Microsoft Mike Reavey diskutuje o dôsledkoch obranných technológií, ktoré vzišli z inauguračnej ceny Blue Hat.
Hosťujúci editoriál Mike Reavey
Leto je pre nás v Microsoft Security Response Center (MSRC) špeciálnym obdobím roka. Po prvé, konečne začíname vidieť záblesky slnka v Seattli. Po druhé, vidíme nárast hlásení o zraniteľnosti od študentov, ktorí majú viac voľného času mimo školy. A po tretie, znamená to, že bezpečnostná komunita sa stretáva v Las Vegas na bezpečnostných konferenciách Black Hat a DEFCON. Toto bude môj dvanásty Black Hat/DEFCON za sebou. Stále mám šiltovku DEFCON, ktorú som si kúpil pri svojej prvej pred 12 rokmi a nosím ju každý rok. A zatiaľ čo môj skutočný klobúk sa nezmenil (okrem toho, že sa stal dosť roztrhaným), metaforický klobúk, ktorý nosím, sa v priebehu rokov určite vyvinul.
Spočiatku som sa išiel čisto vzdelávať. Bol som členom amerického letectva, povereným ochranou sietí vzdušných síl. Šiel som na prednášky a pristupoval som ku konferencii takmer rovnakým spôsobom ako mnohí naši zákazníci – aby som pochopil, ako chrániť siete a systémy, ktoré som mal zabezpečiť. Neskôr, ako zamestnanec spoločnosti Microsoft na začiatku roku 2000, bol účastníkom. Mohol som sa stretnúť, pozdraviť a vypočuť si priamo výskumníkov, s ktorými som počas celého roka spolupracoval prostredníctvom centra Microsoft Security Response Center (MSRC). Podujatie sme tiež sponzorovali, zorganizovali sme vôbec prvú večierku s uznaním výskumníkov v Black Hat a dokonca sme predniesli niekoľko prednášok. Posledných pár rokov som sa zúčastňoval ako spolupracovník, a dúfam, že v niektorých ohľadoch, ako súčasť tímu vnímaného ako inovátori. Black Hat sa stal udalosťou, na ktorú spoločnosť Microsoft spúšťa programy a iniciatívy priamo zamerané pracovať a využívať jedinečnú energiu prítomnú v našej komunite výskumníkov a obrancov.
V tohtoročnom Správa o pokroku MSRC [PDF] zdôrazňujeme vplyv programov, ktoré sme v priebehu rokov spustili v Black Hat. MAPP, Exploitability Index a MSVR boli spustené v roku 2008. Naše prvé spustenia obsahovali programy, ktoré komunita predtým nevidela. Rozhodli sme sa zdieľať informácie o zraniteľnosti s bezpečnostnými partnermi pred vydaním aktualizácií pomocou programu s názvom Microsoft Active Protections Program (MAPP). Pokúsili sme sa predpovedať, ktoré zraniteľnosti sú najpravdepodobnejšie (a ešte desivejšie – nebudú) zneužité pomocou nového konceptu s názvom Index využiteľnosti. A rozhodli sme sa nahlásiť zraniteľnosti v produktoch iných spoločností prostredníctvom Microsoft Security Vulnerability Research (MSVR)!
Aj keď boli všetky riskantné, každý z týchto programov sme navrhli na základe hodnotnej spätnej väzby a účasti komunity a s cieľom lepšie chrániť našich zákazníkov. V súčasnosti je viac ako 1 miliarda používateľov vo väčšom bezpečí vďaka informáciám zdieľaným prostredníctvom MAPP každý rok a čas, ktorý potrebujú dodávatelia zabezpečenia na vytvorenie ochrany, sa skrátil najmenej trojnásobne. Za posledný rok môžu ľudia, ktorí používajú index exploitability a používajú náš najnovší softvér, znížiť počet aktualizácií, ktoré potrebujú na rýchle nasadenie, o 76 %. Okrem toho sme len za posledných 12 mesiacov nahlásili 96 zraniteľností u 39 rôznych predajcov bezpečným a koordinovaným spôsobom prostredníctvom MSVR. Viac podrobností o každom z týchto programov si môžete pozrieť v samotnej správe o pokroku.
Tento týždeň sme pred rokom zvolili nekonvenčný prístup a oznámili výzvu komunite bezpečnostných výskumníkov. Namiesto toho, aby sme sa zamerali na hľadanie nedostatkov v produktoch, pokúsili sme sa inšpirovať k novým líniám výskumu a podporiť inovatívne riešenia, ktoré by mohli pomôcť zmierniť celé triedy útokov. Nazvali sme to Cena BlueHata včera večer sme dali 200 000,00 dolárov prvému víťazovi Vasilisovi Pappasovi. Okrem toho sme udelili 50 000,00 $ Ivanovi Fratricovi a 10 000,00 $ Jaredovi DeMottovi. Ak ste nemali možnosť byť na párty, môžete si pozrieť oznamovacie video uverejnili sme dnes ráno.
Táto súťaž vyzvala výskumníkov v oblasti bezpečnosti, aby navrhli novú technológiu na zmiernenie behu, ktorá má zabrániť zneužívaniu zraniteľností v oblasti bezpečnosti pamäte. Do ukončenia súťaže v apríli 2012 sme dostali 20 kvalifikovaných príspevkov. Návrhy prichádzali z celého sveta a pokrývali celý priemysel od výskumnej komunity až po akademickú obec. Nakoniec sa všetci finalisti rozhodli vytvoriť zmierňujúce opatrenia, ktoré zabránia využitiu návratového programovania (ROP) v úspechu.
Pre mňa bola táto úroveň účasti úžasná a udeľovanie veľkých peňažných cien najlepším z najlepších bolo skvelé, ale bol to naozaj len prvý krok. V stredu sme vydali skorú verziu voľne dostupného nástroja Enhanced Mitigation Experience Toolkit (EMET), ktorý zahŕňa niektoré technológie navrhnuté jedným z našich finalistov. Naši inžinieri MSRC-E rýchlo implementovali Ivan's Bratrský "ROP Guard,“ a teraz je pripravený pomôcť chrániť používateľov počítačov na celom svete prostredníctvom EMET 3.5 Tech Preview. Skutočnosť, že cena BlueHat prešla od prvého oznámenia k skutočnej ochrane v rámci jedného singla kalendárny rok ukazuje pozitívny vplyv, ktorý je možný vďaka spolupráci medzi predajcami a bezpečnosťou komunity.
Bezpečnosť je náročná práca a nikto to nevie lepšie ako ľudia z komunity bezpečnostných výskumníkov. Je ťažké navrhnúť skvelé obranné prostriedky a je ťažké ich prinútiť fungovať tak, aby ich jednotlivci akceptovali. Tu v MSRC často hovoríme o tom, že aj neistota je náročná. Chceme útočníkovi čo najviac sťažiť, aby úspešný exploit fungoval (možno do tej miery, bude príliš drahé na čas a úsilie na to, aby to vyskúšali) a pre našich zákazníkov bude čo najjednoduchšie zostať chránené.
Podľa môjho názoru je EMET veľkým krokom vpred v tomto úsilí. Ako voľne dostupný nástroj obsahujúci pokročilé ochrany ho možno ľahko použiť na domácich počítačoch na ochranu pred známymi aj neznámymi zraniteľnosťami. A po vydaní EMET 3.0 v máji minulého roka môže byť rozšírený v rámci celého podniku. EMET dokonca upozorní, ak zablokuje potenciálny útok spôsobom, ktorý sa integruje s procesom detekcie a reakcie spoločnosti. Dokonca aj v podniku, ktorý je plne aktualizovaný proti známym zraniteľnostiam, EMET poskytuje ochranu, ktorá chráni aktíva pred zatiaľ neznámymi hrozbami a poskytuje administrátorom oddychový priestor.
Odo dňa, keď som nastúpil do spoločnosti Microsoft, bolo pokorné myslieť na obrovské množstvo ľudí, ktorých pomáhame chrániť v rámci našej úlohy v skupine Trustworthy Computing TwC Security. Ale nie sme sami. Spoluprácou s bezpečnostnou komunitou a spustením programov ako MAPP, MSVR a novších výziev ako BlueHat Cenu, môžeme pomôcť vybudovať komunitu obrancov, ktorí pracujú užšie, aby hmatateľne ovplyvnili dostupné ochrany zákazníkov.
V spoločnosti Microsoft sme sa zaviazali zlepšovať počítačovú bezpečnosť a online zážitok pre všetkých našich zákazníkov. Cena BlueHat je len jednou z oblastí, kde naše obranné myslenie viedlo k lepšej ochrane. Ale vieme, že naša práca nie je hotová. Počas Black Hat sme rozdali 20 000,00 dolárov v rámci stávok, kde sme sa komunity pýtali, čo predstavuje najnaliehavejší bezpečnostný problém v celom odvetví, takže môžeme začať riešiť ešte viac výzvy. Budeme pokračovať v investíciách prostredníctvom našej vlastnej bezpečnostnej vedy a inžinierstva, ale budeme tiež pokračovať v spolupráci s našimi priemyselnými partnermi a bezpečnostnými výskumníkmi.
Tento typ práce nie je jednoduchý a súčasný stav mojej šiltovky DEFCON dokazuje, že ak nič iné, spolupráca s komunitou a priemyslom môže pomôcť urobiť cestu bezpečnejšou pre všetkých.
* Mike Reavey je riaditeľom centra Microsoft Security Response Center (MSRC).