V tej objavi vam bom prestavil mojo osebno pot od odkritja ranljivosti, soočanje za etičnimi vidike njenega prijavljanja in vse do zahtevnega postopka, ki je vodil do priznanja mojega dela z identifikatorjem CVE. Pridružite se mi pri deljenju izkušenj in vpogledov, s katerimi želim osvetliti pot vsem, ki jih zanima področje informacijske varnosti, in poudariti ključno vlogo CVE-jev v sodobnem digitalnem svetu.
V nenehno razvijajočem se svetu tehnologije je informacijska varnost ključna pregrada proti digitalnim grožnjam. Med številnimi vidiki tega področja je koncept Pogostih ranljivosti in izpostavljenosti (angl. Common Vulnerabilities and Exposures ali krajše CVE) bistven pri razumevanju in upravljanju tveganj v informacijski varnosti. Toda kaj točno so CVE-ji in zakaj so pomembni? To je zgodba mojega potovanja v zapleteni svet informacijske varnosti, ki je pripeljalo do trenutka, ko sem prejel svoj prvi identifikator CVE – mejnik, ki simbolizira tako dosežek kot odgovornost.
Kaj je CVE in zakaj je pomemben?
Informacijska varnost je kot neprekinjena šahovska igra, kjer se branilci in napadalci nenehno prilagajajo svoje strategije. V tem digitalnem dvoboju lahko ranljivosti – napake ali šibke točke v sistemu – napadalci izkoristijo za povzročanje škode. Tu postanejo CVE-ji ključni. CVE je javno objavljen zapis, ki identificira in katalogizira ranljivosti v programski ali strojni opremi. Vsak CVE je edinstven in služi kot referenca, ki strokovnjakom s področja informacijske varnosti omogoča razpravo, analizo in odpravljanje posameznih ranljivosti.
Pomen CVE-jev sega onkraj zgolj katalogiziranja. Predstavljajo pomembno orodje za strokovnjake informacijske varnosti, da komunicirajo o specifičnih grožnjah, koordinirajo obrambne strategije in razvijajo popravke ali rešitve. Širše gledano CVE-ji pomagajo organizacijam in posameznikom razumeti njihovo izpostavljenost tveganju in ustrezno določati svoje prednostne varnostne ukrepe.
Odkrivanje CVE-ja ni zgolj iskanje napake v sistemu, temveč gre za prispevek k skupnemu prizadevanju za varnejši digitalni svet. Zahteva natančnost, poglobljeno razumevanje delovanja sistemov in neomajno zavezanost k etičnim načelom. Postopek prijave CVE-ja temelji na odgovornosti – cilj je zagotoviti, da se informacije uporabijo za izboljšanje varnosti in krepitev obramb, ne pa za zlorabo ali izkoriščanje ranljivosti.
Moja pot in odkritje
Moja pot v svet informacijske varnosti se je začela pred približno petimi leti, ko sem se po zaključku študija informatike pridružil ekipi Viris. Tako kot mnogi sem svoje znanje nadgrajeval na platformah, kot je Hack The Box. Ves čas sem se osredotočal na ranljivosti, povezane z Windows sistemi in Active Directory.
Ranljivost, ki je kasneje prejela oznako CVE, je bila odkrita med izvajanjem penetracijskega testa za stranko, in sicer v fazi eskalacije privilegijev za novo okolje, ki so ga vzpostavljali. Postopek eskalacije privilegijev pomeni odkrivanje potencialno ranljivih programov in storitev med stvarmi, kot so zloraba spremenljivke PATH ali vrivanju DLL knjižnic, kar je podrobneje opisano na nekoliko starejšem viru https://fuzzysecurity.com/tutorials/16.html, ki še vedno služi kot osnova pri raziskovanju poti za eskalacijo privilegijev.
Med tem procesom je bila odkrita ranljiva storitev, ki smo jo nato prijavili stranki. Ker je šlo za produkt in smo se dogovorili o možnosti prijave težave IBM-u, saj je šlo za njihov izdelek.
Odgovorno razkritje ranljivosti
Odkritje ranljivosti prinaša tudi veliko odgovornost. Etičnost ne pomeni le odkrivanja varnostnih pomanjkljivosti, ampak tudi pravilno ravnanje z njimi na način, ki varuje uporabnike in sisteme. Raziskovalci se morajo izogibati javnemu razkrivanju podrobnosti, preden je na voljo popravek, ali izkoriščanju ranljivosti za osebno korist. Namesto tega je potrebno težavo zasebno prijaviti organizaciji, da ima ta dovolj časa za preiskavo in pripravo popravka. Dobra komunikacija ter spoštljiv in sodelovalen pristop sta pomembna skozi celoten postopek.
Včasih organizacije ne odgovorijo ali ne sodelujejo tako, kot bi pričakovali. Tudi v takšnih primerih je pomembno, da raziskovalci ravnajo odgovorno in po potrebi poiščejo pomoč pri posrednikih, kot so organizacije CERT. Deljenje izkušenj in pridobljenega znanja, brez razkrivanja občutljivih podrobnosti, lahko pomaga ozaveščati druge ter dodatno krepi skupnost informacijske varnosti.
Za bodoče raziskovalce na področju varnosti tehnično znanje predstavlja le del poti. Neprestano učenje, praktične izkušnje, radovednost in vztrajnost igrajo pomembno vlogo na področju, ki se nenehno spreminja. Prav tako pa so etično ravnanje, jasna komunikacija in sodelovanje s širšo varnostno skupnostjo ključni dejavniki, ki pomagajo posamezniku postati zaupanja vreden varnostni strokovnjak.
Ranljivost sem prijavil preko platforme HackerOne, saj omogoča učinkovitejšo in varnejšo komunikacijo z organizacijami. Sam postopek je trajal dlje, kot sem pričakoval, vendar je pri večjih organizacijah razumljivo.
Časovnica prijave je bila naslednja:
- junij 2023 – poročilo oddano preko HackerOne
- junij 2023 – poročilo pregledano s strani HackerOne in oddano k IBM
- avgust 2023 – vprašanje o stanju poročila
- september 2023 – sporočili, da bodo preverili stanje
- september 2023 – popravek izdan, objavljena stran o popravku
- oktober 2023 – dodano priznanje o raziskovalcu pomanjkljivosti
- oktober 2023 – odločitev IBM, da se poročila ne deli
S platformo HackerOne je bila komunikacija poenostavljena, saj mi ni bilo potrebno skrbeti za varnost samega kanala, torej šifriranje sporočila, prav tako je bila platforma nek posrednik, ki je na obeh straneh poenostavila proces.
Priznanje
Prejem svojega prvega CVE identifikatorja je bil zame res poseben in nagrajujoč trenutek. Ne toliko zaradi samega naziva, temveč zato, ker je predstavljal potrditev, da so čas, potrpežljivost in skrbno raziskovanje dejansko prispevali k izboljšanju varnosti na smiseln in konkreten način.
Tako kot mnogi raziskovalci sem tudi sam že prijavljal ugotovitve, ki so se na koncu izkazale za napačne konfiguracije, lažno pozitivne rezultate ali pa jih preprosto ni bilo mogoče reproducirati. To je povsem normalen del procesa. Raziskovanje ranljivosti pogosto pomeni soočanje s slepimi ulicami, večkratno testiranje istih stvari ter učenje skozi poskuse in napake.
Tokrat pa se je vse lepo sestavilo — od začetnega odkritja in potrditve ranljivosti do odgovornega razkritja in na koncu tudi uradnega priznanja.
Povezava do podrobnosti o CVE-ju:
https://www.ibm.com/support/pages/node/7031707
Franci Šacer