Zero-day, czyli odkryta przez kogoś luka w oprogramowaniu, wymagająca w rezultacie aktualizacji aplikacji czy systemu, było kiedyś czymś naprawdę wielkim i niespotykanym. Jeszcze niecałą dekadę temu czas, który upływał od odkrycia podatności do jej rzeczywistego wykorzystania, można było mierzyć (średnio) w miesiącach, a nawet latach. A teraz? Coraz częściej czas ten ma wartość ujemną, choć biorąc pod uwagę medianę, a nie średnią. Tak, dobrze czytasz – ujemną.
Kiedyś to było…
Dawno, dawno temu, świat był nieco prostszy. Gdy ktoś o złośliwych zamiarach odnajdował jakąś ciekawą lukę w oprogramowaniu, to próbował sam ją w jakiś sposób wykorzystać. Na przykład tworząc jakiegoś śmiesznego (bądź nie) wirusa. Albo, nieco później, gdy pojawił się na to rynek – sprzedawał ją brokerom czy firmom produkującym różne Pegasusy tego świata. Ba! Była to nawet swego rodzaju miara prestiżu. Im więcej odkrytych zero-day’ów badacz miał na koncie, tym grubszym był kotletem. Ale teraz? Krajobraz znacznie się zmienił, co potwierdza serwis zerodayclock.
Chatboty AI pomagają planować ataki? Nowe badanie ujawnia niebezpieczne luki
Ogólnie patrząc na ten proces, kiedyś trochę to wszystko trwało. Nieco kodu trzeba było napisać, przygotować jakiś dowód, że to może działać, czyli tak zwany Proof of Concept. Potem przetestować, poszukać klienta i na koniec ten integrował to w jakieś swoje produkty. Ogólnie działało to, jak wielka machina o całkiem sporej inercji, gdzie sprawy toczyły się swoim rytmem.
Tylko to już jest historia. Dziś badacze czy inni cyberbezpiecznicy o jakiejś dziurze coraz częściej dowiadują się po raz pierwszy, widząc jakieś realne ataki w swoich systemach. Nie z oficjalnej publikacji, więc wszyscy budzą się co chwila z ręką w nocniku. Co jeszcze parę lat temu wcale nie było regułą, bo znów – w poprzedniej dekadzie takie sytuacje to było jakieś 10-15 proc. podatności. Aktualnie już prawie 70 proc.
Ekspresowe tempo
Liczba zgłaszanych podatności rośnie w zatrważającym tempie. Jeszcze szybciej niż liczba tych wykorzystywanych. Widać to nawet po formacie samego numeru CVE. Jest to taki sposób na międzynarodowe przyznawanie oznaczeń dla podatności. Coś takiego jak VIN w samochodach – w świecie bezpieczeństwa taki numerek określa luki. No i z końcem zeszłego tysiąclecia identyfikator składał się z czterech cyfr. Obecnie? Z siedmiu.
Co to oznacza? Ano tyle, że osoby łatające luki zasypywane są coraz większą ilością pracy. Aktualnie rocznie pojawia się ich około 500, czyli ponad jedna dziennie. Rocznie zaś zero-day’e to jakieś trzysta sztuk. I perspektywy na nadchodzące lata nie napawają optymizmem. Średni czas wykorzystania luki ma spaść do zaledwie godziny już w tym roku, a za dwa lata nawet do minuty. Zmieni to realia na froncie walki dobra ze złem w sposób, którego pewnie nawet nie możemy sobie wyobrazić.
Jak znaleźliśmy się w tym miejscu? Okazuje się, że jest to efekt ćwierćwiecza zaniedbań, w czasie którego badacze sygnalizowali problem, ale nikt ich nie słuchał. I nie, nie są to moje prywatne obserwacje. Sytuację dokładnie przeanalizował wspomniany przeze mnie zerodayclock.
Ciemna strona rozwoju technologii
W 2001 r. Ross Anderson, profesor z Cambridge zauważył, że w branży cyberbezpieczeństwa konsekwencje za ewentualne błędy ponosi nie ten, kto powinien, czyli użytkownik oprogramowania, a nie jego twórca. Dostrzegł też znaczną asymetrię: atakującemu wystarczy znalezienie jednej luki, podczas gdy twórcy oprogramowania strzec muszą całego swojego „zamku”.
W dobie AI, złym ludziom jest też łatwiej. Żadnego problemu nie stanowi dla nich zautomatyzowanie porównania oprogramowania po instalacji odpowiedniej łatki z wersją sprzed aktualizacji, celem znalezienia dokładnego miejsca, w którym istniała jakaś luka. Później próbują ją szybko wykorzystać, zanim jeszcze użytkownicy się poaktualizują. Tak, istnieją całe grupy, które zajmują się tylko celowaniem swoich ataków w systemy, które wciąż nie zostały zaktualizowane.
Myślisz, że jest źle? No to zmartwię Cię, bo jest nieco gorzej. A to dlatego, że z biznesowego punktu widzenia nie opłaca się obecnie tworzyć bezpiecznego oprogramowania. Jest to po prostu za drogie. W czasie poświęconym na dogłębne testy można wprowadzać nowe funkcje, których przecież oczekują klienci i to właśnie na to zwraca się uwagę na pierwszy rzut oka.
Oliwy do ognia dolały też maszyny, a dokładnie maszynowe poszukiwanie podatności oraz maszynowa obrona przed nimi. Już dziesięć lat temu amerykańska DARPA prowadziła takie eksperymenty, zakończone starciem automatycznego systemu z prawdziwymi hakerami podczas jednego z DEF CON. Byłem, widziałem na żywo i robiło to niesamowite wrażenie.
Piąty bieg wrzucony
Kiedyś zero-day’e były ewenementem, dziś są codziennością. Czas z miesięcy czy nawet lat od ujawnienia luki do jej ofensywnego wykorzystania skrócił się zaledwie do kilku godzin. Znacząco dłużej zajmuje dziś przygotowanie łatki. O jej wdrożeniu przez wszystkich podatnych przez grzeczność nawet nie wspomnę. I wiesz, co, latami dopracowywany proces zgłaszania podatności dostawcom oprogramowania w sumie… trochę przestał mieć znaczenie.
Sztuczna inteligencja kolejny raz przyspieszyła nieuniknione. Pierwszym potwierdzonym zero-day’em odnalezionym przez AI była krytyczna luka w SQLite, jakieś dwa lata temu, za czym stali badacze z Google DeepMind i Projektu Zero.
Koszt odkrytego w ten sposób zero-day’a spada z czasem z poziomu jakichś chorych milionów dolarów do ceny niższej niż miesięczny abonament na Twoje ulubione AI. Niby dobrze, ale to całkowicie zmienia zasady gry, znanej nam od lat. Już nie trzeba być grupą APT, cyberprzestępcą największego z kalibrów czy twórcą oprogramowania szpiegowskiego w rodzaju Pegasusa. Nie. Dziś w sumie każdy z zacisza swojej piwnicy – przy odpowiednim uporze – jest w stanie to ogarnąć.
Schemat jest prosty i wynika w dużej mierze z mechanizmów nauczania wykorzystywanych przez sztuczną inteligencję. Mamy jasno zdefiniowany cel – znajdź lukę. Następuje test – udało się? Nie? To sprawdzaj dalej, inaczej, i próbuj tak długo, aż się uda. Coś się znalazło? Super. To przygotuj teraz dziesięć różnych wersji ataku, aby nawet gdyby ten konkretny został wykryty, trzeba mieć inne wersje, które dalej będą działać. Testuj do osiągnięcia sukcesu. Bez końca, w pętli, bez zmęczenia, znacznie taniej i na poziomie najlepszych poszukiwaczy luk bezpieczeństwa na świecie.
Lecz się tym, czym się strułeś?
Powiesz: „Ok, ale ludzie po drugiej stronie też mogą używać sztucznej inteligencji”. Tak, ale… generują tym kolejne problemy. Owszem, AI pozwala na znajdowanie podatności w niespotykanym dotychczas tempie. Setki razy szybciej. Ale ktoś przecież te luki musi łatać. To zaś trwa.
Warto też wykonać w tym procesie łatania jakieś mądre testy, żeby nie zepsuć więcej, niż się naprawiło. Tym samym po stronie twórców oprogramowania – w szczególności takiego otwartoźródłowego – w szalonym tempie rosną zaległości. W tak szalonym, że w sumie patrząc na skalę, to stoją oni w miejscu. Bo weryfikacja kosztuje. To znaczy, jest mnóstwo nowych próśb o zmiany, poprawki, nowe funkcjonalności. Część projektów po prostu nie ma tyle sił i środków, by to wszystko sprawdzać i zatwierdzać. Bo ktoś złośliwy może spróbować do takiego projektu dodać coś złośliwego „przypadkiem”, korzystając z nieuwagi tych, którzy pobieżnie tylko sprawdzają propozycje zmian.
Już wiesz, więc na co jeszcze czekasz?!
Opowiadam Ci o tym wszystkim dlatego, że jeszcze bardziej istotne stało się szybkie robienie aktualizacji oprogramowania. Nie jutro, za tydzień, przy kolejnej aktualizacji. Teraz. Nie robiąc tego, stajesz się jeszcze łatwiejszym celem, niż dotychczas byłeś.
Atakujący widząc, że pojawiła się jakaś łatka, jest w stanie sprawdzić, czego ona dotyczy i przygotować atak wykorzystujący lukę, którą rzeczona łatka naprawia. Następnie wykorzystać przygotowanego maszynowo exploita do zaatakowania ofiary, która przespała aktualizację. To wszystko dzieje się na przestrzeni dni, a nawet godzin. Jeśli aktualizujesz swoje systemy co dwa tygodnie albo miesiąc to trochę tak, jakbyś tego nie robił wcale. I jesteś świetną potencjalną ofiarą ataku.
Jedyny choć trochę optymistyczny aspekt tej sytuacji jest taki, że coraz taniej jest firmom tworzącym oprogramowanie odnajdywać poważne zero-day’e. Koszt takich poszukiwań znacznie spadł, więc każdy, kto powinien dbać o bezpieczeństwo swoich produktów, trochę nie ma już wymówki, że to za drogie.
Autor jest założycielem platformy edukacyjnej uczmnie.pl oraz aidevs.pl.