Titaanide kübersõja-heitlus: superhäkker väänab turvaeksperte

Kui tuua lühidalt välja, mis sellest välja koorub, siis võib öelda, et:

Charlie Miller on matemaatikas Ph.D kraadi kaitsnud küberturbeekspert, "valge häkker", kes on mh töötanud 5 aastat NSA-s ja võitnud kaks korda järjest Pwn2Own häkkerite võistlusi turvaaukude avastamiseks. Näiteks on ta võtnud Maci arvuti enda avastatud Safari brauseri nõrkust kasutades kontrolli alla 10 sekundiga. Praegu on ta konsultatsioonifirma Independent Security Evaluators ekspert.

Mikko Hyppönen on maailma juhtiva infoturbetarkvara tootja F-Secure viirusetõrje labori juht. Ta on valitud maailma 50 kõige tähtsama internetiga seotud isiku hulka (PC World 2007.a. märts). Hyppönen on nõustanud infoturbe alal erinevaid USA, Euroopa ning Aasia valitsusasutusi ning esineb pidevalt maailma olulisematel infoturbe alastel seminaridel. Tema artikleid on avaldanud sellised ülemaailmse levikuga ajakirjad nagu Scientific American, Foreign Policy ja Virus Bulletin.

Assaf Keren on viimased seitse aastat süüvinud infoturbe valdkonda. Tema tööks on küberturbe riskianalüüs, turvalisuspoliitika väljatöötamine ja rakendamine jms. Praegu on ta Iisraeli e-valitsuse küberturbeosakonna direktor.

* * *

HÄKKER VASTAB

Küsib Assaf Keren, vastab Charlie Miller:

Kui sa räägid 0-päeva rünnakutest (veel muu maailma poolt avastamata turvaaukude ärakasutamises, 0-day attack - Toim.) ja masinate ründamisest, tundub, et oled veendunud, et miski ei saa sind peatada. Kas sa ei arva, et korralik kaitsekorraldus võib sind peatada või vähemalt teha ründamise raskemaks?

Muidugi teeks korralik kaitse mu elu raskemaks. Sellegipoolest püüdsin [Miller esitas plaani, kuidas kahe aastaga ette valmistada ühe riigi vastane kübersõda] kujundada rünnaku selliselt, et juhuslik avastamine ei peataks seda. Ma kasutan paljusid erinevaid kohandatud koode ja ründevahendeid. Kui üks neist avastatakse, ei aita see kaasa teiste avastamisele. Samuti oleksin rünnates väga kannatlik, kaheaastase ettevalmistuse jooksul ei toimuks suurt midagi [nähtavat]. Ka see teeb rünnaku raskesti avastatavaks.

Sul on kahtlemata oskusi, et ka kaitse arendamisele kaasa aidata. Ometi keskendud sa rünnakutele. Tõsi, sinu uuringud aitavad lõppkokkuvõttes kaitse parandamisele kaasa, kuid meil on vaja häid laiema silmaringiga inimesi. Miks sa meid sellisel viisil ei aita?

Ma keskendun rünnakule, sest minu jaoks on see huvitavam, ja ausalt öeldes ka palju lihtsam kui kaitse. Ma loodan, et rünnakust rääkides aitan ma kaitsjatel vähemalt mõelda, kuidas nende kaitse suudaks sellisele rünnakule vastu panna ja kuidas seda võiks paremaks teha.

Sa ütlesid oma presentatsioonis, et tarkvarafirmad peaks vastutama turvaaukudega koodi eest. Kas sa ei arva, et turvaaukude otsijad nagu sina peaks vastutama, kui nende uuringutulemuste põhjal sünnib turvaauku ärakasutav kood?

Hahaa, muidugi mitte. Tarkvaramüüjate ja turvaaukude otsijate vahel on kaks olulist erinevust. Esiteks: inimesed maksavad müüjatele nende tooteid ostes raha ja see tingib teatava vastutuse luua toode, mis ei seaks selle kasutajaid ohtu. Need kliendid ei maksa turvaaukude otsijatele midagi ja seega ei peaks nad ka midagi vastu lootma. Teiseks on tarkvaramüüjad need, kes on selle turvaaukudega koodi kirjutanud. Nemad on tekitanud turvaaugud ja on nende eest ka vastutavad. Muidu oleks see umbes nagu Consumer Reports (USA Tarbijate Ühingu välja antav ajakiri, kus võrreldakse erinevaid tooteid ja teenuseid - Tlk.) peaks otsima autode pidurisüsteemis vigu ja autoõnnetuse puhul vastutama.

Küsib Mikko Hyppönen, vastab Charlie Miller:

Kas sa pead Microsoft Update´i botnetiks (kontrollitavaks arvutite võrguks - Toim.)? Kui mitte, siis miks?

Ei pea, sest ostes Microsoft Windowsi lubad sa Microsoftil oma arvutis koodi jooksutada. Ma tunnistan, et sel on mõned botneti karakteristikud, kuid erinevus on selles, et kasutajad annavad operatsioonisüsteemi kasutades neile üheselt õiguse koodi jooksutada.

Millist arvutite operatsioonisüsteemi pead praegusel hetkel kõige turvalisemaks?

Ilmselt Windows 7, kuigi enamik on üsnagi sarnased.

Millal näeme esimest iPhone´i või Symbiani ussi ülemaailmset puhangut?

See juhtub, aga võib-olla mitte päris kohe. SMS-turvaauku, mille avastasime mina ja Collin Mulliner võiks kasutada iPhone ussi loomiseks, kui pahad poisid seda teadnuks. Ma ütleksin, et 5 aasta jooksul.

Kui puhkeks globaalne kriis, kas USA valitsus kasutaks oma võimu, et teisi riike kontrollida laialt kasutuses oleva USA-põhise tark- ja riistvara abil (Microsoft, Cisco, Juniper, Adobe etc)?

Ma oletan, et sa pead silmas kübersõda. Seda on praegu raske ette kujutada, aga kui sa vaatad, kuidas valitsused käituvad täiemahulistes „maailmasõdades", siis ma arvan, et nad kasutavad kõiki relvi, mis neid võidule aitaksid.

HÄKKER KÜSIB

Küsib Charlie Miller, vastab Assaf Keren

Kuidas sa avastaksid 0-päeva rünnakut?

Müüri kaitse poole pealt vaadates on selle (muu maailma poolt veel avastamata turvaauku ärakasutava rünnaku - Toim.) avastamine üks kõige problemaatilisemaid väljakutseid. Kui ma teen oma parima heuristika (eksperimentaalne probleemilahendus, sh katsete ja vigade meetodil - Toim.) poole pealt ja otsin anomaaliaid, pean arvestama, et ma ei suuda ennetada 0-päeva rünnakut ja masinates tekib turvarike. Teha saab vaid kahte asja. Esiteks teeksin oma parima, et üritada võidelda kahjuga, mis turvarikkega masinad võivad teha. Teiseks tuleks pidevalt analüüsida logisid ja teha uurimistööd.

Kuidas vastaksid mu 2-aasta plaanile kübersõja algatamiseks? Kas seda oleks võimalik tõrjuda?

Sinu plaan on suunatud ühele asjale - tekitada kahju. Selleks pead sa mööda maailma laiali hargnema. Ma teeksin ilmselt sama, mida ükskõik milline riik sellisel juhul teeks - koguks luureandmeid ja ootaks, kuni vastaspool mõne vea teeb.

Kas kübersõja plaani oleks lihtsam olnud ellu viia 10 aastat tagasi, praegu, või 10 aasta pärast?

Seda plaani on tehnoloogia arenedes üha lihtsam ja lihtsam ellu viia. Arengud, mida me näeme tehnoloogias, toovad tavaliselt aina uusi ohtusid, samas kui vanad kipuvad ka alles jääma. Samuti, mida tehnoloogiliselt arenenum riik, seda hävitavam on sellise rünnaku mõju.

Küsib Charlie Miller, vastab Mikko Hyppönen

Kuidas sa avastaksid 0-päeva rünnakut?

Antiviiruse seisukohast on parimaks panuseks emuleerimine (ühe andmetöötlussüsteemi jäljendamine teisega, nii et see võtab vastu samu andmeid ja annab samu tulemusi - Toim.) ja liivakasti (sandboxing e. meetod, millega luuakse isoleeritud koht, kus saab vaenulikke programme jooksutada, ilma et need reaalseid süsteeme kahjustaksid - Toim). Need võivad kasutada mitmeid tehnoloogiad, alates puhvri ületäitumise (buffer overflow e. meetod, mille puhul antakse masinale piltlikult öeldes nii pikk käsk, et see ei mahu tema käsutäitmismoodulisse enam ära ning süsteem kas läheb lolliks või täidab käsu pikemas osas oleva jupi, mille täitmiseks tal tegelikult õigust ei olnud - Toim.) avastamisest kuni kahtlase tegevuse märkamiseni (näiteks kui pdf-faili avamine tekitab uue exe-faili kõvakettale - see pole normaalne).

Kuidas vastaksid mu 2-aasta plaanile kübersõja algatamiseks? Kas seda oleks võimalik tõrjuda?

Oleks väga raske, kui mitte võimatu kaitsta end tõsise ründaja eest, kel on aega ja raha. Eriti, kui see ründaja oleks võimeline palkama võimekaid inimesi ja insaidereid. Ma keskenduksin sellele, et leida kübersõja rünnaku taga olev juhtkond ja see elimineerida.

Kas kübersõja plaani oleks lihtsam olnud ellu viia 10 aastat tagasi, praegu, või 10 aasta pärast?

10 aastat tagasi, aastal 2000, oleks olnud väga lihtne tol ajal eksisteerinud süsteemidesse sisse murda, sest turvalisus võrreldes aastaga 2010 oli madal. Küberturve läheb aina paremaks, ja 2020. aastal on sihtmärkideni raskem jõuda. Õnnetuseks kasvab ka võrgustatuse tase. 2020. aastal oleme veelgi sõltuvamad arvutivõrkudes toimivatest süsteemidest. Seetõttu oleks kübersõja plaan edukam 2020. aastal kui praegu või 10 aastat tagasi.