Ειδήσεις Βιομηχανίας

Γιατί η κυβέρνηση χρησιμοποιεί τον μεγαλύτερο κίνδυνο ασφαλείας της για να διορθώσει τα μεγαλύτερα κενά ασφαλείας της

Η CISA χρησιμοποιεί την ΤΝ Mythos της Anthropic για τη σάρωση κυβερνητικού κώδικα για σφάλματα, παρά την πρόσφατη τριβή της startup με τον Λευκό Οίκο και το Πεντάγωνο.
Γιατί η κυβέρνηση χρησιμοποιεί τον μεγαλύτερο κίνδυνο ασφαλείας της για να διορθώσει τα μεγαλύτερα κενά ασφαλείας της

Ενώ το δημόσιο αφήγημα συχνά πλαισιώνει την τεχνητή νοημοσύνη ως ένα απλό εργαλείο για τη σύνταξη email ή τη δημιουργία εικόνων, η πραγματικότητα είναι πολύ πιο βιομηχανική. Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών, γνωστή ως CISA, χρησιμοποιεί επί του παρόντος ένα ισχυρό μοντέλο ΤΝ από την Anthropic για να σαρώνει το κυβερνητικό λογισμικό για σφάλματα. Αυτή η κίνηση αποτελεί μια απότομη απόκλιση από την πρόσφατη ιστορία έντασης μεταξύ της startup από το Σαν Φρανσίσκο και των ομοσπονδιακών ρυθμιστικών αρχών. Μόλις πριν από λίγους μήνες, το Πεντάγωνο χαρακτήρισε την Anthropic ως κίνδυνο για την εφοδιαστική αλυσίδα, μια κίνηση που ουσιαστικά εξίσωσε την εταιρεία με ξένες οντότητες ύποπτες για κατασκοπεία. Σήμερα, η ίδια αυτή εταιρεία είναι η αόρατη ραχοκοκαλιά της προσπάθειας προστασίας του ομοσπονδιακού κώδικα από ξένους κατασκόπους.

Κοιτάζοντας τη συνολική εικόνα, αυτή η υιοθέτηση δείχνει ότι η κυβέρνηση εκτιμά την ικανότητα περισσότερο από τις πολιτικές διαφωνίες. Η CISA χρησιμοποιεί ένα συγκεκριμένο μοντέλο ΤΝ που ονομάζεται Mythos για τον έλεγχο των αποθετηρίων κώδικα σε διάφορα τμήματα. Αυτά τα αποθετήρια είναι ψηφιακές αποθήκες όπου η κυβέρνηση αποθηκεύει το λογισμικό που εκτελεί τα πάντα, από την επεξεργασία φόρων μέχρι την εφοδιαστική. Το Mythos λειτουργεί ως ένας ακούραστος ασκούμενος που διαβάζει εκατομμύρια γραμμές κώδικα σε δευτερόλεπτα, αναζητώντας τα μικροσκοπικά λάθη που ένας άνθρωπος προγραμματιστής θα μπορούσε να παραλείψει μετά από μια μεγάλη βάρδια. Αυτά τα σφάλματα είναι τα ανοιχτά παράθυρα που χρησιμοποιούν οι κυβερνοεγκληματίες και οι ξένες υπηρεσίες πληροφοριών για να αποκτήσουν πρόσβαση σε ευαίσθητα αμερικανικά δεδομένα.

Ένας ακούραστος ασκούμενος για το ομοσπονδιακό αποθετήριο κώδικα

Στο παρασκήνιο, η διαδικασία ελέγχου του κώδικα είναι ιστορικά αργή και δαπανηρή. Ένας άνθρωπος ερευνητής ασφαλείας μπορεί να ελέγξει μόνο μερικές εκατοντάδες γραμμές κώδικα σε μια ώρα με υψηλή ακρίβεια. Η κυβέρνηση των ΗΠΑ διαχειρίζεται δισεκατομμύρια γραμμές κώδικα, μεγάλο μέρος των οποίων γράφτηκε πριν από δεκαετίες σε γλώσσες που οι σύγχρονοι προγραμματιστές σπάνια χρησιμοποιούν. Αυτό δημιουργεί μια τεράστια συσσώρευση πιθανών ευπαθειών. Το Mythos αλλάζει τα δεδομένα αυτής της διαδικασίας επειδή είναι ένα ανατρεπτικό εργαλείο σχεδιασμένο ειδικά για ανάλυση κυβερνοασφάλειας. Δεν αναζητά απλώς τυπογραφικά λάθη· κατανοεί πώς αλληλεπιδρούν διαφορετικά κομμάτια λογισμικού για να δημιουργήσουν συστημικούς κινδύνους.

Σύμφωνα με άτομα που γνωρίζουν το θέμα, η ομάδα Αξιολόγησης Επιφάνειας Επίθεσης (Attack Surface Evaluation) της CISA είναι η ομάδα που ηγείται αυτής της προσπάθειας. Αυτή η ομάδα πραγματοποιεί ψηφιακές αξιολογήσεις ασφαλείας και ασκήσεις hacking για να βρει αδυναμίες πριν το κάνουν οι πραγματικοί επιτιθέμενοι. Χρησιμοποιώντας το Mythos, η ομάδα έχει ήδη αποκαλύψει μεγάλο αριθμό ευπαθειών. Αν και η συγκεκριμένη φύση αυτών των σφαλμάτων δεν είναι δημόσια, η ταχύτητα ανακάλυψης υποδηλώνει ότι η ΤΝ αποδίδει σε επίπεδο που οι ανθρώπινες ομάδες δεν μπορούν να φτάσουν. Αυτή η αποτελεσματικότητα είναι απαραίτητη επειδή ο όγκος του κώδικα που πρέπει να υπερασπιστεί η κυβέρνηση αυξάνεται καθημερινά.

Η ταραγμένη σχέση μεταξύ της Anthropic και του Λευκού Οίκου

Η Anthropic έχει μια περίπλοκη ιστορία με τις αρχές τις οποίες τώρα βοηθά. Η εταιρεία βρίσκεται επί του παρόντος σε διαδικασία εμπιστευτικής αρχικής δημόσιας προσφοράς, αλλά η πορεία της προς το χρηματιστήριο ήταν ασταθής. Τον Φεβρουάριο, η σχέση μεταξύ της Anthropic και του Λευκού Οίκου έφτασε σε χαμηλό σημείο. Η εταιρεία αρνήθηκε να αφαιρέσει εσωτερικές δικλείδες ασφαλείας που εμπόδιζαν τη χρήση της ΤΝ της για αυτόνομα όπλα ή εγχώρια παρακολούθηση. Αυτή η άρνηση οδήγησε το Πεντάγωνο να επιβάλει στην εταιρεία έναν επίσημο χαρακτηρισμό κινδύνου εφοδιαστικής αλυσίδας. Πρόκειται για μια σοβαρή ετικέτα που συνήθως ισχύει για εταιρείες που η κυβέρνηση πιστεύει ότι διευκολύνουν την ξένη κατασκοπεία.

Αυτή η εξαιρετική μαύρη λίστα δεν κράτησε πολύ. Ένας δικαστής μπλόκαρε την εντολή τον Μάρτιο και η ένταση εκτονώθηκε μετά την ιδιωτική κυκλοφορία του Mythos. Περιέργως, ακόμη και όταν η επίσημη πολιτική ήταν μια πολιτική καχυποψίας, η Υπηρεσία Εθνικής Ασφάλειας (NSA) χρησιμοποιούσε ήδη το μοντέλο. Αναφορές από τα τέλη Ιουνίου δείχνουν ότι οι αναλυτές της NSA δοκίμασαν το Mythos σε διαβαθμισμένα περιβάλλοντα και βρήκαν τις δυνατότητές του πρωτοφανείς. Η υπηρεσία είναι ο κύριος βραχίονας υποκλοπών της κυβέρνησης και η υποστήριξή της στο Mythos υποδηλώνει ότι το εργαλείο είναι εξαιρετικά αποτελεσματικό τόσο στην εύρεση όσο και στην εκμετάλλευση ψηφιακών αδυναμιών.

Η παγκόσμια διακοπή λειτουργίας του Fable και ο αντίκτυπός του

Η κατάσταση έγινε πιο περίπλοκη όταν η Anthropic κυκλοφόρησε μια δημόσια έκδοση του Mythos που ονομάζεται Fable. Αυτή η έκδοση περιλάμβανε συγκεκριμένες δικλείδες ασφαλείας στον κυβερνοχώρο που προορίζονταν για γενική χρήση. Ωστόσο, ο Λευκός Οίκος παρενέβη ξανά απαιτώντας από την Anthropic να απαγορεύσει σε όλους τους ξένους χρήστες την πρόσβαση στο μοντέλο. Αυτή η απαίτηση οδήγησε σε μια συνολική παγκόσμια διακοπή λειτουργίας του Fable που διήρκεσε μέχρι την περασμένη εβδομάδα. Η λογική της κυβέρνησης είναι ότι ένα εργαλείο ικανό να διορθώνει σφάλματα είναι επίσης ικανό να βοηθήσει έναν επιτιθέμενο να τα βρει. Περιορίζοντας την πρόσβαση στους Αμερικανούς, η κυβέρνηση ελπίζει να κρατήσει αυτό το ψηφιακό «αργό πετρέλαιο» εντός των συνόρων της.

Από την πλευρά του καταναλωτή, αυτή η διελκυστίνδα αναδεικνύει ένα κεντρικό παράδοξο στη σύγχρονη τεχνολογία. Θέλουμε η ΤΝ να είναι ασφαλής και περιορισμένη, αλλά τη χρειαζόμαστε επίσης να είναι αρκετά ισχυρή ώστε να υπερασπίζεται τα πιο ευαίσθητα συστήματά μας. Η κυβέρνηση ουσιαστικά προσπαθεί να πετύχει και τα δύο χρησιμοποιώντας την ιδιωτική, απεριόριστη έκδοση του μοντέλου για τη δική της άμυνα, ενώ περιορίζει την πρόσβαση του κοινού στην ίδια τεχνολογία. Αυτό δημιουργεί ένα σύστημα δύο ταχυτήτων όπου τα πιο ισχυρά εργαλεία ασφαλείας προορίζονται για ομοσπονδιακή χρήση, αφήνοντας τον ιδιωτικό τομέα να βασίζεται σε πιο περιορισμένες εκδόσεις.

Τι σημαίνει αυτό για την ασφάλεια των προσωπικών σας δεδομένων

Για τον μέσο χρήστη, το γεγονός ότι η CISA χρησιμοποιεί το Mythos είναι θετικό για την προστασία της ιδιωτικής ζωής. Οι περισσότεροι άνθρωποι δεν αλληλεπιδρούν απευθείας με τον κυβερνητικό κώδικα, αλλά τα δεδομένα τους το κάνουν. Ο αριθμός κοινωνικής ασφάλισής σας, το φορολογικό σας ιστορικό και τα αρχεία υγειονομικής περίθαλψης αποθηκεύονται όλα στα αποθετήρια που σαρώνει επί του παρόντος το Mythos. Όταν η ΤΝ βρίσκει ένα σφάλμα σε ένα σύστημα της εφορίας (IRS) ή του Υπουργείου Υποθέσεων Βετεράνων, αυτό το σύστημα διορθώνεται πριν ένας κακόβουλος παράγοντας μπορέσει να το εκμεταλλευτεί. Αυτή είναι μια πρακτική εφαρμογή της ΤΝ που έχει απτό αντίκτυπο στην ασφάλεια των προσωπικών σας πληροφοριών.

Πρακτικά μιλώντας, αυτή η αλλαγή υποδηλώνει ότι η εποχή των χειροκίνητων ελέγχων ασφαλείας τελειώνει. Τα επόμενα χρόνια, περισσότερες εταιρείες στον ιδιωτικό τομέα θα υιοθετήσουν πιθανότατα εργαλεία όπως το Mythos ή το Fable για να προστατεύσουν τα δικά τους δίκτυα. Αυτό θα οδηγήσει σε μια πιο ανθεκτική ψηφιακή οικονομία όπου το λογισμικό θα είναι εγγενώς πιο ασφαλές από τη στιγμή που γράφεται. Ωστόσο, σημαίνει επίσης ότι το εμπόδιο εισόδου για τους χάκερ θα αυξηθεί. Καθώς η άμυνα αυτοματοποιείται, οι επιτιθέμενοι θα στραφούν επίσης στην ΤΝ για να βρουν ακόμη πιο λεπτούς τρόπους παράκαμψης των μέτρων ασφαλείας. Το αποτέλεσμα είναι ένας κυκλικός αγώνας εξοπλισμών όπου η ταχύτητα της ΤΝ καθορίζει τον νικητή.

Αλλάζοντας την προοπτική για την κυβερνητική τεχνολογία

Τελικά, η χρήση του Mythos από την CISA είναι ένα σημάδι ότι η κυβέρνηση είναι πρόθυμη να παραβλέψει τις εταιρικές τριβές για να ασφαλίσει τις υποδομές της. Το γεγονός ότι μια εταιρεία μπορεί να περάσει από μια μαύρη λίστα σε έναν κύριο εταίρο ασφαλείας μέσα σε λίγους μήνες δείχνει πόσο πολύ βασίζεται η κυβέρνηση στην καινοτομία του ιδιωτικού τομέα. Για τους χρήστες, αυτό είναι μια υπενθύμιση ότι οι αόρατοι μηχανισμοί του διαδικτύου διαχειρίζονται όλο και περισσότερο από αλγόριθμους παρά από ανθρώπους. Κινούμαστε προς ένα αποκεντρωμένο μοντέλο ασφάλειας όπου η πιο σημαντική εργασία συμβαίνει στο παρασκήνιο, μακριά από τη διεπαφή χρήστη των συσκευών μας.

Καθώς χρησιμοποιείτε κυβερνητικές υπηρεσίες ή εφαρμογές ψηφιακής τραπεζικής, παρατηρήστε πόσο σπάνια αντιμετωπίζετε μεγάλες διακοπές λειτουργίας του συστήματος σε σύγκριση με πριν από πέντε χρόνια. Αυτή η σταθερότητα είναι συχνά αποτέλεσμα αυτοματοποιημένων εργαλείων όπως αυτό που χρησιμοποιεί τώρα η CISA. Ενώ η πολιτική μάχη για την ασφάλεια της ΤΝ συνεχίζεται στην Ουάσιγκτον, η τεχνική πραγματικότητα είναι ότι αυτά τα εργαλεία εργάζονται ήδη σκληρά. Η ουσία είναι ότι η ψηφιακή σας ζωή γίνεται ασφαλέστερη επειδή η κυβέρνηση αποφάσισε ότι μια κάποτε απαγορευμένη ΤΝ ήταν πολύ πολύτιμη για να την αγνοήσει. Αυτή η πραγματιστική προσέγγιση στην τεχνολογία αποτελεί μια θεμελιώδη αλλαγή στον τρόπο με τον οποίο η χώρα υπερασπίζεται τα ψηφιακά της σύνορα.

Πηγές:

  • Εσωτερικές αξιολογήσεις της Υπηρεσίας Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA)
  • Εταιρικές καταθέσεις και δημόσιες δηλώσεις της Anthropic
  • Εκθέσεις τεχνικής ανασκόπησης της Υπηρεσίας Εθνικής Ασφάλειας (NSA)
  • Αρχεία χαρακτηρισμού κινδύνου εφοδιαστικής αλυσίδας του Υπουργείου Άμυνας
  • Αποφάσεις ομοσπονδιακών δικαστηρίων σχετικά με την Anthropic εναντίον του Υπουργείου Άμυνας
bg
bg
bg

Τα λέμε στην άλλη πλευρά.

Η από άκρη σε άκρη κρυπτογραφημένη λύση ηλεκτρονικού ταχυδρομείου και αποθήκευσης στο cloud παρέχει τα πιο ισχυρά μέσα ασφαλούς ανταλλαγής δεδομένων, εξασφαλίζοντας την ασφάλεια και το απόρρητο των δεδομένων σας.

/ Εγγραφείτε δωρεάν