Η απάντηση είναι ναι και η περίπτωση της Cenobe, ελληνικής εταιρείας κυβερνοασφάλειας και μέλος του ομίλου Qualco, διεθνούς παρόχου λογισμικού και χρηματοοικονομικής τεχνολογίας, δείχνει ακριβώς πώς έγινε.
Η ερευνητική ομάδα της εταιρείας, η οποία από το 2020 προσφέρει εξειδικευμένες υπηρεσίες που εστιάζουν στον εντοπισμό και την εκμετάλλευση συστημικών αδυναμιών, αποκάλυψε σοβαρό κενό ασφαλείας στο Coverity της Black Duck, ένα εργαλείο που χρησιμοποιείται από χιλιάδες οργανισμούς διεθνώς, συμπεριλαμβανομένων τραπεζών, τεχνολογικών εταιρειών και κυβερνητικών φορέων, αποσκοπώντας στον εντοπισμό ευπαθειών του πηγαίου τους κώδικα.
Η κρίσιμη ευπάθεια βαθμολογήθηκε με 9,6/10 στην κλίμακα CVSS, γεγονός που την κατατάσσει στο ανώτατο επίπεδο σοβαρότητας. Στην πράξη, επέτρεπε σε μη εξουσιοδοτημένους χρήστες να αποκτήσουν πλήρη διαχειριστικό έλεγχο του συστήματος χωρίς να απαιτούνται διαπιστευτήρια πρόσβασης.
Η ευπάθεια, όπως αποδείχθηκε, δεν οφειλόταν σε σφάλμα υλοποίησης αλλά σε ζήτημα σχεδιασμού (design flaw), γεγονός που αυξάνει σημαντικά την πολυπλοκότητα εντοπισμού και διόρθωσής της. Επιπλέον, ο εντοπισμός της έγινε κατόπιν βαθιάς ερευνητικής ανάλυσης.
Γιατί είναι τόσο σημαντική αυτή η ευπάθεια;
Διότι δεν ήταν ένα απλό bug αλλά ένα design flaw, δηλαδή ένα πρόβλημα στον ίδιο τον σχεδιασμό του συστήματος. Αυτό πρακτικά σημαίνει ότι καθίσταται πολύ πιο δύσκολος ο εντοπισμός του και ακόμη περισσότερο η διόρθωσή του.
Χαρακτηριστικό είναι πως η ευπάθεια προέκυψε μέσα από βαθιά ερευνητική ανάλυση της ομάδας της Cenobe, με μια προσέγγιση που βασίζεται στη λογική του offensive security, δηλαδή να σκέφτεσαι και να λειτουργείς όπως ένας επιτιθέμενος.
Ο εντοπισμός του προβλήματος, όμως, απαιτεί και την αντίστοιχη αντιμετώπιση. Όπως προβλέπεται σε αυτές τις περιπτώσεις, η εταιρεία ακολούθησε τη διαδικασία responsible disclosure, ενημερώνοντας άμεσα την Black Duck και παρέχοντας πλήρη τεχνικά στοιχεία. Η Black Duck, η οποία είναι μία εκ των κορυφαίων εταιρειών του κλάδου, ανταποκρίθηκε άμεσα, ετοιμάζοντας τις διορθωτικές ενημερώσεις μέσα σε λίγες μόνο ώρες και το πρόβλημα λύθηκε προτού δημοσιοποιηθεί.
Για τον εντοπισμό του θέματος και την άμεση ενημέρωση των πελατών της Cenobe, πριν δημοσιοποιηθεί CVE, ακόμη και πριν διατεθεί το επίσημο patch ενημέρωσης, τοποθετήθηκε ο συνιδρυτής της εταιρείας, κ. Αθανάσιος Παναγιωτόπουλος, ο οποίος ανέφερε πως «Στον χώρο της κυβερνοασφάλειας, η προτεραιότητα είναι πάντα η άμεση αντιμετώπιση και αποκατάσταση των ευπαθειών πριν από οποιαδήποτε δημόσια αναφορά».
Πώς, όμως εντοπίστηκε αυτό το κενό στην ασφάλεια;
Με την τεχνογνωσία που διακατέχει την ερευνητική ομάδα της Cenobe, η οποία τροφοδοτεί το Morpheus, την πλατφόρμα External Attack Surface Management της εταιρείας που παρακολουθεί σε πραγματικό χρόνο τα σημεία έκθεσης των πελατών, εντοπίζοντας απειλές προτού αυτές εξελιχθούν σε περιστατικά ασφαλείας.
Ο κ. Βασίλης Κερμελής, Chief Technology Officer της εταιρείας ανέφερε πως «Οι πελάτες μας είχαν ήδη λάβει ενημέρωση για την ευπάθεια μέσω του Morpheus και δεν πληροφορήθηκαν για το συμβάν από τα μέσα ενημέρωσης, το οποίο αποτελεί σημαντικό στοιχείο διαφοροποίησης των υπηρεσιών μας».
Τι σημαίνει πρακτικά για τις επιχειρήσεις η εμφάνιση ενός τέτοιου περιστατικού;
Αναδεικνύει μια σκληρή αλήθεια: πως ακόμη και αξιόπιστα εργαλεία κυβερνοασφάλειας μπορούν να αποτελέσουν εστίες για επιθέσεις. Παρ’ ότι η συγκεκριμένη ευπάθεια αντιμετωπίστηκε άμεσα και με απόλυτη επιτυχία, το μήνυμα είναι σαφές: η ασφάλεια δεν είναι δεδομένη, απαιτείται συνεχής αξιολόγηση και επένδυση σε προληπτικές, “’offensive” προσεγγίσεις.
Το παράδειγμα της Cenobe αποδεικνύει πως η τεχνογνωσία δεν εξαρτάται από το μέγεθος μιας εταιρείας, ούτε ανήκει αποκλειστικά στους τεχνολογικούς κολοσσούς του εξωτερικού. Το γεγονός πως μια ελληνική ομάδα εντόπισε έγκαιρα μια σημαντική αδυναμία σε ένα εργαλείο που χρησιμοποιείται διεθνώς, προτού αυτή καταστεί πραγματική απειλή και λάβει ανεξέλεγκτες διαστάσεις, είναι ιδιαίτερα σημαντικό και τοποθετεί τη χώρα μας στην καρδιά των τεχνολογικών εξελίξεων.
Και αυτό, από μόνο του, αλλάζει τη συζήτηση και επαναπροσδιορίζει τα δεδομένα.
