O Exército dos EUA pode ter encontrado um processo de descoberta de vulnerabilidade mais produtivo
Estudo do governo dos Estados Unidos mostra que há provas de uma forma de ser mais eficiente na busca de falhas de software.
Pesquisadores de segurança de todos os níveis de especialização se saem melhor com uma análise automatizada aprimorada que aloca melhor os recursos humanos durante as investigações. Pesquisadores militares americanos da Agência de Segurança Nacional, Comando Cibernético, Marinha, Força Aérea e Exército postularam em novas pesquisas publicadas este mês. Isso difere de uma abordagem comum tomada quando os pesquisadores são mais naturalmente inclinados a se concentrar em um determinado software para tentar encontrar falhas.
“Há um viés cognitivo na comunidade hacker de selecionar um pedaço de software e investir recursos humanos significativos para encontrar bugs naquele software sem qualquer indicação prévia de sucesso”, eles escrevem no jornal .
Este status quo, que os pesquisadores chamam de abordagem “em primeiro lugar”, coloca mais um fardo sobre os pesquisadores experientes, enquanto os iniciantes se perdem na confusão, Jared Ziegler, um desenvolvedor de software da NSA, disse à CyberScoop em uma entrevista.
“O problema com isso, como descobrimos, é que, com todos olhando para a mesma coisa, seu pessoal mais novato vai rapidamente ficar para trás e deixar de contribuir, enquanto o seu pessoal mais avançado fica sobrecarregado. Eles estão sendo puxados em dezenas de direções diferentes ”, disse Ziegler, acrescentando que esta foi uma das razões pelas quais os pesquisadores se reuniram para tentar encontrar um método alternativo. “Ficou claro que não estava funcionando para nós.”
Para testar sua nova abordagem automatizada, que eles chamam de método “amplitude primeiro”, os pesquisadores recrutaram 12 voluntários do Cyber Command e os dividiram em duas equipes de seis. Algumas equipes testaram o método de amplitude inicial, no qual os voluntários usam uma técnica de teste de software automatizada, chamada fuzzing, para encontrar bugs de software. Eles foram encorajados a usar o maior número possível de fuzilamentos em um dia para avaliar o maior número possível de alvos em busca de bugs.
Para compará-lo com o método prevalecente, algumas equipes de voluntários testaram a abordagem em profundidade, com todas as equipes trabalhando no mesmo software ao mesmo tempo. Isso exigia que cada hacker tivesse conhecimento básico sobre o software, criando uma barreira maior para os novatos e um conjunto maior de tarefas para os hackers mais experientes. Depois que as equipes iniciaram uma execução de fuzzing, elas continuaram a trabalhar no mesmo alvo – mas os pesquisadores acharam isso ineficiente, pois o fuzzing revelou informações mais tarde que poderiam ter ajudado a execução do processo de forma mais suave se descobertas anteriormente.
Os pesquisadores descobriram que o método automatizado de amplitude inicial permitia que os voluntários encontrassem mais vulnerabilidades de software do que ao usar a abordagem de profundidade. O método abrangente também ajudou hackers novatos a se envolverem na pesquisa e a desenvolverem suas habilidades, pois as equipes foram capazes de emparelhar níveis de conhecimento com tarefas em todo o processo de descoberta de vulnerabilidade.
“[A largura em primeiro lugar] incentiva os hackers de nível aprendiz a desistir quando fica claro que controlar um alvo específico exigiria um investimento de tempo significativo. Em vez de continuar por uma ‘toca do coelho’, os aprendizes documentam qualquer informação pertinente sobre o alvo antes de movê-lo para uma fila separada [e mais avançada] ”, escrevem os pesquisadores. “Isso fornece aos hackers mais experientes material para revisar antes de aplicar suas habilidades mais experientes.”
Hackers deixados para trás no Pentágono
Os pesquisadores esperam que os resultados encorajem as equipes de pesquisa de vulnerabilidade em todos os setores, não apenas no militar, a reavaliar se seus métodos atuais levam aos melhores resultados. Mas a pesquisa pode ser uma solução particularmente atraente para militares americanos frustrados que tradicionalmente entram e saem de posições a cada dois anos, mesmo em equipes de descoberta de vulnerabilidade no Cyber Command.
Usar a abordagem em primeiro lugar pode deixar os militares dos EUA para trás na descoberta de vulnerabilidades a serem exploradas, atestam os pesquisadores.
“Nas forças armadas, frequentemente temos militares em rodízio em missões de três anos. Devido à sobrecarga significativa no treinamento de alguém em todas as habilidades importantes … resta pouco tempo para um impacto significativo no trabalho ”, disse o capitão do Exército dos EUA Timothy Nosco, co-redator da pesquisa, no Simpósio de Segurança USENIX anterior este mês.
Os pesquisadores que são novos no DOD muitas vezes ficam para trás na descoberta de vulnerabilidades e têm que recorrer à entrega de conjuntos de problemas mais difíceis para seus supervisores, disse Ziegler à CyberScoop.
“Essa é a norma”, disse Ziegler. “Se você tem alguém que é meio novo nisso, muitas vezes não há muito mais que eles possam fazer do que outros tipos de trabalho, ou talvez como problemas de prática, como [competições de captura da bandeira] até que eles comecem a desenvolver essa enorme gama de habilidades para faça essas coisas. ”
Além de encontrar mais bugs, os pesquisadores descobriram que a abordagem abrangente deixou os hackers voluntários mais satisfeitos com seu trabalho. Em pesquisas pós-experimento, eles disseram que se sentiram menos frustrados e mais interessados no material.
“[Largura em primeiro lugar] permite que os membros da equipe trabalhem com confiança em tarefas independentes, progridam até compreenderem as principais informações e, em seguida, comunicam essas informações”, escreveram os pesquisadores.
A equipe de descoberta de vulnerabilidades de Ziegler no Cyber Command, cuja missão ele não foi autorizado a discutir, começou a implementar o método de amplitude inicial avançando. A NSA e o Cyber Command se recusaram a comentar se o método amplo estava sendo empregado de forma mais ampla na NSA, no Cyber Command ou no DOD.
Ziegler reconheceu que nem todo pesquisador descobrirá que o método da amplitude inicial funciona.
“Embora sintamos que existe uma mentalidade de aprofundamento prevalecente na comunidade [de pesquisa de vulnerabilidade], reconhecemos que muitas organizações encontraram abordagens que funcionam para elas, muitas das quais não se enquadram perfeitamente nessa [categorização]”, Ziegler disse CyberScoop. “Nosso trabalho busca encorajar todas as organizações a pensar sobre seus fluxos de trabalho, se elas poderiam começar a fazer uso de mais automação e como elas podem envolver melhor todo o espectro de sua força de trabalho para fazer contribuições significativas.”
Fonte: https://www.cyberscoop.com/vulnerability-discovery-research-pentagon-researchers-software-flaws/
Imagem: Getty Images