Denken als een aanvaller verbetert cybersecurity

Abonneer je gratis op Techzine!

In het Engels zeggen ze ‘It takes a thief to catch a thief’. In de beveiligingswereld hoef je geen cybercrimineel te zijn om er een te vangen – maar het helpt zeker om de denkwijze van cybercriminelen te begrijpen. Om dat te doen, is het handig om te weten welke soorten kwetsbaarheden ze willen uitbuiten. Twee van de meest voorkomende oorzaken voor kwetsbaarheden zijn ontwerpfouten en onveilige codering.

Misbruik maken van ontwerpfouten

Aanvallers bekijken IT-omgevingen met het doel om het systeem zichzelf tegen te laten werken, om kwetsbare systemen en toepassingen te laten helpen bij de diefstal van gegevens en intellectueel eigendom.

Een van die ontwerpfouten werd ontdekt met de opkomst van voice control op mobiele apparatuur. Het was vrij simpel: de gebruikersvriendelijke interface kon gemakkelijk omzeild worden, waardoor aanvallers op een iPhone via voice control een willekeurig nummer konden bellen of een malafide site openen om malware te downloaden. Onderzoekers van Zhejiang University ontdekten dat je de geluidsfrequentie van spraakopdrachten kon verhogen zodat ze niet meer te horen waren voor het menselijk gehoor, maar wel voor de voice assistants. In de buurt van een iPhone gaan staan met een goedkope speaker en versterker was voldoende om dit succesvol uit te voeren.

Onveilige codering

De andere grote categorie kwetsbaarheden is onveilige codering. Deze kwetsbaarheden ontstaan wanneer programmeurs de regels voor veilig programmeren niet volgen en komen – helaas – veel voor in de softwarewereld.

Deze kwetsbaarheden zijn er in vele vormen – waaronder geheugengebaseerde bugs, waardoor aanvallers code kunnen schrijven op plaatsen in het geheugen waar ze dat niet zouden mogen doen, en credential management-kwetsbaarheden, waardoor aanvallers toegang kunnen krijgen tot credentials die ze niet zouden mogen zien. Soms tonen programma’s gewoon foutopsporingsdata die aanvallers meer nuttige informatie kan geven die ze kunnen misbruiken.

Een goed voorbeeld is de bug in het Sudo-commando, zoals veel gebruikt in de Linux-besturingssystemen. De bug werd ontdekt in januari 2021 en stelt een aanvaller in staat om privileges te escaleren van een gebruiker zonder rechten naar de root op een lokale hostmachine. Onveilige codering geeft een aanvaller potentieel toegang tot alles op de host, en er zijn vandaag miljoenen machines in gebruik die kwetsbaar zijn voor deze eenvoudig te benutten bug.

Hoe vinden aanvallers deze kwetsbaarheden? Een veelgebruikte techniek is fuzzing, een geautomatiseerde softwaretesttechniek waarbij wordt gezocht naar hackbare softwarebugs door willekeurig ongeldige en onverwachte inputs en gegevens in een computerprogramma in te voeren, om zo coderingsfouten en veiligheidsgaten te vinden.

De aanvaller zal aannemen dat er ergens in het programma een verborgen bug zit, en heeft nu slechts twee problemen op te lossen. Het eerste is uit te vinden waar de bug zich precies bevindt, en het tweede is uit te vinden welke invoer door het programma moet worden doorgegeven om de bug te activeren.

Gelukkig kunnen onderzoekers van kwetsbaarheden dergelijke technieken ook gebruiken om coderingsfouten te vinden en ze te verhelpen. Tools voor fuzzing zijn eenvoudig te gebruiken en de onderzoeker hoeft niet het hele programma te begrijpen. Hij hoeft slechts een heel klein deel van de software te onderzoeken en het programma de rest te laten doen.

De belangrijkste conclusie is dat onderzoekers een sterk wapen in handen hebben, als ze leren denken als een aanvaller. Zo kunnen ze een vergelijkbare mentaliteit ontwikkelen. Door dezelfde fouten te analyseren waar aanvallers naar op zoek zijn, kunnen onderzoekers de exploiteerbare gaten vinden en de beveiliging van hun organisaties verbeteren.

Dit niet doen, kan grote gevolgen hebben. De juiste kwetsbaarheid benutten kan een weg vrijmaken door allerlei verdedigingslinies heen, of stelt een aanvaller in staat privileges toe te eigenen en zo toegang te krijgen tot privileged accounts. Dit ligt aan de grondslag van elke cyberaanval-cyclus. In het Gartner 2021 Magic Quadrant for Privileged Access Management staat meer informatie over hoe privileged access management kan helpen de cyclus te doorbreken en de meest cruciale gegevens, infrastructuur en bedrijfsmiddelen van organisaties te beschermen.

Het volledige rapport is hier gratis te downloaden

Dit is een ingezonden bijdrage van Lavi Lazarovitz, Head of Security Research, bij CyberArk

Disclaimer:
Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner’s research organization and should not be construed as statements of fact. Gartner disclaims all warranties, express or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.

Gartner, Magic Quadrant for Privileged Access Management, Felix Gaehtgens, Abhyuday Data, Michael Kelley, Swati Rakheja, 19th July 2021