211service.com
Google zegt dat het voor hackers te gemakkelijk is om nieuwe beveiligingsfouten te vinden
Lewis Ngugi op Unsplash
In december 2018 ontdekten onderzoekers van Google een groep hackers die hun zinnen hadden gezet op Internet Explorer van Microsoft. Hoewel nieuwe ontwikkeling twee jaar eerder werd stopgezet, is het zo'n veelgebruikte browser dat als je een manier kunt vinden om het te hacken, je een potentiële open deur hebt naar miljarden computers.
De hackers waren op zoek naar en vonden voorheen onbekende fouten, ook wel zero-day-kwetsbaarheden genoemd.
Kort nadat ze werden gespot, zagen de onderzoekers één exploit in het wild worden gebruikt. Microsoft heeft een patch uitgegeven en de fout opgelost, een soort van. In september 2019 werd een andere soortgelijke kwetsbaarheid gevonden die werd uitgebuit door dezelfde hackgroep.
Meer ontdekkingen in november 2019, januari 2020 en april 2020 zorgden ervoor dat er in korte tijd ten minste vijf zero-day-kwetsbaarheden werden uitgebuit uit dezelfde bugklasse. Microsoft bracht meerdere beveiligingsupdates uit: sommige slaagden er niet in om de kwetsbaarheid waarop het gericht was te repareren, terwijl andere slechts kleine wijzigingen nodig hadden die slechts een paar regels nodig hadden om de code van de hacker te veranderen om de exploit weer te laten werken.
'Als je eenmaal een van die bugs begrijpt, kun je gewoon een paar regels veranderen en zero-days blijven werken.'
Volgens nieuw onderzoek van Maddie Stone, een beveiligingsonderzoeker bij Google, staat deze saga symbool voor een veel groter probleem op het gebied van cyberbeveiliging: dat het veel te gemakkelijk is voor hackers om verraderlijke zero-days te blijven exploiteren omdat bedrijven niet goed werk leveren van permanent het dichten van fouten en mazen.
Het onderzoek van Stone, die deel uitmaakt van een Google-beveiligingsteam dat bekend staat als Project Zero, belicht meerdere voorbeelden hiervan in actie, waaronder problemen die Google zelf heeft gehad met zijn populaire Chrome-browser.
Wat we zagen snijden in de industrie: onvolledige patches maken het voor aanvallers gemakkelijker om gebruikers met zero-days te misbruiken, zei Stone dinsdag op de beveiligingsconferentie Enigma. We eisen niet dat aanvallers met alle nieuwe bugklassen komen, gloednieuwe exploitatie ontwikkelen, kijken naar code die nog nooit eerder is onderzocht. We staan het hergebruik toe van veel verschillende kwetsbaarheden waarvan we eerder wisten.
Laaghangend fruit
Project Zero opereert binnen Google als een uniek en soms controversieel team dat zich volledig toelegt op het jagen op de raadselachtige zero-day-fouten. Deze bugs zijn begeerd door hackers van alle soorten en maten, en meer gewaardeerd dan ooit tevoren - niet per se omdat ze moeilijker te ontwikkelen zijn, maar omdat ze in onze hyperverbonden wereld krachtiger zijn.
Gedurende zijn zesjarige levensduur heeft het team van Google meer dan 150 grote zero-day-bugs publiekelijk bijgehouden, en in 2020 documenteerde het team van Stone 24 zero-days die werden uitgebuit – waarvan een kwart zeer vergelijkbaar was met eerder onthulde kwetsbaarheden. Drie waren onvolledig gepatcht, wat betekende dat er slechts een paar aanpassingen aan de code van de hacker nodig waren om de aanval verder te laten werken. Veel van dergelijke aanvallen, zegt ze, hebben betrekking op basisfouten en laaghangend fruit.
Voor hackers is het niet moeilijk, zei Stone. Als je eenmaal een van die bugs begrijpt, kun je gewoon een paar regels wijzigen en zero-days blijven werken.
Waarom worden ze niet gerepareerd? De meeste beveiligingsteams die bij softwarebedrijven werken, hebben beperkte tijd en middelen, stelt ze voor. de wortel van veel kwetsbaarheden.
Andere onderzoekers bevestigen dat dit een veelvoorkomend probleem is.
In het ergste geval waren een paar zero-days die ik ontdekte een probleem van de leverancier die iets op de ene regel code repareerde en, letterlijk op de volgende regel code, was exact hetzelfde type kwetsbaarheid nog steeds aanwezig en dat deden ze' Het is niet de moeite om het te repareren, zegt John Simpson, onderzoeker naar kwetsbaarheden bij het cyberbeveiligingsbedrijf Trend Micro. We kunnen allemaal praten tot we blauw in het gezicht zijn, maar als organisaties niet de juiste structuur hebben om meer te doen dan de precieze bug die aan hen is gemeld, op te lossen, krijg je zo'n breed scala aan patchkwaliteit.
Een groot deel van het veranderen hiervan komt neer op tijd en geld: ingenieurs meer ruimte geven om nieuwe beveiligingsproblemen te onderzoeken, de hoofdoorzaak te vinden en de diepere problemen op te lossen die vaak naar voren komen in individuele kwetsbaarheden. Ze kunnen ook variantanalyses voltooien, zei Stone: op zoek naar dezelfde kwetsbaarheid op verschillende plaatsen, of andere kwetsbaarheden in dezelfde codeblokken.
D verschillend fruit allemaal samen
Sommigen proberen al verschillende benaderingen. Apple is er bijvoorbeeld in geslaagd om enkele van de ernstigste beveiligingsrisico's van de iPhone op te lossen door kwetsbaarheden op een dieper niveau uit te roeien.
In 2019 haalde een andere Google Project Zero-onderzoeker, Natalie Silvanovich, de krantenkoppen toen ze... gepresenteerd kritieke zero-click, zero-day bugs in Apple's iMessage. Door deze fouten kon een aanvaller de hele telefoon van een persoon overnemen zonder dat het slachtoffer ooit iets hoefde te doen. Zelfs als u niet op een link klikte, kon uw telefoon nog steeds worden beheerd door hackers. (In december 2020 vond nieuw onderzoek een hackcampagne tegen journalisten misbruik maken van een nieuwe zero-click zero-day-aanval op iMessage.)
Verwant verhaal
Binnen NSO, de miljarden-dollar spyware-gigant van Israël 'S Werelds meest beruchte surveillancebedrijf zegt dat het zijn daad wil opschonen. Ga door, we luisteren.In plaats van de specifieke kwetsbaarheden eng te benaderen, ging het bedrijf in het lef van iMessage om de fundamentele, structurele problemen aan te pakken waar hackers misbruik van maakten. Hoewel Apple nooit iets heeft gezegd over de specifieke aard van deze veranderingen - het heeft zojuist een reeks verbeteringen aangekondigd met zijn iOS 14-software-update - heeft Samuel Groß van Project Zero onlangs nauw ontleed iOS en iMessage en afgeleid wat er was gebeurd.
De app is nu geïsoleerd van de rest van de telefoon met een functie genaamd BlastDoor, geschreven in een taal genaamd Swift, waardoor het moeilijker wordt voor hackers om toegang te krijgen tot het geheugen van iMessage.
Apple heeft ook de architectuur van iOS gewijzigd, zodat het moeilijker is om toegang te krijgen tot de gedeelde cache van de telefoon - een kenmerk van enkele van de meest spraakmakende iPhone-hacks van de afgelopen jaren.
Ten slotte blokkeerde Apple hackers om steeds weer snel achter elkaar brute force-aanvallen uit te voeren. Dankzij nieuwe beperkingsfuncties kunnen exploits die vroeger minuten duurden, nu uren of dagen in beslag nemen, waardoor ze veel minder aantrekkelijk zijn voor hackers.
Het is geweldig om te zien dat Apple de middelen voor dit soort grote refactorings opzij zet om de veiligheid van eindgebruikers te verbeteren, schreef Groß. Deze veranderingen benadrukken ook de waarde van offensief beveiligingswerk: niet alleen enkele bugs werden opgelost, maar in plaats daarvan werden structurele verbeteringen aangebracht op basis van inzichten verkregen uit het ontwikkelingswerk van exploits.
De gevolgen van hacks worden groter naarmate we meer en meer verbonden raken, wat betekent dat het voor technologiebedrijven belangrijker dan ooit is om te investeren in en prioriteit te geven aan grote cyberbeveiligingsproblemen die leiden tot hele families van kwetsbaarheden en exploits.
Een advies aan hun hogere ups is investeren, investeren, investeren, legde Stone uit. Geef uw technici de tijd om de hoofdoorzaak van kwetsbaarheden volledig te onderzoeken en deze te patchen, geef ze de ruimte om variantanalyses uit te voeren, beloon het werk bij het verminderen van technische schulden en focus op systemische oplossingen.