นักวิจัยความปลอดภัยชื่อ Micky เพิ่งค้นพบช่องโหว่สำคัญใน Google Chrome ที่ช่วยให้ผู้โจมตีสามารถหลบหนีการป้องกัน sandbox ของเบราว์เซอร์ได้ โดยได้รับรางวัลจำนวนมาก 250,000 ดอลลาร์สหรัฐจากโปรแกรม bug bounty ของ Google การค้นพบนี้ได้จุดประกายการอภิปรายที่น่าสนใจในชุมชนเกี่ยวกับเศรษฐกิจของรางวัลความปลอดภัยไซเบอร์และวิธีที่บริษัทต่างๆ ให้ความสำคัญกับการวิจัยด้านความปลอดภัย
ช่องโหว่นี้ซึ่งถูกติดตามในระบบ issue ของ Chrome เกี่ยวข้องกับข้อบกพร่องในระบบ ipcz (Inter-Process Communication) ที่จัดการการสื่อสารระหว่างส่วนต่างๆ ของเบราว์เซอร์ โดยการจัดการ message headers บางอย่าง เว็บไซต์ที่เป็นอันตรายสามารถหลอก Chrome ให้มอบสิทธิ์ระดับสูงได้ ซึ่งจะทำลาย security sandbox ที่ปกติจะกักเก็บเนื้อหาเว็บไว้
รายละเอียดทางเทคนิค
- ประเภทช่องโหว่: ข้อบกพร่องทางตรรกะในระบบ Inter-Process Communication (ipcz)
- เวกเตอร์การโจมตี: การจัดการ header ที่เป็นอันตรายในการสื่อสารระหว่าง renderer กับ broker
- ผลกระทบ: หลุดจาก sandbox ได้อย่างสมบูรณ์ ทำให้สามารถยกระดับสิทธิ์ได้
- ส่วนประกอบที่ได้รับผลกระทบ: ระบบแยกกระบวนการของ Chrome
ลักษณะสองขั้นตอนของการโจมตีเบราว์เซอร์
บั๊กเฉพาะนี้แสดงถึงสิ่งที่ผู้เชี่ยวชาญด้านความปลอดภัยเรียกว่า sandbox escape ซึ่งเป็นขั้นตอนที่สองของห่วงโซ่การโจมตีที่ซับซ้อน เบราว์เซอร์สมัยใหม่อย่าง Chrome ใช้แนวทางความปลอดภัยหลายชั้นที่เนื้อหาเว็บทำงานในกระบวนการที่แยกออกมาพร้อมสิทธิ์ที่จำกัด แม้ว่าผู้โจมตีจะสามารถบุกรุก renderer process ผ่านบั๊กใน JavaScript engine ได้ พวกเขาก็ยังติดอยู่ใน sandbox ช่องโหว่ที่เพิ่งค้นพบนี้เป็นกุญแจสำคัญในการหลุดพ้นจากการกักเก็บนั้น ทำให้มีคุณค่าอย่างมากสำหรับทั้งการวิจัยความปลอดภัยที่ถูกต้องตามกฎหมายและการใช้ประโยชน์ของอาชญากรที่อาจเกิดขึ้น
ความซับซ้อนทางเทคนิคในการค้นหาช่องโหว่เช่นนี้ไม่สามารถประเมินค่าได้มากเกินไป นักวิจัยต้องเข้าใจรายละเอียดที่ซับซ้อนของการสื่อสารระหว่างกระบวนการ การจัดการหน่วยความจำ และขอบเขตความปลอดภัยในโค้ดหลายล้านบรรทัด
การถกเถียง Bug Bounty ครั้งใหญ่
การจ่ายเงิน 250,000 ดอลลาร์สหรัฐได้จุดประกายการอภิปรายอย่างเข้มข้นเกี่ยวกับวิธีที่บริษัทเทคโนโลยีต่างๆ เข้าหาเรื่องรางวัลความปลอดภัย สมาชิกชุมชนสังเกตเห็นความแตกต่างอย่างชัดเจนระหว่างการจ่ายเงินอย่างใจกว้างของ Google กับรางวัลสูงสุด 20,000 ดอลลาร์สหรัฐของ Mozilla สำหรับช่องโหว่ Firefox ที่คล้ายกัน ความแตกต่าง 12.5 เท่านี้ได้นำไปสู่การถกเถียงอย่างเข้มข้นเกี่ยวกับสิ่งที่ถือว่าเป็นค่าตอบแทนที่ยุติธรรมสำหรับการวิจัยด้านความปลอดภัย
บางคนโต้แย้งว่ารางวัลควรสะท้อนรายได้ของบริษัทและผลกระทบทางธุรกิจที่อาจเกิดขึ้นจากการละเมิดความปลอดภัย คนอื่นๆ ยืนยันว่าการจ่ายเงินควรอิงตามทักษะที่ต้องใช้และอัตราตลาดสำหรับการค้นพบดังกล่าว โดยไม่คำนึงถึงฐานะทางการเงินของบริษัท
ตาม Wikipedia นั่นคือ 0.012% ของรายได้สุทธิของพวกเขา ในขณะที่ฉันถูกบอกในความคิดเห็นว่านี่ไม่ใช่วิธีมองเรื่องนี้ แต่หมายความว่าเป็นเปอร์เซ็นต์ที่มากกว่าจำนวนเงินที่ Google จ่าย 50 เท่า
การอภิปรายเผยให้เห็นความตึงเครียดพื้นฐานในเศรษฐกิจความปลอดภัยไซเบอร์: bug bounties ควรแข่งขันกับราคาตลาดมืดสำหรับ exploits หรือควรกำหนดตามปัจจัยอื่นๆ เช่น ทรัพยากรของบริษัทและงบประมาณการพัฒนา
การเปรียบเทียบ Bug Bounty
- การหลบหนีจาก sandbox ของ Google Chrome : $250,000 USD
- Mozilla Firefox เทียบเท่า: สูงสุด $20,000 USD
- การหลบหนีจาก WebContent sandbox ของ Apple : $50,000 USD
- Apple รวม sandbox + kernel exploit: สูงสุดถึง $250,000 USD
เศรษฐกิจตลาดมืดเทียบกับ White Hat
แง่มุมที่น่าสนใจเป็นพิเศษของการอภิปรายในชุมชนมุ่งเน้นไปที่เส้นทางทางเลือกที่มีให้นักวิจัยความปลอดภัย บางคนคาดเดาว่า browser exploits ที่ซับซ้อนสามารถได้เงินมากกว่าในตลาดผิดกฎหมาย อาจถึงเจ็ดหลักสำหรับผู้ซื้อที่เหมาะสม อย่างไรก็ตาม ความท้าทายในทางปฏิบัติของการเข้าร่วมกับตลาดอาชญากรรม รวมถึงความเสี่ยงทางกฎหมาย ปัญหาความไว้วางใจ ความซับซ้อนในการฟอกเงิน และความกังวลด้านความปลอดภัยส่วนบุคคล ทำให้โปรแกรม bug bounty ที่ถูกต้องตามกฎหมายมีความน่าสนใจแม้จะได้เงินน้อยกว่า
เส้นทางที่ถูกต้องตามกฎหมายยังมีประโยชน์เพิ่มเติมนอกเหนือจากค่าตอบแทนทางการเงิน รวมถึงการยอมรับในวิชาชีพ โอกาสในการก้าวหน้าในอาชีพ และความพึงพอใจในการทำให้อินเทอร์เน็ตปลอดภัยยิ่งขึ้นสำหรับทุกคน
การตอบสนองของอุตสาหกรรมและเวลา
เวลาตอบสนองที่รวดเร็วของ Google ประมาณสี่สัปดาห์จากการรายงานจนถึงการจ่ายเงินได้รับคำชมจากชุมชนความปลอดภัย โดยเฉพาะเมื่อเปรียบเทียบกับบริษัทอื่นๆ ที่อาจใช้เวลาหลายเดือนเพียงแค่เพื่อรับทราบรายงานช่องโหว่ ประสิทธิภาพนี้ร่วมกับรางวัลมากมาย ช่วยรักษาชื่อเสียงของ Google ในฐานะผู้นำในการเปิดเผยช่องโหว่แบบประสานงาน
เวลาของการเปิดเผยนี้ซึ่งมาเพียงไม่กี่วันก่อนการประชุมความปลอดภัย DEF CON ยังแสดงให้เห็นลักษณะเชิงกลยุทธ์ของการวิจัยและการเปิดเผยช่องโหว่สมัยใหม่
การค้นพบและการอภิปรายที่ตามมาเน้นย้ำระบบนิเวศที่ซับซ้อนรอบๆ ความปลอดภัยไซเบอร์สมัยใหม่ ที่ความเป็นเลิศทางเทคนิค แรงจูงใจทางเศรษฐกิจ และการพิจารณาด้านจริยธรรมมาบรรจบกันในรูปแบบที่น่าสนใจ เมื่อเบราว์เซอร์มีความซับซ้อนมากขึ้น เกมแมวไล่หนูระหว่างนักวิจัยความปลอดภัยและผู้โจมตีที่อาจเกิดขึ้นยังคงพัฒนาต่อไป โดยมีเดิมพันทางการเงินมากมายสำหรับทุกฝ่ายที่เกี่ยวข้อง
อ้างอิง: ipcz bug can allow renderer duplicate browser process handle to escape sandbox