ブランド化されたバグ: 脆弱性に名前を付ける人々を紹介します

バグが十分に危険であれば、名前が付けられます。 Heartbleed のブランディングはセキュリティについて語る方法を変えましたが、バグにロゴを付けるとそれが軽薄なものになってしまうのでしょうか... それともこれは情報セキュリティの進化なのでしょうか?

銀行強盗などの犯罪者は、数が多すぎて追跡できないため、名前が付けられることがよくあります。 殺人者やギャングが、殺人を行った場所によって歴史に名を残して定義されるのと同じように、 "Trailside Killer") または特性 ("Baby Face" Nelson) を持っていること、重大なバグや ゼロ日。

Stephen Ward 氏、シニアディレクター iSIGHTパートナー (iSIGHT Microsoft のゼロデイ「サンドワーム」が報告) は ZDNet に次のように説明しました、「研究者は、チームや特定のエクスプロイトに名前を付けるために、マルウェアやコマンド アンド コントロールで発見された固有の特性を使用することがよくあります。 マルウェアの亜種が表面化したり、チームの活動が継続したりする際に、理解を深め、継続的な参照点を作成するのに役立ちます。」

彼は続けた、

私たちは現在、サイバースパイ活動を行っている人物を十数名数えています。ロシアに関連するものとして、継続的な活動に基づいて私たちが名前を挙げているのは少なくとも 5 名です。

これらのチームに名前を付けなければ、ネットワーク防御者がそれらすべてを追跡することは不可能です。 これらのチームを深く理解することが効果的な守備を構築するための第一歩であるため、これは不可欠であると考えています。 Sandworm で行ったように、チームに名前を付けることは、実践者や研究者が戦術、テクニック、手順、進行中のキャンペーンを追跡し、そのチームに帰属させるのに役立ちます。

アイデンティティを割り当てることで、これらの俳優を影から光の中に引き出すことができます。

最初の真にブランド化されたバグが即座に見出しを飾った後、エクスプロイトの命名に関する疑問が情報セキュリティ コミュニティを悩ませ始めました - 伝説的 ハートブリードバグ.

Heartbleed は、2014 年 3 月 21 日金曜日に、おそらくそれより前に、Google セキュリティの Neel Mehta によって発見されました。 同じ日に、Google のチームはパッチをコミットし、Open SSL と Red Hat に送信しました。 Googleの私設Heartbleed旅団の関係者が、商用Webサイトセキュリティ会社CloudFlareの関係者に語ったところ、同社は3月31日にパッチを適用したという。

Facebook も、Akamai と同様に非公開の注意喚起を受けました。 巨人 舞台裏で指差しゲームが勃発そしてGoogleはAppleのハンドブックから1ページを抜粋し、誰に何を言われたのか、あるいはいつ伝えられたのかについてコメントすることを拒否した。

一方、フィンランドの警備会社は、 コードノミコン エンジニアの Antti Karjalainen 氏、Riku Hietamäki 氏、Matti Kamunen 氏は 4 月 3 日に別々に Heartbleed を発見し、同社は翌日フィンランド国立サイバーセキュリティセンターに報告しました。

アリ・タカネンCodenomicon Ltd.の最高研究責任者はZDNetに対し、「Heartbleed脆弱性はOpenSSLライブラリのHeartbeat拡張機能に存在する。 当社のシステム管理者の 1 人である Ossi Herrala が、Heartbleed という名前を作りました。」

タカネン氏は、「彼はこの脆弱性をハートブリードと呼ぶのがふさわしいと考えた。なぜならメモリから重要な情報が流出していたからである」と説明した。

Codenomicon CEOのDavid Chartier氏はブルームバーグに対し、当時の彼のチームはこう語った。 すぐにマーケティング計画に取り組み始めました.

その後、Codenomicon は 4 月 5 日に Heartbleed.com ドメイン名を購入しましたが、一方でこのバグのニュースは Red Hat や個人の電子メール リストに広まり、Red Hat 従業員は次のように述べています。 4月9日に公開されるだろう.

物事は計画どおりにはいきませんでした。

4月7日朝、OpenSSLがセキュリティ勧告を公開してから30分後、CloudFlareはブログ投稿でこう自慢した。 ツイート 顧客を保護することが第一であること、そして CloudFlare がどのような存在であったかについて 「責任ある情報開示」の例を制定する。

CloudFlare のちょっとしたサプライズから 1 時間後、Codenomicon ツイートしてバグを発表しました、現在は Heartbleed と名付けられており、ロゴとロゴの代替 SVG ファイルがダウンロード可能になっている、完全に準備された Web サイトにリンクしています。

Heartbleed のロゴは、27 歳のフィンランドのグラフィック デザイナーで Codenomicon の従業員である Leena Snidate によってわずか数時間で作成されました。 ニューズウィークに語った, 「サイトがすぐに公開される予定だったので、急いで移動する必要がありました。」

心臓出血。 インターネットのセキュリティ上の欠陥のためにデザインされた最初のロゴ。 http://t.co/UZOcxrtVlz＃ウェブデザイン＃安全pic.twitter.com/F0xlJAOrof

— オースティン・ナイト (@ustinKnight) 2014 年 4 月 13 日

彼女のデザインはヒットしました。

セキュリティホールはどうなったのか #ハートブリード あんなに良いロゴをそんなに早く手に入れられるの？ ほとんどのスタートアップよりも優れているようです。 http://t.co/R0MREQUHtd

— アニル・ダッシュ (@anildash) 2014 年 4 月 8 日

Twitter でハートブリードのハッシュタグをざっと見てみると、人々が帽子、T シャツ、ステッカー、さらにはハードウェア ハッカーのハートブリード ロゴのペディキュアを求めていることがわかります。

わかりませんが、セキュリティカンファレンスに何を勧めますか? pic.twitter.com/3YscxzDM4M

— ナタリー・シルバノビッチ (@natashenka) 2014 年 8 月 2 日

Google や Facebook とは異なり、Amazon Web Services、Yahoo!、Twitter、Wordpress、Dropbox、GoDaddy、CERT Australia などを含む多くの企業が Heartbleed に驚きました。

基本的に、ここ数年で最悪の大きなバグが、どこかのインサイダーのグループによって世界に発生し、派手に、事前にパッケージ化され、完全に PR 準備が整ったように作られたように感じました。

Codenomicon のバグ ブランド化の動機をめぐる批判と疑惑は、重複する情報セキュリティ コミュニティ内の怒りと混乱と混ざり合いました。

Heartbleed のバグ担当者は、Web サイト用に派手なロゴを作成する時間があったのに、主要な OS ディストリビューションに通知する時間がなかったのでしょうか?

— キャメロン・ストークス (@clstokes) 2014 年 4 月 8 日

☑ 登録する http://t.co/ZGfyHkwhcr ドメイン ☑ カスタムグラフィックをデザインしてもらう ☐ 事前にディストリビューションに公開する ☑ 一般に公開する

— キースト (@keyist) 2014 年 4 月 8 日

マーケティングで攻撃者を阻止できるでしょうか?

ハートブリード (本名 CVE-2014-0160) は、平均的な世帯はまだ実際にそれが何なのかを理解していないにもかかわらず、一夜にして一般家庭に定着した用語になりました。

メディアもハートブリードが何なのかほとんど理解していませんでしたが、そのロゴは世界中の主要なニュースサイトで取り上げられ、ニュースはすぐに広がりました。

Heartbleed を修正する必要がある組織にとって、迅速に行動することが重要だったため、これは良いことでした。

Codenomicon CEO 憲章 ガーディアン紙に語った, 「名前があり、人々の記憶に残るキャッチーなロゴがあったという事実が、人々がこれを認識する速度を促進するのに非常に役立ったと思います。」

これは真実であり、その逆も同様です。Heartbleed のバイラル ブランド化は、おそらく攻撃者がそれについて知る速度を加速するのに役立ったと考えられます。 数日以内に心臓出血発作が出現.

Heartbleed の巧みなブランディングは長期的には議論の余地があるかもしれない。

ノースイースタン大学とスタンフォード大学の研究者 11月の分析で判明 「分析された Web サイトの約 93% は、3 週間以内にソフトウェアに正しくパッチを適用していましたが、 Heartbleed が発表されたが、システムを完全に構築するために必要な他のセキュリティ対策を講じたのは 13% のみでした 安全な。"

Heartbleed は意図的にブランド化されており、それが成功したことは疑いありません。 刺激的で感情的で、そして真剣に聞こえます。

Codenomicon に、Heartbleed をブランド化し、ロゴを付けた理由を尋ねました。

タカネン氏は「脆弱性は非常に深刻だった。 私たちのチームは、メッセージを添える名前と親しみやすいロゴが必要だと考えました。」

同氏はさらに詳しく述べ、脆弱性について一般の人々とのコミュニケーションを進化させる時期が来たと感じていると述べた。 彼は言った、

その目的は、脆弱性に関するニュースを広め、人々にできるだけ早くシステムを修正してもらうことでした。 同じ理由で、Heartbleed FAQ も公開しました。 ハートブリードコム サイト。

その重要性と、脆弱性を報告した過去の経験に基づいて、これは次のようなことであると感じました。 ある人は、民主的な体制で全員に情報を提供するための新しいアプローチである脆弱性開示 2.0 を求めました。 方法。

ハートブリード: 従うのが難しい行為

この観点から見ると、Winshock、POODLE、Rootpipe はブランド化の時流に完全に乗り遅れました。

そうですね、Poodle ほどロゴに適した SSL バグ名を求めることはできませんね。

— デフコン (@_defcon_) 2014 年 10 月 15 日

そうする準備ができているように見えたという事実にもかかわらず、Google の POODLE (Padding Oracle On Downgraded Legacy Encryption 攻撃) にはロゴが付けられることはありませんでした。

POODLE に関するレポートはストック アートの寄せ集めです。 ジョークとして提示された、憂慮すべきほど情報のない報道 大手メディアによる。

『ハートブリード』は大衆を魅了しましたが、ある意味、そうするように設計されていました。

それに比べて、シェルショック、プードル（別名「不器用」）プードルブリード")、サンドワーム、 密かにルートパイプと名付けられた、ウィンショック、その他の脆弱性は、それぞれが異なるという事実にもかかわらず、ことわざの「赤毛の継子」のように見えます。 これらの脆弱性の中には重大な問題があり、一部は Heartbleed よりも悪質であり、そのすべてが早急に必要とされています 反応。

Heartbleed の次の「大きなバグ」は Shellshock (本名 CVE-2014-6271) でした。

Shellshock には会社の資金繰りやマーケティング チームの支援はありませんでした。 したがって、多くの人がシェルショックはそうだと言っているという事実にもかかわらず、 ハートブリードよりひどい （重大度は高く評価されていますが、複雑さは低いため、攻撃者にとっては容易です）、上り坂に直面したシェルショックから有名人を作成しました。

ロゴなしならこれ ＃砲弾ショック バグは明らかにそこまで悪くない #ハートブリード.

— ロブ・フラー (@mubix) 2014 年 9 月 25 日

Shellshock が情報公開時にアイデンティティの危機に見舞われたことは役に立ちませんでした。 9月12日、フランスの研究者ステファニー・チャゼラス氏は、あまりにも驚くほど古い虫を発見し、彼を怖がらせた。

Shellshock が発見された当時、イギリスに住んでいた間、自分の時間を使って研究していた Akamai の従業員であり、オープンソース開発者である Chazelas 氏 ザ・エイジに語った, 「政府が何年もの間、シェルショックを伴うシステムを知らず、悪用していなかったとしたら、私は驚くでしょう。」

彼はそれを Bash の管理者である Chet Raimey に報告し、その後インターネットに密かに報告されました。 インフラストラクチャ組織と Linux ディストリビュータ (「これは非常に深刻であり、禁止されているという大きな警告とともに) 開示される」）。 その後、家族の人が 家族だけに話した. Googleとは異なり、研究者らは、ハートブリードがエゴ、インサイダー情報取引、日和見主義の軍拡競争となった電話ゲームで、親しいビジネス仲間にそのことを告げなかった。

Chazelas と Raimey はマーケティング プランの代わりに、パッチの開発に取り組みました。

チャゼラ バグの名前と開示の衝突について書きました と言って、

私は、Sun, 14 Sep 2014 14:29:48 +0100 にそのリストに「bashdoor」という名前を提案しました。

（...）19日以降は蚊帳の外だった。

Whois によると、bashdoor.com は (私ではなく) 作成日が 2014-09-24 06:59:10Z より前の時点で、作成日が 2014-09-24 13:59 UTC で登録されました。

Florian 氏はここで、ベンダー/インフラストラクチャに送信された早期通知を誰かが報道機関に持ち込んだため、誰かが明らかに報道機関に通知するつもりだったと述べました。 誰だか分かりません。

Bashdoor.com は利用されませんでした。

おそらく、このバグに関する最初の記事 (他の情報やソーシャル メディアの話題よりもかなり先に公開された) が、「このバグはすでに発見されている」と主張していたからでしょう。 シェルショックという名前が付けられた人もいる」 — ただし、明らかにチャゼラスやライミーによるものではありません。

この動きは次のような憶測を生んだ 内部関係者は報道陣に「話題を提供したい」と考えていた そしてバグの詳細を事前にリークしました。

人気ブログ Errata Security でバグが解凍され始めた後、ブランディングの面で門戸からつまずきましたが、 ロバート・グレアムはこう言った 「人々はこれを『シェルショック』バグと呼んでいると思う」と彼は冗談を言い、「まだ公式ロゴを探しているところだ」と語った。

インターネットはニーズを認識し、伝統と同様に、最も魅力的ではない方法でそれを満たしました。

@ダビオッテンハイマー@ErrataRob ふーん。 pic.twitter.com/7F3i0AJLpi

— アンドレアス・リンド (@addelindh) 2014 年 9 月 24 日

グラハムは後に「」の功績を認めた。名前を騙す」というバグに関する彼のブログ投稿は広く読まれ、頻繁に引用されています。

シェルショックの意味を理解している報道機関やブログは、それを律儀に報じた。 届かなかった人は… ただ気にしませんでした。

シェルショックは 今でも攻撃に積極的に使用されています.

iSIGHT で発見された Sandworm には、クールな名前と気の利いたロゴが付けられました。 iSIGHTのウォード氏はZDNetにこう語った。

まず重要なのは、「バグ」という名前を付けていないことです。この場合、それは、すべてのバージョンの Microsoft Windows に影響を与えるゼロデイでした。 Vista 以降の Windows オペレーティング システム (CVE-2014-4114) — むしろ、その使用/悪用の背後にある攻撃者のチームに名前を付けました。 脆弱性。

私たちが観察した指揮統制インフラストラクチャで発見した SF シリーズ「デューン」への参照にちなんで、このチームを「サンドワーム チーム」と名付けました。

ロゴに関しては、レポートの表紙が必要でした…そして私たちはオタクでもあります。 企業研究の一環として Dune の Sandworm を使用する機会はめったにありません…そこで、私たちはそれを使用しました。