Interview met een hacker: Veel intuïtie bij het vinden van kwetsbaarheden

Safari, Chrome, Edge, Firefox sandbox: Manfred Paul won dit jaar de eerste plaats in de internationale beveiligingswedstrijd Pwn2Own Vancouver en won daarmee een geldprijs van ongeveer $ 200.000. Het was niet alleen in staat Apple Safari, Google Chrome en Microsoft Edge-webbrowsers te kapen, maar het slaagde er ook in in te breken in de Firefox-sandbox van Mozilla. In 2020 wist Paul, toen 21 jaar oud, in de Pwn2Own-wedstrijd een zero-day kwetsbaarheid in de Linux-kernel te exploiteren. Wij spraken hem over zijn drijfveren en aanpak.

advertentie

heise online: Het kost zeker tijd om dergelijke kwetsbaarheden te ontwikkelen. Hoeveel tijd heb je hierin geïnvesteerd?

Manfred Pohl: Dit is voor mij een moeilijke vraag om te beantwoorden, vooral als ik naar verschillende doelen kijk. Ik besteed het grootste deel van mijn tijd aan het zoeken naar dingen en vind niets. Ik ben altijd op zoek naar zwakke punten, zelfs als ik ze in eerste instantie niet vind, kunnen er later wel enkele zijn. Tijd waarin je niets tastbaars vindt, is geen tijdverspilling. Je leert nieuwe dingen en begrijpt dingen die je kunnen helpen later een zwakte te vinden. Maar tot op zekere hoogte is het ook een kwestie van geluk.

Wat duurt langer? Een maas in de wet vinden of deze exploiteren?

Absoluut een ontdekking voor mij, op enkele uitzonderingen na. Soms heb je meer geluk als je iets vindt. Het hangt natuurlijk ook van de methode af. Ik bekijk de code vaak handmatig en probeer op die manier fouten te vinden. Anderen werken misschien meer met geautomatiseerde tools, en het kostte zeker veel tijd om die tools draaiende te krijgen. Dit is een zeer individuele kwestie. Voor mij neemt het zoeken naar insecten absoluut het grootste deel van mijn tijd in beslag. Natuurlijk gaat het sneller als je al ervaring hebt. Er zijn inmiddels steeds meer doelen waarbij meer mitigatiemaatregelen worden ingezet, die ook veel tijd vergen.

Heb je een recept dat je volgt?

Niet echt. Er is ook veel intuïtie. Ik heb de neiging om naar delen van de code te kijken waarvan ik het gevoel heb: “Als ik daar iets vind, is het serieus.” Het heeft geen zin om zomaar een bug te vinden als deze niet kan worden uitgebuit en helemaal geen kwetsbaarheid is. Ik let goed op de tolk, d.w.z. code die tijdens runtime nieuwe en geoptimaliseerde machinecode genereert. Als er iets misgaat, gaat het ook goed. Over het algemeen ontwikkelt zich in de loop van de tijd een bepaalde intuïtie. Welnu, ik zou dit onderdeel of dit deel van het onderdeel dat gerelateerde dingen doet, van naderbij willen bekijken.

Heeft u al voorbereidend werk gedaan om kwetsbaarheden te vinden? Gebruik je een database of iets dergelijks?

Ik ben vaak erg ongeorganiseerd als het om dit soort dingen gaat. Sommige mensen zijn een beetje anders en lezen over eerdere exploits en zoeken naar informatie uit verschillende bronnen. Ik ben iemand die niet noodzakelijkerwijs altijd alle informatie overal vandaan haalt, omdat ik deze onbevooroordeeld wil benaderen. Als ik het benader met het idee van: “Dit is allemaal gevonden”, dan heb ik altijd het gevoel van: “Oké, de code zal nu op de een of andere manier correct zijn.” Dan kan ik niet echt kritisch naar de code kijken. Over het algemeen vind ik het heel persoonlijk, iedereen heeft zijn eigen manier van werken.

Op welke exploit ben je het meest trots en waarom?

Dat is moeilijk te zeggen, omdat, zoals ik al zei, er altijd een element van geluk is. Iedereen heeft zijn uitdagingen. Van de dingen die ik dit jaar deed, was Firefox de enige waarbij ik ook de grote sandbox aanviel. Uiteraard is dit van groter praktisch belang, vooral voor eindgebruikers, omdat dit extra beschermingsmechanisme wordt geëlimineerd. Maar ik denk dat de andere browsers, Chrome en Safari, technisch gezien ook een aantal interessante dingen hadden.

Heeft iemand van Mozilla contact met u opgenomen?

Tijdens de wedstrijd hebben we contact met alle fabrikanten en zijn er vaak mensen ter plaatse; Er waren er enkele van Mozilla online. Ik heb ook kort gebeld met iemand van Mozilla en ik vind het zeker goed dat de beveiligingsaspecten zo snel worden aangepakt. Vervolgens werd de kwetsbaarheid in recordtempo verholpen en werd de update snel uitgebracht. Dit maakt mij altijd blij. Systematische wijzigingen aan browsers zijn ook gepland in de toekomst. Uiteraard zou dit mijn leven in de toekomst een beetje moeilijker maken. Het is echter altijd een gevecht tegen windmolens als je alleen individuele bugs vindt en deze vervolgens oplost; er zal altijd de volgende zijn. Maar als mensen zeggen: 'Oké, we hebben hier een systemisch probleem en we willen in de toekomst iets veranderen om de kans op dit soort fouten te verkleinen', dan is dat in zekere zin een beloning voor wat je met je werk hebt bereikt. .

Je hebt zojuist miljoenen verbrand met je werk. Wat is jouw motivatie hiervoor? Ben je niet bang dat mensen van streek raken omdat ze iets missen?

Ik weet dat ik meer geld zou kunnen verdienen door mijn vondsten aan de hoogste bieder te verkopen, maar dat wil ik niet doen. Software moet ook veilig zijn voor iedereen. Ik wil niet verantwoordelijk zijn voor het feit dat aanvallers – of het nu de overheid of andere organisaties zijn – uiteindelijk iets met mijn hulp zouden kunnen doen. Daarom ben ik erg blij als de gaten achteraf worden gecorrigeerd. Ik geloof niet dat ik iemand veel hinderde. Uiteindelijk maakt het vinden en dichten van dergelijke mazen in de wet ook deel uit van het leven van criminelen. Ze zouden dan boos moeten worden op de fabrikanten als ze hun codes veiliger zouden maken. Aan de technische kant is het vinden van iets een uitdaging voor alle betrokkenen, ongeacht wie. Er zit ook enige zelfbescherming achter als ik de exploit rechtstreeks naar de fabrikant verplaats, en het wordt relatief snel opgelost. Niemand is geïnteresseerd om ze vooraf van mij te stelen. Zo kan ik rustiger slapen.

Welke browser gebruik je persoonlijk?

Wat er in een browser toe doet, is niet de browser die u gebruikt, maar het ‘hoe’ dat belangrijker is. Ik wil geen aanbeveling doen. U moet uw software up-to-date houden en niet op elke link en dergelijke klikken. De meeste browsers hebben manieren om de beveiliging te vergroten, zoals het uitschakelen van de tolk, wat uiteraard ook prestatieverlies tot gevolg heeft. Maar deze vertalers hebben een gemeenschappelijk doel. Sommige browsers bieden nu expliciet een extra veilige modus aan waarin de JIT-compiler is uitgeschakeld. Dit is te vinden in de instellingen van de meeste browsers. Voor mij is de browser geen onderdeel van een actieve veiligheidsbeslissing, maar voor mij en de meeste mensen gaat het ook om gewoonte en gemak.

Hoe ben je begonnen?

Eén van de belangrijkste dingen die ertoe hebben bijgedragen dat IT-beveiliging serieus werd nagestreefd, waren de wedstrijden in ‘Capture the Flag’-stijl. Dit zijn wedstrijden waarbij je soms heel vergelijkbare dingen doet en fouten moet vinden. Maar de zwakke punten zijn opzettelijk geschreven. Ik heb veel geleerd tijdens het proces. Ik heb een team waar ik nog steeds af en toe mee speel. Zoiets helpt enorm om aan de slag te gaan. Mijn studie wiskunde, waarin ik methoden leerde, heeft mij ook geholpen. Soms probeer ik mentaal bewijs te vinden dat het programma correct is.

Het hackergedeelte is nog niet geannuleerd, zoals velen hebben geëist. Was u aan het begin van uw carrière bang dat iemand u zou beschuldigen van illegale activiteiten?

Er is absoluut een grote fout als het om de wetgeving gaat. Het is voor de IT-beveiligingsgemeenschap een schande om te zien dat de persoon die een kwetsbaarheid heeft gemeld onlangs opnieuw is veroordeeld. Ik hoop dat er het een en ander verandert in de wet, zodat mensen op een juridisch veilige manier kwetsbaarheden kunnen melden. Vooral het onderwerp “reverse engineering” is in Duitsland vanuit juridisch oogpunt erg moeilijk. Het kan voorkomen dat u als beveiligingsonderzoeker in aanraking komt met het auteursrecht. Het risico voor mij is tot nu toe minder geweest omdat ik voornamelijk met open source software te maken heb gehad. Ik heb het eerste beveiligingsprobleem in de Linux-kernel gevonden. Dit is geen infrastructuur die eigendom is van iemand.

(Mac)