De beste beveiligingsteams van Google hebben eenzijdig een terrorismebestrijdingsoperatie stopgezet

Google-kantoor

Unsplash





  • De beveiligingsteams van Google hebben een hackoperatie van negen maanden openbaar gemaakt
  • Wat niet werd bekendgemaakt: de actie stopte een actieve antiterroristische operatie die werd uitgevoerd door een westerse regering
  • De beslissing heeft alarm geslagen binnen Google en elders

Google voert enkele van de meest gerespecteerde cyberbeveiligingsoperaties ter wereld uit: zijn Project nul team vindt bijvoorbeeld krachtige onontdekte beveiligingsproblemen, terwijl zijn Dreigingsanalysegroep gaat direct hacking tegen die wordt gesteund door regeringen, waaronder Noord-Korea, China en Rusland. En die twee teams hebben onlangs een onverwacht grote vis gevangen: een deskundige hackgroep die 11 krachtige kwetsbaarheden misbruikt om apparaten met iOS, Android en Windows te compromitteren.

Maar MIT Technology Review heeft vernomen dat de hackers in kwestie eigenlijk westerse regeringsfunctionarissen waren die actief een terrorismebestrijdingsoperatie uitvoerden. Het besluit van het bedrijf om de aanval te stoppen en bekend te maken, veroorzaakte interne verdeeldheid bij Google en riep vragen op bij de inlichtingendiensten van de Verenigde Staten en hun bondgenoten.

Google zegt dat het voor hackers te gemakkelijk is om nieuwe beveiligingsfouten te vinden Aanvallers maken keer op keer misbruik van dezelfde soorten softwarekwetsbaarheden, omdat bedrijven vaak door de bomen het bos niet meer zien.

Een paar recente Google Blog berichten detail- het verzamelen van zero-day-kwetsbaarheden die het gedurende negen maanden ontdekte door hackers. De exploits, die teruggingen tot begin 2020 en nooit eerder vertoonde technieken gebruikten, waren watergataanvallen waarbij geïnfecteerde websites werden gebruikt om malware aan bezoekers te bezorgen. Ze trokken de aandacht van cybersecurity-experts dankzij hun schaal, verfijning en snelheid.



De aankondiging van Google liet echter opvallend belangrijke details achterwege, waaronder wie verantwoordelijk was voor de hacking en wie het doelwit was, evenals belangrijke technische informatie over de malware of de domeinen die bij de operatie werden gebruikt. Ten minste een deel van die informatie zou doorgaans op de een of andere manier openbaar worden gemaakt, waardoor één beveiligingsexpert bekritiseren het rapport als een donker gat.

Verschillende ethische vragen

Beveiligingsbedrijven sluiten regelmatig exploits af die worden gebruikt door bevriende regeringen, maar dergelijke acties worden zelden openbaar gemaakt. Als reactie op dit incident hebben sommige Google-medewerkers betoogd dat terrorismebestrijdingsmissies niet openbaar mogen worden gemaakt; anderen zijn van mening dat het bedrijf volledig in zijn recht stond en dat de aankondiging dient om gebruikers te beschermen en het internet veiliger te maken.

Project Zero is toegewijd aan het vinden en patchen van 0-day-kwetsbaarheden en het plaatsen van technisch onderzoek dat is ontworpen om het begrip van nieuwe beveiligingskwetsbaarheden en exploitatietechnieken in de onderzoeksgemeenschap te vergroten, zei een Google-woordvoerder in een verklaring. Wij zijn van mening dat het delen van dit onderzoek leidt tot betere verdedigingsstrategieën en de veiligheid voor iedereen vergroot. We voeren geen attributie uit als onderdeel van dit onderzoek.



Het is waar dat Project Zero hacking formeel niet toeschrijft aan specifieke groepen. Maar de Threat Analysis Group, die ook aan het project heeft meegewerkt, doet wel aan attributie. Google liet veel meer details weg dan alleen de naam van de overheid achter de hacks, en door die informatie wisten de teams intern wie de hacker en doelwitten waren. Het is niet duidelijk of Google vooraf aan overheidsfunctionarissen heeft laten weten dat ze de aanvalsmethode zouden publiceren en stoppen.

Maar westerse operaties zijn herkenbaar, volgens een voormalige hoge functionaris van de Amerikaanse inlichtingendienst.

Er zijn bepaalde kenmerken in westerse operaties die niet aanwezig zijn in andere entiteiten … je kunt het zien vertalen naar de code, zei de voormalige functionaris, die niet bevoegd is om commentaar te geven op operaties en sprak op voorwaarde van anonimiteit. En hier komt volgens mij een van de belangrijkste ethische dimensies om de hoek kijken. Hoe men binnen een wettig gekozen representatieve regering omgaat met inlichtingenactiviteiten of wetshandhavingsactiviteiten die onder democratisch toezicht worden gedreven, is heel anders dan die van een autoritair regime.



Er zijn bepaalde kenmerken in westerse operaties die niet aanwezig zijn in andere entiteiten ... je kunt het zien vertalen naar de code.

Het toezicht is ingebakken in westerse operaties op technisch, handels- en procedureniveau, voegde ze eraan toe.

Google ontdekte dat de hackgroep in slechts negen maanden 11 zero-day-kwetsbaarheden exploiteerde, een groot aantal exploits in een korte periode. Software die werd aangevallen, omvatte de Safari-browser op iPhones, maar ook veel Google-producten, waaronder de Chrome-browser op Android-telefoons en Windows-computers.



Maar de conclusie binnen Google was dat wie er hackte en waarom nooit zo belangrijk is als de beveiligingsfouten zelf. Eerder dit jaar betoogde Maddie Stone van Project Zero dat: het is te gemakkelijk voor hackers om krachtige zero-day-kwetsbaarheden te vinden en te gebruiken en dat: haar team staat voor een zware strijd het gebruik ervan detecteren.

In plaats van zich te concentreren op wie achter en het doelwit was van een specifieke operatie, besloot Google bredere actie te ondernemen voor iedereen. De rechtvaardiging was dat zelfs als een westerse regering die kwetsbaarheden vandaag uitbuit, deze uiteindelijk door anderen zal worden gebruikt, en dus is het altijd de juiste keuze om de fout vandaag te herstellen.

Het is niet hun taak om erachter te komen

Dit is verre van de eerste keer dat een westers cyberbeveiligingsteam hackers uit geallieerde landen heeft betrapt. Sommige bedrijven hebben echter een stil beleid om dergelijke hackoperaties niet publiekelijk bekend te maken als zowel het beveiligingsteam als de hackers als vriendelijk worden beschouwd, bijvoorbeeld als ze lid zijn van de Five Eyes intelligence-alliantie, die bestaat uit de Verenigde Staten , het Verenigd Koninkrijk, Canada, Australië en Nieuw-Zeeland. Verschillende leden van de beveiligingsteams van Google zijn veteranen van westerse inlichtingendiensten en sommigen hebben hackcampagnes uitgevoerd voor deze regeringen.

In sommige gevallen , zullen beveiligingsbedrijven zogenaamde vriendelijke malware opschonen, maar vermijden om ermee naar buiten te treden.

Ze schrijven doorgaans geen Amerikaanse operaties toe, zegt Sasha Romanosky, een voormalige Pentagon-functionaris die onlangs publiceerde Onderzoek in cyberbeveiligingsonderzoeken van de particuliere sector. Ze vertelden ons dat ze specifiek afstand nemen. Het is niet hun taak om erachter te komen; ze gaan beleefd opzij. Dat is niet onverwacht.

Hoewel de Google-situatie in sommige opzichten ongebruikelijk is, zijn er in het verleden enigszins vergelijkbare gevallen geweest. Het Russische cyberbeveiligingsbedrijf Kaspersky kwam onder vuur in 2018 toen het een door Amerika geleide cyberoperatie voor terrorismebestrijding tegen ISIS en Al Qaeda-leden in het Midden-Oosten aan het licht bracht. Kaspersky schreef, net als Google, de dreiging niet expliciet toe, maar stelde het toch bloot en maakte het onbruikbaar, zeiden Amerikaanse functionarissen, waardoor de agenten de toegang tot een waardevol bewakingsprogramma verloren en zelfs het leven van soldaten op de grond in gevaar brachten.

Kaspersky stond destijds al onder zware kritiek vanwege zijn relatie met de Russische regering, en het bedrijf werd uiteindelijk... verboden van Amerikaanse overheidssystemen. Het heeft altijd ontkend een speciale relatie met het Kremlin te hebben.

Google heeft zich ook al eerder in vergelijkbaar water bevonden. In 2019 bracht het bedrijf uit: Onderzoek over wat mogelijk een Amerikaanse hackgroep was, hoewel er nooit een specifieke toeschrijving is gedaan. Maar dat onderzoek ging over een historische operatie. De recente aankondigingen van Google zetten echter de schijnwerpers op wat een live cyberspionageoperatie was geweest.

Wie wordt er beschermd?

De alarmen die zowel binnen de overheid als bij Google zijn geuit, laten zien dat het bedrijf zich in een moeilijke positie bevindt.

De beveiligingsteams van Google hebben een verantwoordelijkheid jegens de klanten van het bedrijf en algemeen wordt verwacht dat ze hun uiterste best zullen doen om de producten, en dus de gebruikers, te beschermen die worden aangevallen. Bij dit incident is het opmerkelijk dat de gebruikte technieken niet alleen betrekking hadden op Google-producten zoals Chrome en Android, maar ook op iPhones.

Terwijl verschillende teams hun eigen lijnen trekken, heeft Project Zero naam gemaakt door kritieke kwetsbaarheden op internet aan te pakken, niet alleen die in de producten van Google.

De NSA heeft een gevaarlijke fout in Windows gevonden en heeft Microsoft opgedragen deze te repareren De geheime veiligheidsdienst heeft de kwetsbaarheid geïdentificeerd en krijgt de eer van het publiek als onderdeel van een poging om vertrouwen op te bouwen.

Elke stap die we zetten om 0-day hard te maken, maakt ons allemaal veiliger, tweette Maddie Stone , een van de meest gerespecteerde leden van het beveiligingsteam, toen het laatste onderzoek werd gepubliceerd.

Maar hoewel het belangrijk is om klanten tegen aanvallen te beschermen, beweren sommigen dat terrorismebestrijdingsoperaties anders zijn, met mogelijk gevolgen op leven en dood die verder gaan dan de dagelijkse internetbeveiliging.

Wanneer door de staat gesteunde hackers in westerse landen cyberbeveiligingsfouten ontdekken, zijn er gevestigde methoden om de potentiële kosten en baten te berekenen van het bekendmaken van de beveiligingslacune aan het getroffen bedrijf. In de Verenigde Staten wordt dit het kwetsbaarheden-aandelenproces genoemd. Critici maken zich zorgen dat de Amerikaanse inlichtingendiensten grote aantallen exploits oppotten, maar het Amerikaanse systeem is formeler, transparanter en uitgebreider dan wat in bijna elk ander land op aarde wordt gedaan, inclusief westerse bondgenoten. Het proces is bedoeld om overheidsfunctionarissen in staat te stellen de voordelen van het geheimhouden van fouten om ze voor inlichtingendoeleinden te gebruiken, af te wegen tegen de bredere voordelen van het vertellen van een technologiebedrijf over een zwak punt om het te laten repareren.

Het niveau van toezicht, zelfs in westerse democratieën, op wat hun nationale veiligheidsdiensten feitelijk doen, is in veel gevallen een stuk minder dan in de Verenigde Staten.

Vorig jaar deed de NSA de ongebruikelijke stap om de eer op te eisen het onthullen van een oude fout in Microsoft Windows . Zo'n melding van de overheid aan de industrie wordt normaal gesproken anoniem en vaak geheim gehouden.

Maar hoewel het onthullingsproces van het Amerikaanse inlichtingensysteem ondoorzichtig kan zijn, zijn vergelijkbare processen in andere westerse landen vaak kleiner, geheimzinniger of gewoon informeel en daarom gemakkelijk te omzeilen.

Het niveau van toezicht, zelfs in westerse democratieën over wat hun nationale veiligheidsdiensten feitelijk doen, is in veel gevallen een stuk minder dan in de Verenigde Staten, zegt Michael Daniel, die cyberbeveiligingscoördinator van het Witte Huis was voor de regering-Obama.

De mate van parlementair toezicht is veel minder. Deze landen hebben niet de robuuste processen tussen instanties die de VS heeft. Normaal gesproken ben ik niet iemand die opschept over de VS - we hebben veel problemen - maar dit is een gebied waar we robuuste processen hebben die andere westerse democratieën gewoon niet hebben.

Het feit dat de hackgroep die door het Google-onderzoek werd getroffen, zo snel zoveel zero-day-kwetsbaarheden bezat en gebruikte, zou kunnen wijzen op een problematische onbalans. Maar sommige waarnemers maken zich zorgen over het feit dat cyberoperaties voor terrorismebestrijding live worden stopgezet op mogelijk beslissende momenten zonder de mogelijkheid om snel weer op te starten.

Amerikaanse bondgenoten hebben niet allemaal het vermogen om hele operaties zo snel te herstellen als sommige andere spelers, zei de voormalige hoge functionaris van de Amerikaanse inlichtingendienst. Zorgen over het plotseling verliezen van de toegang tot een exploitmogelijkheid of het opgemerkt worden door een doelwit zijn bijzonder hoog voor terrorismebestrijdingsmissies, vooral tijdens perioden van ongelooflijke blootstelling wanneer veel uitbuiting plaatsvindt, legde de functionaris uit. Het vermogen van Google om een ​​dergelijke operatie af te sluiten, zal waarschijnlijk de bron van meer conflicten zijn.

Dit is nog steeds iets dat niet goed is aangepakt, zei de functionaris. Het idee dat iemand als Google zo snel zoveel mogelijkheden kan vernietigen, dringt langzaam tot mensen door.

zich verstoppen