Penggunaan kelemahan perisian NSA untuk menggodam sasaran asing menimbulkan risiko kepada keselamatan siber

Blog

Untuk menembusi komputer sasaran asing, Agensi Keselamatan Negara bergantung pada kelemahan perisian yang tidak dapat dikesan dalam saluran Internet. Selama bertahun-tahun, pakar keselamatan telah mendesak agensi untuk mendedahkan pepijat ini supaya ia boleh diperbaiki, tetapi penggodam agensi sering keberatan.

pulau dapur kecil dengan dapur

Kini dengan keluaran misteri cache alat penggodaman NSA pada hujung minggu, agensi itu telah kehilangan kelebihan serangan, kata pakar, dan berpotensi membahayakan keselamatan banyak syarikat besar dan agensi kerajaan di seluruh dunia.

Beberapa alat mengeksploitasi kelemahan dalam tembok api komersil yang masih belum ditambal, dan alat itu keluar di Internet untuk dilihat oleh semua. Sesiapa sahaja daripada penggodam bawah tanah kepada agensi pengintip asing yang canggih mempunyai akses kepada mereka sekarang, dan sehingga kelemahan itu diperbaiki, banyak sistem komputer mungkin berada dalam bahaya.

Pendedahan cache NSA, yang bertarikh pada 2013 dan belum disahkan oleh agensi itu, juga menyerlahkan proses pentadbiran yang kurang diketahui untuk mengetahui ralat perisian mana yang perlu didedahkan dan yang harus dirahsiakan.

Keluaran alat penggodam menunjukkan risiko utama kerajaan A.S. menyimpan kelemahan komputer untuk kegunaannya sendiri: Orang lain mungkin mendapatkannya dan menggunakannya untuk menentang kami, kata Kevin Bankston, pengarah Institut Teknologi Terbuka New America.

Inilah sebabnya mengapa menjadi dasar kerajaan A.S. untuk mendedahkan kepada vendor perisian kelemahan yang dibeli atau ditemuinya secepat mungkin, supaya kita semua dapat melindungi keselamatan siber kita sendiri dengan lebih baik.

Siaran hujung minggu itu mencetuskan spekulasi segera tentang siapa yang mungkin berada di belakangnya. Sebuah kumpulan yang menamakan dirinya Shadow Brokers mengaku bertanggungjawab. Beberapa pakar dan bekas pekerja mengesyaki, walaupun tanpa bukti kukuh, bahawa Rusia terlibat. Bekas pekerja lain berkata kemungkinan besar orang dalam yang tidak berpuas hati ingin mengaut keuntungan.

Siapa pun itu, adalah sangat membimbangkan bahawa kemungkinan seseorang yang bekerja untuk kerajaan lain pada dasarnya menahan syarikat tebusan yang berada di belakang [firewall] ini, menjadikan mereka sangat terdedah, kata Oren Falkowitz, ketua eksekutif Keselamatan Kawasan 1 dan bekas penganalisis NSA.

Tembok api yang dijual oleh Cisco, Juniper dan Fortinet sangat popular dan berfungsi pada sistem perusahaan berskala besar. Ini adalah produk yang sangat, sangat berkuasa dan berjaya, kata Falkowitz. Ia bukan peranti yang dibeli oleh dua orang.

Sudah, firma berlumba-lumba untuk merekayasa balik kod, mengenal pasti sebarang kelemahan dan mencipta tampung. Cisco mengesahkan hari Rabu bahawa salah satu kelemahan adalah hari sifar - sebelum ini tidak diketahui orang ramai - dan ia sedang berusaha untuk memperbaikinya. Kecacatan adalah pada alat atau mengeksploitasi kod bernama Extrabacon.

Jurucakap Juniper Leslie Moore berkata syarikat itu sedang menyemak fail yang dikeluarkan. Jika kelemahan produk dikenal pasti, kami akan menangani perkara itu dan menyampaikan kepada pelanggan kami, katanya.

Jurucakap Fortinet, Sandra Wheatley Smerdon berkata bahawa firma itu secara aktif bekerjasama dengan pelanggan yang menjalankan tembok api FortiGate versi 4.X dan ia amat mengesyorkan agar mereka mengemas kini sistem mereka dengan keutamaan tertinggi.

Kerajaan mempunyai proses untuk menentukan masa untuk berkongsi kelemahan perisian. Agensi seperti NSA dan FBI sepatutnya menyerahkan sebarang kelemahan yang mereka temui kepada kumpulan pakar berbilang agensi, yang kemudiannya menimbang sama ada kelebihan merahsiakan kelemahan itu mengatasi keselamatan siber awam.

Penyelaras keselamatan siber Rumah Putih Michael Daniel telah berkata bahawa dalam kebanyakan kes, pendedahan pepijat adalah untuk kepentingan negara. Proses pelbagai agensi tidak benar-benar bermula sehingga musim bunga 2014. NSA telah mempunyai proses dalaman sendiri selama bertahun-tahun sebelum itu.

Walau apa pun, dalam kes ini, pendedahan tidak pernah berlaku.

Inilah yang berlaku apabila anda mempunyai agensi keselamatan yang menimbun eksploitasi secara tidak selamat — keselamatan yang lebih lemah untuk semua, kata Kevin Beaumont, seorang penyelidik keselamatan siber yang mengesahkan bahawa beberapa alat yang bocor bergantung pada kelemahan yang masih belum ditambal.

Bekas kakitangan NSA yang bekerja dengan cache alat yang dikeluarkan mengatakan bahawa apabila mereka bekerja di agensi itu, terdapat keengganan untuk mendedahkan.

Semasa saya berada di sana, saya tidak dapat memikirkan satu contoh [kecacatan] sifar hari yang digunakan oleh agensi di mana kami kemudiannya berkata, 'Baiklah, kami sudah selesai dengannya dan mari kita serahkannya kepada bahagian pertahanan supaya mereka boleh menambalnya,' kata bekas pekerja itu, yang bekerja di Organisasi Akses Tersuai agensi itu selama bertahun-tahun. Pada masa itu, katanya, dia melihat beratus-ratus kecacatan sedemikian.

Dia menambah: Jika ia adalah sesuatu yang sedang digunakan secara aktif, pengalaman saya ialah mereka berjuang seperti semua keluar untuk mengelakkannya daripada didedahkan.

Kata bekas pekerja kedua, yang juga bercakap dengan syarat tidak mahu namanya disiarkan untuk menerangkan operasi kerajaan yang sensitif: Sukar untuk hidup dalam dunia yang anda mempunyai keupayaan dan anda mendedahkan keupayaan anda kepada pasukan pertahanan anda.

Bekas pengendali ini berkata bahawa kadangkala kelemahan telah ditampal, tetapi jika anda mempersenjatainya dengan cara yang berbeza dengan teknik istimewa, mungkin itu salah satu cara untuk meningkatkan umur panjang alat.

Dengan cara itu, kecacatan masih boleh menjadi baik untuk beberapa tahun.

Dua atau tiga tahun bukanlah masa yang lama untuk pepijat tidak ditemui, kata Joseph Lorenzo Hall, ketua teknologi di Pusat Demokrasi & Teknologi.

Sebagai contoh, kelemahan utama yang dipanggil Heartbleed memasuki kod perisian penyulitan yang digunakan secara meluas pada 2011, tetapi tidak diketahui sehingga 2014, katanya. Tahun lepas, Microsoft membetulkan pepijat sifar hari kritikal yang telah bersembunyi di Windows selama sekurang-kurangnya sedekad.

Terdapat begitu banyak kelemahan dalam perisian yang tidak mungkin kami temui semuanya, kata Hall. Ia benar-benar menakutkan, terutamanya apabila anda bercakap tentang teknologi seperti tembok api, yang sepatutnya membantu memastikan sistem selamat.

Pakar yang mengkaji keluaran itu berkata bahan itu mungkin telah dicuri pada Oktober 2013, tarikh penciptaan fail terakhir. Jika itu benar, maka seseorang atau agensi pengintip lain mempunyai masa untuk menggodam syarikat menggunakan tembok api yang terdedah atau menonton pengintipan siber NSA sendiri.

Pekerja NSA yang lalu, termasuk bekas kontraktor Edward Snowden, mengatakan tidak mungkin bahan itu digodam daripada pelayan agensi itu. Kemungkinan besar, ada yang mengatakan, bahawa alat itu telah dimuat naik dan secara tidak sengaja ditinggalkan oleh penggodam TAO pada pelayan yang digunakan untuk menggodam sasaran. Pelayan ini kadangkala dipanggil pengarah semula atau pelayan pementasan, dan ia menutup lokasi sebenar penggodam.

NSA sentiasa mempunyai kawalan audit pada sistemnya. Tetapi terutamanya susulan kebocoran bahan sulit oleh Snowden yang mula muncul di media pada Jun 2013, agensi itu telah mengukuhkan mekanisme kawalannya.

Baca lebih lanjut:

Alat NSA yang berkuasa telah didedahkan dalam talian

Comey mempertahankan pembelian alat penggodaman iPhone oleh FBI

Alat penggodaman NSA telah bocor dalam talian. Inilah yang anda perlu tahu.