Ενα σφάλμα λογισμικού το οποίο μπορούσε να προκαλέσει την κατάρρευση ενός λειτουργικού συστήματος που χρησιμοποιείται σε firewalls και servers παρέμενε άγνωστο για περισσότερα από 27 χρόνια.
Τον περασμένο μήνα, εντοπίστηκε από το Mythos, το πιο πρόσφατο μοντέλο τεχνητής νοημοσύνης της Anthropic, προκαλώντας ανησυχία στον Λευκό Οίκο, σε τραπεζικά στελέχη και σε επαγγελματίες της κυβερνοασφάλειας σε όλο τον κόσμο.
Καλώς ήρθατε στο «Bug Armageddon». Μοντέλα όπως το Mythos εντοπίζουν σφάλματα σε παλαιότερα λογισμικά με ρυθμούς που δεν έχουμε ξαναδεί.
Αν και τα περισσότερα προβλήματα κώδικα μπορεί να είναι μικρής σημασίας, ο τεράστιος όγκος τους αυξάνει τον κίνδυνο οι μικρότερες εταιρείες λογισμικού να κατακλυστούν από αναφορές σφαλμάτων, όπως αυτό που εντόπισε το Mythos. Με τη βοήθεια της AI, οι χάκερ θα μπορούν να εκμεταλλεύονται αυτά τα κενά ασφαλείας πολύ πιο γρήγορα από ποτέ.
Αξιολόγηση
Το σφάλμα του 1998 στο λειτουργικό σύστημα OpenBSD ήταν ένα από τα χιλιάδες που εντόπισε το Mythos τον περασμένο μήνα. Η Anthropic ανακοίνωσε ότι συνεργάζεται με περίπου 50 τεχνολογικές εταιρείες και οργανισμούς για τον εντοπισμό και τη διόρθωση σφαλμάτων, ενώ προς το παρόν δεν σχεδιάζει να διαθέσει το Mythos στο ευρύ κοινό.
«Οφείλουμε να είμαστε βέβαιοι ότι μπορεί να διατεθεί με ασφάλεια, κάτι που ακόμη δεν είναι απολύτως σαφές πώς μπορεί να εξασφαλιστεί» δήλωσε ο Logan Graham, επικεφαλής της Frontier Red Team της Anthropic, η οποία αξιολογεί τους κινδύνους της τεχνητής νοημοσύνης. Η ανταγωνίστρια της Anthropic, OpenAI, αναπτύσσει αντίστοιχη πρωτοβουλία, προσφέροντας μια εκδοχή του προϊόντος της με έμφαση στην ασφάλεια προς προγραμματιστές, ώστε να διορθώνουν τα συστήματά τους πριν τα σφάλματα ανακαλυφθούν από εγκληματίες. Και η Google προετοιμάζει πρόγραμμα πρώιμης πρόσβασης για developers.
Το Mythos έχει προκαλέσει αναστάτωση σε μεγάλες εταιρείες τεχνολογίας, καθώς οι εργαζόμενοι προσπαθούν να κατανοήσουν πώς το νέο μοντέλο μπορεί να ανατρέψει τα δεδομένα της κυβερνοασφάλειας και να αποκαλύψει νέες απειλές για τα προϊόντα τους.
Εξαρτήσεις
Η Numeric, μια πλατφόρμα αυτοματοποίησης λογιστικής με έδρα το Σαν Φρανσίσκο, άνοιξε πρόσφατα σχετική συζήτηση σε εσωτερικό κανάλι κυβερνοασφάλειας στο Slack, την πλατφόρμα επικοινωνίας που χρησιμοποιούν οι ομάδες της εταιρείας. Σύμφωνα με τον συνιδρυτή της Numeric Anthony Alvernaz, από τους μεγαλύτερους κινδύνους για τις εταιρείες προέρχονται από τις εξαρτήσεις σε εργαλεία «ανοιχτού κώδικα», που αναπτύσσονται συλλογικά – συχνά από εθελοντές που δεν διαθέτουν τους πόρους για γρήγορη διαχείριση των αναφορών σφαλμάτων. Αυτή η υποδομή αποτελεί τη βάση του σύγχρονου διαδικτύου.
«Ο κώδικας που γράφει μια εταιρεία είναι σαν την κορυφή μιας τούρτας: Από κάτω υπάρχουν πολλαπλά στρώματα λογισμικού ανοιχτού κώδικα» σημείωσε.
Οταν άκουσε ότι το Mythos εντόπισε ένα παλιό σφάλμα στο OpenBSD, ο ειδικός στην κυβερνοασφάλεια Niels Provos αναρωτήθηκε αν ήταν δικό του λάθος, όταν έγραφε κώδικα πριν από 27 χρόνια κατά τη διάρκεια του διδακτορικού του στο Πανεπιστήμιο του Μίσιγκαν. Ενας γρήγορος έλεγχος επιβεβαίωσε τις υποψίες του.
«Ειλικρινά, μου φάνηκε ξεκαρδιστικό. Είναι τόσο παλιός κώδικας» είπε ο Provos, πρώην επικεφαλής ασφάλειας στη Stripe. «Ποιος ξέρει πότε ήταν η τελευταία φορά που τον κοίταξε άνθρωπος».
Τα εργαλεία
Για έναν άνθρωπο, ο εντοπισμός και η εκμετάλλευση ενός τέτοιου σφάλματος θα απαιτούσε αμέτρητες ώρες έρευνας. Οι περισσότεροι χάκερ δεν θα έμπαιναν καν στον κόπο να εξετάσουν τον παλιό αυτόν κώδικα, θεωρώντας ότι είχε ήδη ελεγχθεί.
«Παλαιότερα, μόνο λίγοι μπορούσαν να το κάνουν αυτό. Τώρα, με αυτά τα εργαλεία, το επίπεδο δεξιοτήτων που απαιτείται για πολύ εξελιγμένες επιθέσεις έχει μειωθεί δραστικά» είπε.
Το Mythos εντόπισε το συγκεκριμένο σφάλμα (μαζί με δεκάδες άλλα) καταναλώνοντας υπολογιστική ισχύ αξίας περίπου 20.000 δολαρίων σε δύο ημέρες.
Τις τελευταίες εβδομάδες, απέδειξε επίσης ότι μπορεί να γράφει κώδικα που εκμεταλλεύεται αυτές τις ευπάθειες. Σήμερα, οι περισσότερες κυβερνοεπιθέσεις δεν βασίζονται σε άγνωστες ευπάθειες (zero days). Οι χάκερ συνήθως αξιοποιούν ήδη γνωστά σφάλματα ή κλέβουν στοιχεία σύνδεσης μέσω κοινωνικής μηχανικής. Παράλληλα, οι περισσότερες εταιρείες διαθέτουν μηχανισμούς που περιορίζουν τη ζημιά ακόμη και αν ένα σύστημα παραβιαστεί.
Προσφάτως, το λογισμικό της Anthropic εντόπισε πάνω από 100 σφάλματα στον browser Firefox και κατάφερε να γράψει κώδικα που εκμεταλλευόταν ένα από αυτά σε δοκιμαστική έκδοση. Στην πράξη, ωστόσο, άλλοι μηχανισμοί ασφαλείας θα απέτρεπαν την επίθεση.
Η πρόκληση
Οι δυνατότητες των νέων μοντέλων AI στην κυβερνοασφάλεια έχουν αρχίσει να ανησυχούν ακόμη και τους πιο δύσπιστους. Ο φόβος είναι ότι η ανάγκη διόρθωσης ενός τεράστιου αριθμού σφαλμάτων θα δημιουργήσει μια πρωτοφανή πρόκληση – το ισοδύναμο του Y2K (το «σφάλμα του 2000») στην εποχή της τεχνητής νοημοσύνης.
Πολλοί ειδικοί πιστεύουν ότι το «Bug Armageddon» θα εξελιχθεί με παρόμοιο τρόπο: τα προβλήματα θα διορθωθούν, αλλά θα απαιτηθεί τεράστια προσπάθεια.
Στον Λευκό Οίκο, ανώτατοι αξιωματούχοι – μεταξύ των οποίων ο Εθνικός Διευθυντής Κυβερνοασφάλειας Sean Cairncross – κινούνται γρήγορα για να αντιμετωπίσουν την απειλή, εντοπίζοντας αδυναμίες στα κυβερνητικά συστήματα και συντονίζοντας τον ιδιωτικό τομέα. Οι επενδυτές ανησυχούν ότι οι εξελίξεις αυτές μπορεί να φέρουν τα πάνω κάτω στη βιομηχανία λογισμικού, ενώ οι μετοχές εταιρειών κυβερνοασφάλειας υποχώρησαν την περασμένη εβδομάδα.
Σύμφωνα με τη HackerOne, οι εταιρείες γίνονται πιο αποτελεσματικές στη διόρθωση κρίσιμων σφαλμάτων, αλλά η AI αυξάνει κατακόρυφα τον όγκο των αναφορών. Οι υποβολές σφαλμάτων αυξήθηκαν κατά 76% σε σχέση με πέρυσι, ενώ ο μέσος χρόνος διόρθωσης αυξήθηκε από 160 σε 230 ημέρες.
Αδυναμίες
Παράλληλα, αυξάνεται η ανησυχία ότι λιγότερο γνωστά τεχνολογικά προϊόντα θα γίνουν πλέον στόχος και ότι οι μικρότερες εταιρείες δεν θα έχουν τους πόρους να αντεπεξέλθουν.
«Θα γίνει πολύ πιο εύκολο να επιτεθεί κανείς σε τυχαία κομμάτια υποδομών που μέχρι τώρα δεν ήταν στόχος» δήλωσε ο ερευνητής ασφάλειας Thomas Ptacek.
Ο Sergej Epp, επικεφαλής ασφάλειας της Sysdig, βίωσε αυτό το φαινόμενο ήδη από τον Φεβρουάριο. Παρότι είχε να εντοπίσει σφάλμα εδώ και δέκα χρόνια, δοκιμάζοντας το λογισμικό της Anthropic κατάφερε γρήγορα να βρει αρκετά κενά ασφαλείας.
Σε συνέδριο κυβερνοασφάλειας παρουσίασε μια ιστοσελίδα που δείχνει πόσο γρήγορα η AI μετατρέπει τα σφάλματα σε εργαλεία επίθεσης, την οποία ονόμασε «Zero-Day Clock», εμπνευσμένος από το «Ρολόι της Αποκάλυψης».
Κάθε λογισμικό έχει αδυναμίες, και μόλις εντοπιστεί ένα σφάλμα ξεκινά ένας αγώνας: μεταξύ χάκερ και όσων προσπαθούν να το διορθώσουν. Πριν από οκτώ χρόνια, ο μέσος χρόνος μεταξύ αποκάλυψης και επίθεσης ήταν 847 ημέρες. Πέρυσι έπεσε στις 23 ημέρες. Φέτος, οι περισσότερες ευπάθειες αξιοποιούνται μέσα σε μία ημέρα.
Η ιστοσελίδα καλεί τη βιομηχανία τεχνολογίας να επανεξετάσει ριζικά τον τρόπο ανάπτυξης λογισμικού.
«Η AI δίνει υπερδυνάμεις στους χάκερ, όχι στους αμυνόμενους» κατέληξε ο Epp.
