Šéf bezpečnosti Adobe Brad Arkin tvrdí, že benevolentní výskumníci v oblasti bezpečnosti, ktorí publikujú techniky na potláčanie bezpečnostných opatrení, robia veľkú medvediu službu.
CANCUN, Mexiko – Šéf bezpečnosti Adobe Brad Arkin má odkaz pre benevolentnú bezpečnosť výskumná komunita: Vaša práca znižuje náklady a zložitosť útokov proti počítačom siete.
Počas hlavnej prezentácie na samite bezpečnostných analytikov spoločnosti Kaspersky (pozri zverejnenie), Arkin povedal, že intelektuálna snaha o zneužívanie softvérových zraniteľností a potláčanie zmierňujúcich opatrení jednoducho poskytuje zlým ľuďom plán na preniknutie do počítačových systémov.
„Sme zapojení do hry na mačku a myš na [softvérovej] inžinierskej stránke. Zakaždým, keď prídeme s niečím novým a vybudujeme novú obranu, vytvára to pre zlého človeka stimul, aby sa pozrel ďalej,“ vysvetlil Arkin a poznamenal. že komunita bieleho klobúka pre výskum bezpečnosti pomáha kyberzločincom zverejňovaním zraniteľností, exploitov a techník na obídenie bezpečnosti zmiernenia."Mojím cieľom nie je nájsť a opraviť každú bezpečnostnú chybu," argumentoval Arkin. „Rád by som zvýšil náklady na písanie exploitov. Ale keď výskumníci zverejnia techniky a nástroje na potlačenie zmierňovania, znížia tieto náklady."
Bezpečnostné tímy spoločnosti Adobe pracujú nadčas, aby zastavili tok útokov zero-day proti dvom z jej najrozšírenejších produktov – Adobe Reader a Adobe. Flash Player – a poukázal na to, že v súčasnosti sa venuje príliš veľa pozornosti odpovediam na správy o zraniteľnosti namiesto toho, aby sa sústredili na blokovanie živých exploitov.
"Môžeme opraviť jednu zraniteľnosť, ktorá má bezpečnostnú charakteristiku, ale keď zmeníme tento kód, vytvoríme cestu k ďalším zraniteľnostiam, ktoré môžu v budúcnosti spôsobiť väčšie problémy," povedal.
Arkin povedal, že množstvo nahlásených bezpečnostných chýb núti Adobe reagovať spôsobom, ktorý môže priniesť nové bezpečnostné chyby. „Možno opravíme bezpečnostnú chybu, ale Adobe Reader zrazu nedokáže tlačiť na tlačiarni určitej značky. Nie je nám jasné, či niekto niekedy napísal exploit na túto chybu, ale musíme vydať opravu, ktorá spôsobuje problémy."Arkin navrhol, aby Adobe – a ďalší veľkí dodávatelia softvéru – znížili svoje straty a zvolili iný prístup. Namiesto toho, aby bezpečnostné tímy bežali na bežiacom páse a opravovali každú správu o zraniteľnosti, mali by výrazne investovať do zmierňovania technológie proti zneužívaniu a užšie spolupracovať s výskumnou komunitou s cieľom obmedziť zverejňovanie informácií, ktoré môžu pomôcť zlomyseľnosti hackermi.
„Za posledný rok sme opravili stovky CVE [jednotlivých zraniteľností]. Proti týmto zraniteľnostiam však bolo napísaných veľmi, veľmi málo exploitov. Za posledných 24 mesiacov sme videli asi dve desiatky skutočných exploitov,“ povedal Arkin s argumentom, že dodávatelia softvéru nevyužívajú svoje zdroje na odozvu v oblasti bezpečnosti múdro.
„Nájsť chybu je celkom jednoduché, ale napísať exploit, ktorý úspešne funguje, je ťažšie. Využitie, ktoré funguje spoľahlivo 100 percent času, je ešte oveľa ťažšie. Len veľmi málo ľudí má schopnosti písať tieto exploity, takže sa musíme sústrediť na zvyšovanie nákladov na písanie týchto exploitov,“ povedal.Arkin tvrdil, že je nemožné, aby dodávatelia softvéru produkovali kód bez bezpečnostných chýb. „Kód môžete vylepšiť, ale nikdy ho nedosiahnete dokonalý. V Adobe sme veľa investovali do vytvárania zmierňujúcich opatrení a zvyšovania nákladov a zložitosti [zneužívania softvérových chýb]. Teraz však máme útočné výskumné tímy – dobrí chlapci –, ktorí znižujú tieto náklady, keď skúmajú novú techniku na preniknutie do softvéru, napíšu článok a zverejnia ho do sveta.“
„Niečo ťažké sa stáva veľmi ľahkým. Tieto exploity a techniky sa kopírujú, prispôsobujú a upravujú veľmi lacno.“
„Nehovorím, že by sme mali postaviť ofenzívny výskum mimo zákon. Je však jasné, že tieto [intelektuálne] ofenzívne pokroky veľmi menia hru. Akonáhle sa niečo zverejní, je len otázkou času, kedy ich do svojich operácií nasadia aj skutoční zlí ľudia.“
* Obrázok cez Nikitu Svetsov.