Kiedy w zeszłym miesiącu zła aktualizacja oprogramowania od firmy zajmującej się bezpieczeństwem CrowdStrike nieumyślnie spowodowała cyfrowy chaos na całym świecie, pierwszymi oznakami były wyświetlanie na komputerach z systemem Windows niebieskiego ekranu śmierci. W miarę jak strony internetowe i usługi przestały działać, a ludzie starali się zrozumieć, co się dzieje, wszędzie pojawiały się sprzeczne i niedokładne informacje. Chcąc zrozumieć kryzys, długoletni badacz bezpieczeństwa komputerów Mac, Patrick Wardle, wiedział, że jest jedno miejsce, w którym może uzyskać fakty: raporty o awariach komputerów, których dotyczy błąd.
„Mimo że nie jestem badaczem systemu Windows, byłem zaintrygowany tym, co się dzieje, a informacji było bardzo mało” – mówi Wardle WIRED. „Ludzie mówili, że to problem Microsoftu, ponieważ systemy Windows wyświetlały niebieskie ekrany i było wiele szalonych teorii. Ale tak naprawdę nie miało to nic wspólnego z Microsoftem. Sięgnąłem więc do raportów o wypadkach, które według mnie zawierają ostateczną prawdę. A jeśli tam szukasz, jesteś w stanie wskazać przyczynę na długo przed tym, jak CrowdStrike to powiedział i powiedział to.”
Na czwartkowej konferencji dotyczącej bezpieczeństwa Black Hat w Las Vegas Wardle argumentował, że raporty o awariach są narzędziem niewykorzystanym. Takie migawki systemu dają twórcom i opiekunom oprogramowania wgląd w możliwe problemy z ich kodem. Wardle podkreśla, że mogą one być szczególnie źródłem informacji o potencjalnie możliwych do wykorzystania lukach w oprogramowaniu – zarówno dla obrońców, jak i atakujących.
W swoim przemówieniu Wardle przedstawił wiele przykładów luk w zabezpieczeniach, które znalazł w oprogramowaniu po awarii aplikacji, a następnie przejrzał raport w poszukiwaniu możliwej przyczyny. Użytkownicy mogą z łatwością przeglądać własne raporty o awariach w systemach Windows, macOS i Linux. Są one również dostępne na systemach Android i iOS, choć dostęp do nich w mobilnych systemach operacyjnych może być trudniejszy. Wardle zauważa, że aby wyciągnąć wnioski z raportów o awariach, konieczna jest podstawowa znajomość instrukcji zapisanych w niskopoziomowym kodzie maszynowym znanym jako Assembly, ale podkreśla, że efekt jest tego wart.
W swoim przemówieniu dotyczącym Black Hat Wardle przedstawił wiele luk w zabezpieczeniach, które odkrył po prostu analizując raporty o awariach na swoich własnych urządzeniach – w tym błędy w narzędziu analitycznym YARA oraz w aktualnej wersji systemu operacyjnego macOS firmy Apple. Tak naprawdę, kiedy w 2018 roku Wardle odkrył, że błąd iOS powodował awarię aplikacji za każdym razem, gdy wyświetlały się emoji flagi tajwańskiej, dotarł do sedna tego, co się dzieje, korzystając, jak się domyślacie, z raportami o awariach.
„Bezpośrednio ujawniliśmy, że Apple zgodził się na żądania Chin dotyczące cenzury tajwańskiej flagi, ale ich kod cenzury zawierał błąd – to niedorzeczne” – mówi. „Mój przyjaciel, który pierwotnie to zaobserwował, powiedział: «Chińczycy zhakowali mój telefon. Gdy do mnie napiszesz, zawiesza się. A może hakujesz mnie? A ja na to: „Niegrzeczny, nie zhakowałbym cię”. A poza tym, niegrzecznie, gdybym cię zhakował, nie rozbiłbym twojego telefonu. Wyciągnąłem więc raporty o awariach, żeby zobaczyć, co się dzieje.
Wardle podkreśla, że skoro może znaleźć tak wiele luk w zabezpieczeniach po prostu przeglądając raporty o awariach z urządzeń swoich i swoich znajomych, twórcy oprogramowania również powinni tam szukać. Zarówno wyrafinowani aktorzy przestępczi, jak i dobrze finansowani hakerzy wspierani przez państwo prawdopodobnie już czerpią pomysły z własnych raportów o awariach. Z biegiem lat doniesienia prasowe wskazywały, że agencje wywiadowcze jak amerykańska Agencja Bezpieczeństwa Narodowego zrób moje logi awarii. Wardle zwraca uwagę, że raporty o awariach są również cennym źródłem informacji do wykrywania złośliwego oprogramowania, ponieważ mogą ujawnić nietypowe i potencjalnie podejrzane działania. Na przykład znany broker oprogramowania szpiegującego NSO Group często wbudowywał w swoje złośliwe oprogramowanie mechanizmy służące specjalnie do usuwania raportów o awariach natychmiast po zainfekowaniu urządzenia. A fakt, że złośliwe oprogramowanie często zawiera błędy, zwiększa prawdopodobieństwo awarii, a raporty o awariach są cenne również dla atakujących, ponieważ pozwalają zrozumieć, co poszło nie tak z ich kodem.
„W przypadku raportów o wypadkach prawda wychodzi na jaw” – mówi Wardle. – Albo, jak sądzę, tam.
