Γιατί τα προγράμματα επιβράβευσης σφαλμάτων δεν έχουν οδηγήσει σε ασφαλές λογισμικό
Οι κυβερνήσεις θα πρέπει να καταστήσουν τις εταιρείες λογισμικού υπεύθυνες για την ανάπτυξη μη ασφαλούς κώδικα υπολογιστή. Έτσι λέει η Καίτη Μουσούρη, η χάκερ λευκού καπέλου και ειδικός σε θέματα ασφάλειας που έπεισε πρώτη τη Microsoft και το Πεντάγωνο να προσφέρουν οικονομικές ανταμοιβές σε ερευνητές ασφαλείας που βρήκαν και ανέφεραν σοβαρές ευπάθειες ασφαλείας. Τα προγράμματα επιβράβευσης σφαλμάτων έχουν πολλαπλασιαστεί έκτοτε και έχουν γίνει πλέον ο κανόνας για εταιρείες λογισμικού, με ορισμένες, όπως η Apple, να προσφέρουν βραβεία ύψους 2 εκατομμυρίων δολαρίων ή περισσότερο σε όσους βρίσκουν κρίσιμα τρωτά σημεία ασφαλείας. Ο Μουσούρης παρομοιάζει την έρευνα ευπάθειας ασφαλείας με την εργασία για την Uber, μόνο με χαμηλότερες αμοιβές και λιγότερη ασφάλεια εργασίας. Το πρόβλημα είναι ότι οι άνθρωποι πληρώνονται μόνο εάν είναι οι πρώτοι που θα βρουν και θα αναφέρουν μια ευπάθεια. Αυτοί που κάνουν δουλειά αλλά έχουν αποτελέσματα δεύτερο ή τρίτο δεν παίρνουν τίποτα. “Εγγενώς, είναι εκμετάλλευση της αγοράς εργασίας. Τους ζητάτε να κάνουν κερδοσκοπική εργασία και παίρνετε κάτι πολύ πολύτιμο από αυτούς”, λέει. Μερικοί χάκερ λευκού καπέλου, με κίνητρο βοηθώντας τους ανθρώπους να επιλύσουν προβλήματα ασφαλείας, κατάφεραν να ζήσουν με την εξειδίκευση στην εύρεση ευπαθειών μεσαίου κινδύνου που μπορεί να μην πληρώνουν τόσο καλά όσο τα σφάλματα υψηλού κινδύνου, αλλά είναι πιο εύκολο να βρεθούν. Αλλά οι περισσότεροι ερευνητές ασφαλείας αγωνίζονται να βγάλουν τα προς το ζην ως κυνηγοί επικηρυγμένων σφαλμάτων. “Πολύ λίγοι ερευνητές είναι σε θέση να βρουν αυτές τις ευπάθειες σε επίπεδο ελίτ, και πολύ λίγοι από αυτούς που είναι ικανοί πιστεύουν ότι αξίζει τον κόπο να κυνηγήσουν ένα bug bounty. Θα προτιμούσαν να έχουν ένα ωραίο συμβόλαιο ή έναν ρόλο πλήρους απασχόλησης”, λέει. Το ηθικό hacking συνοδεύεται από νομικούς κινδύνους Δεν είναι μόνο η έλλειψη σταθερού εισοδήματος. Οι ερευνητές ασφάλειας αντιμετωπίζουν επίσης νομικούς κινδύνους από τους νόμους κατά της πειρατείας, όπως ο νόμος περί κατάχρησης υπολογιστών του Ηνωμένου Βασιλείου και ο δρακόντειος νόμος περί απάτης και κατάχρησης υπολογιστών των ΗΠΑ. Όταν η Μουσούρη εντάχθηκε στη Microsoft το 2007, έπεισε την εταιρεία να ανακοινώσει ότι δεν θα διώξει τους κυνηγούς επικηρυγμένων εάν εντόπιζαν ευπάθειες στο διαδίκτυο σε προϊόντα της Microsoft και τις ανέφεραν υπεύθυνα. Άλλες εταιρείες λογισμικού ακολούθησαν έκτοτε το παράδειγμά τους. Η κυβέρνηση του Ηνωμένου Βασιλείου έχει πλέον αναγνωρίσει το πρόβλημα και υποσχέθηκε να εισαγάγει μια νομοθετική άμυνα για τους ερευνητές της ασφάλειας στον κυβερνοχώρο που εντοπίζουν και μοιράζονται ευπάθειες για να τους προστατεύσει από τη δίωξη. Ένα άλλο ζήτημα είναι ότι πολλές εταιρείες λογισμικού επιμένουν στους ερευνητές ασφαλείας να υπογράφουν μια συμφωνία μη αποκάλυψης (NDA) προτού τους πληρώσουν για τις αποκαλύψεις ευπάθειας τους. Αυτό έρχεται σε αντίθεση με τις βέλτιστες πρακτικές για αποκαλύψεις ασφαλείας, τις οποίες έχει υποστηρίξει ο Μουσούρης μέσω του Διεθνούς Οργανισμού Προτύπων (ISO). Όταν οι εταιρείες λογισμικού πληρώνουν ένα μπόνους στον πρώτο που θα ανακαλύψει μια ευπάθεια σε αντάλλαγμα για την υπογραφή μιας NDA, αυτό δημιουργεί ένα κίνητρο για όσους βρίσκουν την ίδια ευπάθεια να την αποκαλύψουν δημόσια, αυξάνοντας τον κίνδυνο να την εκμεταλλευτεί ένας κακός ηθοποιός για εγκληματικούς σκοπούς. Ακόμη χειρότερα, ορισμένες εταιρείες χρησιμοποιούν NDA για να κρατήσουν κρυφές τις ευπάθειες, αλλά δεν λαμβάνουν μέτρα για να τις διορθώσουν, λέει ο Μουσούρης, η εταιρεία του οποίου, η Luta Security, διαχειρίζεται και συμβουλεύει σχετικά με προγράμματα αποκάλυψης σφαλμάτων και ευπάθειας. «Βλέπουμε συχνά ένα μεγάλο σωρό από μη διορθωμένα σφάλματα», λέει. “Και ορισμένα από αυτά τα προγράμματα χρηματοδοτούνται καλά από εταιρείες που είναι εισηγμένες στο χρηματιστήριο που έχουν πολλούς υπαλλήλους ασφάλειας στον κυβερνοχώρο, μηχανικούς ασφαλείας εφαρμογών και χρηματοδότηση.” Ορισμένες εταιρείες φαίνεται να θεωρούν τα bug bounties ως αντικατάσταση της ασφαλούς κωδικοποίησης και της σωστής επένδυσης σε δοκιμές λογισμικού. «Χρησιμοποιούμε bug bounties ως ενδιάμεσο κενό, ως τρόπο για τον δυνητικό έλεγχο της δημόσιας αποκάλυψης σφαλμάτων και δεν τα χρησιμοποιούμε για να εντοπίσουμε συμπτώματα που μπορούν να διαγνώσουν τη βαθύτερη έλλειψη ελέγχων ασφαλείας», προσθέτει. Τελικά, λέει ο Μουσούρης, οι κυβερνήσεις θα πρέπει να παρέμβουν και να αλλάξουν νόμους για να καταστήσουν τις εταιρείες λογισμικού υπεύθυνες για λάθη στο λογισμικό τους, με τον ίδιο τρόπο που οι κατασκευαστές αυτοκινήτων είναι υπεύθυνοι για ελαττώματα ασφαλείας στα οχήματά τους. «Όλες οι κυβερνήσεις απέχουν σχεδόν από το να θεωρήσουν τις εταιρείες λογισμικού υπεύθυνες και νομικά υπεύθυνες, επειδή ήθελαν να ενθαρρύνουν την ανάπτυξη του κλάδου τους», λέει. «Αλλά αυτό πρέπει να αλλάξει σε ένα ορισμένο σημείο, καθώς τα αυτοκίνητα δεν ήταν υπό αυστηρή ρύθμιση και στη συνέχεια οι ζώνες ασφαλείας απαιτούνταν από το νόμο». Η τεχνητή νοημοσύνη θα μπορούσε να οδηγήσει σε λιγότερο ασφαλή κώδικα Η άνοδος της τεχνητής νοημοσύνης (AI) θα μπορούσε να κάνει τους χάκερ λευκού καπέλου εντελώς περιττούς, αλλά ίσως όχι με τρόπο που να οδηγεί σε καλύτερη ασφάλεια λογισμικού. Όλες οι μεγάλες πλατφόρμες επιβράβευσης σφαλμάτων στις ΗΠΑ χρησιμοποιούν τεχνητή νοημοσύνη για να βοηθήσουν στη διαλογή των τρωτών σημείων και να αυξήσουν τις δοκιμές διείσδυσης. Μια πλατφόρμα δοκιμών διείσδυσης με τεχνητή νοημοσύνη, το XBow, πρόσφατα ανέβηκε στην κορυφή του βαθμολογικού πίνακα σφαλμάτων χρησιμοποιώντας την τεχνητή νοημοσύνη για να επικεντρωθεί σε σχετικά ευδιάκριτα τρωτά σημεία και να δοκιμάζει πιθανούς υποψηφίους με συστηματικό τρόπο συλλογής σφαλμάτων ασφαλείας. “Μόλις δημιουργήσουμε τα εργαλεία για να εκπαιδεύσουμε την τεχνητή νοημοσύνη ώστε να φαίνεται ότι είναι εξίσου καλή ή καλύτερη σε πολλές περιπτώσεις από τους ανθρώπους, βγάζετε το χαλί από την αγορά. Και τότε πού θα βρούμε τον επόμενο εμπειρογνώμονα για τα σφάλματα;” ρωτάει εκείνη. Η τρέχουσα γενιά ειδικών με τις δεξιότητες να εντοπίζουν πότε κάτι σημαντικό λείπει από τα συστήματα τεχνητής νοημοσύνης κινδυνεύει να εξαφανιστεί. «Οι πλατφόρμες επιβράβευσης σφαλμάτων κινούνται προς μια αυτοματοποιημένη, χωρίς οδηγό έκδοση των επιδομάτων σφαλμάτων, όπου οι πράκτορες τεχνητής νοημοσύνης θα αντικαταστήσουν τους κυνηγούς σφαλμάτων», λέει. Δυστυχώς, είναι πολύ πιο εύκολο για την τεχνητή νοημοσύνη να βρει σφάλματα λογισμικού παρά να χρησιμοποιήσει την τεχνητή νοημοσύνη για να τα διορθώσει. Και οι εταιρείες δεν επενδύουν όσο θα έπρεπε στη χρήση της τεχνητής νοημοσύνης για τον μετριασμό των κινδύνων ασφαλείας. “Πρέπει να καταλάβουμε πώς να αλλάξουμε αυτή την εξίσωση πολύ γρήγορα. Είναι πιο εύκολο να βρεις και να αναφέρεις ένα σφάλμα παρά για την τεχνητή νοημοσύνη να γράψει και να δοκιμάσει μια ενημέρωση κώδικα”, λέει. Τα προγράμματα επιβράβευσης σφαλμάτων απέτυχαν Ο Μουσούρης, ένας παθιασμένος και ενθουσιώδης υπέρμαχος των προγραμμάτων επιβράβευσης σφαλμάτων, είναι ο πρώτος που αναγνώρισε ότι τα προγράμματα επιβράβευσης σφαλμάτων, κατά μία έννοια, απέτυχαν. Κάποια πράγματα έχουν βελτιωθεί. Οι προγραμματιστές λογισμικού έχουν στραφεί σε καλύτερες γλώσσες προγραμματισμού και πλαίσια που καθιστούν δυσκολότερη την εισαγωγή συγκεκριμένων κατηγοριών ευπάθειας, όπως τα σφάλματα δέσμης ενεργειών μεταξύ τοποθεσιών. Αλλά, προτείνει, υπάρχει πάρα πολύ θέατρο ασφαλείας. Οι εταιρείες εξακολουθούν να αντιμετωπίζουν σφάλματα επειδή είναι ορατά, αλλά καθυστερούν να διορθώσουν πράγματα που δεν μπορεί να δει το κοινό ή χρησιμοποιούν συμφωνίες μη αποκάλυψης για να αγοράσουν τη σιωπή από τους ερευνητές για να κρατήσουν τα τρωτά σημεία από το κοινό. Ο Μουσούρης πιστεύει ότι η τεχνητή νοημοσύνη θα αναλάβει τελικά τους ερευνητές ανθρώπινων σφαλμάτων, αλλά λέει ότι η απώλεια της τεχνογνωσίας θα βλάψει την ασφάλεια. Ο κόσμος βρίσκεται στα πρόθυρα μιας άλλης βιομηχανικής επανάστασης, αλλά θα είναι μεγαλύτερη και ταχύτερη από την τελευταία βιομηχανική επανάσταση. Τον 19ο αιώνα, οι άνθρωποι εγκατέλειψαν τη γεωργία για να εργαστούν πολλές ώρες σε εργοστάσια, συχνά σε επικίνδυνες συνθήκες για φτωχούς μισθούς. Καθώς η τεχνητή νοημοσύνη αναλαμβάνει περισσότερα καθήκοντα που εκτελούνται επί του παρόντος από ανθρώπους, η ανεργία θα αυξηθεί, τα εισοδήματα θα μειωθούν και οι οικονομίες κινδυνεύουν να μείνουν στασιμότητας, προβλέπει ο Μουσούρης. Η μόνη απάντηση, πιστεύει, είναι οι κυβερνήσεις να φορολογούν τις εταιρείες τεχνητής νοημοσύνης και να χρησιμοποιούν τα έσοδα για να παρέχουν στον πληθυσμό ένα καθολικό βασικό εισόδημα (UBI). «Νομίζω ότι πρέπει, διαφορετικά δεν θα υπάρχει κανένας τρόπος για να επιβιώσει ο καπιταλισμός», λέει. “Τα καλά νέα είναι ότι η ανθρώπινη ευρηματικότητα της μηχανικής είναι ακόμα ανέπαφη προς το παρόν. Εξακολουθώ να πιστεύω στην ικανότητά μας να χάσουμε τον δρόμο μας για να βγούμε από αυτό το πρόβλημα.” Αυξανόμενες εντάσεις μεταξύ των κυβερνήσεων και των κυνηγών επικηρυγμένων σφαλμάτων Το έργο των κυνηγών επικηρυγμένων σφαλμάτων έχει επίσης επηρεαστεί από τις κινήσεις που απαιτούν από τις εταιρείες τεχνολογίας λογισμικού να αναφέρουν τις ευπάθειες στις κυβερνήσεις προτού τις διορθώσουν. Ξεκίνησε με την Κίνα το 2021, η οποία απαιτούσε από τις εταιρείες τεχνολογίας να αποκαλύπτουν νέα τρωτά σημεία εντός 48 ωρών από την ανακάλυψη. «Ήταν πολύ σαφές ότι επρόκειτο να αξιολογήσουν εάν επρόκειτο να χρησιμοποιήσουν τα τρωτά σημεία για επιθετικούς σκοπούς», λέει ο Μουσούρης. Το 2020, η Ευρωπαϊκή Ένωση (ΕΕ) εισήγαγε τον νόμο για την ανθεκτικότητα στον κυβερνοχώρο (CRA), ο οποίος εισήγαγε παρόμοιες υποχρεώσεις αποκάλυψης, φαινομενικά για να επιτρέψει στην ευρωπαϊκή κυβέρνηση να προετοιμάσει την άμυνά της στον κυβερνοχώρο. Ο Μουσούρης είναι συν-συγγραφέας του προτύπου ISO για την αποκάλυψη ευπάθειας. Μία από τις αρχές του είναι να περιορίζει τη γνώση των σφαλμάτων ασφαλείας στον μικρότερο αριθμό ατόμων προτού επιδιορθωθούν. Η ΕΕ υποστηρίζει ότι η προσέγγισή της θα είναι ασφαλής επειδή δεν ζητά μια βαθιά τεχνική εξήγηση των τρωτών σημείων, ούτε ζητά κώδικα απόδειξης ιδέας για να δείξει πώς μπορούν να εκμεταλλευτούν τα τρωτά σημεία. Αλλά αυτό χάνει την ουσία, λέει ο Μουσούρης. Η διεύρυνση της δεξαμενής ατόμων με πρόσβαση σε πληροφορίες σχετικά με τρωτά σημεία θα καταστήσει πιο πιθανές τις διαρροές και θα αυξήσει τον κίνδυνο εγκληματίες χάκερ ή εχθρικά έθνη-κράτη να τους εκμεταλλευτούν για έγκλημα ή κατασκοπεία. Κίνδυνος από εχθρικά έθνη Ο Μουσούρης δεν αμφιβάλλει ότι τα εχθρικά έθνη θα εκμεταλλευτούν τους πιο αδύναμους κρίκους στα κυβερνητικά συστήματα ειδοποίησης σφαλμάτων για να μάθουν νέα κατορθώματα ασφάλειας. Εάν χρησιμοποιούν ήδη αυτά τα τρωτά σημεία για επιθετικό hacking, θα μπορούν να καλύψουν τα ίχνη τους. “Προβλέπω ότι θα υπάρξει μια αναταραχή στο τοπίο των πληροφοριών απειλών, επειδή οι αντίπαλοί μας γνωρίζουν απολύτως ότι αυτός ο νόμος θα τεθεί σε ισχύ. Σίγουρα τοποθετούνται για να μάθουν για αυτά τα πράγματα μέσω του πιο διαρροής μέρους που ειδοποιείται”, λέει. “Και είτε θα αρχίσουν να στοχεύουν αυτό το συγκεκριμένο λογισμικό, αν δεν το έκαναν ήδη, είτε θα αρχίσουν να αποσύρουν τις δραστηριότητές τους ή να κρύβουν τα ίχνη τους εάν ήταν αυτοί που το χρησιμοποιούσαν. Είναι αντιπαραγωγικό”, προσθέτει. Ο Μουσούρης ανησυχεί ότι οι ΗΠΑ πιθανότατα θα ακολουθήσουν την ΕΕ εισάγοντας το δικό τους σύστημα αναφοράς σφαλμάτων. «Απλώς κρατάω την ανάσα μου, προσδοκώντας ότι οι ΗΠΑ θα ακολουθήσουν, αλλά τις έχω προειδοποιήσει για αυτό». Πρόγραμμα μετοχών του Ηνωμένου Βασιλείου Στο Ηνωμένο Βασίλειο, η GCHQ ρυθμίζει τη χρήση των τρωτών σημείων ασφαλείας από την κυβέρνηση για κατασκοπεία μέσω μιας διαδικασίας γνωστής ως σύστημα μετοχών. Αυτό περιλαμβάνει εμπειρογνώμονες σε θέματα ασφάλειας που εξετάζουν εάν το Ηνωμένο Βασίλειο θα έθετε σε κίνδυνο τα δικά του κρίσιμα συστήματα εάν δεν ειδοποιούσε τους προμηθευτές λογισμικού για πιθανές εκμεταλλεύσεις έναντι της πιθανής αξίας του εκμεταλλεύματος για τη συλλογή πληροφοριών. Η διαδικασία έχει μια επικάλυψη ορθολογισμού, αλλά πέφτει κάτω επειδή, στην πράξη, οι κυβερνητικοί εμπειρογνώμονες δεν μπορούν να έχουν ιδέα πόσο εκτεταμένες είναι οι ευπάθειες στην εθνική υποδομή ζωτικής σημασίας. Ακόμη και μεγάλοι προμηθευτές όπως η Microsoft έχουν πρόβλημα να εντοπίσουν πού χρησιμοποιούνται τα δικά τους προϊόντα. «Όταν εργαζόμουν στη Microsoft, ήταν πολύ ξεκάθαρο ότι, ενώ η Microsoft είχε μεγάλη ορατότητα σε ό,τι είχε αναπτυχθεί στον κόσμο, υπήρχαν πάρα πολλά πράγματα εκεί έξω για τα οποία δεν θα ήξεραν μέχρι να γίνουν αντικείμενο εκμετάλλευσης», λέει. «Το γεγονός ότι η Microsoft, με όλη την τηλεμετρική της ικανότητα να γνωρίζει πού βρίσκονται οι πελάτες της, δυσκολεύτηκε σημαίνει ότι δεν υπάρχει απολύτως κανένας τρόπος να μετρηθεί με αξιόπιστο τρόπο πόσο ευάλωτοι είμαστε», προσθέτει. Η Καίτη Μουσούρη μίλησε στο Computer Weekly στο SANS CyberThreat Summit.
Δημοσιεύτηκε: 2025-12-09 06:45:00
πηγή: www.computerweekly.com
