Hoe Google de markt voor de gevaarlijkste hacks ter wereld veranderde

Beveiligingsonderzoeker Ian Beer vond tussen 2016 en 2018 meer dan dertig kwetsbaarheden in het besturingssysteem van de iPhone, ter waarde van miljoenen euro’s.

Beer maakt deel uit van Project Zero, een team van getalenteerde hackers van Google dat bugs probeert op te sporen in populaire software en producten van bedrijven als Apple, Microsoft en Google zelf. Daarnaast heeft Beer een tool ontwikkeld waarmee andere onderzoekers iPhones kunnen jailbreaken om bugs in iOS te vinden.

Omdat hij geen beloning van Apple had gekregen voor het vinden van de bugs, vroeg hij tijdens een presentatie op een veiligheidsconferentie of ze het dan maar aan een goed doel konden doneren. Niet dat het hem om het geld ging, want het is vooral zijn wens dat iPhones echt veiliger worden. “Ik zou graag eens met je bespreken hoe we iOS samen nog veiliger kunnen maken voor gebruikers. Cheers,” schreef Beer destijds in een tweet aan Tim Cook. (Apple heeft volgens twee betrouwbare bronnen geprobeerd om Beer in dienst te nemen, maar voorlopig werkt hij nog steeds bij Google.)

Met andere woorden: Beer wil graag het scenario vermijden dat hij eind augustus zelf in een analyse schetste. Hij onthulde toen dat er een jarenlange campagne was geweest om iPhones in China te hacken.

“De realiteit is dat beveiligingsmaatregelen het risico op een aanval nooit volledig wegnemen als je een doelwit bent,” schreef Beer, die vroeger werkte bij de Britse geheime dienst GCHQ. “Je kunt al een doelwit zijn als je in een bepaalde geografische regio geboren bent of onderdeel bent van een bepaalde etnische groep. Alles wat gebruikers kunnen doen, is bewust zijn van het feit dat massale exploitatie nog steeds bestaat. Je mobiele telefoon is een integraal onderdeel van het moderne leven, maar het is ook een apparaat dat misbruikt kan worden. Elke handeling die je ermee uitvoert, kan geüpload worden naar een database die mogelijk tegen je kan worden gebruikt.”

De beveiligingsonderzoeker zei niet wie de slachtoffers van de hackcampagne waren, maar later bleken het de Oeigoeren te zijn, een minderheid uit de Chinese regio Xinjiang. Apple bevestigde dat de Oeigoeren het doelwit waren van deze aanval – al ontkende het bedrijf andere delen van het rapport van Google weer wel.

In het hackersteam van Beer zitten ook Natalie Silvanovich, Tavis Ormandy en Jung Hoon Lee. Die laatste werd door The Register een van de beste hackers ter wereld genoemd. Sinds Project Zero in 2014 werd aangekondigd, hebben de hackers software onderzocht die door miljoenen mensen wordt gebruikt, met als doel om het moeilijker te maken om zero-day-aanvallen uit te voeren.

Zero-days zijn kwetsbaarheden of bugs waarvan de softwareontwikkelaar zich niet bewust is. Vandaar de naam: omdat een zero-day-attack start op of vóór de eerste dag dat de ontwikkelaar op de hoogte is van het beveiligingslek, heeft deze ontwikkelaar nul dagen de tijd gehad om het te repareren. De term slaat niet alleen op de kwetsbaarheden, maar ook op het uitbuiten ervan.

De onderzoekers van Project Zero hebben volgens hun eigen telling in vijf jaar tijd meer dan vijftienhonderd kwetsbaarheden gevonden. In de producten van Apple hebben Beer en zijn collega’s meer dan driehonderd bugs gevonden, in die van Microsoft meer dan vijfhonderd en in Adobe Flash meer dan tweehonderd. Project Zero heeft ook kritieke problemen gevonden in CloudFare, meerdere antivirus-apps en chat-apps als WhatsApp en FaceTime. Eén Project Zero-onderzoeker maakte ook deel uit van het team dat de beruchte Spectre- en Meltdown-fouten in Intel-chips ontdekte.

De cijfers laten zien dat Project Zero een enorme impact heeft gehad op de veiligheid van apparaten, besturingssystemen en applicaties die elke dag door miljoenen mensen worden gebruikt.

Het is goede publiciteit voor Google. De internetreus laat niet alleen zien hoeveel het bedrijf geeft om de veiligheid van hun eigen gebruikers, maar ook om die van alle andere bedrijven. Door een eliteteam van hackers samen te stellen, geeft Google het signaal af dat het beveiliging heel serieus neemt. Ook heeft Google zichzelf een excuus gegeven om de software en producten van zijn concurrenten te onderzoeken, waardoor het bedrijf veel heeft kunnen leren van andermans fouten. Project Zero heeft de mythe van de veiligheid van de iPhone ontkracht, die altijd werd beschouwd als het consumentenapparaat dat het moeilijkst is om te hacken. Daarmee heeft Google zichzelf in een positie gebracht waarin het anders nooit terecht was gekomen.

Maar wat de echte intenties van Google ook zijn: het is een feit dat het team de afgelopen vijf jaar een gigantische invloed op de cybersecurity-industrie heeft gehad.

Zo heeft Project Zero bijvoorbeeld iets genormaliseerd wat jaren geleden nog controversieel was: bedrijven hebben na een bugmelding nu een strikte deadline van negentig dagen om de kwetsbaarheden te repareren. Als ze binnen dat tijdsbestek geen patch uitbrengen, maakt Google de bugs openbaar. Vooral Microsoft was in het begin geen fan van dit beleid, maar tegenwoordig halen de meeste bedrijven die met Project Zero samenwerken de deadline. Dat is een enorme verandering in het debat over de zogenaamde ‘responsible disclosure’. Dat is het idee dat beveiligingsonderzoekers die kwetsbaarheden vinden ze eerst aan het getroffen bedrijf melden, zodat het bedrijf ze kan repareren voordat ze door hackers worden misbruikt. Volgens Project Zero wordt ongeveer 95 procent van de gemelde bugs binnen de deadline gepatcht.

“Mensen keken hoe de vlag erbij hing en besloten toen dat het misschien wel makkelijker was om binnen negentig dagen een oplossing te bedenken dan om stennis te gaan schoppen,” zegt Chris Evans, de oorspronkelijke teamleider van Project Zero.

De hackers van Project Zero worden niet bepaald geliefd door de concurrentie, die door Evans de “onveiligheidsindustrie” wordt genoemd. Die zogenaamde onveiligheidsindustrie bestaat uit bedrijven als Azimuth Security en NSO Group, die door overheden worden ingehuurd om bugs te vinden en manieren te bedenken om er misbruik van te maken. Maar in plaats van dat zulke bedrijven de kwetsbaarheden melden aan de bedrijven die de eigenaar zijn van de software, verkopen ze de informatie aan overheden, die er tools van maken waarmee ze kunnen hacken en surveilleren.

Eén onderzoeker die voor zo’n bedrijf werkt, zegt over Project Zero: “Fuck die gasten. Ze maken de wereld niet veiliger.”

De onderzoeker, die anoniem wil blijven omdat hij niet met de pers mag praten, zegt dat zero-day-kwetsbaarheden soms worden gebruikt om achter terroristen of gevaarlijke criminelen aan te gaan. En als Project Zero die bugs repareert, kunnen de inlichtingendiensten hun tools om achter zulke boeven aan te gaan misschien wel niet meer gebruiken, zegt hij.

Uiteindelijk zal Project Zero de verkoop van kwetsbaarheden aan overheden niet tegenhouden; het team laat eerder juist de gebieden zien waar hackers méér bugs kunnen vinden. En omdat Project Zero bugs van hoge kwaliteit vindt en rapporteert, zorgt het eliteteam er volgens de onderzoeker voor dat andere bugs en kwetsbaarheden duurder worden, omdat ze zeldzamer worden en moeilijker te vinden zijn.

“De prijzen gaan omhoog en zij maken ons allemaal rijk,” zegt de onderzoeker. “Wij vragen nu meer geld. Blijf vooral doen wat jullie doen, want ik word rijker.”

Ben Hawkes, de huidige teamleider van Project Zero, denkt dat openheid over zero-days en berichtgeving op blogs uiteindelijk goed is voor de gebruikers. Iedereen weet dan hoe bedrijven gehackt kunnen worden, die onder druk komen te staan om hun beveiliging te verbeteren.

“We willen dat het voor het grote publiek duidelijker wordt hoe een aanval werkt, zodat gebruikers en klanten de juiste vragen kunnen stellen en om de juiste dingen kunnen vragen,” zei Hawkes afgelopen zomer, toen ik hem in Las Vegas ontmoette.

Andere mensen denken juist dat Project Zero de handhavings- en inlichtingendiensten helpen om zogenaamde N-day- of 1-day-aanvallen te ontwikkelen. Die hacks zijn gebaseerd op zero-days die zijn gemeld, maar nog steeds te misbruiken zijn totdat de gebruiker een patch heeft geïnstalleerd. Kwaadwillende hackers zouden volgens critici kunnen voortbouwen op de code die de Google-onderzoekers hebben gepubliceerd, om gebruikers te hacken die hun software nog niet hebben bijgewerkt.

Mark Dowd, de oprichter van Azimuth Security, grapte daar eerder dit jaar over tijdens de Pwnie Awards-ceremonie in Las Vegas. Tijdens zijn inleidende praatje voor een van de prijzen noemde hij NSO Group “de commerciële tak” van Project Zero.

Er is geen bewijs dat overheidshackers de kwetsbaarheden die door Project Zero zijn geopenbaard in hacktools hebben veranderd. Maar theoretisch gezien zou dat wel gebeurd kunnen zijn, of zou het in de toekomst kunnen gebeuren.

“Er zijn veel manieren waarop aanvallers kwetsbaarheden kunnen misbruiken,” zegt Evans. “Het is het eeuwenoude probleem van het onthullen van beveiligingsproblemen: als je iets onthult, zullen slechte mensen daar dan misbruik van maken?”

Volgens Evans zou dat Project Zero of anderen niet moeten beletten om kennis over bugs of kwetsbaarheden te delen.

“Laat ik duidelijk zijn, dit gaat gebeuren. Uiteindelijk zal een onderzoeker – misschien van Project Zero, misschien iemand anders – iets publiceren en zal er schade ontstaan. Maar diegene heeft er dan goed aan gedaan om het te delen, omdat we er zo allemaal van kunnen leren,” zegt Evans. “Je moet je woede richten op de persoon die iets slechts heeft gedaan, niet op de beveiligingsonderzoeker die dingen deelt waar we allemaal van kunnen leren.”

Hawkes is het ermee eens dat er een risico bestaat dat zoiets kan gebeuren, en volgens hem moeten we dat gewoon goed in de gaten houden.

“We moeten alles constant controleren en opnieuw beoordelen, zodat ons openbaringsbeleid meer goed dan kwaad doet,” zegt hij.

Volgens Hawkes wordt ook het tijdsbestek om een N-day te misbruiken steeds kleiner, omdat veel platforms er beter in zijn geworden om hun gebruikers te dwingen hun software te updaten, zoals iOS. Hawkes zegt ook dat het niet makkelijk is om een bug van Project Zero om te zetten in een goede N-day-aanval. Als je weet dat er een bug in bepaalde software zit, moet je er eerst nog steeds malware van maken die door slechteriken gebruikt kan worden om gebruikers te hacken. (In mei werd er bijvoorbeeld een kwetsbaarheid in Windows onthuld, die bekendstaat als BlueKeep. Maar hackers hebben er nog steeds geen tool van gemaakt die naadloos werkt en aanzienlijke schade kan veroorzaken.)

“Er is veel extra onderzoek nodig om een rapport van Project Zero om te zetten in iets wat praktisch handig is voor aanvallers,” zegt Hawkes. Dat komt doordat aanvallers in de praktijk verschillende kwetsbaarheden aan elkaar moeten koppelen om een doelwit te hacken. Dus Project Zero geeft ze misschien informatie over één schakel in de keten, maar aanvallers kunnen die pas gebruiken in combinatie met andere. En het aantal mensen dat daartoe in staat is, lijkt heel erg klein te zijn. Als je al zoveel onderzoek kunt doen, kun je waarschijnlijk ook zelf de zero-day wel vinden.”

Met andere woorden: er zijn naast Project Zero en aanvalsgerichte hackteams niet zoveel mensen die heel waardevolle bugs kunnen vinden en daar misbruik van kunnen maken.

En dat maakt Project Zero bijna uniek. Het is een team van extreem getalenteerde hackers die veel tijd en energie steken in het vinden van bugs in de software van iedereen die zij maar een interessant doelwit vinden.

“Ik denk dat we later op Project Zero zullen terugkijken zoals vorige generaties terugkijken op AT&T Bell Labs,” zegt Katie Moussouris, een beveiligingsonderzoeker die in 2008 Microsoft Security Vulnerability Research (MSVR) oprichtte. “Het is een prachtig idee: een verzameling briljante geesten die hun eigen onderzoek mogen leiden, hoelang het ook duurt, en zelfs als het niet lang duurt.” Haar MSVR heeft vergelijkbare doelen als Project Zero: het vinden, rapporteren en helpen oplossen van bugs in de software van derde partijen. Maar MSVR is altijd meer een programma geweest dan een team. Er zijn geen volledig toegewijde, fulltime onderzoekers bij MSVR, terwijl er ongeveer een dozijn onderzoekers werken voor Project Zero.

Hawkes is ervan overtuigd dat de wereld meer projecten als Project Zero nodig heeft. Daarom is hij samen met zijn collega’s in gesprek gegaan met andere bedrijven om een coalitie op richten, waarin de krachten van de industrie, de academische wereld en non-profitorganisaties gebundeld worden. Het is nog onduidelijk hoe zo’n coalitie er precies uit zal zien, en wie er deel van zou willen uitmaken.

Eric Doerr, de manager van MSVR, zegt dat er voorlopig geen plannen zijn om onderzoekers fulltime aan hun programma te laten werken. We hebben ook Facebook, Amazon en Apple gevraagd of ze in de voetsporen van Google zouden willen treden. Facebook wilde geen commentaar geven en Apple en Amazon hebben niet gereageerd.

Moussouris is het met Hawkes eens dat de wereld meer beveiligingsonderzoekers nodig heeft, die zich richten op bugs die moeilijk te vinden zijn en dan openlijk vertellen wat hun aanpak was – ongeacht voor wie ze werken en waar ze de bugs hebben gevonden.

“Als de wereld geen belangstelling heeft voor dit soort technische details, maken de verdedigers geen schijn van kans.”