CERT Narodowy to dobry krok w kierunku organizacyjnym i proceduralnym oraz w zakresie wymiany informacji w obszarze cyberbezpieczeństwa. Wciąż jednak brakuje kilku elementów układanki, wg opinii Monit24.pl kluczowym punktem będzie możliwość podejmowania przez Polskę działań ofensywnych, a nie tylko prób minimalizowania skutków ataków i obrony przed nimi.
Do aktywnych działań ofensywnych potrzebujemy specjalnego zespołu wysoko wykwalifikowanych inżynierów ds bezpieczeństwa, którzy codziennie będą pracować nad przewagą technologiczną, rozumianą jako wiedza dotycząca luk w bezpieczeństwie oprogramowania, systemów webowych, urządzeń sieciowych czy systemów operacyjnych. Celem takiego zespołu powinno być wynajdowanie tzw. luk bezpieczeństwa 0day, czyli nieznanych (nie opublikowanych) do tej pory błędów pozwalających na przejęcie kontroli nad podatnym oprogramowaniem, niezależnie czy będzie to system operacyjny routera sieciowego, system bankowości elektronicznej, OS smartfona czy przeglądarka internetowa. Każda odkryta przed innymi luka w zabezpieczeniach oprogramowania, które jest powszechnie stosowane, daje nieocenioną przewagę ofensywną; to jak posiadanie broni której nie posiada wróg i na którą przeciwnik nie jest jeszcze uodporniony. Tego typu pozyskana wiedza może być wykorzystywania w działaniach wywiadowczych, ofensywnych, a także obronnych.
Mamy świadomość, że zadanie nie jest łatwe – z jednej strony trudno znaleźć jest odpowiednio wykwalifikowanych specjalistów (chociaż akurat w tej kwestii Polska nie ma czego się wstydzić na arenie międzynarodowej), z drugiej strony koszty utrzymania zespołu będą znaczne (przy grupie 12 wyspecjalizowanych osób sam koszt zatrudnienia mógłby wynieść nawet 500 tysięcy brutto miesięcznie). Dodatkowo kwestię komplikuje fakt, że działania takiego zespołu nie dają gwarancji sukcesu – może się okazać, że w danym okresie np. kilkumiesięcznym, nie uda się pozyskać żadnych nowych, użytecznych informacji lub że wykryte podatności w niedługim czasie zostaną odnalezione przez innych i opublikowane, a co za tym idzie załatane na podatnych systemach, niwecząc dotychczasowe wysiłki zespołu. Oprócz samego wykrywania podatności, zespół musiałby również opracowywać oprogramowanie i metody pozwalające na praktyczne wykorzystanie znalezionych luk 0day, a to jeszcze inna kwestia – samo znalezienie podatności nie umożliwia bowiem jej wykorzystania, to dopiero początek drogi do budowy działającego narzędzia ofensywnego lub wywiadowczego.
Czy w takim razie rzeczywiście posiadanie takiego zespołu ma sens? Choć co roku firmy produkujące sprzęt i oprogramowanie wydają znaczne kwoty na analizę swojego kodu źródłowego pod kątem luk w bezpieczeństwie, to okazuje się, że znajdowanych może być jedynie 2% błędów, na co wskazali naukowcy z New York University, MIT oraz Northeastern University w swoich badaniach. Umieszczali oni, za pomocą stworzonego przez siebie oprogramowania LAVA (Large-Scale Automated Vulnerability Addition), masowo błędy do kodu źródłowego, a następnie analizowali jaką część tych błędów są w stanie wykryć zautomatyzowane narzędzia analizy kodu źródłowego ( https://techxplore.com/news/2016-07-vulnerabilities-intentionally-adding-swarms-bugs.html ). Jeśli choć w części wyniki te odzwierciedlają faktyczny stan podatności wprowadzanego na rynek oprogramowania, to zdecydowanie opłaca się posiadać zespół wynajdujący luki 0day.
Rolą takiego zespołu musiałoby być również wybranie odpowiednich metod i narzędzi które już istnieją na rynku oraz tworzenie własnych autorskich rozwiązań wspomagających skomplikowany proces poszukiwania luk w bezpieczeństwie. Należałoby zautomatyzować wstępne, zgrubne wyszukiwanie potencjalnych miejsc mogących skrywać podatności, a w drugiej fazie poddawać te obszary analizie przez człowieka. Kolejny krok to potwierdzenie przydatności znalezionej luki poprzez stworzenie wstępnego exploita proof-of-concept czyli programu/metody pozwalającej na praktyczne wykorzystanie znalezionej podatności. Następnie pozyskana wiedza powinna być odpowiednio kategoryzowana pod kątem możliwości i potencjalnego wykorzystania. Może się okazać, że natrafiliśmy na broń odpowiadającą konwencjonalnemu pistoletowi, ale może się też okazać że wynaleźliśmy broń atomową. W ostatniej fazie procesu musiałaby zapadać decyzja o stworzeniu odpowiedniego oprogramowania wykorzystującego daną lukę do konkretnych działań i przyjęcie „na stan” nowo wynalezionej broni.
Całość procesu pozyskiwania użytecznej wiedzy o podatnościach jest skomplikowanym, kosztownych i czasochłonnym przedsięwzięciem, nie dającym gwarancji sukcesu. Zestawiając to jednak z obecną sytuacją w cyber-świecie i potencjałem jaki ukryty jest niedostępnej dla innych informacji technologicznej uważamy, że temat jest zdecydowanie warty uwagi. W dokumencie z 2015 roku dotyczącym Doktryny Cyberbezpieczeństwa Rzeczpospolitej Polskiej pojawia się wskazana kwestia w punkcie 30 i 31 jako jedno z zadań sektora publicznego oraz prywatnego, wskazując potrzebę „wymiany informacji o podatnościach, zagrożeniach i incydentach”. O ile zrobiliśmy krok w kierunku dwóch ostatnich, to zagadnienie podatności wciąż jest tematem który czeka na swój moment.
Tomasz Kuźniar
Monit24.pl
, od 14 lat zajmującą się badaniem i analizą poprawności i szybkości działania e-usług, systemów informatycznych on-line, aplikacji mobilnych i systemów transakcyjnych. 