|
Αν
και τα περισσότερα
προβλήματα κώδικα μπορεί
να είναι μικρής
σημασίας, ο τεράστιος
όγκος τους αυξάνει τον
κίνδυνο οι μικρότερες
εταιρείες λογισμικού να
κατακλυστούν από
αναφορές σφαλμάτων, όπως
αυτό που εντόπισε το
Mythos. Με τη βοήθεια
της AI, οι χάκερ θα
μπορούν να
εκμεταλλεύονται αυτά τα
κενά ασφαλείας πολύ πιο
γρήγορα από ποτέ.
Αξιολόγηση
Το
σφάλμα του 1998 στο
λειτουργικό σύστημα
OpenBSD ήταν ένα από τα
χιλιάδες που εντόπισε το
Mythos τον περασμένο
μήνα. Η Anthropic
ανακοίνωσε ότι
συνεργάζεται με περίπου
50 τεχνολογικές
εταιρείες και
οργανισμούς για τον
εντοπισμό και τη
διόρθωση σφαλμάτων, ενώ
προς το παρόν δεν
σχεδιάζει να διαθέσει το
Mythos στο ευρύ κοινό.
«Οφείλουμε να είμαστε
βέβαιοι ότι μπορεί να
διατεθεί με ασφάλεια,
κάτι που ακόμη δεν είναι
απολύτως σαφές πώς
μπορεί να
εξασφαλιστεί» δήλωσε
ο Logan Graham,
επικεφαλής της Frontier
Red Team της Anthropic,
η οποία αξιολογεί τους
κινδύνους της τεχνητής
νοημοσύνης. Η
ανταγωνίστρια της
Anthropic, OpenAI,
αναπτύσσει αντίστοιχη
πρωτοβουλία,
προσφέροντας μια εκδοχή
του προϊόντος της με
έμφαση στην ασφάλεια
προς προγραμματιστές,
ώστε να διορθώνουν τα
συστήματά τους πριν τα
σφάλματα ανακαλυφθούν
από εγκληματίες. Και η
Google προετοιμάζει
πρόγραμμα πρώιμης
πρόσβασης για
developers.
Το
Mythos έχει προκαλέσει
αναστάτωση σε μεγάλες
εταιρείες τεχνολογίας,
καθώς οι εργαζόμενοι
προσπαθούν να
κατανοήσουν πώς το νέο
μοντέλο μπορεί να
ανατρέψει τα δεδομένα
της κυβερνοασφάλειας και
να αποκαλύψει νέες
απειλές για τα προϊόντα
τους.
Εξαρτήσεις
Η
Numeric, μια πλατφόρμα
αυτοματοποίησης
λογιστικής με έδρα το
Σαν Φρανσίσκο, άνοιξε
πρόσφατα σχετική
συζήτηση σε εσωτερικό
κανάλι κυβερνοασφάλειας
στο Slack, την πλατφόρμα
επικοινωνίας που
χρησιμοποιούν οι ομάδες
της εταιρείας. Σύμφωνα
με τον συνιδρυτή της
Numeric Anthony
Alvernaz, από τους
μεγαλύτερους κινδύνους
για τις εταιρείες
προέρχονται από τις
εξαρτήσεις σε εργαλεία
«ανοιχτού κώδικα», που
αναπτύσσονται συλλογικά
– συχνά από εθελοντές
που δεν διαθέτουν τους
πόρους για γρήγορη
διαχείριση των αναφορών
σφαλμάτων. Αυτή η
υποδομή αποτελεί τη βάση
του σύγχρονου
διαδικτύου.
«Ο
κώδικας που γράφει μια
εταιρεία είναι σαν την
κορυφή μιας τούρτας: Από
κάτω υπάρχουν πολλαπλά
στρώματα λογισμικού
ανοιχτού
κώδικα» σημείωσε.
Οταν άκουσε ότι το
Mythos εντόπισε ένα
παλιό σφάλμα στο
OpenBSD, ο ειδικός στην
κυβερνοασφάλεια Niels
Provos αναρωτήθηκε αν
ήταν δικό του λάθος,
όταν έγραφε κώδικα πριν
από 27 χρόνια κατά τη
διάρκεια του
διδακτορικού του στο
Πανεπιστήμιο του
Μίσιγκαν. Ενας γρήγορος
έλεγχος επιβεβαίωσε τις
υποψίες του.
«Ειλικρινά, μου φάνηκε
ξεκαρδιστικό. Είναι τόσο
παλιός κώδικας» είπε ο
Provos, πρώην επικεφαλής
ασφάλειας στη
Stripe. «Ποιος ξέρει
πότε ήταν η τελευταία
φορά που τον κοίταξε
άνθρωπος».
Τα
εργαλεία
Για
έναν άνθρωπο, ο
εντοπισμός και η
εκμετάλλευση ενός
τέτοιου σφάλματος θα
απαιτούσε αμέτρητες ώρες
έρευνας. Οι περισσότεροι
χάκερ δεν θα έμπαιναν
καν στον κόπο να
εξετάσουν τον παλιό
αυτόν κώδικα, θεωρώντας
ότι είχε ήδη ελεγχθεί.
«Παλαιότερα, μόνο λίγοι
μπορούσαν να το κάνουν
αυτό. Τώρα, με αυτά τα
εργαλεία, το επίπεδο
δεξιοτήτων που
απαιτείται για πολύ
εξελιγμένες επιθέσεις
έχει μειωθεί
δραστικά» είπε.
Το
Mythos εντόπισε το
συγκεκριμένο σφάλμα
(μαζί με δεκάδες άλλα)
καταναλώνοντας
υπολογιστική ισχύ αξίας
περίπου 20.000 δολαρίων
σε δύο ημέρες.
Τις
τελευταίες εβδομάδες,
απέδειξε επίσης ότι
μπορεί να γράφει κώδικα
που εκμεταλλεύεται αυτές
τις ευπάθειες. Σήμερα,
οι περισσότερες
κυβερνοεπιθέσεις δεν
βασίζονται σε άγνωστες
ευπάθειες (zero days).
Οι χάκερ συνήθως
αξιοποιούν ήδη γνωστά
σφάλματα ή κλέβουν
στοιχεία σύνδεσης μέσω
κοινωνικής μηχανικής.
Παράλληλα, οι
περισσότερες εταιρείες
διαθέτουν μηχανισμούς
που περιορίζουν τη ζημιά
ακόμη και αν ένα σύστημα
παραβιαστεί.
Προσφάτως, το λογισμικό
της Anthropic εντόπισε
πάνω από 100 σφάλματα
στον browser Firefox και
κατάφερε να γράψει
κώδικα που
εκμεταλλευόταν ένα από
αυτά σε δοκιμαστική
έκδοση. Στην πράξη,
ωστόσο, άλλοι μηχανισμοί
ασφαλείας θα απέτρεπαν
την επίθεση.
Η
πρόκληση
Οι
δυνατότητες των νέων
μοντέλων AI στην
κυβερνοασφάλεια έχουν
αρχίσει να ανησυχούν
ακόμη και τους πιο
δύσπιστους. Ο φόβος
είναι ότι η ανάγκη
διόρθωσης ενός τεράστιου
αριθμού σφαλμάτων θα
δημιουργήσει μια
πρωτοφανή πρόκληση – το
ισοδύναμο του Y2K (το
«σφάλμα του 2000») στην
εποχή της τεχνητής
νοημοσύνης.
Πολλοί ειδικοί πιστεύουν
ότι το «Bug Armageddon»
θα εξελιχθεί με παρόμοιο
τρόπο: τα προβλήματα θα
διορθωθούν, αλλά θα
απαιτηθεί τεράστια
προσπάθεια.
Στον Λευκό Οίκο,
ανώτατοι αξιωματούχοι –
μεταξύ των οποίων ο
Εθνικός Διευθυντής
Κυβερνοασφάλειας Sean
Cairncross – κινούνται
γρήγορα για να
αντιμετωπίσουν την
απειλή, εντοπίζοντας
αδυναμίες στα
κυβερνητικά συστήματα
και συντονίζοντας τον
ιδιωτικό τομέα. Οι
επενδυτές ανησυχούν ότι
οι εξελίξεις αυτές
μπορεί να φέρουν τα πάνω
κάτω στη βιομηχανία
λογισμικού, ενώ οι
μετοχές εταιρειών
κυβερνοασφάλειας
υποχώρησαν την περασμένη
εβδομάδα.
Σύμφωνα με τη HackerOne,
οι εταιρείες γίνονται
πιο αποτελεσματικές στη
διόρθωση κρίσιμων
σφαλμάτων, αλλά η AI
αυξάνει κατακόρυφα τον
όγκο των αναφορών. Οι
υποβολές σφαλμάτων
αυξήθηκαν κατά 76% σε
σχέση με πέρυσι, ενώ ο
μέσος χρόνος διόρθωσης
αυξήθηκε από 160 σε 230
ημέρες.
Αδυναμίες
Παράλληλα, αυξάνεται η
ανησυχία ότι λιγότερο
γνωστά τεχνολογικά
προϊόντα θα γίνουν πλέον
στόχος και ότι οι
μικρότερες εταιρείες δεν
θα έχουν τους πόρους να
αντεπεξέλθουν.
«Θα
γίνει πολύ πιο εύκολο να
επιτεθεί κανείς σε
τυχαία κομμάτια υποδομών
που μέχρι τώρα δεν ήταν
στόχος» δήλωσε ο
ερευνητής
ασφάλειας Thomas Ptacek.
Ο Sergej Epp, επικεφαλής
ασφάλειας της Sysdig,
βίωσε αυτό το φαινόμενο
ήδη από τον Φεβρουάριο.
Παρότι είχε να εντοπίσει
σφάλμα εδώ και δέκα
χρόνια, δοκιμάζοντας το
λογισμικό της Anthropic
κατάφερε γρήγορα να βρει
αρκετά κενά ασφαλείας.
Σε
συνέδριο
κυβερνοασφάλειας
παρουσίασε μια
ιστοσελίδα που δείχνει
πόσο γρήγορα η AI
μετατρέπει τα σφάλματα
σε εργαλεία επίθεσης,
την οποία ονόμασε
«Zero-Day Clock»,
εμπνευσμένος από το
«Ρολόι της Αποκάλυψης».
Κάθε λογισμικό έχει
αδυναμίες, και μόλις
εντοπιστεί ένα σφάλμα
ξεκινά ένας αγώνας:
μεταξύ χάκερ και όσων
προσπαθούν να το
διορθώσουν. Πριν από
οκτώ χρόνια, ο μέσος
χρόνος μεταξύ αποκάλυψης
και επίθεσης ήταν 847
ημέρες. Πέρυσι έπεσε
στις 23 ημέρες. Φέτος,
οι περισσότερες
ευπάθειες αξιοποιούνται
μέσα σε μία ημέρα.
Η
ιστοσελίδα καλεί τη
βιομηχανία τεχνολογίας
να επανεξετάσει ριζικά
τον τρόπο ανάπτυξης
λογισμικού.
«Η
AI δίνει υπερδυνάμεις
στους χάκερ, όχι στους
αμυνόμενους» κατέληξε ο
Epp.
Πηγή: The Wall Street
Journal
|
