Toată isteria cu hackeri nu e așa de gravă pe cât crezi, dar o să te sperie în continuare

Erorile de tipul „zero day" - necunoscute de producătorul unui produs, dar care ar putea fi folosite de hackeri ca să spargă sisteme - au ajuns deja un subiect intens dezbătut. Activiști și mulți specialiști în tehnologie spun că dacă aceste vulnerabilități sunt știute doar de un grup mic de oameni, cum ar fi hackerii guvernamentali care se folosesc de ele, asta riscă securitatea cibernetică publică.

Dacă o agenție guvernamentală folosește un atac cibernetic, cine poate opri un alt grup, cum ar fi o inițiativă criminală să afle despre atac? Nu ar trebui guvernul să divulge prompt aceste vulnerabilități ca să poate fi reparate la un moment dat?

Dar există un lucru crucial care a lipsit din dezbaterea atacurilor cibernetice: informații. Însă, un studiu nou de la RAND Corporation dorește să schimbe asta prin utilizarea detaliilor a peste 200 de erori și încearcă să răspundă la întrebări precum: cât timp rămân nedetectate erorile unui software sau cât la sută din ele sunt descoperite de mai mule grupări?

„Raportul ăsta oferă o analiză valoroasă și crucială, o statistică ca la carte, într-o dezbatere care deseori se bazează pe presupuneri și anecdote, decât informații și analize", a spus pentru Motherboard Matt Tait, fondatorul companiei Capital Alpha Security și un fost specialist în securitate de la GCHQ.

Cercetătorii Lillian Ablon și Andy Bogart au scris în raportul lor, intitulat Zero Days, Thousands of Nights: „Rezultatele acestei cercetări oferă constatări de vulnerabilități reale și exploatează date care ar putea augmenta exemplele convenționale de proxy și opiniile experților, ar complementa eforturile actuale de a creea un cadru de decizie pentru reținerea sau divulgarea unei liste de erori și exploatări și ar informa dezbaterile curente de politici în legătură cu întocmirea și destăinuirea acestora."

Conform raportului, baza de date se întinde pe 14 ani, din 2002 până în 2016, iar peste jumătate din vulnerabilitățile incluse nu sunt cunoscute publicului.

Cercetătorii nu specifică cine le-a oferit informațiile, doar că a provenit de la un grup de cercetare a erorilor de securitate, sub pseudonimul BUSBY, pentru a-i proteja anonimitatea. În raport scrie că unii cercetători de la BUSBY au lucrat pentru diverse guverne. Baza de date conține o grămadă de exploatări de pe platformele Microsoft și Linux și includ și atacuri împotriva browserelor Mozilla, Google și produselor Adobe.

Un sfert din vulnerabilități nu supraviețuiesc mai mult de un an și jumătate, continuă raportul, dar un alt sfert trăiește peste nouă ani și jumătate. Cercetătorii nu au găsit nicio corelație clară dintre orice fel de eroare, cum ar fi a sistemului de operare sau a codului sursă, care să dicteze un termen scurt sau mare.

Logan Brown, director la Exodus Intelligence, o firmă de cercetare care vinde atacuri cibernetice atât în scopuri de apărare, dar și defensive, a spus pentru Motherboard într-un email că acest termen de valabilitate e un pic mai diferit decât din experiența proprie.

„Din ce am observat, termenul mediu e mai aproape de un an, cel mai mic fiind de o lună și cel mai mare de trei ani", spune Brown. Recent, Exodus a oferit un atac Firefox către un client dintre autoritățile de aplicare a legii. De asemenea, Brown spune că industria de siguranță cibernetică a crescut exponențial în fiecare an, iar patch-urile de dezvăluire și atacurile au devenit mult mai predominante în ultimii cinci ani.

Deci această rată mică de descoperire înseamnă că dacă guvernele nu divulgă curând erorile celor afectați, asta riscă siguranța tuturor, lucru care poate fi dovedit?

„Asta-i 100% corect ca interpretare", a spus David Aitel, un fost cercetător în securitate de la NSA și acum fondatorul companiei de securitate cibernetică Immunity. (Când au analizat această perioadă de 14 ani acoperită de vulnerabilitățile astea, cercetătorii au descoperit o intersectare de 40%).

Recent, descoperirea erorilor a ajuns la știri. În februarie 2015, FBI a folosit „o vulnerabilitate non-publică" ca să hack-uiască peste 8 000 de computere din lume. Mozilla, producătorul browserului Firefox, a vrut ca FBI să le spună vulnerabilitatea (dar FBI nu a făcut asta). În martie anul trecut, FBI a plătit cercetători anonimi ca să spargă un iPhone care aparținea unuia dintre teroriștii din San Bernadino și aparent nu a comunicat către Apple ce eroare de securitate a folosit atacul.

În cadrul Procesului de Echitate în Vulnerabilități (VEP), un proces creat de Casa Albă și implementat în 2014, agențiile guvernamentale ar trebui să divulge erorile producătorilor afectați, ca acestea să fie rezolvate. Asta dacă o grupare de reprezentativi ai agenției decide că atacurile nu mai sunt necesare pentru poliție sau în scopul serviciilor inteligente.

NSA a susținut că a divulgat 91% din vulnerabilitățile descoperite, deși procentajul ăsta se referă mai mult la propriul proces de dezvăluire decât la cel VEP.

„Acestea fiind spuse, cea mai bună decizie ar fi să se păstreze doar dacă e suficient de sigur că nimeni nu va găsi vulnerabilitatea, altfel e mai bine să se facă publică", scrie în raport.

Traducere: Diana Pintilie