211service.com
Googles högsta säkerhetsteam stängde ensidigt ned en terrorismbekämpningsoperation
Unsplash
- Googles säkerhetsteam avslöjade offentligt en nio månader lång hackingoperation
- Vad avslöjades inte: Flytten stoppade en aktiv antiterroristoperation som genomfördes av en västerländsk regering
- Beslutet har väckt larm inom Google och på andra håll
Google driver några av de mest vördade cybersäkerhetsoperationerna på planeten: dess Projekt Zero team, till exempel, hittar kraftfulla oupptäckta säkerhetsbrister, medan dess Hotanalysgrupp motverkar direkt hackning med stöd av regeringar, inklusive Nordkorea, Kina och Ryssland. Och de två teamen fångade en oväntat stor fisk nyligen: en expertgrupp som utnyttjar 11 kraftfulla sårbarheter för att äventyra enheter som kör iOS, Android och Windows.
Men MIT Technology Review har fått reda på att hackarna i fråga faktiskt var västerländska regeringsagenter som aktivt genomförde en terrorismbekämpningsoperation. Företagets beslut att stoppa och publicera attacken orsakade intern splittring hos Google och väckte frågor inom underrättelsegemenskaperna i USA och dess allierade.
Relaterad berättelse
Google säger att det är för lätt för hackare att hitta nya säkerhetsbrister Angripare utnyttjar samma typer av mjukvarusårbarheter om och om igen, eftersom företag ofta missar skogen för träden.Ett par senaste Google blogginlägg detalj samlingen av nolldagssårbarheter som den upptäckte hackare använda under nio månader. Exploateringen, som gick tillbaka till början av 2020 och använde aldrig tidigare skådade tekniker, var vattenhålsattacker som använde infekterade webbplatser för att leverera skadlig programvara till besökare. De fångade cybersäkerhetsexperternas uppmärksamhet tack vare deras skala, sofistikerade och snabbhet.
Googles tillkännagivande uteslöt dock tydligt viktiga detaljer, inklusive vem som var ansvarig för hackningen och vem som riktades mot, såväl som viktig teknisk information om skadlig programvara eller domänerna som användes i operationen. Åtminstone en del av den informationen skulle vanligtvis offentliggöras på något sätt, vilket leder en säkerhetsexpert till klandra rapporten som ett mörkt hål.
Olika etiska frågor
Säkerhetsföretag stänger regelbundet ned exploits som används av vänliga regeringar, men sådana åtgärder offentliggörs sällan. Som svar på denna incident har vissa Google-anställda hävdat att uppdrag mot terrorism borde vara utanför gränserna för offentliggörande; andra anser att företaget var helt inom sina rättigheter, och att tillkännagivandet tjänar till att skydda användare och göra internet säkrare.
Project Zero är dedikerat till att hitta och korrigera 0-dagars sårbarheter och lägga upp teknisk forskning utformad för att främja förståelsen av nya säkerhetssårbarheter och utnyttjandetekniker i hela forskarsamhället, sade en talesperson för Google i ett uttalande. Vi tror att dela denna forskning leder till bättre defensiva strategier och ökar säkerheten för alla. Vi utför inte tillskrivning som en del av denna forskning.
Det är sant att Project Zero inte formellt tillskriver hackning till specifika grupper. Men Threat Analysis Group, som också arbetat med projektet, utför tillskrivning. Google utelämnade många fler detaljer än bara namnet på regeringen bakom hacken, och genom den informationen visste teamen internt vem hackaren och målen var. Det är inte klart om Google i förväg meddelade regeringstjänstemän att de skulle publicera och stänga av attackmetoden.
Men västerländska operationer känns igen, enligt en före detta högt uppsatt amerikansk underrättelsetjänsteman.
Det finns vissa kännetecken i västerländska operationer som inte finns i andra enheter ... du kan se det översättas till koden, sa den tidigare tjänstemannen, som inte är behörig att kommentera operationer och talade på villkor av anonymitet. Och det är här jag tror att en av de etiska nyckeldimensionerna kommer in. Hur man behandlar underrättelseverksamhet eller brottsbekämpande verksamhet som drivs under demokratisk övervakning inom en lagligt vald representativ regering skiljer sig mycket från det för en auktoritär regim.
Det finns vissa kännetecken i västerländska verksamheter som inte finns i andra enheter ... du kan se det översättas till koden.
Tillsynen är inbakad i västerländska verksamheter på teknisk nivå, hantverks- och procedurnivå, tillade de.
Google upptäckte att hackningsgruppen utnyttjade 11 nolldagarssårbarheter på bara nio månader, ett högt antal utnyttjanden under en kort period. Programvara som attackerades var bland annat webbläsaren Safari på iPhones men också många Google-produkter, inklusive webbläsaren Chrome på Android-telefoner och Windows-datorer.
Men slutsatsen inom Google var att vem som hackade och varför är aldrig lika viktigt som själva säkerhetsbristerna. Tidigare i år hävdade Maddie Stone från Project Zero det det är för lätt för hackare att hitta och använda kraftfulla zero-day sårbarheter och det hennes lag står inför en uppförsbacke upptäcka deras användning.
Istället för att fokusera på vem som låg bakom och riktade in sig på en specifik operation, beslutade Google att vidta bredare åtgärder för alla. Motiveringen var att även om en västerländsk regering var den som utnyttjade dessa sårbarheter idag, så kommer den så småningom att användas av andra, och därför är det rätta valet alltid att åtgärda bristen idag.
Det är inte deras jobb att ta reda på
Detta är långt ifrån första gången ett västerländskt cybersäkerhetsteam har fångat hackare från allierade länder. Vissa företag har dock en tyst policy att inte offentligt avslöja sådana hackningsoperationer om både säkerhetsteamet och hackarna anses vara vänliga – till exempel om de är medlemmar i underrättelsealliansen Five Eyes, som består av USA , Storbritannien, Kanada, Australien och Nya Zeeland. Flera medlemmar av Googles säkerhetsteam är veteraner från västerländska underrättelsetjänster, och några har genomfört hackningskampanjer för dessa regeringar.
I vissa fall , kommer säkerhetsföretag att rensa upp så kallad vänlig skadlig programvara men undviker att gå ut offentligt med det.
De tillskriver vanligtvis inte USA-baserade operationer, säger Sasha Romanosky, en före detta Pentagon-tjänsteman som publicerade nyligen forskning i privata cybersäkerhetsutredningar. De berättade för oss att de specifikt steg bort. Det är inte deras jobb att lista ut; de flyttar artigt åt sidan. Det är inte oväntat.
Även om Googles situation på vissa sätt är ovanlig, har det förekommit något liknande fall tidigare. Det ryska cybersäkerhetsföretaget Kaspersky gick under brand 2018 när den avslöjade en amerikanskledd cyberoperation mot terrorism mot ISIS och Al Qaida-medlemmar i Mellanöstern. Kaspersky, liksom Google, tillskrev inte hotet uttryckligen men avslöjade det och gjorde det oanvändbart, sa amerikanska tjänstemän, vilket gjorde att operatörerna förlorade tillgången till ett värdefullt övervakningsprogram och till och med satte livet för soldater på marken på spel.
Kaspersky var redan under hård kritik för sin relation med den ryska regeringen vid den tiden, och företaget var i slutändan förbjudna från amerikanska regeringssystem. Den har alltid förnekat att den har något speciellt förhållande till Kreml.
Google har hamnat i liknande vatten tidigare också. 2019 släppte företaget forskning på vad som kan ha varit en amerikansk hackergrupp, även om specifik tillskrivning aldrig gjordes. Men den forskningen handlade om en historisk operation. Googles senaste tillkännagivanden satte dock fokus på vad som hade varit en cyberspionageoperation.
Vem skyddas?
De larm som väckts både inom regeringen och hos Google visar att företaget är i en svår situation.
Googles säkerhetsteam har ett ansvar gentemot företagets kunder, och det förväntas allmänt att de kommer att göra sitt yttersta för att skydda produkterna – och därmed användarna – som är under attack. I den här incidenten är det anmärkningsvärt att de använda teknikerna inte bara påverkade Googles produkter som Chrome och Android, utan även iPhones.
Medan olika team drar sina egna linjer, har Project Zero gjort sitt namn genom att ta itu med kritiska sårbarheter över hela internet, inte bara de som finns i Googles produkter.
Relaterad berättelse
NSA hittade ett farligt fel i Windows och sa åt Microsoft att fixa det Den hemlighetsfulla säkerhetsbyrån identifierade sårbarheten och tar offentlig kredit som en del av ett försök att bygga upp förtroende.Varje steg vi tar för att göra 0-dagar svåra, gör oss alla säkrare, twittrade Maddie Stone , en av de högst respekterade medlemmarna i säkerhetsteamet, när den senaste forskningen publicerades.
Men även om det är viktigt att skydda kunder från attacker, hävdar vissa att åtgärder mot terrorism är annorlunda, med potentiella konsekvenser på liv och död som går utöver den dagliga internetsäkerheten.
När statsstödda hackare i västerländska länder hittar brister i cybersäkerhet, finns det etablerade metoder för att räkna ut de potentiella kostnaderna och fördelarna med att avslöja säkerhetsgapet för det företag som drabbas. I USA kallas det sårbarhetsaktieprocessen. Kritiker oroar sig för att amerikansk underrättelsetjänst samlar ett stort antal bedrifter, men det amerikanska systemet är mer formellt, transparent och expansivt än vad som görs i nästan alla andra länder på jorden, inklusive västerländska allierade. Processen är avsedd att tillåta regeringstjänstemän att balansera fördelarna med att hålla brister hemliga för att använda dem för underrättelseändamål med de bredare fördelarna med att berätta för ett teknikföretag om en svaghet för att få det åtgärdat.
Nivån av tillsyn även i västerländska demokratier om vad deras nationella säkerhetsorgan faktiskt gör är i många fall mycket mindre än vi har i USA.
Förra året gjorde NSA det ovanliga draget att ta åt sig äran för avslöjar ett gammalt fel i Microsoft Windows . Den typen av rapporter från regering till industri hålls normalt anonyma och ofta hemliga.
Men även om det amerikanska underrättelsesystemets avslöjandeprocess kan vara ogenomskinlig, är liknande processer i andra västerländska nationer ofta mindre, mer hemlighetsfulla eller helt enkelt informella och därför lätta att kringgå.
Nivån av tillsyn även i västerländska demokratier om vad deras nationella säkerhetsbyråer faktiskt gör är i många fall mycket lägre än vi har i USA, säger Michael Daniel, som var Vita husets cybersäkerhetssamordnare för Obama-administrationen.
Graden av parlamentarisk tillsyn är mycket mindre. Dessa länder har inte de robusta processer mellan myndigheterna som USA har. Jag är normalt inte en som skryter om USA – vi har många problem – men det här är ett område där vi har robusta processer som andra västerländska demokratier helt enkelt inte har.
Det faktum att hackningsgruppen som drabbats av Googles utredning hade och använde så många nolldagars sårbarheter så snabbt kan tyda på en problematisk obalans. Men vissa observatörer oroar sig för att cyberoperationer för att bekämpa terrorism kommer att stängas av vid potentiellt avgörande ögonblick utan möjlighet att snabbt starta upp igen.
USA:s allierade har inte alla förmågan att återskapa hela operationer lika snabbt som vissa andra spelare, sa den tidigare höga amerikanska underrättelsetjänsten. Oron för att plötsligt förlora tillgången till en exploateringskapacitet eller att bli upptäckt av ett mål är särskilt stor för uppdrag mot terrorism, särskilt under perioder av otrolig exponering när mycket utnyttjande äger rum, förklarade tjänstemannen. Googles förmåga att stänga av en sådan operation kommer sannolikt att vara källan till fler konflikter.
Detta är fortfarande något som inte har behandlats väl, sa tjänstemannen. Idén att någon som Google kan förstöra så mycket kapacitet som snabbt går upp för folk.