Helpt beveiligingsonderzoek hackers daadwerkelijk?

Toen het verhaal in 2011 uitbrak dat onderzoekers het dodelijke H5N1-virus hadden aangepast om meer overdraagbaar te zijn en hun bevindingen wilden publiceren, waren de meesten van ons terecht gealarmeerd. Hoewel het virus werd gewijzigd als onderdeel van onderzoek dat was ontworpen om te helpen bepalen wat de overdracht van het virus door de mens zou kunnen helpen, konden critici niet anders dan vragen: wat zou er gebeuren als iemand deze informatie zou gebruiken om dit dodelijke virus te produceren en te verspreiden?

Hoewel niet potentieel levensbedreigend, bestaat er een vergelijkbare dynamiek op het gebied van computerbeveiliging. Beveiligingsonderzoekers, sommige academici en sommige amateur, zoeken naar fouten in beveiligingssystemen, besturingssystemen en applicaties. Wanneer ze een dergelijke fout vinden, maken ze hun bevindingen meestal openbaar, vaak met bijbehorende informatie over hoe de fout kan worden benut. In sommige gevallen kan deze informatie kwaadwillende hackers helpen hun aanvallen te plannen en te rangschikken.

Witte hoeden en zwarte hoeden

Hackers zijn normaal gegroepeerd in twee basiscategorieën: zwarte hoeden en witte hoeden. Black hat-hackers zijn de "slechteriken" die proberen beveiligingslekken te identificeren, zodat ze informatie kunnen stelen of aanvallen op websites kunnen starten. White hat-hackers zoeken ook naar beveiligingsproblemen, maar ze informeren de softwareleverancier of maken hun bevindingen openbaar om de verkoper te dwingen het beveiligingslek te verhelpen. White hat hackers kunnen variëren van universitaire academici die beveiligingsonderzoek doen tot tieneramateurs die gemotiveerd zijn door nieuwsgierigheid en een verlangen om hun vaardigheden te vergelijken met die van de professionals.

Wanneer een beveiligingslek openbaar wordt gemaakt door een white hat-hacker, gaat deze vaak vergezeld van een proof-of-concept-code die laat zien hoe het lek kan worden misbruikt. Omdat black hat-hackers en white hat-hackers dezelfde websites bezoeken en dezelfde literatuur lezen, hebben black hat-hackers vaak toegang tot deze informatie voordat de softwareleverancier het beveiligingslek kan dichten. Studies hebben aangetoond dat hack-exploits vaak beschikbaar zijn binnen 24 uur na het bekendmaken van een beveiligingsfout.

Hulp nodig bij het kraken van een pincode?

Een andere informatiebron is onderzoekspublicaties voor computerbeveiliging die zijn gepubliceerd door academici van white hat. Hoewel academische tijdschriften en onderzoekspapers waarschijnlijk niet naar de smaak van de gemiddelde hacker zijn, kunnen sommige hackers (waaronder potentieel gevaarlijke in Rusland en China) diepzinnig onderzoeksmateriaal verwerken en gebruiken.

In 2003 publiceerden twee onderzoekers van de Universiteit van Cambridge een paper met een methode voor het raden van persoonlijke identificatienummers (PIN's) die de brute force-techniek die veel hackers gebruikten, aanzienlijk zouden verbeteren. Dit artikel bevat ook informatie over de hardwarebeveiligingsmodules (HSM's) die worden gebruikt om gecodeerde pincodes te genereren.

In 2006 publiceerden Israëlische onderzoekers een paper met een andere aanvalsmethode waarvoor de hulp van een insider nodig was. Kort daarna begon Graham Steel, een beveiligingsonderzoeker aan de Universiteit van Edinburgh, die een analyse van PIN-blokaanvallen datzelfde jaar publiceerde, Russische e-mails te ontvangen met de vraag of hij informatie kon geven over het kraken van PIN-codes.

In 2008 werd een groep hackers aangeklaagd voor het stelen en ontsleutelen van blokken pincodes. De verklaring voor de rechtbank aangeklaagd beschuldigde de beschuldigde hackers van "technische hulp van criminele medewerkers bij het ontsleutelen van gecodeerde pincodes."

Hadden die 'criminele medewerkers' bestaand wetenschappelijk onderzoek kunnen gebruiken om methoden te bedenken om gecodeerde pincodes te stelen en te decoderen? Zouden ze zonder de hulp van veiligheidsonderzoekspapieren de benodigde informatie hebben kunnen verkrijgen? (Voor meer hackertrucs, bekijk 7 Sneaky Ways Hackers kunnen je Facebook-wachtwoord krijgen.)

Hoe een appel in een steen te veranderen

De batterij voor een Apple-laptop heeft een ingebouwde chip waarmee deze kan samenwerken met andere componenten en het besturingssysteem. In 2011 vroeg Charlie Miller, een beveiligingsonderzoeker die gespecialiseerd is in Apple-producten, zich af wat voor schade hij zou kunnen aanrichten als hij toegang zou krijgen tot de batterijchip.

Toegang verkrijgen bleek vrij eenvoudig, omdat Miller het standaardwachtwoord kon achterhalen dat de chip in de volledige toegangsmodus bracht. Dit stelde hem in staat om de batterij te deactiveren (ook wel "bricking" genoemd, waarschijnlijk omdat een bricked batterij ongeveer even nuttig is voor een computer als een brick). Miller theoretiseerde dat een hacker ook de volledige toegangsmodus kon gebruiken om malware op de batterijchip te plaatsen.

Zouden hackers deze obscure zwakte in Apple-laptops uiteindelijk hebben gevonden zonder het werk van Miller? Het lijkt onwaarschijnlijk, maar er is altijd de kans dat een kwaadwillende hacker er ook op zou kunnen stuiten.

Later in het jaar ontdekte Miller een bug in het iOS-besturingssysteem van Apple voor iPads en iPhones waardoor een hacker kwaadaardige code kon uitvoeren. Hij creëerde vervolgens een onschadelijke proof-of-concept-applicatie om de bug aan te tonen en kreeg deze goedgekeurd voor de Apple Store door het te vermommen als een stock ticker-applicatie.

Apple was niet geamuseerd en beweerde dat Miller de voorwaarden van de Apple-ontwikkelaarsovereenkomst had geschonden. Apple heeft Miller uit zijn ontwikkelprogramma's verwijderd.

Bieden hackers een waardevolle service?

Hoewel ze informatie kunnen verstrekken die nuttig kan zijn voor kwaadwillende hackers, zijn white hat-hackers ook van onschatbare waarde voor softwareleveranciers. Charlie Miller bijvoorbeeld had Apple voor tientallen bugs gewaarschuwd voordat de licentie van zijn ontwikkelaar werd beëindigd. Hoewel het publiceren van informatie over een beveiligingslek een systeem tijdelijk kan blootstellen aan aanvallen, heeft openbaarmaking waarschijnlijk de voorkeur boven een kwaadwillende hacker die het beveiligingslek ontdekt en buiten de medeweten van de verkoper exploiteert.

Beveiligingsprofessionals hebben zelfs met tegenzin het belang van black hat-hackers erkend. Op Black Hat-congressen zoals DEFCON mengen beveiligingsonderzoekers, academici en wetshandhavers zich met de hackers en crackers om te luisteren naar presentaties over hacking. Informatica-academici hebben waardevolle inzichten verkregen vanuit het perspectief van hackers en hebben deze gebruikt om hun curricula te verbeteren. Veel bedrijven hebben ook (vermoedelijk) hervormde hackers ingehuurd als beveiligingsadviseurs om hun netwerken en systemen te testen. (Voor meer informatie over hackers, bekijk je 5 redenen waarom je dankbaar moet zijn voor hackers.)

Het voortdurende duel tussen beveiligingsonderzoekers en hackers

Biedt beveiligingsonderzoek vaak onbedoeld nuttige informatie voor hackers? Ja. Onderzoek door hackers levert echter ook nuttige informatie op voor academici en ontwerpers van beveiligingssystemen. Aangedreven door de vrijheid van internet, zullen de creatieve geesten van hackers en beveiligingsonderzoekers waarschijnlijk blijven opgesloten in zowel een voortdurend duel als een verdieping van onderlinge afhankelijkheid.