Если вы в последнее время не следили за новостями кибербезопасности, вот краткое резюме: обнаружение уязвимостей и их эксплойтов в нашумевшем программном обеспечении происходит быстрее, чем когда-либо, отчасти благодаря инструментам сканирования кода с помощью ИИ. Например, практически все дистрибутивы Linux недавно оказались затронуты уязвимостями повышения привилегий Copy Fail и Dirty Frag (получение прав администратора с локальной учетной записи), для которых патчи не были широко доступны, поскольку между их раскрытием и публикацией прошло слишком мало времени. Исследователь безопасности Химаншу Ананд написал подробный пост в блоге, объясняющий, почему стандартное 90-дневное окно раскрытия информации и соответствующая процедура фактически мертвы в этом мире, управляемом ИИ, и его выводы могут заставить разработчиков и системных администраторов прибегнуть к крепким напиткам. Со стороны разработчиков он предлагает программистам добавлять LLM на этапы отправки кода, развертывания и проверки зависимостей в качестве контрмеры, поскольку злоумышленники уже используют LLM для обнаружения уязвимостей. Суть проблемы в том, что, хотя бот не обязательно умнее человека в программировании или поиске уязвимостей безопасности, LLM может делать это на полную умственную мощность 24/7 и отличается крайней эффективностью в распознавании образов (построен на распознавании образов, если уж на то пошло). Подавляющее большинство эксплойтов безопасности коренятся в специфических плохих практиках программирования, что бот превосходно замечает быстро и многократно. Оба упомянутых эксплойта для ядра Linux использовали небезопасные механизмы нулевого копирования (выполнение вычислений над данными на месте, а не копирование/вычисление/замена). В обоих случаях, хотя проблемы были заранее сообщены команде ядра, они были обнародованы задолго до обычных 90 дней — чуть более чем через неделю в случае с Dirty Frag. Хотя никто не произнес этого вслух, общим предположением было то, что раскрытие информации “белыми шляпами” происходило с минимальным или полным отсутствием предварительного уведомления, поскольку эксплойты уже находились в дикой природе, поэтому скрывать их было нечего, а терять — все. Чтобы проиллюстрировать эту мысль, Ананд приводит один из своих отчетов об ошибке для неназванного интернет-магазина, где он обнаружил и сообщил о необработанной ошибке безопасности, которая позволила бы злоумышленникам купить дорогие товары за ничтожную сумму в 0 долларов. К его удивлению, он получил ответ, что эту проблему уже сообщили 10 (!) других исследователей за шесть недель до этого. Проконсультировавшись с коллегой, они заметили, что “охотники с помощью LLM сходились на одних и тех же ошибках почти одновременно”. Этот вывод дополнительно подкрепляется инженером по триажу @d0rsky, который отмечает, что как только найдена новая уязвимость, он немедленно видит “волну дублирующих отчетов в течение нескольких дней”. Весьма проницательно Дорски предполагает: “если исследователи могут так быстро воспроизвести эти находки, что помешает “черным шляпам” сделать то же самое до того, как проблема будет исправлена?” Ананд доводит мысль до конца, заявляя, что он создал эксплойт для опубликованной и исправленной уязвимости в фреймворке React всего за 30 минут с помощью инструментов LLM. В заключение Ананд не выбирает выражений, заявляя, что в этом новом мире, где неэтичные хакеры могут так быстро анализировать код с помощью ИИ, 90-дневное окно никого не защищает, и что обычные ежемесячные циклы исправлений так же мертвы, поскольку “[окно в] 30 дней между уязвимостью и исправлением предполагает, что злоумышленники медленнее вашего цикла выпуска”. Он настоятельно призывает разработчиков рассматривать “каждую критическую проблему безопасности как P0 и исправлять ее немедленно”, поскольку они могут предполагать, что данная уязвимость уже активно эксплуатируется. К слову: “если вы читаете описания CVE, пока злоумышленники читают git log –diff-filter=M, вы уже отстаете”. Как ни парадоксально, программное обеспечение с открытым исходным кодом пользуется высокими стандартами безопасности благодаря общедоступности кода для проверки и исправления, но LLM превращают эту особенность в палку о двух концах. Тем не менее, в мире OSS исправление также может быть создано и распространено в течение нескольких часов, что недавно продемонстрировала команда Mozilla, опубликовав 423 исправления безопасности только в апреле. Что касается проприетарного программного обеспечения, скажем так: неутомимые боты одинаково хороши в декомпиляции и сетевом сканировании, как и в анализе исходного кода, и, вероятно, этого достаточно, чтобы Microsoft, Apple или Google столкнулись со своими моментами Copy Fail раньше или позже. Обязательно прочтите весь пост Ананда, он весьма поучителен.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bruno Ferreira
