Google säger att det är för lätt för hackare att hitta nya säkerhetsbrister

kod på en datorskärm

Lewis Ngugi på Unsplash





I december 2018 upptäckte forskare på Google en grupp hackare med siktet inställt på Microsofts Internet Explorer. Även om ny utveckling stängdes två år tidigare är det en så vanlig webbläsare att om du kan hitta ett sätt att hacka den har du en potentiell öppen dörr till miljarder datorer.

Hackarna letade efter och hittade tidigare okända brister, kända som nolldagssårbarheter.

Strax efter att de upptäcktes såg forskarna en exploatering användas i det vilda. Microsoft utfärdade en patch och fixade felet, typ. I september 2019 upptäcktes en annan liknande sårbarhet som utnyttjades av samma hackningsgrupp.



Fler upptäckter i november 2019, januari 2020 och april 2020 lade till att minst fem nolldagarssårbarheter utnyttjades från samma buggklass på kort tid. Microsoft utfärdade flera säkerhetsuppdateringar: vissa misslyckades med att faktiskt åtgärda sårbarheten som riktades mot, medan andra bara krävde små ändringar som bara krävde en rad eller två för att ändra i hackarens kod för att få exploateringen att fungera igen.

'När du förstår en enda av dessa buggar kan du bara ändra några rader och fortsätta att arbeta nolldagar.'

Den här sagan är emblematisk för ett mycket större problem inom cybersäkerhet, enligt ny forskning från Maddie Stone, en säkerhetsforskare på Google: att det är alldeles för lätt för hackare att fortsätta utnyttja lömska nolldagar eftersom företag inte gör ett bra jobb permanent stänga av brister och kryphål.



Forskningen av Stone, som är en del av ett säkerhetsteam från Google som kallas Project Zero, lyfter fram flera exempel på detta i praktiken, inklusive problem som Google själv har haft med sin populära Chrome-webbläsare.

Vad vi såg skär tvärs över branschen: ofullständiga patchar gör det lättare för angripare att utnyttja användare med noll dagar, sa Stone på tisdagen vid säkerhetskonferensen Enigma. Vi kräver inte att angripare kommer med alla nya buggklasser, utvecklar helt ny exploatering, tittar på kod som aldrig har undersökts tidigare. Vi tillåter återanvändning av många olika sårbarheter som vi tidigare kände till.

Lågt hängande frukt

Project Zero fungerar inom Google som ett unikt och ibland kontroversiellt team som är dedikerade helt och hållet till att jaga de gåtfulla nolldagsbristerna. Dessa buggar är eftertraktade av hackare av alla slag och mer uppskattade än någonsin tidigare – inte nödvändigtvis för att de blir svårare att utveckla, utan för att de är mer kraftfulla i vår hyperanslutna värld.



Under sin sexåriga livslängd har Googles team offentligt spårat över 150 stora nolldagarsbuggar, och 2020 dokumenterade Stones team 24 nolldagar som utnyttjades – varav en fjärdedel liknade tidigare avslöjade sårbarheter. Tre var ofullständigt patchade, vilket innebar att det bara krävdes några justeringar av hackarens kod för att attacken skulle fortsätta att fungera. Många sådana attacker, säger hon, involverar grundläggande misstag och lågt hängande frukt.

För hackare är det inte svårt, sa Stone. När du väl har förstått en enda av dessa buggar kan du bara ändra några rader och fortsätta att arbeta nolldagar.

Varför fixas de inte? De flesta av säkerhetsteamen som arbetar på mjukvaruföretag har begränsad tid och resurser, föreslår hon – och om deras prioriteringar och incitament är felaktiga kontrollerar de bara att de har åtgärdat den mycket specifika sårbarheten framför dem istället för att ta itu med de större problemen på roten till många sårbarheter.



Andra forskare bekräftar att detta är ett vanligt problem.

I värsta fall, ett par nolldagar som jag upptäckte var ett problem med att leverantören fixade något på en kodrad och, bokstavligen på nästa kodrad, var exakt samma typ av sårbarhet fortfarande närvarande och de gjorde det Jag bryr mig inte om att fixa det, säger John Simpson, en sårbarhetsforskare på cybersäkerhetsföretaget Trend Micro. Vi kan alla prata tills vi är blå i ansiktet men om organisationer inte har rätt struktur för att göra mer än att fixa den exakta buggen som rapporterats till dem, får du ett så brett utbud av patchkvalitet.

En stor del av att förändra detta handlar om tid och pengar: att ge ingenjörer mer utrymme att undersöka nya säkerhetsbrister, hitta grundorsaken och åtgärda de djupare problem som ofta dyker upp i individuella sårbarheter. De kan också slutföra variantanalys, sa Stone: letar efter samma sårbarhet på olika platser, eller andra sårbarheter i samma kodblock.

D annan frukt sammanlagt

Vissa försöker redan olika tillvägagångssätt. Apple har till exempel lyckats fixa några av iPhones allvarligaste säkerhetsrisker genom att utrota sårbarheter på en djupare nivå.

2019 skapade en annan Google Project Zero-forskare, Natalie Silvanovich, rubriker när hon presenteras kritiska noll-klick, noll-dagars buggar i Apples iMessage. Dessa brister gjorde det möjligt för en angripare att ta över en persons hela telefon utan att någonsin kräva att offret skulle göra något – även om du inte klickade på en länk, kunde din telefon fortfarande kontrolleras av hackare. (I december 2020 fann ny forskning en hackningskampanj mot journalister utnyttjar ytterligare en noll-klick-attack mot iMessage.)

Relaterad berättelse

Inuti NSO, Israels miljarddollar spionprogramjätte Världens mest ökända övervakningsföretag säger att de vill städa upp i sin handling. Fortsätt, vi lyssnar.

Istället för att snävt närma sig de specifika sårbarheterna, gick företaget in i iMessage för att ta itu med de grundläggande, strukturella problem som hackare utnyttjade. Även om Apple aldrig sa något om den specifika karaktären av dessa förändringar - det tillkännagav just en uppsättning förbättringar med sin iOS 14-programuppdatering - Project Zero's Samuel Groß nyligen nära dissekerades iOS och iMessage och härledde vad som hade hänt.

Appen är nu isolerad från resten av telefonen med en funktion som heter BlastDoor, skriven på ett språk som heter Swift som gör det svårare för hackare att komma åt iMessages minne.

Apple ändrade också arkitekturen för iOS så att det är svårare att komma åt telefonens delade cache - en signatur för några av de mest uppmärksammade iPhone-hackarna de senaste åren.

Slutligen blockerade Apple hackare från att försöka brute force attacker om och om igen i snabb följd. Nya strypfunktioner innebär att exploateringar som en gång kan ha tagit minuter nu kan ta timmar eller dagar att slutföra, vilket gör dem mycket mindre lockande för hackare.

Det är fantastiskt att se att Apple lägger undan resurserna för den här typen av stora refaktoreringar för att förbättra slutanvändarnas säkerhet, skrev Groß. Dessa förändringar lyfter också fram värdet av offensivt säkerhetsarbete: inte bara enstaka buggar fixades, utan istället gjordes strukturella förbättringar baserat på insikter från exploateringsutvecklingsarbete.

Konsekvenserna av hackningar blir större när vi blir mer och mer uppkopplade, vilket innebär att det är viktigare än någonsin för teknikföretag att investera i och prioritera stora cybersäkerhetsproblem som föder hela familjer med sårbarheter och utnyttjande.

Ett råd till deras högre upp är investera, investera, investera, förklarade Stone. Ge dina ingenjörer tid att helt undersöka grundorsaken till sårbarheter och korrigera det, ge dem utrymme att göra variantanalyser, belöna arbete med att minska tekniska skulder, fokusera på systemiska korrigeringar.

Dölj