Μπορούν οι αναλυτές πληροφοριών να βρουν τους χάκερ από τις ενδείξεις στον κώδικά τους;

By

Marizas Dimitris

On

Νοέ 2, 2023

Στο Overmatched, ρίχνουμε μια προσεκτική ματιά στην επιστήμη και την τεχνολογία στην καρδιά της αμυντικής βιομηχανίας – τον κόσμο των στρατιωτών και των κατασκόπων.

ΤΟ ΕΤΟΣ ΗΤΑΝ 1998.

Οι υπολογιστές ήταν μπλοκαρισμένοι, τα τζιν ήταν φαρδιά και ο στρατός των ΗΠΑ έστελνε πεζοναύτες στο Ιράκ για να υποστηρίξουν τις επιθεωρήσεις όπλων. Κάποιος, επίσης, εισέβαλε σε μη ταξινομημένα στρατιωτικά συστήματα σε μέρη όπως η αεροπορική βάση Kirtland στο Νέο Μεξικό και η αεροπορική βάση Andrews στο Μέριλαντ. Δεδομένου του γεωπολιτικού κλίματος, οι ερευνητές αναρωτήθηκαν αν η

κυβερνοεπίθεση

ήταν κρατική σε κράτος – μια προσπάθεια του Ιράκ να αποτρέψει στρατιωτικές επιχειρήσεις εκεί.

Τρεις εβδομάδες έρευνας, ωστόσο, απέδειξαν ότι αυτή η εικασία ήταν λάθος: «Αποκαλύπτεται ότι δύο έφηβοι από την Καλιφόρνια και ένας άλλος έφηβος στο Ισραήλ τα βάζανε», λέει ο Jake Sepich, πρώην ερευνητής στο Κέντρο Ασφάλειας, Καινοτομίας. και Νέας Τεχνολογίας.

Το γεγονός έγινε γνωστό, περιττώς, καθώς

Ηλιακή Ανατολή

. Και καταδεικνύει τη σημασία του να μπορείτε να προσδιορίσετε ακριβώς ποιος διασχίζει ή καταστρέφει τα ψηφιακά σας συστήματα — μια διαδικασία που ονομάζεται απόδοση στον κυβερνοχώρο. Αν η κυβέρνηση συνέχιζε να πιστεύει ότι ένα εχθρικό έθνος θα μπορούσε να είχε διεισδύσει στους υπολογιστές της, οι επιπτώσεις μιας άστοχης απάντησης θα μπορούσαν να ήταν σημαντικές.

Τόσο οι επιθέσεις στον κυβερνοχώρο όσο και οι μέθοδοι για τον εντοπισμό των δραστών τους έχουν γίνει πιο εξελιγμένες στα 25 χρόνια από την αυγή του Solar Sunrise. Και τώρα ένας οργανισμός που ονομάζεται IARPA—η Intelligence Advanced Research Projects Activity, η οποία είναι η ερευνητική υπηρεσία υψηλού κινδύνου-υψηλής ανταμοιβής της κοινότητας πληροφοριών και είναι ξάδερφος της DARPA— θέλει να πάει τα πράγματα ένα βήμα παραπέρα. Ένα πρόγραμμα που ονομάζεται SOURCE CODE, το οποίο σημαίνει Ασφάλιση των Υποκείμενων Πόρων μας σε Περιβάλλοντα Κυβερνοχώρου, ζητά από τις ομάδες να διαγωνιστούν για να αναπτύξουν νέους τρόπους για να κάνουν εγκληματολογία σε κακόβουλο κώδικα. Οι στόχοι είναι να βρεθούν καινοτόμοι τρόποι για να βοηθηθούν οι πιθανοί εισβολείς με βάση τα στυλ κωδικοποίησής τους και να αυτοματοποιηθούν τμήματα της διαδικασίας απόδοσης.

Ποιος έκανε το hacking;

Δεν υπάρχει μόνο ένας τρόπος να απαντηθεί το ερώτημα της απόδοσης στον κυβερνοχώρο, λέει ο Herb Lin, ανώτερος ερευνητής για την πολιτική και την ασφάλεια στον κυβερνοχώρο στο Κέντρο Διεθνούς Ασφάλειας και Συνεργασίας του Στάνφορντ. Στην πραγματικότητα, υπάρχουν τρία: Μπορείτε να βρείτε τα μηχανήματα που κάνουν τη βρώμικη δουλειά, τους συγκεκριμένους ανθρώπους που χειρίζονται αυτές τις μηχανές ή το μέρος που είναι τελικά υπεύθυνο – το αφεντικό που διευθύνει τη λειτουργία. «Ποια από αυτές τις απαντήσεις είναι σχετική εξαρτάται από το τι προσπαθείτε να κάνετε», λέει ο Lin. Αν θέλετε απλώς να σταματήσει ο πόνος, για παράδειγμα, δεν σας ενδιαφέρει απαραίτητα ποιος τον προκαλεί ή γιατί. «Αυτό σημαίνει ότι θέλεις να κυνηγήσεις το μηχάνημα», λέει. Αν θέλετε να αποθαρρύνετε μελλοντικές επιθέσεις από τους ίδιους ηθοποιούς, πρέπει να καταλήξετε στη ρίζα: σε αυτόν που διευθύνει τη δράση.

Ανεξάρτητα, να μπορώ να απαντήσω στο whodunit

Το ερώτημα είναι σημαντικό όχι μόνο για την αναχαίτιση μιας παρούσας εισβολής αλλά και για την αποτροπή μελλοντικών. «Αν δεν μπορείς να αποδώσεις, τότε είναι πολύ εύκολο για οποιονδήποτε παίκτη να σου επιτεθεί γιατί είναι απίθανο να υπάρξουν συνέπειες», λέει η Σούζαν Λαντάου, η οποία ερευνά την ασφάλεια στον κυβερνοχώρο και την πολιτική στο Πανεπιστήμιο Tufts.

Στις προσπάθειες να λάβουμε οποιαδήποτε από τις τρεις απαντήσεις απόδοσης, τόσο η κυβέρνηση όσο και ο ιδιωτικός τομέας είναι σημαντικοί φορείς. Η κυβέρνηση έχει πρόσβαση σε περισσότερες και διαφορετικές πληροφορίες από εμάς τους υπόλοιπους. Όμως εταιρείες όπως η Crowdstrike, η Mandiant, η Microsoft και η Recorded Future έχουν κάτι άλλο. «Ο ιδιωτικός τομέας προηγείται σημαντικά στην τεχνολογική πρόοδο», λέει ο Sepich. Όταν συνεργαστούν, όπως θα κάνουν σε αυτό το έργο IARPA, πιθανότατα μαζί με πανεπιστημιακούς ερευνητές, υπάρχει πιθανότητα συμβίωσης.

Και μπορεί να υπάρχει κάποια ιδιαίτερη σάλτσα πίσω από κάποιες από τις συνεργασίες επίσης. «Δεν είναι τυχαίο ότι πολλοί από τους ανθρώπους που ξεκινούν αυτές τις εταιρείες του ιδιωτικού τομέα είναι πρώην άνθρωποι των υπηρεσιών πληροφοριών», λέει ο Lin. Συχνά, λέει, έχουν κοινωνικές σχέσεις με όσους βρίσκονται ακόμη στην κυβέρνηση. «Αυτοί οι τύποι, ξέρετε, μαζεύονται για ένα ποτό στο κέντρο της πόλης», λέει. Αυτός που βρίσκεται ακόμα μέσα θα μπορούσε να πει, όπως το θέτει ο Lin, «Μπορεί να θέλετε να ρίξετε μια ματιά στον παρακάτω ιστότοπο».

Ποιος έγραψε αυτόν τον κώδικα;

Το έργο φαίνεται μυστικό. Το IARPA δεν απάντησε σε αίτημα για σχολιασμό και ένα εργαστήριο που θα βοηθήσει με τις δοκιμές και την αξιολόγηση για τον Πηγή ΚΩΔΙΚΟΥ μόλις επιλεγούν οι ανταγωνιστικές ομάδες και ξεκινήσουν τη δουλειά τους αρνήθηκε να σχολιάσει. Ωστόσο, σύμφωνα με το προσχέδιο ανακοίνωσης για το πρόγραμμα που κυκλοφόρησε τον Σεπτέμβριο, οι ερευνητικές ομάδες θα βρουν αυτοματοποιημένους τρόπους για να ανιχνεύσουν ομοιότητες μεταξύ κομματιών κώδικα λογισμικού, να αντιστοιχίσουν επιθέσεις με γνωστά μοτίβα και να το κάνουν και για τον πηγαίο κώδικα – τον κώδικα όπως γράφουν οι προγραμματιστές αυτόν —και τον δυαδικό κώδικα— τον κώδικα καθώς τον διαβάζουν οι υπολογιστές. Η τεχνολογία τους πρέπει να είναι σε θέση να φτύσει ένα σκορ ομοιότητας και να εξηγήσει την αντιστοιχία της. Αλλά

δεν είναι

μόνο αυτό: Οι ομάδες θα αναπτύξουν επίσης τεχνικές για να αναλύσουν τον τρόπο με τον οποίο τα μοτίβα μπορεί να παραπέμπουν σε «δημογραφικά στοιχεία», τα οποία θα μπορούσαν να αναφέρονται σε μια χώρα, μια ομάδα ή ένα άτομο.

Η γενική ουσία της προσέγγισης του προγράμματος, λέει ο Lin, μοιάζει λίγο με ένα είδος εργασιών που αναλαμβάνουν μερικές φορές οι λογοτεχνικοί μελετητές: προσδιορίζοντας, για παράδειγμα, εάν ο Σαίξπηρ έγραψε ένα συγκεκριμένο έργο, με βάση πτυχές όπως δομές προτάσεων, ρυθμικά μοτίβα και θέματα. «Μπορούν να πουν ναι ή όχι, απλώς εξετάζοντας το κείμενο», λέει. «Αυτό που απαιτεί, φυσικά, είναι πολλά παραδείγματα γνήσιου Σαίξπηρ». Ίσως, εικάζει, μέρος αυτού που θα μπορούσε να αποφέρει το πρόγραμμα IARPA είναι ένας τρόπος να προσδιορίσουμε έναν κακόβουλο Σαίξπηρ που γράφει κώδικα με λιγότερα παραδείγματα αναφοράς.

Αλλά το IARPA ζητά από τους ερμηνευτές να υπερβούν τα λεξιλογικά και συντακτικά χαρακτηριστικά – ουσιαστικά, πώς συνδυάζονται οι λέξεις, οι προ

τάσεις

και οι παράγραφοι του Σαίξπηρ. Υπάρχει πολλή έρευνα εκεί έξω για αυτές τις βασικές εργασίες αντιστοίχισης και οι επιτιθέμενοι είναι επίσης έμπειροι στο να πλαισιώνουν άλλους (για παράδειγμα, πλαστογραφώντας τον Σαίξπηρ) και να συσκοτίζουν τις ταυτότητές τους (είναι Σαίξπηρ αλλά γράφουν διαφορετικά για να πετάξουν τους ντετέκτιβ από τη μυρωδιά).

Ένα είδος κώδικα, για παράδειγμα, που ονομάζεται μεταμορφικό κακόβουλο

λογισμικό

, αλλάζει τη σύνταξή του κάθε γενιά, αλλά μπορεί να διατηρήσει τους ίδιους απώτερους στόχους – αυτό που το πρόγραμμα προσπαθεί να επιτύχει. Ίσως αυτός είναι ο λόγος που οι SOURCE CODEs θα επικεντρωθούν αντ ‘αυτού σε «σημασιολογικά και συμπεριφορικά» χαρακτηριστικά: αυτά που έχουν να κάνουν με το πώς λειτουργεί ένα πρόγραμμα και ποια είναι η

έννοια

του κώδικά του. Ως μη ψηφιακό παράδειγμα, ίσως πολλοί φυσικοί χρησιμοποιούν ένα συγκεκριμένο στυλ διάλεξης, αλλά κανείς άλλος δεν φαίνεται να το κάνει. Εάν αρχίσετε να ακούτε κάποιον να μιλάει και χρησιμοποιεί αυτό το στυλ, θα μπορούσατε εύλογα να συμπεράνετε ότι είναι φυσικός. Κάτι παρόμοιο θα μπορούσε να ισχύει και στο λογισμικό. Ή, για να συνεχίσουμε την αναλογία του θεάτρου με την τελική του πράξη, «Μπορείτε να εξαγάγετε το νόημα υψηλού επιπέδου αυτών των έργων, παρά την ατομική χρήση αυτής της λέξης εδώ και εκείνης της λέξης εκεί, με κάποιο τρόπο;» λέει ο Λιν. «Αυτή είναι μια πολύ διαφορετική ερώτηση». Και είναι κάτι στο οποίο η IARPA θα ήθελε την απάντηση.

Παρόλο που μέρη του SOURCE CODE πιθανότατα θα ταξινομηθούν (καθώς ήταν μέρη των ενημερωτικών συνεδριών που πραγματοποιήθηκε η IARPA για πιθανούς συμμετέχοντες), υπάρχει επίσης αξία, λέει ο Landau, στο να κοροϊδεύει η κυβέρνηση όχι μόνο για τα επιτεύγματα απόδοσης αλλά και για τις δυνατότητες που τα κατέστησαν δυνατά . Τα τελευταία χρόνια, λέει, η κυβέρνηση έχει γίνει πιο πρόθυμη να αποδώσει δημόσια κυβερνοεπιθέσεις. «Αυτή είναι μια απόφαση ότι είναι καλύτερο για την εθνική ασφάλεια των ΗΠΑ να αναγνωρίσει ότι έχουμε τις τεχνικές για να το πράξουμε, για παράδειγμα, με το να το βάλουμε σε δικαστήριο παρά να κρατήσουμε αυτό το μυστικό και να αφήσουμε τον δράστη να μείνει ατιμώρητος».

Γιατί το έκαναν;

Ό,τι και αν είναι σε θέση να κάνουν οι ομάδες του SOURCE CODE δεν θα είναι ποτέ το τέλος της ιστορίας. Επειδή η απόδοση στον κυβερνοχώρο δεν είναι απλώς μια τεχνική προσπάθεια. είναι και πολιτικό. Το κίνητρο του κακού ηθοποιού δεν προκύπτει μόνο από την εγκληματολογία του κώδικα. «Αυτό δεν πρόκειται ποτέ να προέλθει από την τεχνολογία», λέει ο Lin. Μερικές φορές αυτό το κίνητρο είναι οικονομικό ή είναι η επιθυμία πρόσβασης και χρήσης προσωπικών πληροφοριών άλλων ανθρώπων. Μερικές φορές, όπως στην περίπτωση των «χακτιβιστών», είναι φιλοσοφική, η επιθυμία να αποδείξουν ένα κοινωνικό ή πολιτικό σημείο. Πιο σοβαρά, οι επιθέσεις μπορούν να σχεδιαστούν για να διαταράξουν κρίσιμες υποδομές, όπως το ηλεκτρικό δίκτυο ή έναν αγωγό, ή για τη συλλογή πληροφοριών σχετικά με στρατιωτικές επιχειρήσεις.

Συχνά, το κομμάτι που δείχνει το δάχτυλο δεν προέρχεται από την τεχνική εγκληματολογία, αλλά από άλλα είδη πληροφοριών στα οποία, βολικά, η κοινότητα πληροφοριών που εκτελεί αυτό το πρόγραμμα θα είχε πρόσβαση. «Υποκλοπούν email και ακούν τηλεφωνικές συνομιλίες», λέει ο Lin. «Και αν μάθουν ότι αυτός ο τύπος που αγαπά το πρόγραμμά του μιλάει στην κοπέλα του για αυτό και άκουσαν αυτή τη συζήτηση, αυτό είναι ενδιαφέρον».

Διαβάστε περισσότερες ιστορίες PopSci+.

VIA:

popsci.com

Παρόμοια άρθρα