Δεκάδες και εκατοντάδες χιλιάδες, καθώς και εκατομμύρια δολάρια, αξίζουν κάποιες ευπάθειες που εμπίπτουν στην κατηγορία 0-day (zero-day vulnerabilities). Οι ειδικοί της Kaspersky Lab συνέταξαν τις κορυφαίες εκ των πιο ακριβών παραβιάσεων ασφαλείας λογισμικού που έχουν ανακαλυφθεί ποτέ και η οποία αναρτήθηκε στο gazeta.ru.

Οι ειδικοί σε θέματα ασφάλειας πληροφοριών αναφέρουν τι το ιδιαίτερο έχουν, γι’ αυτό και οι 0-day κυνηγιούνται όχι μόνο από χάκερς, αλλά και από ειδικές υπηρεσίες διαφόρων χωρών.

Το βάρος του σε χρυσό

Η ευπάθεια 0-day (ή Zero Day) μπορεί να μεταφραστεί στα ελληνικά ως «ευπάθεια ημέρας 0». Έτσι ονομάζονται τα προβλήματα λογισμικού για τα οποία οι χάκερς ήδη γνωρίζουν, αλλά οι προγραμματιστές λογισμικού δεν γνωρίζουν ακόμη.

Ο αριθμός μηδέν στην ονομασία υποδηλώνει τον αριθμό των ημερών που πρέπει να διορθώσουν οι προγραμματιστές την ευπάθεια προτού αυτή χρησιμοποιηθεί.

Υπάρχουν δύο αγορές για τέτοιες ευπάθειες – το darknet¹ και οι πλατφόρμες bug bounty – πρόκειται για διαδικτυακές πλατφόρμες στις οποίες μεγάλες εταιρείες δίνουν παραγγελίες για την αναζήτηση κρίσιμων ευπαθειών στα προϊόντα λογισμικού και τις υποδομές τους. Στο darknet, τέτοια αγαθά μεταφέρονται από ορισμένους εγκληματίες στα χέρια κυρίως άλλων εγκληματιών. «Κυρίως», επειδή μερικές φορές τα αγοράζουν και ειδικές υπηρεσίες για κατασκοπεία. Στις πλατφόρμες bug bounty, οι «white hackers» (λευκοί χάκερς, δηλαδή αυτοί των οποίων το χάκινγκ είναι νόμιμο και εξυπηρετεί νομικά πρόσωπα) ανταμείβονται από εταιρείες που δεν θέλουν μια παραβίαση λογισμικού να χρησιμοποιηθεί εναντίον τους. Και στις δύο περιπτώσεις, η 0-day κοστίζει πολλά χρήματα.

Οι πιο καλοπληρωμένοι «λευκοί χάκερς»

Ο Μπορίς Λαρίν, κορυφαίος εμπειρογνώμονας στο Kaspersky GReAT (Global Threat Research and Analysis Center – Παγκόσμιο Κέντρο Έρευνας και Ανάλυσης Απειλών της Kaspersky Lab), ανέφερε την περίπτωση του 2022, όταν οι δημιουργοί του κρυπτονομίσματος Wormhole πλήρωσαν 10 εκατομμύρια δολάρια σε έναν ερευνητή με το όνομα «satya0x» για τον εντοπισμό μιας κρίσιμης ευπάθειας στον κώδικα του ίδιου του κρυπτονομίσματος, ως παράδειγμα των μεγαλύτερων πληρωμών για 0-day.

«Η εκμετάλλευση αυτής της ευπάθειας θα μπορούσε δυνητικά να οδηγήσει στο μπλοκάρισμα των χρημάτων των χρηστών», εξήγησε ο Λαρίν.

Στη δεύτερη θέση βρίσκεται μια παρόμοια ευπάθεια σε ένα άλλο σύστημα blockchain² (μτφ. αλυσίδα μπλοκ), πάνω στο οποίο δημιουργήθηκε το κρυπτονόμισμα Aurora. Για τον εντοπισμό της, σημείωσε ο Λαρίν, ο λευκός χάκερ «pwning. eth» πληρώθηκε 6 εκατομμύρια δολάρια.

Την πρώτη τριάδα συμπλήρωσε η καταβολή 605 χιλιάδων δολαρίων από την Google στον ερευνητή «gzobqq». Το 2023, ανακάλυψε μια ομάδα πέντε ευπαθειών στο λειτουργικό σύστημα Android. Ούτε πριν ούτε μετά η Google πλήρωσε εμπειρογνώμονες κυβερνοασφάλειας για τέτοια ευρήματα. Η εταιρεία δεν αποκάλυψε λεπτομέρειες σχετικά με τα προβλήματα αυτά, αλλά είναι γνωστό ότι, λόγω ενός σφάλματος μνήμης, επέτρεπαν στους επιτιθέμενους να διαρρήξουν τις ασφάλειες του Android και να αποκτήσουν σχεδόν απεριόριστο έλεγχο του συστήματος.

Σύμφωνα με τον Larin, αν οι χάκερς έφταναν στις αναφερόμενες ευπάθειες μηδενικής ημέρας νωρίτερα από τον «gzobqq», πολλοί χρήστες Android θα μπορούσαν να επηρεαστούν.

Και μια αξιότιμη αναφορά… 500 χιλιάδων δολαρίων

Στην τέταρτη θέση βρίσκεται η ευπάθεια HamsterWheel, την οποία οι ειδικοί σε θέματα ασφάλειας πληροφοριών της CertiK βρήκαν στο blockchain του κρυπτονομίσματος Sui. Για την ανακάλυψή της, το ανταλλακτήριο κρυπτογράφησης Coinbase πλήρωσε 500 χιλιάδες δολάρια. Αυτό συνέβη πριν από λίγες ημέρες. Αυτή η πληρωμή ήταν η μεγαλύτερη στην ιστορία του «HackerOne» (της πιο διάσημης πλατφόρμας bug bounty). Το HamsterWheel (το αντίστοιχο του ιδιώματος αυτού στα ελληνικά είναι η φράση «τροχός χάμστερ») πήρε το όνομά του για το γεγονός ότι επέτρεπε να προκληθούν βρόγχοι στο blockchain του Sui, οι οποίες καθιστούσαν το κρυπτονόμισμα εντελώς μη ρευστοποιήσιμο.

«Επιπλέον, αυτή η ευπάθεια πιθανότατα θα επέτρεπε στους επιτιθέμενους να κλέψουν χρήματα απευθείας από αυτό το έργο κρυπτογράφησης», πρόσθεσε ο Λαρίν.

Η τιμή ρεκόρ για μια ευπάθεια 0-day είναι 15 εκατομμύρια δολάρια. Τόσα πολλά, όπως δήλωσε ο τεχνικός διευθυντής της εταιρείας «Garda» Λούκα Σαφόνοφ, για μια ευπάθεια στην πιο δημοφιλή υπηρεσία διαχείρισης έργων στον κλάδο της πληροφορικής Jira σε ένα από τα φόρουμ του darknet το 2024, ζήτησε ο χάκερ «Intel Broker». Δεν συμπεριλήφθηκε στην κύρια λίστα κορυφής, επειδή δεν υπάρχουν πληροφορίες σχετικά με το αν πωλήθηκε και για πόσο – το ποσό αυτό είναι μόνο η προσφορά του πωλητή.

Αλλά αυτές οι αμοιβές είναι οι εξαιρέσεις στον κανόνα

Αμοιβές εκατομμυρίων ή εκατοντάδων χιλιάδων δολαρίων για την πώληση ή τον εντοπισμό 0-day – αυτές, σύμφωνα με τον Αλεξέι Λιέντνεφ, επικεφαλής του τμήματος ανίχνευσης επιθέσεων στο κέντρο εμπειρογνωμόνων ασφαλείας της Positive Technologies – αποτελούν ακόμη εξαιρέσεις. Συχνά, τέτοια κενά σε προϊόντα λογισμικού είναι φθηνότερα.

Όπως ανέφερε:

Σύμφωνα με τις προσφορές σε ιστότοπους του darknet, τον τελευταίο ενάμιση χρόνο, η υψηλότερη τιμή σε μια αγγελία είναι 100 χιλιάδες δολάρια. Πριν από λίγες ημέρες, υπήρξε μια ανακοίνωση σχετικά με την αγορά 0-ημερών σε συσκευές IoT με τιμή 50 χιλιάδων δολαρίων.

Το κόστος μιας ευπάθειας επηρεάζεται από διάφορους παράγοντες: το μέγεθος του κοινού του προϊόντος με 0-ημέρα, το πεδίο εφαρμογής του προϊόντος και κυρίως-οι επιλογές που ανοίγει η ευπάθεια στον επιτιθέμενο. Στην τελευταία περίπτωση, εκτιμάται η δυνατότητα απομακρυσμένης εκτέλεσης αυθαίρετου κώδικα. Αυτού του είδους οι επιλογές ανοίγουν σχεδόν απεριόριστες προοπτικές για τους επιτιθέμενους όσον αφορά τη μετακίνηση στην κυβερνοϋποδομή της παραβιασμένης εταιρείας, καθώς και τους χειρισμούς που μπορεί να πραγματοποιήσει ένας χάκερ με αυτήν.

Η Kaspersky Lab πρόσθεσε ότι ψάχνει για 0-day για περισσότερα από 10 χρόνια. Κατά τη διάρκεια αυτού του χρόνου, οι ειδικοί της εταιρείας ανακάλυψαν δεκάδες παρόμοιες ευπάθειες.

Όπως δήλωσε ο Λαρίν:

Τα τελευταία 10 χρόνια, ανακαλύψαμε και βοηθήσαμε να διορθωθούν 31 ευπάθειες που χρησιμοποιούνται ενεργά από επιτιθέμενους στο πιο δημοφιλές και διαδεδομένο λογισμικό από την Adobe, τη Microsoft, τη Google και την Apple. Μεταξύ όλων των εταιρειών ασφάλειας πληροφοριών στον κόσμο, λίγοι άνθρωποι μπορούν να υπερηφανεύονται για έναν τόσο μεγάλο αριθμό.

Από τη θεωρία στην πράξη

Παρόλο που οι μεγάλες εταιρείες πιάνουν επιμελώς τις 0-day και, όπως φαίνεται από τις αμοιβές των «λευκών» χάκερ, δαπανούν σημαντικά ποσά για αυτή τη δραστηριότητα, οι ευπάθειες, φυσικά, εξακολουθούν από καιρό σε καιρό να γίνονται όπλο στα χέρια των χάκερ.

Όπως ενημερώνει ξανά ο Αλεξέι Λιέντνεφ:

Το πιο χαρακτηριστικό παράδειγμα ευπάθειας 0-day που έφτασε σε πρακτική εφαρμογή είναι το EternalBlue. Εκλάπη (και αργότερα δημοσιεύθηκε) τον Μάρτιο του 2017 από την ομάδα χάκερ Shadow Brokers από μια άλλη ομάδα, την Equation Group, η δραστηριότητα της οποίας αποδίδεται στην Εθνική Υπηρεσία Ασφαλείας των ΗΠΑ. Αυτή η ευπάθεια χρησιμοποιήθηκε αργότερα για τη διάδοση του κακόβουλου λογισμικού WannaCry (ένας από τους πρώτους κρυπτογραφικούς ιούς που μπλόκαρε υπολογιστές και απαιτούσε λύτρα για το ξεκλείδωμά τους), ο οποίος επηρέασε συστήματα πληροφοριών σε περισσότερες από 200 χώρες σε όλο τον κόσμο.

Με τη σειρά του, ο Αλεξάντερ Σαμσόνοφ από την εταιρεία Security Code έδωσε ένα παράδειγμα της ευπάθειας Log4Shell στη βιβλιοθήκη Apache Log4j, η οποία χρησιμοποιείται για την καταγραφή στα περισσότερα προγράμματα στη γλώσσα προγραμματισμού Java. Με απλά λόγια, το Apache Log4j είναι ένα μητρώο διεργασιών σε προγράμματα που χρησιμοποιείται από τους προγραμματιστές για τον εντοπισμό σφαλμάτων.

Όπως δήλωσε ο Σαμσόνοφ:

Επειδή το Apache Log4j είναι πανταχού παρόν, εκατομμύρια συσκευές σε όλο τον κόσμο βρίσκονται σε κίνδυνο. Η ευπάθεια επέτρεπε στους χάκερς να εκτελούν αυθαίρετο κώδικα από απόσταση και η οποία ήταν διαθέσιμη και απαρατήρητη εδώ και σχεδόν μια δεκαετία.

Όπως και το EternalBlue, το Log4Shell χρησιμοποιήθηκε όχι μόνο από χάκερς, αλλά και από τις ειδικές υπηρεσίες διαφόρων χωρών.

Στα ρωσικά προϊόντα εντοπίζεται και η 0-day και μάλιστα χρησιμοποιείται. Έτσι, ο Λούκα Σαφόνοφ από την «Garda» δήλωσε ότι το δημοφιλές ρωσικό σύστημα διαχείρισης περιεχομένου και ιστότοπων εξακολουθεί να περιέχει έναν αριθμό σφαλμάτων που εντοπίστηκαν από εισβολείς, τα οποία δεν έχουν ακόμη διορθωθεί από τον προγραμματιστή. Ο ειδικός δεν κατονόμασε το συγκεκριμένο προϊόν.

Σημειώσεις:

¹darknet: γνωστό και ως darkweb. Είναι το «σκοτεινό μέρος» του διαδικτύου το οποίο είναι προσβάσιμο μόνο με την χρήση ειδικού λογισμικού π.χ. Tor browser

² blockchain: Πρόκειται για έναν προηγμένο μηχανισμό βάσεων δεδομένων που επιτρέπει τη διαφανή ανταλλαγή πληροφοριών εντός ενός επιχειρηματικού δικτύου. Μια βάση δεδομένων blockchain αποθηκεύει δεδομένα σε μπλοκ που συνδέονται μεταξύ τους αλυσιδοτά και κρυπτογραφημένα. Κάθε μπλοκ περιέχει ένα κρυπτογραφικό κατακερματισμό του προηγούμενου μπλοκ, μια χρονοσφραγίδα και δεδομένα συναλλαγής.