Звіти про помилки ПК — це невикористана золота жила хакерів

Коли минулого місяця помилкове оновлення програмного забезпечення від охоронної фірми CrowdStrike ненавмисно спричинило цифровий хаос у всьому світі, першими ознаками цього стали ПК з Windows, які показували синій екран смерті. У той час як веб-сайти та сервіси виходили з ладу, а люди намагалися зрозуміти, що відбувається, суперечлива та неточна інформація була скрізь. Поспішаючи зрозуміти кризу, давній дослідник безпеки Mac Патрік Вордл знав, що є одне місце, де він може шукати факти: звіти про помилки з комп’ютерів, уражених помилкою.

«Хоч я не дослідник Windows, я був заінтригований тим, що відбувається, і бракував інформації», — розповідає Вордл WIRED. «Люди казали, що це проблема Microsoft, тому що системи Windows були перевірені синім кольором і було багато диких теорій. Але насправді це не мало нічого спільного з Microsoft. Тож я перейшов до звітів про збої, які для мене є абсолютною правдою. І якщо ви заглянете туди, ви зможете визначити основну причину задовго до того, як CrowdStrike вийшов і сказав це».

На конференції з безпеки Black Hat у Лас-Вегасі в четвер Уордл стверджував, що звіти про збої є інструментом, який використовується недостатньо. Такі знімки системи дають розробникам і супроводжувачам програмного забезпечення інформацію про можливі проблеми з їхнім кодом. І Вордл підкреслює, що вони можуть бути джерелом інформації про потенційно придатні для використання вразливості програмного забезпечення — як для захисників, так і для зловмисників.

У своєму виступі Вордл навів кілька прикладів уразливостей, які він знайшов у програмному забезпеченні, коли програма виходила з ладу, і шукав у звіті ймовірну причину. Користувачі можуть легко переглядати власні звіти про помилки в Windows, macOS та Linux, а також вони доступні на Android та iOS, хоча доступ до них може бути складнішим у мобільних операційних системах. Вордл зазначає, що для отримання інформації зі звітів про помилки вам потрібно базове розуміння інструкцій, написаних у низькорівневому машинному коді, відомому як Assembly, але підкреслює, що виграш того вартий.

У своїй доповіді про Black Hat Уордл представив численні вразливості, які він виявив, просто переглянувши звіти про помилки на своїх власних пристроях, включаючи помилки в інструменті аналізу YARA та поточній версії операційної системи Apple macOS. Насправді, коли Уордл виявив у 2018 році, що помилка iOS спричиняє збій додатків, коли вони відображають емодзі з прапором Тайваню, він докопався до суті того, що відбувається за допомогою, як ви вже здогадалися, звітів про помилки.

«Ми остаточно виявили, що Apple виконала вимоги Китаю щодо цензури прапора Тайваню, але в їх цензурному коді була помилка — смішна», — каже він. «Мій друг, який першим це помітив, сказав: «Мій телефон зламали китайці». Коли ви надсилаєте мені повідомлення, воно зависає. Або ви хакаєте мене?» І я сказав: «Грубий, я не буду тебе рубати. І також, грубіяну, якщо я зламаю тебе, я б не зламав твій телефон». Тож я витягнув звіти про збої, щоб побачити, що відбувається».

Вордл зазначає, що якщо він може знайти стільки вразливостей, просто переглянувши звіти про помилки на своїх власних пристроях і пристроях своїх друзів, розробники програмного забезпечення також повинні шукати їх. Досвідчені злочинці та добре фінансовані державні хакери, мабуть, уже черпають ідеї з власних звітів про збої. Протягом багатьох років новини показували, що розвідувальні служби, такі як Агентство національної безпеки США, ведуть журнали аварій на шахтах. Уордл зазначає, що звіти про помилки також є цінним джерелом інформації для виявлення шкідливих програм, оскільки вони можуть виявити аномальну та потенційно підозрілу активність. Наприклад, відомий брокер шпигунського програмного забезпечення NSO Group часто використовує механізми у своєму шкідливому програмному забезпеченні спеціально для видалення звітів про помилки, щойно воно заражає пристрій. І той факт, що зловмисне програмне забезпечення часто має помилки, робить помилки більш імовірними, а звіти про помилки також цінні для зловмисників, щоб зрозуміти, що пішло не так з їхнім кодом.

«Що стосується звітів про нещасні випадки, правда відкрита», — каже Вордл. — Або, мабуть, там.