera.
„Jedną z wielkich rzeczy, które powtarzam od czasu Lapssus$, jest to, że jako obrońcy nie jesteśmy gotowi na chaotyczny akt” – powiedział Ellis. „Myśleliśmy o cyberprzestępcach, państwach narodowych i cyberprzestępcach jako osobach o symetrycznej motywacji.
„Państwo narodowe chce rozwijać naród, cyberprzestępcy chcą pieniędzy. Są przewidywalne. I jest symetria w tym, co robią. Ludzie, którzy przychodzą z większym nastawieniem na aktywizm, tak naprawdę nie wiesz, czego chcą. A w przypadku Lapsus$ jest tak, że… po prostu chcemy zrobić bałagan, bo ci faceci są do bani. Jak się przed tym bronisz? Nie myśleliśmy w ten sposób od czasu Lulzsecco było prawdopodobnie ostatnim przykładem grupy, która to zrobiła”.
Oczywiście nastolatki na platformie Bugcrowd nie atakują organizacji w takim samym sensie, jak zrobił to Lapssus$, ale w tej historii jest lekcja dla społeczności hakerskiej i obrońców oraz wyraźnie potencjał do ukierunkowania działań, które w przeciwnym razie mogłyby zostać wykorzystane złośliwych działań w legalną pracę w zakresie bezpieczeństwa jest ogromna.
Pełny raport, który może być pobrane do przeczytania w całości z Bugcrowdzawiera wiele dodatkowych informacji na temat danych demograficznych hakerów – różnica między płciami rośnie, prawdopodobnie ze względu na dodatkową presję, jaką pandemia Covid-19 wywiera na wiele kobiet – motywacje do hakowania, co zdaniem hakerów zwykłe zespoły ds. bezpieczeństwa powinny robić lepiej i nie tylko Oprócz.
