Reklama

Armia i Służby

#CyberMagazyn: Exploity „zero-day” w służbach i wojsku. Kupować trzeba z głową

Autor. Abhinav Thakur/pixahive.com/CC0

Służby bezpieczeństwa, agencje wywiadowcze, wojsko dysponują cyberarsenałem, gdzie jednym z narzędzi są exploity „zero-day”. Wykorzystuje się je podczas operacji do np. pozyskania informacji (m.in. plików) z określonego urządzenia bez pozostawienia najmniejszego śladu. Rozwiązania tego typu kupowane są od zewnętrznych dostawców, a to stwarza ryzyko. Jakie?

Reklama

W marcu 2013 r. WikiLeaks zaczęło ujawniać dokumenty CIA. Trzy lata później w komunikacie stwierdzono, że „rozpoczyna się nowa seria przecieków na temat Centralnej Agencji Wywiadowczej USA”. Nazwano ją „Vault 7” i określono „największą w historii publikacją poufnych dokumentów rządowej agencji”.

Reklama

W komunikacie podkreślono, że CIA utraciło kontrolę nad większością swojego arsenału hakerskiego. Obejmowało to m.in. wirusy, exploity „zero-day” czy systemy zdalnej kontroli nad oprogramowaniem.

„Ten zbiór, liczący ponad kilkaset milionów linijek kodu, daje jej posiadaczowi pełne zdolności hakerskie CIA” – czytamy w WikiLeaks. Z 14 exploitów, z których korzystała agencja do atakowania urządzeń Apple'a (iOS), cztery zostały kupione z zewnątrz.

Reklama

Czytaj też

Na zakupach

To, że CIA postanowiło nabyć exploity od zewnętrznych dostawców nie jest niczym nowym. Wiele rządowych podmiotów decyduje się na taki krok. Otrzymując gotowy produkt, służby są w stanie wykorzystać niezałatane jeszcze przez producenta luki. Widzimy więc, że podatności służą nie tylko cyberprzestępcom, ale także funkcjonariuszom podczas prowadzenia operacji.

Kupowanie exploitów przez służby rodzi jednak pewne problemy. Wystarczy wspomnieć o kwestii właściwego zarządzania cyberarsenałem, a także większej szansie (w porównaniu do opracowanych własnoręcznie exploitów) wcześniejszego wykrycia ze względu na to, że dany produkt jest oferowany również innym podmiotom.

Czytaj też

„Najpotężniejsza forma exploitów”

Możemy wyróżnić 3 główne typy exploitów:

  • zero-day – wykorzystują luki nieznane wcześniej producentowi danego rozwiązania
  • niezałatane N-day – bazują na lukach, które są znane producentowi, ale nie ma jeszcze łatek
  • załatane N-day – wykorzystują luki znane producentowi, który wydał już łatki

„Zero-day" to „najpotężniejsza forma exploitów” – ocenia Max Smeets, starszy badacz w Centre for Security Studies (CSS) w ETH Zurich i dyrektor European Cyber Conflict Research Initiative, w analizie think tanku „Council on Foreign Relations”.

Wynika to z faktu, że zarówno państwa, jak i firmy nie wiedzą o istnieniu luk, które już mogą być wykorzystywane. Widzimy więc, że chodzi o rozwiązanie, które na pierwszy rzut oka może wydawać się niezwykle cenne dla służb do penetracji sieci i urządzeń.

Jak pokazują badania innego think tanku „RAND Corporation”, przeciętny czas „życia” (dopóki nie zostanie wykryty) exploita typu „zero-day" wynosi blisko 7 lat. 25 proc. luk „nie przetrwa” 1,5 roku, a równocześnie co 4 podatność pozostanie niezauważona powyżej 9 lat.

Co więcej, dla danego zbioru luk „zero-day” przeanalizowanego przez RAND Corporation, po roku blisko 6 proc. (5,7 proc.) zostało ujawnionych publicznie przez inny podmiot.

Czytaj też

Mówić czy nie?

W przypadku służb jest to interesujące zjawisko. Pojawia się dylemat, czy ujawniać wykryte podatności, czy jednak pozostawić tę wiedzę dla siebie z myślą o prowadzeniu skutecznych operacji. Wówczas, dopóki luki nie odkryje nikt inny, istnieje możliwość prowadzenia działań w tajemnicy, bez opcji zostania wykrytym.

Afera Snowdena pokazała, że Agencja Bezpieczeństwa Narodowego USA (NSA) stworzyła narzędzie „FOXACID”, przeznaczone do optymalizacji wykorzystania exploitów. Służy do automatycznego dopasowania docelowego systemu do różnych typów podatności.

Bruce Schneier, ekspert IT, którego stanowisko przytacza „Council on Foreign Relations”, tłumaczy, że „FOXACID” został zaprojektowany w taki sposób, aby zapewnić elastyczność. Dzięki temu NSA może wymieniać i/lub zastępować exploity, jeśli tylko zostaną wykryte. Pozwala również na wykorzystanie określonych podatności do konkretnych celów. Jak wyjaśnia specjalista, exploity o niskiej wartości są używane wtedy, gdy prawdopodobieństwo ujawnienia jest wysokie.

Czytaj też

Przysłowiowa „mina”

W przypadku, gdy wywiad, cyberwojsko lub inny rodzaj służb kupują exploity, zamiast rozwijać je samemu, dochodzi do skomplikowania procesu decyzyjnego, dotyczącego ich użycia.

Max Smeets podkreśla, że może dojść do dwóch typów transakcji: „na wyłączność” lub nie.

Pierwsza kategoria oznacza, że exploit jest sprzedawany tylko jednemu klientowi. To jednak wiąże się z wyższą ceną.

W drugim przypadku sytuacja jest odwrotna – exploit jest kupowany przez kilka podmiotów, ale równocześnie oznacza to mniejszy wydatek. W związku z tym, klient (np. CIA czy NSA) musi wziąć pod uwagę możliwość, że exploit nabędą też inne agencje, które niekoniecznie mogą go używać dyskretnie.

Zdaniem eksperta, sprzedaż exploitów niezależnym podmiotom może prowadzić do nierozważnego ich użycia. „Zachęca do podejścia typu >>wykorzystaj lub strać<<” – zwraca uwagę Max Smeets. Chodzi o przekonanie, że należy go użyć jak najszybciej, zanim zostanie ujawniony i tym samym - przestanie być skuteczny.

Oczywiście zawsze istnieje ryzyko nieuczciwości ze strony sprzedawcy. Mowa o kupnie droższego exploita „na wyłączność”, podczas gdy w rzeczywistości tak nie jest i to samo rozwiązanie jest oferowane innym klientom. Z tego względu, najczęściej rządy korzystają z zaufanych kanałów, co przynajmniej w teorii minimalizuje ryzyko.

Czytaj też

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.

Reklama

Komentarze

    Reklama