Google mengatakan terlalu mudah bagi peretas untuk menemukan kelemahan keamanan baru

Pada Desember 2018, para peneliti di Google mendeteksi sekelompok peretas dengan pandangan mereka tertuju pada Microsoft Internet Explorer. Meskipun pengembangan baru telah ditutup dua tahun sebelumnya, ini adalah browser yang umum sehingga jika Anda dapat menemukan cara untuk meretasnya, Anda memiliki potensi pintu terbuka untuk miliaran komputer. Para peretas memburu, dan menemukan, kekurangan yang sebelumnya tidak diketahui, yang dikenal sebagai kerentanan zero-day. Segera setelah mereka terlihat, para peneliti melihat satu eksploitasi digunakan di alam liar. Microsoft mengeluarkan tambalan dan memperbaiki cacat, semacam itu. Pada September 2019, kerentanan serupa lainnya ditemukan sedang dieksploitasi oleh grup peretasan yang sama. Penemuan lainnya pada November 2019, Januari 2020, dan April 2020 menambahkan hingga setidaknya lima kerentanan zero-day yang dieksploitasi dari kelas bug yang sama dalam waktu singkat. Microsoft mengeluarkan beberapa pembaruan keamanan: beberapa gagal untuk benar-benar memperbaiki kerentanan yang menjadi target, sementara yang lain hanya memerlukan sedikit perubahan yang hanya membutuhkan satu atau dua baris untuk mengubah kode peretas agar eksploit berfungsi kembali.
“Setelah Anda memahami salah satu dari bug tersebut, Anda dapat mengubah beberapa baris dan terus bekerja tanpa hari.”
Kisah ini melambangkan masalah yang jauh lebih besar dalam keamanan siber, menurut penelitian baru dari Maddie Stone, seorang peneliti keamanan di Google: bahwa terlalu mudah bagi peretas untuk terus mengeksploitasi zero-days yang berbahaya karena perusahaan tidak melakukan pekerjaan yang baik secara permanen. menutup kekurangan dan celah. Penelitian oleh Stone, yang merupakan bagian dari tim keamanan Google yang dikenal sebagai Project Zero, menyoroti beberapa contoh tindakan ini, termasuk masalah yang dialami Google sendiri miliki dengan browser Chrome-nya yang populer. “Apa yang kami lihat memotong seluruh industri: Tambalan yang tidak lengkap memudahkan penyerang untuk mengeksploitasi pengguna dengan zero-day,” kata Stone pada hari Selasa di konferensi keamanan Enigma. “Kami tidak meminta penyerang untuk memunculkan semua kelas bug baru, mengembangkan eksploitasi baru, melihat kode yang belum pernah diteliti sebelumnya. Kami mengizinkan penggunaan kembali banyak kerentanan berbeda yang sebelumnya kami ketahui. ”

Buah yang menggantung rendah

Project Zero beroperasi di dalam Google sebagai tim yang unik dan terkadang kontroversial yang didedikasikan sepenuhnya untuk memburu kekurangan zero-day yang membingungkan. Bug ini didambakan oleh peretas dari semua lapisan, dan lebih dihargai daripada sebelumnya — tidak harus karena semakin sulit untuk dikembangkan, tetapi karena, di dunia yang sangat terhubung, mereka lebih kuat. Selama masa enam tahun, tim Google telah melacak secara publik lebih dari 150 bug zero-day utama, dan pada tahun 2020 tim Stone mendokumentasikan 24 zero-day yang dieksploitasi — seperempatnya sangat mirip dengan kerentanan yang diungkapkan sebelumnya. Tiga tidak sepenuhnya ditambal, yang berarti hanya perlu beberapa penyesuaian pada kode peretas agar serangan itu terus bekerja. Banyak serangan seperti itu, katanya, melibatkan kesalahan dasar dan "hasil yang sedikit menggantung". Untuk peretas, "tidak sulit," kata Stone. “Setelah Anda memahami salah satu dari bug tersebut, Anda dapat mengubah beberapa baris dan terus bekerja tanpa hari.” Mengapa tidak diperbaiki? Sebagian besar tim keamanan yang bekerja di perusahaan perangkat lunak memiliki waktu dan sumber daya yang terbatas, dia menyarankan — dan jika prioritas dan insentif mereka cacat, mereka hanya memeriksa bahwa mereka telah memperbaiki kerentanan yang sangat spesifik di hadapan mereka alih-alih menangani masalah yang lebih besar di akar dari banyak kerentanan. Peneliti lain mengonfirmasi bahwa ini adalah masalah umum. “Dalam kasus terburuk, beberapa hari nol yang saya temukan adalah masalah vendor memperbaiki sesuatu pada satu baris kode dan, pada baris kode berikutnya, jenis kerentanan yang sama persis masih ada dan mereka tidak Tidak repot-repot memperbaikinya, ”kata John Simpson, peneliti kerentanan di perusahaan keamanan siber Trend Micro. “Kita semua dapat berbicara sampai wajah kita membiru, tetapi jika organisasi tidak memiliki struktur yang tepat untuk melakukan lebih dari sekadar memperbaiki bug tepat yang dilaporkan kepada mereka, Anda akan mendapatkan berbagai kualitas tambalan.” Sebagian besar dari perubahan ini bergantung pada waktu dan uang: memberi teknisi lebih banyak ruang untuk menyelidiki kerentanan keamanan baru, menemukan akar masalah, dan memperbaiki masalah lebih dalam yang sering muncul dalam kerentanan individu. Mereka juga dapat menyelesaikan analisis varian, kata Stone: mencari kerentanan yang sama di tempat berbeda, atau kerentanan lain dalam blok kode yang sama.

D jika buah yang berbeda sama sekali

Beberapa sudah mencoba pendekatan yang berbeda. Apple, misalnya, telah berhasil memperbaiki beberapa risiko keamanan iPhone yang paling serius dengan membasmi kerentanan di tingkat yang lebih dalam. Pada tahun 2019, peneliti Google Project Zero lainnya, Natalie Silvanovich, menjadi berita utama ketika dia mempresentasikan bug zero-click kritis, zero-day di iMessage Apple. Cacat ini memungkinkan penyerang untuk mengambil alih seluruh ponsel seseorang tanpa pernah meminta korban untuk melakukan apa pun — bahkan jika Anda tidak mengeklik tautan, ponsel Anda masih dapat dikontrol oleh peretas. (Pada bulan Desember 2020, penelitian baru menemukan kampanye peretasan terhadap jurnalis mengeksploitasi serangan zero-day zero-click lainnya terhadap iMessage .) Alih-alih mendekati kerentanan spesifik secara sempit, perusahaan masuk ke dalam nyali iMessage untuk mengatasi masalah struktural mendasar yang dieksploitasi peretas. Meskipun Apple tidak pernah mengatakan apa pun tentang sifat spesifik dari perubahan ini — Apple baru saja mengumumkan serangkaian peningkatan dengan pembaruan perangkat lunak iOS 14 — Samuel Groß dari Project Zero baru-baru ini dengan cermat membedah iOS dan iMessage dan menyimpulkan apa yang telah terjadi. Aplikasi ini sekarang diisolasi dari bagian ponsel lainnya dengan fitur yang disebut BlastDoor, ditulis dalam bahasa yang disebut Swift yang mempersulit peretas untuk mengakses memori iMessage. Apple juga mengubah arsitektur iOS sehingga lebih sulit untuk mengakses cache telepon yang dibagikan — tanda tangan dari beberapa peretasan iPhone paling terkenal dalam beberapa tahun terakhir. Akhirnya, Apple memblokir para peretas agar tidak mencoba serangan "brute force" berulang kali secara berurutan. Fitur pelambatan baru berarti bahwa eksploitasi yang mungkin pernah memakan waktu beberapa menit sekarang dapat memakan waktu berjam-jam atau berhari-hari untuk diselesaikan, membuatnya kurang menarik bagi peretas. “Sangat menyenangkan melihat Apple menyisihkan sumber daya untuk jenis refactorings besar ini untuk meningkatkan keamanan pengguna akhir,” tulis Groß. “Perubahan ini juga menyoroti nilai pekerjaan keamanan yang menyinggung: tidak hanya satu bug yang diperbaiki, tetapi peningkatan struktural dibuat berdasarkan wawasan yang diperoleh dari pekerjaan pengembangan eksploitasi.” Konsekuensi peretasan menjadi lebih besar saat kita menjadi semakin terhubung, yang berarti semakin penting bagi perusahaan teknologi untuk berinvestasi dan memprioritaskan masalah keamanan siber utama yang melahirkan seluruh keluarga yang rentan dan eksploitasi. “Sebuah nasihat untuk atasan mereka adalah berinvestasi, berinvestasi, berinvestasi,” jelas Stone. “Beri waktu kepada teknisi Anda untuk menyelidiki sepenuhnya akar penyebab kerentanan dan tambalilah yang, beri mereka kelonggaran untuk melakukan analisis varian, berikan penghargaan pada pekerjaan dalam mengurangi utang teknis, fokus pada perbaikan sistemik.”

Komentar

Posting Komentar

Postingan populer dari blog ini

Cara menjalin hubungan yang lebih baik dengan teknisi Anda

Ketergantungan kita pada teknologi telah melonjak selama pandemi. Perusahaan analisis aplikasi App Annie menemukan bahwa orang menghabiskan sekitar 4 jam dan 18 menit per hari di perangkat seluler pada bulan April 2020. Itu meningkat 20% dari tahun sebelumnya, setara dengan tambahan 45 menit per hari waktu layar. Penelitian menunjukkan bahwa secara intrinsik tidak ada yang salah dengan menghabiskan lebih banyak waktu di layar — terutama saat ini. Terlepas dari manfaat terhubung dengan teman, keluarga, dan rekan kerja, beralih ke teknologi dapat membantu kita mengelola emosi yang sulit dan bahkan mengurangi stres . Namun, tidak semua waktu layar dibuat sama. Beberapa aktivitas online memang membawa risiko tertentu. Menghabiskan waktu lama secara pasif menelusuri media sosial, misalnya, terkait dengan perasaan iri dan kesepian yang lebih besar, serta risiko depresi yang lebih tinggi. Lalu, apa yang harus kita lakukan di bulan-bulan mendatang untuk memastikan hubungan kita dengan tekn
Baca selengkapnya

Pertarungan algoritma: Mengungkap AI ofensif

Gambar
Saat aplikasi pembelajaran mesin beralih ke arus utama, era baru ancaman dunia maya muncul — era yang menggunakan kecerdasan buatan (AI) ofensif untuk meningkatkan kampanye serangan. AI ofensif memungkinkan penyerang untuk mengotomatiskan pengintaian, membuat serangan peniruan yang disesuaikan dengan kebutuhan, dan bahkan menyebar sendiri untuk menghindari deteksi. Tim keamanan dapat bersiap dengan beralih ke AI defensif untuk melawan — menggunakan pertahanan cyber otonom yang belajar di tempat kerja untuk mendeteksi dan merespons bahkan indikator serangan yang paling halus, di mana pun ia muncul. Marcy Rizzo, dari MIT Technology Review, mewawancarai Marcus Fowler dan Max Heinemeyer dari Darktrace pada Januari 2021. MIT Technology Review baru-baru ini duduk bersama para ahli dari Darktrace — Marcus Fowler, direktur ancaman strategis, dan Max Heinemeyer, direktur perburuan ancaman — untuk membahas aplikasi AI ofensif, AI defensif, dan pertempuran algoritme yang sedang berlangsung ant
Baca selengkapnya

Fraktal dapat membantu AI belajar melihat dengan lebih jelas — atau setidaknya lebih adil

Sebagian besar sistem pengenalan gambar dilatih menggunakan database besar yang berisi jutaan foto objek sehari-hari, dari ular hingga getar hingga sepatu. Dengan eksposur berulang, AI belajar membedakan satu jenis objek dari yang lain. Sekarang para peneliti di Jepang telah menunjukkan bahwa AI dapat mulai belajar mengenali objek sehari-hari dengan "dilatih sebelumnya" terlebih dahulu pada fraktal yang dihasilkan komputer . Pendekatan ini menghindari beberapa masalah etika dengan kumpulan data yang dibuat dengan tangan. Masalah pelatihan: Pra-pelatihan adalah fase di mana AI mempelajari beberapa keterampilan dasar sebelum dilatih pada data yang lebih terspesialisasi. Misalnya, sistem untuk mendiagnosis pemindaian medis mungkin pertama-tama belajar mengidentifikasi fitur visual dasar, seperti bentuk dan garis besar, dengan dilatih sebelumnya pada database objek sehari-hari — seperti ImageNet , yang berisi lebih dari 14 juta foto. Kemudian akan disesuaikan dengan database g
Baca selengkapnya