Hugbúnaðargalla er hægt að nýta til að stela gögnum fólks vchal/Getty Images/iStockphoto
Aðferð til að sanna stærðfræðilega að tölvuþrjótur hafi fundið hugbúnaðarvillu, án þess að gefa upp upplýsingar um hvernig misnotkunin virkar, gæti komið í veg fyrir að fyrirtæki hunsi öryggisveikleika.
Það er almennt talið góð venja fyrir öryggisrannsakendur og siðferðisþrjóta sem finna villu að upplýsa um höfund hugbúnaðarins áður en hann er birtur opinberlega og gefa þeim tíma til að laga það. Mörg fyrirtæki hafa hleypt af stokkunum styrktaráætlunum sem umbuna þeim sem uppgötva galla í kerfum sínum til að hvetja til skýrslugerðar og bæta öryggi.
Hins vegar eru hlutirnir ekki alltaf svo einfaldir. Fyrirtæki geta dæma framlagðan varnarleysi sem léttvægan og neita annað hvort að laga hann eða greiða verðlaun. Í þeirri atburðarás stendur sá sem fann villuna frammi fyrir siðferðilegu vandamáli: Gerðu ekkert og láttu varnarleysi ólagast, eða birta opinberlega upplýsingar til að knýja fram hönd fyrirtækisins og setja notendur í enn meiri hættu tímabundið.
Nú hafa Santiago Cuéllar hjá hugbúnaðarfyrirtækinu Galois og samstarfsmenn hans þróað kerfi sem þeir segja að leysi vandann. Þeir nota aðferð sem kallast núll þekkingarsönnun (ZKP) til að sannreyna að það sé veikleiki í ákveðnu forriti, en halda upplýsingum leyndum. Þetta myndi skapa almennan þrýsting um lagfæringu án þess að leyfa tölvuþrjótum að nýta sér það á meðan.
ZKPs fundust á níunda áratugnum og eru stærðfræðilega sannreynanleg leið fyrir einn einstakling til að sanna þekkingu á ákveðnum hlut, án þess að upplýsa um smáatriði. Það hefur verið lagt til að þau gætu verið notuð af ríkjum til að sanna að kjarnaoddum hafi verið eytt eða til vernda bankaviðskipti.
„Þú getur skammað þá fyrir að gera það, í grundvallaratriðum,“ segir Cuéllar. „Það er mikið af svekktu fólki að reyna að upplýsa um veikleika eða segja „Ég fann þennan varnarleysi, ég er að tala við þetta fyrirtæki og þeir gera ekkert“.
Teymið bjó til hugbúnað sem greinir frumkóða forrits ásamt upplýsingum um hvernig hægt er að nýta galla í kóðanum til að vinna út gögn sem ætti að vernda. Þessi hugbúnaður framleiðir síðan stærðfræðilega sönnun fyrir því að gallinn sé til, án þess að gefa upp neinar upplýsingar. Með því að keyra núllþekkingarsönnunina í gegnum hugbúnaðinn aftur getur hver sem er staðfest að gallinn í upprunalega forritinu sé til.
Rotem Bar hefur verið virkur pöddusjóðaveiðimaður í 15 ár og sendir þá sem hann finnur fyrir pöddusjóðsáætluninni HackerOne. Hann segir að núllþekkingarsönnun séu snjöll lausn á sérstökum vandamálum, en hefur áhyggjur af því að það gæti skapað „lausnargjaldsáhrif“.
„Ég get sagt þér „hér er engin sönnun um að ég hafi fundið varnarleysið, borgaðu mér núna“. Og nú er verið að semja um hversu mikið þeir borga. Það gefur vald til árásarmannsins, en það gefur líka kannski of mikið vald,“ segir hann.
Aðrir eru efins um að tólið, sem bætir flóknu lagi við að tilkynna villur, sé yfirhöfuð þörf. Michael Nelson við Old Dominion háskólann í Norfolk, Virginíu, segist eiga í erfiðleikum með að sjá atburðarás þar sem núllþekking sönnun á varnarleysi er gagnlegri en smáatriðin um varnarleysið sjálft.
„Allir sem hafa kynnst núllþekkingarsönnunum verða ástfangnir af þeim,“ segir hann. „Þannig að þegar ég les þetta blað annars vegar er ég heillaður; þetta virðist virka, þetta er flott, ég er spenntur. Á hinn bóginn virðist þetta vera lausn í leit að vandamáli.“
Tilvísun: arxiv.org/abs/2301.01321