LAS VEGAS – A 2018-as Black Hat vitaindító a zaj, a füst és a lézerek ünnepével indult, amely minden hollywoodi produkcióhoz méltó. A tavalyi konferencia több mint 17 000 látogatót vonzott. A Black Hat nem ad ki összesítést az esemény befejezéséig, de az idei év még nagyobb lehet. A közönség létszámához igazodva az alaphangulat a Mandalay Bay Resort sportcsarnokában zajlott.
A Black Hat alapítója, Jeff Moss (más néven @darktangent) üdvözölte a tömeget. Megosztotta a tényt, hogy idén 112 ország küldött legalább egy résztvevőt, és külön üdvözölte azt a 26-ot, akik csak egy résztvevő. Moss arról is beszámolt, hogy a Black Hat ösztöndíjprogramja, amely elengedi az arra érdemes fiatal biztonsági kutatók díját, idén 233 ösztöndíjat adott ki.
'A világ eseményei utolértek, és tesztelés alatt állunk' - mondta Moss. „A kiberbűncselekmény szinte tisztán technikai jellegű, és szinte semmilyen politika nem kapcsolódik hozzá. A védelem nagyrészt politikai jellegű. mennyi pénzt költesz? Milyen aranytojást próbálsz megvédeni?
„Úgy tűnik, az ellenfeleinknek van stratégiájuk, nekünk pedig taktikáink” – folytatta Moss. – Ezt nem szeretem. Mi a stratégiám?
Moss rámutatott, hogy a világon mintegy 20 cégnek van olyan globális befolyása, amely milliárdokat érint. Ezek a technológiai világ Microsoftjai, Google-i és Apple-i. Moss szerint a fogyasztók és a szakértők nyomást gyakorolhatnak a vállalatokra, hogy jobb, biztonságosabb termékeket készítsenek. Azt a példát hozta fel, hogy a Google fokozatosan megszünteti a nem biztonságos HTTP-t a Chrome-ban, amely most már aktívan nem biztonságosként jelöli meg a HTTP-webhelyeket. Egyetlen cég egyetlen lépésének óriási hatása volt.
Optimista elégedetlenség
Parisa Tabriz, a Google mérnöki igazgatója felelős a Chrome biztonságossá tételéért. Ő irányítja a Projekt Zero biztonsági kutatócsoport.
az a samsung galaxy mega 2
A „Biztonsági Hercegnő”, ahogyan hívják, elegáns fehér ruhában és rózsaszín csíkos hajban tartotta a főszerepet. A régi kedvenc arcade játék, a Whack-A-Mole képével nyitott. Bevallotta, hogy Tabriz gyerekkorában mindkét oldalon egy-egy testvért állított, hogy elüsse azokat a vakondokat, amelyeket nem tudott középen elkapni. Az analógia fontos volt.
– Abba kell hagynunk a Whack-A-Mole játékot, és sokkal stratégiaibbnak kell lennünk – mondta Tabriz. 'Ebben a helyiségben a világ legjobb számítógép-biztonsági szakértői dolgoznak, ami a világ biztonságává válik.'
– Többet kell tennünk a problémák megoldása érdekében – folytatta –, de én optimista vagyok. Nagyot léptünk előre az évtized alatt. De van még tennivaló az egyre összetettebb környezetben.
A kiváltó ok kezelése
Annak érdekében, hogy elkerülje a Whack-A-Mole játékot, és csak akkor javítsa ki a problémákat, amikor felbukkannak, Tabriz azt tanácsolja, hogy a kutatóknak foglalkozniuk kell a kiváltó okkal. Felhozta az „5 Miért” technikát, amely népszerű az autótervezésben és más területeken. Ha probléma van, kérdezze meg, miért. Minden válasz a következő kérdés tárgyává válik. Öt miért lefelé, kezdesz eljutni valahova.
Rendkívül hatalmas hangulat a @laparisa nál nél #BlackHat2018 pic.twitter.com/LwiP4gtHGx
— Keserű, fáradt és izzadt (@wmaxeddy) 2018. augusztus 8
Tabriz adott egy példát. „Tegyük fel, hogy valaki felfed egy távoli kódvégrehajtási hibát a termékében. Miért vezetett a hiba távoli kódvégrehajtáshoz? Miért nem fedeztük fel korábban? Miért nem rendelkezünk olyan tesztekkel, amelyek megfogták volna? Miért tartott ilyen sokáig a frissítés? Miért tart öt hétbe a javítás? Azt tanácsolta a közönségnek, hogy fektessenek be többet és máshogyan a kiváltó okok kezelésébe.
Projekt Zero
A Google Tabriz által irányított Project Zero csapata a nulladik napi kihasználások megelőzésére és a célzott támadások okozta károk csökkentésére összpontosít. A csapat nem kapcsolódik egyetlen Google-projekthez sem; ugyanúgy kezelik az Androidot , a Chrome-ot és más Google-szolgáltatásokat, mint a harmadik felek termékeit.
Tabriz megjegyezte, hogy 2014-ben ez a csapat több mint 1400 sebezhetőséget tárt fel egy sor termékben. „Célunk, hogy elősegítsük a támadó szereplők megértését, hogy tájékozódjunk és javítsuk védekezésünket” – mondta Tabriz. „Többet kell tennünk, mint egyszeri javításokat. Stratégiánk az, hogy fejlettebb ismereteket építsünk ki a támadókról.
'A probléma az, hogy az eladók nem mindig érzik a biztonság elsőbbségét' - folytatta Tabriz -, és nagy a hatalmi egyensúlyhiány az egyéni kutató és a vállalat között. A mező kiegyenlítése érdekében a Project Zero bevezette a 90 napos közzétételt. Miután értesítenek egy céget a biztonsági résről, 90 napon belül nyilvánosságra hozzák azt, függetlenül attól, hogy a cég kijavította-e vagy sem.
'A határidő rövid távú fájdalmat okoz a nagy szervezeteknek, beleértve a Google-t is' - jegyezte meg Tabriz. Ám a határidő betartásával arra kényszerítik a szállítókat, hogy összefogjanak, és jobb folyamatokba fektessenek be. Beszámolt arról, hogy jelenleg a problémák 98 százaléka megoldódik a 90 napos időszakon belül, szemben a határidőre vonatkozó 25 százalékkal.
Válasszon mérföldköveket, és ünnepeljen
Tabriz megjegyezte, hogy a kibervédelemben dolgozók ritkán kerülnek a címlapokra. A háttérben dolgoznak, így mindannyian biztonságban vagyunk. Azt tanácsolta minden védelmi csapatnak, hogy határozzák meg munkájuk mérföldköveit, és tegyék a projekt részévé ezen mérföldkövek megünneplését.
Példának vette azt a csapatot, amely azon dolgozott, hogy több, vagy akár az összes webhely a biztonságos HTTPS-kapcsolatot használja a nem biztonságos HTTP helyett. 'HTTPS nélkül nincs biztonság és nincs adatvédelem' - jegyezte meg. Tabriz végigment a folyamat részletes ütemtervén, amely egy poetry slamet is tartalmazott, amely elindította az erőfeszítést, és elkészítette ezt a haiku-t:
Szerkesztőink ajánlásával
Az összeomlás kutatói biztonságosabb CPU-kat követelnek 
A tömörítés és a VPN-ek kiszivárgott titkokat tesznek lehetővé Titkok a csövekben.
Az emberek középen leskelődnek.
Védje kriptoval.
Az ünneplés szempontja is túlmutat a költészeten, hanem a finomságokig, beleértve a HTTPS tortát és a HTTPS pitét. Tabriz megjegyezte, hogy nincs nagy kiadás, de az ünneplés felemeli a csapatot és a projektet.
Építse fel koalícióját
Folytatva a Chrome-csapat példáját, a Tabriz arra a projektre összpontosított, amely megváltoztatta a Chrome-ot úgy, hogy minden webhelyet külön-külön jelenítsen meg, elkülönítve azokat, így a veszélyes webhelyek ne fertőzhessenek meg más nyitott oldalakat. Megjegyezte, hogy egy ilyen projekt számos módon meghiúsulhat.
– A vezetés megölheti – mondta. „Tíz mérnök dolgozott a helyszíni elkülönítésben, és úgy gondoltuk, hogy ez egy évig tart. Hat kellett. Az ilyen hibák visszavethetik a projekteket. Elmagyarázta azonban, hogy a csapat folyamatosan tartotta a kapcsolatot a vezetőséggel és a többi csapattal, megfogalmazva az előrehaladást és a tovább tartó okokat.
„A társak támogatásának hiánya is megölheti a projektet” – folytatta. 'A Chrome 10 éves, tízmillió kódsorral rendelkezik, és a webhely elkülönítési projektje az egész architektúrán átnyúlik.' A szöveg keresése egy oldalon korábban egyszerű ciklus volt; a helyszín elkülönítése sokkal összetettebbé tenné. 'A kis csapatnak meg kellett találnia, hogy kié a szöveges keresés, és meg kellett győznie őket a változtatásról.'
hp pagewide pro mfp 477dw
A harmadik gyilkos az alapul szolgáló webszabványok megváltoztatása lehetett, ami kisiklatná az új erőfeszítést. Szerencsére a csapat bevonta a webes szabványügyi testületeket, és megegyeztek abban, hogy a webhelyek elkülönítése elég értékes, így kerülniük kell az azt érintő változtatásokat.
Ki a Status Quo-val
A Tabriz a menedzsment felé irányuló kommunikációra, valamint a társak és partnerek felé irányuló kommunikációra a koalíció kiépítéseként utal. Ez, valamint a kiváltó okokra való összpontosítás, a mérföldkövek és az ünneplés beépítése alkotja a biztonsági technológia komoly fejlesztésére vonatkozó tervet. Fontos, hogy ez nem a status quo. Egy ponton megjelenített egy diát, amiben ez állt… nos… „Végezze ki a Status Quo-t”.
Nál nél #BlackHat2018 , @laparisa azt mondja: 'ha nem idegesítesz fel senkit, akkor nem háborítod fel a status quót.' pic.twitter.com/rnEE6akQZa
— Keserű, fáradt és izzadt (@wmaxeddy) 2018. augusztus 8
„Optimista vagyok” – fejezte be a nő. „Büszke lehet a fejlődésünkre. Továbbra is reménykedem, mert bár nagyon sokan cinikusak vagytok, ez azért van, mert személyesen törődsz vele. Rajtunk múlik.
