Intervista con un hacker: molta intuizione nella ricerca delle vulnerabilità

Safari, Chrome, Edge, Firefox Sandbox: Manfred Paul ha vinto il primo posto al concorso internazionale di sicurezza Pwn2Own Vancouver di quest'anno e si è aggiudicato un premio in denaro di circa 200.000 dollari. Non solo è stato in grado di hackerare i browser Web Apple Safari, Google Chrome e Microsoft Edge, ma è stato anche in grado di entrare nella sandbox Firefox di Mozilla. Nel 2020, Paul, allora 21enne, è riuscito a sfruttare una vulnerabilità zero-day nel kernel Linux in una competizione Pwn2Own. Abbiamo parlato con lui delle sue motivazioni e del suo approccio.

annuncio

heise online: Ci vuole sicuramente tempo per sviluppare tali vulnerabilità. Quanto tempo hai investito in questo?

Manfred Pohl: Per me è difficile rispondere a questa domanda, soprattutto quando guardo a obiettivi diversi. Trascorro la maggior parte del mio tempo a cercare cose e non trovo nulla. Sono sempre alla ricerca dei punti deboli, anche se all'inizio non li trovo, potrebbero essercene alcuni in seguito. Il tempo in cui non trovi nulla di tangibile non è tempo sprecato. Impari cose nuove e capisci cose che possono aiutarti a trovare un punto debole in seguito. Ma in un certo senso è anche questione di fortuna.

Cosa richiede più tempo? Trovare una scappatoia o sfruttarla?

Sicuramente una scoperta per me, con poche eccezioni. A volte potresti avere più fortuna nel trovare qualcosa. Naturalmente dipende anche dal metodo. Guardo spesso il codice manualmente e provo a trovare gli errori in questo modo. Altri potrebbero lavorare di più con strumenti automatizzati e sicuramente ci è voluto molto tempo per far funzionare quegli strumenti. Questa è una questione molto individuale. Per me, la caccia agli insetti occupa sicuramente la maggior parte del mio tempo. Naturalmente le cose vanno più velocemente se hai già esperienza. Attualmente esiste un numero crescente di obiettivi in ​​cui vengono utilizzate più misure di mitigazione, che richiedono anche molto tempo.

Hai una ricetta che segui?

Non reale. C'è anche molta intuizione. Tendo a guardare parti del codice in cui sento: “Se trovo qualcosa lì, allora è serio”. Non ha senso semplicemente trovare un bug se non può essere sfruttato e non rappresenta affatto una vulnerabilità. Presto molta attenzione all'interprete, ovvero al codice che genera codice macchina nuovo e ottimizzato in fase di runtime. Quando le cose vanno male, vanno bene. In generale, una certa intuizione si sviluppa nel tempo. Bene, vorrei dare un'occhiata più da vicino a questo componente o a questa parte del componente che fa cose correlate.

Hai già svolto un lavoro preparatorio per individuare le vulnerabilità? Utilizzi un database o qualcosa del genere?

Tendo ad essere molto disorganizzato quando si tratta di cose come queste. Alcune persone sono un po' diverse e leggono gli exploit passati e cercano informazioni da fonti diverse. Sono una persona che non necessariamente ottiene sempre tutte le informazioni da ogni parte perché voglio affrontarle in modo imparziale. Se mi avvicino con l’idea “Questo è tutto trovato”, allora ho sempre la sensazione di “Okay, il codice in qualche modo sarà corretto ora”. Quindi non posso davvero guardare in modo critico il codice. In generale penso che sia molto personale, ognuno ha il proprio modo di lavorare.

Di quale impresa sei più orgoglioso e perché?

È difficile dirlo perché, come ho detto, c'è sempre un elemento di fortuna. Ognuno ha le sue sfide. Delle cose che ho fatto quest'anno, Firefox è stata l'unica in cui ho attaccato anche il grande sandbox. Naturalmente questo assume una maggiore importanza pratica, soprattutto per gli utenti finali, perché viene eliminato questo ulteriore meccanismo di protezione. Ma penso che anche gli altri browser, Chrome e Safari, avessero alcune cose interessanti dal punto di vista tecnico.

Qualcuno di Mozilla ti ha contattato?

Durante la competizione siamo in contatto con tutti i produttori e spesso c'è gente sul posto; Ce n'erano alcuni da Mozilla online. Ho anche avuto una breve telefonata con qualcuno di Mozilla e penso assolutamente che sia positivo che gli aspetti di sicurezza vengano affrontati così rapidamente. La vulnerabilità è stata quindi risolta a velocità record e l'aggiornamento è stato rilasciato rapidamente. Questo mi rende sempre felice. In futuro sono previste anche modifiche sistematiche ai browser. Naturalmente questo mi renderebbe la vita un po’ più difficile in futuro. Tuttavia, è sempre una lotta contro i mulini a vento quando trovi solo singoli bug e poi li risolvi: ce ne sarà sempre il successivo. Ma quando le persone dicono: “Okay, abbiamo un problema sistemico qui e vogliamo cambiare qualcosa in futuro per ridurre la probabilità che si verifichi questo tipo di errore”, in qualche modo è una ricompensa per ciò che hai ottenuto attraverso il tuo lavoro. .

Hai appena bruciato milioni con il tuo lavoro. Qual è la tua motivazione per questo? Non hai paura che le persone si arrabbino perché si perdono qualcosa?

So che potrei guadagnare di più vendendo le mie scoperte al miglior offerente, ma non voglio farlo. Il software deve anche essere sicuro per tutti. Non voglio essere responsabile del fatto che gli aggressori, siano essi governativi o altre organizzazioni, potrebbero finire per fare qualcosa con il mio aiuto. Ecco perché sono davvero felice quando le lacune vengono corrette in seguito. Non credo di aver dato molto fastidio a nessuno. In definitiva, individuare e porre rimedio a tali scappatoie fa parte anche della vita dei criminali. Dovrebbero quindi arrabbiarsi con i produttori se rendessero i loro codici più sicuri. Dal punto di vista tecnico, trovare qualcosa è una sfida per tutti i soggetti coinvolti, non importa chi. C'è anche una certa autoprotezione dietro quando trasferisco l'exploit direttamente al produttore e il problema viene risolto in tempi relativamente brevi. Nessuno è interessato a rubarmelo prima. In questo modo posso dormire più tranquillo.

Che browser usi personalmente?

Ciò che conta in un browser non è il browser che usi, ma il “come”, che è più importante. Non voglio fare una raccomandazione. Dovresti mantenere aggiornato il tuo software, non fare clic su ogni collegamento e cose simili. La maggior parte dei browser dispone di metodi per aumentare la sicurezza, ad esempio disabilitando l'interprete, il che ovviamente comporta anche una perdita di prestazioni. Ma questi traduttori hanno un obiettivo comune. Alcuni browser ora offrono esplicitamente una modalità provvisoria aggiuntiva in cui il compilatore JIT è disattivato. Questo può essere trovato nelle impostazioni della maggior parte dei browser. Per me il browser non è parte di una decisione di sicurezza attiva, ma per me e per la maggior parte delle persone è anche una questione di abitudine e comodità.

Come hai iniziato?

Un fattore importante che ha contribuito a perseguire seriamente la sicurezza IT sono stati i concorsi in stile “Capture the Flag”. Queste sono gare in cui a volte fai cose molto simili e devi trovare gli errori. Ma i punti deboli sono stati scritti intenzionalmente. Ho imparato molto nel processo. Ho una squadra con cui gioco ancora di tanto in tanto. Qualcosa del genere è di grande aiuto per iniziare. Anche i miei studi di matematica, in cui ho imparato i metodi, mi hanno aiutato. A volte cerco di trovare una prova mentale che il programma sia corretto.

La sezione hacker non è stata ancora cancellata, come molti avevano chiesto. All'inizio della tua carriera avevi paura che qualcuno ti accusasse di attività illegali?

C’è sicuramente un enorme difetto quando si tratta di leggi. È un peccato per la comunità della sicurezza informatica vedere che la persona che ha segnalato una vulnerabilità è stata recentemente condannata di nuovo. Spero che alcune cose cambino nella legge in modo che le persone possano segnalare le vulnerabilità in modo legalmente sicuro. Soprattutto il tema del “reverse engineering” è molto difficile dal punto di vista giuridico in Germania. È possibile che, come ricercatore di sicurezza, potresti entrare in conflitto con la legge sul copyright. Il rischio per me finora è stato minore perché mi sono occupato principalmente di software open source. Ho trovato la prima vulnerabilità di sicurezza nel kernel Linux. Questa non è un'infrastruttura di proprietà di nessuno.

(Mac)