Black Hat: A Google főnöke azt mondja, ne játsszon biztonsági Whack-A-Mole-t

LAS VEGAS – A 2018-as Black Hat vitaindító a zaj, a füst és a lézerek ünnepével indult, amely minden hollywoodi produkcióhoz méltó. A tavalyi konferencia több mint 17 000 látogatót vonzott. A Black Hat nem ad ki összesítést az esemény befejezéséig, de az idei év még nagyobb lehet. A közönség létszámához igazodva az alaphangulat a Mandalay Bay Resort sportcsarnokában zajlott.



Black Hat Bug ArtA Black Hat alapítója, Jeff Moss (más néven @darktangent) üdvözölte a tömeget. Megosztotta a tényt, hogy idén 112 ország küldött legalább egy résztvevőt, és külön üdvözölte azt a 26-ot, akik csak egy résztvevő. Moss arról is beszámolt, hogy a Black Hat ösztöndíjprogramja, amely elengedi az arra érdemes fiatal biztonsági kutatók díját, idén 233 ösztöndíjat adott ki.

'A világ eseményei utolértek, és tesztelés alatt állunk' - mondta Moss. „A kiberbűncselekmény szinte tisztán technikai jellegű, és szinte semmilyen politika nem kapcsolódik hozzá. A védelem nagyrészt politikai jellegű. mennyi pénzt költesz? Milyen aranytojást próbálsz megvédeni?





„Úgy tűnik, az ellenfeleinknek van stratégiájuk, nekünk pedig taktikáink” – folytatta Moss. – Ezt nem szeretem. Mi a stratégiám?

Moss rámutatott, hogy a világon mintegy 20 cégnek van olyan globális befolyása, amely milliárdokat érint. Ezek a technológiai világ Microsoftjai, Google-i és Apple-i. Moss szerint a fogyasztók és a szakértők nyomást gyakorolhatnak a vállalatokra, hogy jobb, biztonságosabb termékeket készítsenek. Azt a példát hozta fel, hogy a Google fokozatosan megszünteti a nem biztonságos HTTP-t a Chrome-ban, amely most már aktívan nem biztonságosként jelöli meg a HTTP-webhelyeket. Egyetlen cég egyetlen lépésének óriási hatása volt.



Optimista elégedetlenség

Miért kellene a Google-nak elfogadnia a blokkláncot?

Parisa Tabriz, a Google mérnöki igazgatója felelős a Chrome biztonságossá tételéért. Ő irányítja a Projekt Zero biztonsági kutatócsoport.

az a samsung galaxy mega 2

A „Biztonsági Hercegnő”, ahogyan hívják, elegáns fehér ruhában és rózsaszín csíkos hajban tartotta a főszerepet. A régi kedvenc arcade játék, a Whack-A-Mole képével nyitott. Bevallotta, hogy Tabriz gyerekkorában mindkét oldalon egy-egy testvért állított, hogy elüsse azokat a vakondokat, amelyeket nem tudott középen elkapni. Az analógia fontos volt.

– Abba kell hagynunk a Whack-A-Mole játékot, és sokkal stratégiaibbnak kell lennünk – mondta Tabriz. 'Ebben a helyiségben a világ legjobb számítógép-biztonsági szakértői dolgoznak, ami a világ biztonságává válik.'

– Többet kell tennünk a problémák megoldása érdekében – folytatta –, de én optimista vagyok. Nagyot léptünk előre az évtized alatt. De van még tennivaló az egyre összetettebb környezetben.

A kiváltó ok kezelése

Annak érdekében, hogy elkerülje a Whack-A-Mole játékot, és csak akkor javítsa ki a problémákat, amikor felbukkannak, Tabriz azt tanácsolja, hogy a kutatóknak foglalkozniuk kell a kiváltó okkal. Felhozta az „5 Miért” technikát, amely népszerű az autótervezésben és más területeken. Ha probléma van, kérdezze meg, miért. Minden válasz a következő kérdés tárgyává válik. Öt miért lefelé, kezdesz eljutni valahova.

Tabriz adott egy példát. „Tegyük fel, hogy valaki felfed egy távoli kódvégrehajtási hibát a termékében. Miért vezetett a hiba távoli kódvégrehajtáshoz? Miért nem fedeztük fel korábban? Miért nem rendelkezünk olyan tesztekkel, amelyek megfogták volna? Miért tartott ilyen sokáig a frissítés? Miért tart öt hétbe a javítás? Azt tanácsolta a közönségnek, hogy fektessenek be többet és máshogyan a kiváltó okok kezelésébe.

Projekt Zero

Felhőbiztonsági útmutató kis- és középvállalkozásoknak

A Google Tabriz által irányított Project Zero csapata a nulladik napi kihasználások megelőzésére és a célzott támadások okozta károk csökkentésére összpontosít. A csapat nem kapcsolódik egyetlen Google-projekthez sem; ugyanúgy kezelik az Androidot , a Chrome-ot és más Google-szolgáltatásokat, mint a harmadik felek termékeit.

Tabriz megjegyezte, hogy 2014-ben ez a csapat több mint 1400 sebezhetőséget tárt fel egy sor termékben. „Célunk, hogy elősegítsük a támadó szereplők megértését, hogy tájékozódjunk és javítsuk védekezésünket” – mondta Tabriz. „Többet kell tennünk, mint egyszeri javításokat. Stratégiánk az, hogy fejlettebb ismereteket építsünk ki a támadókról.

'A probléma az, hogy az eladók nem mindig érzik a biztonság elsőbbségét' - folytatta Tabriz -, és nagy a hatalmi egyensúlyhiány az egyéni kutató és a vállalat között. A mező kiegyenlítése érdekében a Project Zero bevezette a 90 napos közzétételt. Miután értesítenek egy céget a biztonsági résről, 90 napon belül nyilvánosságra hozzák azt, függetlenül attól, hogy a cég kijavította-e vagy sem.

'A határidő rövid távú fájdalmat okoz a nagy szervezeteknek, beleértve a Google-t is' - jegyezte meg Tabriz. Ám a határidő betartásával arra kényszerítik a szállítókat, hogy összefogjanak, és jobb folyamatokba fektessenek be. Beszámolt arról, hogy jelenleg a problémák 98 százaléka megoldódik a 90 napos időszakon belül, szemben a határidőre vonatkozó 25 százalékkal.

Válasszon mérföldköveket, és ünnepeljen

Tabriz megjegyezte, hogy a kibervédelemben dolgozók ritkán kerülnek a címlapokra. A háttérben dolgoznak, így mindannyian biztonságban vagyunk. Azt tanácsolta minden védelmi csapatnak, hogy határozzák meg munkájuk mérföldköveit, és tegyék a projekt részévé ezen mérföldkövek megünneplését.

Példának vette azt a csapatot, amely azon dolgozott, hogy több, vagy akár az összes webhely a biztonságos HTTPS-kapcsolatot használja a nem biztonságos HTTP helyett. 'HTTPS nélkül nincs biztonság és nincs adatvédelem' - jegyezte meg. Tabriz végigment a folyamat részletes ütemtervén, amely egy poetry slamet is tartalmazott, amely elindította az erőfeszítést, és elkészítette ezt a haiku-t:

Szerkesztőink ajánlásával

Elavult processzor CPU over RAM memóriamodulokAz összeomlás kutatói biztonságosabb CPU-kat követelnek Blockchain Kötélhúzás A tömörítés és a VPN-ek kiszivárgott titkokat tesznek lehetővé

Titkok a csövekben.
Az emberek középen leskelődnek.
Védje kriptoval.

Az ünneplés szempontja is túlmutat a költészeten, hanem a finomságokig, beleértve a HTTPS tortát és a HTTPS pitét. Tabriz megjegyezte, hogy nincs nagy kiadás, de az ünneplés felemeli a csapatot és a projektet.

Építse fel koalícióját

Folytatva a Chrome-csapat példáját, a Tabriz arra a projektre összpontosított, amely megváltoztatta a Chrome-ot úgy, hogy minden webhelyet külön-külön jelenítsen meg, elkülönítve azokat, így a veszélyes webhelyek ne fertőzhessenek meg más nyitott oldalakat. Megjegyezte, hogy egy ilyen projekt számos módon meghiúsulhat.

– A vezetés megölheti – mondta. „Tíz mérnök dolgozott a helyszíni elkülönítésben, és úgy gondoltuk, hogy ez egy évig tart. Hat kellett. Az ilyen hibák visszavethetik a projekteket. Elmagyarázta azonban, hogy a csapat folyamatosan tartotta a kapcsolatot a vezetőséggel és a többi csapattal, megfogalmazva az előrehaladást és a tovább tartó okokat.

„A társak támogatásának hiánya is megölheti a projektet” – folytatta. 'A Chrome 10 éves, tízmillió kódsorral rendelkezik, és a webhely elkülönítési projektje az egész architektúrán átnyúlik.' A szöveg keresése egy oldalon korábban egyszerű ciklus volt; a helyszín elkülönítése sokkal összetettebbé tenné. 'A kis csapatnak meg kellett találnia, hogy kié a szöveges keresés, és meg kellett győznie őket a változtatásról.'

hp pagewide pro mfp 477dw

A harmadik gyilkos az alapul szolgáló webszabványok megváltoztatása lehetett, ami kisiklatná az új erőfeszítést. Szerencsére a csapat bevonta a webes szabványügyi testületeket, és megegyeztek abban, hogy a webhelyek elkülönítése elég értékes, így kerülniük kell az azt érintő változtatásokat.

Ki a Status Quo-val

A Tabriz a menedzsment felé irányuló kommunikációra, valamint a társak és partnerek felé irányuló kommunikációra a koalíció kiépítéseként utal. Ez, valamint a kiváltó okokra való összpontosítás, a mérföldkövek és az ünneplés beépítése alkotja a biztonsági technológia komoly fejlesztésére vonatkozó tervet. Fontos, hogy ez nem a status quo. Egy ponton megjelenített egy diát, amiben ez állt… nos… „Végezze ki a Status Quo-t”.

„Optimista vagyok” – fejezte be a nő. „Büszke lehet a fejlődésünkre. Továbbra is reménykedem, mert bár nagyon sokan cinikusak vagytok, ez azért van, mert személyesen törődsz vele. Rajtunk múlik.

Ajánlott