Amerika'nın en saygın güvenlik araştırmacılarından biri, ABD Hükümeti'nin veri güvenliği uygulamalarının şaşırtıcı derecede ihmalkar olduğunu açıkladı. CISPA destekçilerinin bilmemizi istemediği şey budur.
Oku bunu
CISPA ABD Meclisini onayladı: Dördüncü Değişikliğin Ölümü mü?
Şimdi OkuCISPA (Siber İstihbarat Paylaşımı ve Koruma Yasası) Senato'ya ulaşmaya hazırlanırken, ZDNet size CISPA savunucularının bilmenizi istemediği şeyleri anlatıyor: ABD'deki en saygın güvenlik araştırmacıları yakın zamanda ABD Hükümeti'nin şok edici derecede ihmalkar veri güvenliğine ilişkin bulguları açıkladılar uygulamalar.
Chris Wysopal'ın verilerinin ışığında, geniş çapta karşı çıkan CISPA'nın koruyacağı tek şeyin, büyük iş verileri anlaşmaları Ve siber güvenlik şilinli hükümet müteahhitleri.
CISPA'nın destekçileri perde arkasına bakmanızı istemezken ve CISPA'yı zorlamak için Boston bombalamalarından yararlanmakta hiçbir sorun yok, Amerikan verilerini siber saldırılardan gerçekte nasıl korudukları hakkında bilmenizi istemedikleri şeyleri öğrenelim.
1998 yılında, Chris Wysopal yedi kötü şöhretli hackerdan biriydi ABD Senatosu'nda ifade verdi 30 dakika içinde interneti çökertebileceklerini söylediler.
2011 yılında Wysopal geri davet edildi 1998'de ifade verdiği aynı komite olan İç Güvenlik ve Hükümet İşleri Komitesi'ne bilgisayar korsanlığı ve siber güvenlik hakkında uygulamalı bilgi sağlamak.
Wysopal şöyle açıkladı: "Bu komiteler Symantec ve McAfee'den çok sayıda kişinin gelip onlara çözümlerin ne olduğunu söylemesini sağlıyor." Çünkü görmeyi umuyordu Wysopal, "Senato'dan akıllı yasalar çıkıyor" dedi, "Bu insanlara bu saldırıların satıcıdan bağımsız bir bakış açısıyla nasıl çalıştığını gösterebilirsem, bunun harika olacağını düşündüm. fırsat."
Wysopal gösterilerini yaptıktan sonra Bir Senato çalışanı odaya şöyle dedi:, "belki de onları [hackleme araçlarını] yasaklamalıyız."
- Okumak: CISPA, polisin yetkisiz veri tabanı aramaları yapmasına izin veriyor (CNET)
- Görmek: Temsilci Mike Rogers'ın Karısı CISPA'dan Büyük Fayda Sağlayacak (Techdirt)
O halde bunu keşfetmek onu gerçekten rahatsız etmiş olmalı. Vera koduEn son risk değerlendirme verileri, ABD hükümetinin bizim verilerimizle diğer tüm sektörlerden daha tehlikeli riskler aldığını ortaya koyuyor.
Veracode'un yeniliğinden bahsetmiyorum Yazılım Güvenliği Durumu Raporu (her ne kadar aydınlatıcı olsa da: Veracode, uygulamaların %70'inin kurumsal güvenlik politikalarına uymadığını tespit etti) ilk başvuru - yani gerçekten şirketler lanet kapıdan çıkıp gittiklerinde bilgisayar korsanlığı araçlarını yasaklamaya gerek yok kilidi açıldı).
- Ayrıca bakınız: CISPA, Google, Facebook, Twitter, Microsoft kapsamında diğerleri gizliliğinizi koruma sözü veremez (ZDNet)
- Daha fazla: CISPA yazarları "başka bir SOPA"dan kaçınmak için basını aldattı (ZDNet)
Benim için ABD Hükümeti, siber güvenlik ve fedakar bilgi paylaşımı hakkındaki bazı gözlemleri, CISPA'nın olası geçişini daha da tamamen, korkunç derecede yanlış yönlendirilmiş bir felaket gibi gösteriyor.
Bay Wysopal bugün ZDNet'e CISPA ile ilgili bir yorumda şunları söyledi: "Eğer herhangi bir siber güvenlik mevzuatı görürseniz ve onlar hakkında konuşmuyorlarsa yazılım satıcılarını ürünlerindeki minimum güvenlik sağlamlığı konusunda sorumlu tutarsanız, lobicilikte kimin kazandığını bilirsiniz oyun."
Chris Wysopal kısa süre önce küresel bilgisayar korsanlığı konferansında sunum yaptı Kutudaki Hack Kuala Lumpur, Malezya'da son teknoloji güvenlik araştırmacılarından ve yeraltındaki küresel hackerlardan oluşan bir izleyici kitlesi gösteriliyor sakinler, kurumsal kelle avcıları ve kolluk kuvvetleri mensupları, ABD Hükümeti'nin nasıl tehlikeli riskler aldığını vatandaş verileri.
Yangın çıkarmasından hemen sonra Malezya'da Bay Wysopal ile konuştum. Hack In The Box Malezya 2012 konuşması ve ona şu anda ABD Hükümeti verilerinin ne kadar savunmasız olduğunu sordu.
Menekşe Mavi: Veracode'un CTO'susunuz; onun son risk değerlendirme verileri bulguları, konuşmanızda ABD hükümetinin diğer sektörlerle karşılaştırıldığında veri güvenliği konusunda en kötü hükümet olduğu sonucunu destekledi. Açıklayabilir misin?
Chris Wysopal: Veriler Veracode'un müşterileri için yaptığı testlerden elde edildi. Tüm uygulamaları test ediyorduk ve sektörlere göre karşılaştırıyorduk. Örneğin, finansal hizmetlerin iyi bir iş çıkarmasını bekleriz çünkü bunu yapmazlarsa gerçek para kaybolur. En kötü sektörün hükümet olduğunu keşfettik.
ABD hükümeti ...mesela finansal hizmetler sektörü kadar iyi bir iş yapmıyor.
Eğer on finansal hizmet web uygulamasına bakalım derseniz, on bankayı rastgele seçip başlayabiliriz. siteler arası komut dosyası arıyorum - ve sonra on hükümet web sitesini seçerseniz, daha fazlasını bulacaksınız. devlet.
Ancak ABD hükümeti kendi uygulamalarını geliştiriyor veya yazılım uygulamalarını tedarik ediyor (temel olarak tüm bunları yapmak için kullanıyor) ABD vatandaşları olarak bizim verilerimizle yaptıkları şeyler), örneğin finansal hizmetler kadar iyi bir iş yapmıyorlar endüstri. Bu bir sınıfta görünüyor çok yaygın güvenlik açığı, siteler arası komut dosyası oluşturma. Veriler, ne yaparlarsa yapsınlar hükümetin daha iyi bir kodlamaya ihtiyaç duymadığını gösterdi.
VB: ABD hükümetine siber güvenliği anlamayla birlikte harekete geçmesini söylediğiniz geçmişini düşününce bu nasıl bir duygu?
CW: Sinir bozucu çünkü hükümetin bazı kesimleri bu sorunlar hakkında herkesten daha fazla bilgi sahibi. NSA'yı, diğer istihbarat teşkilatlarını veya orduyu düşünün. Bu sorunun var olduğunu çok iyi biliyorlar ama sivil hükümetin diğer sektörlerinde bu konuda hiçbir şey yapmıyorlar. Gazi İdaresi gibi verilerimiz ile günü gününe yapan sektörler. Ve IRS gibi vatandaşlarla web üzerinden çok fazla etkileşim kuran kuruluşlar da bu kuruluşlardır.
Ve veri güvenliği konusunda, sokağın aşağısındaki bankanızla uğraşmamızdan daha kötü bir iş çıkarıyorlar.
VB: Konuşmanızda belirttiğiniz başka bir şey de gerçek güvenlik yazılımının çok kötü performans gösterdiğini görmenizdi.
Güvenlik şirketleri...bu anlayışı ürünlerini daha iyi hale getirmeye dönüştürmüyorlar.
CW: Şakam şu, ayakkabı tamircisinin çocuklarının ayakkabısı yok, değil mi? Pek çok güvenlik şirketinin yazılımdaki pek çok güvenlik açığını anlamasına rağmen - bu konuda gerçek bir anlayışa sahipler; bu anlayışı kendi ürünlerinin yapımına aktarmıyorlar daha iyi. Geliştiricileri eğitmiyorlar, geliştiricilere test yapmaları için yeterli zaman vermiyorlar, bilirsiniz, daha güvenli bir ürün yapmak için yapmaları gereken iyileştirmeler.
Yani farkındalar. Ancak farkındalık yalnızca başlangıçtır; bunu uygulamaya koymanız gerekir. Güvenlik şirketleri farkındalık tarafında en fazla yer alan ve bunu uygulamaya koyma konusunda en az olan şirketlerdir. Düşünürseniz bu gerçekten ikiyüzlülüktür.
VB: Bu davranışın güvenlik ekosistemi üzerindeki etkisini ne olarak görüyorsunuz?
CW: Kötü çünkü tüketicilerin güvenlik açıklarından korunmak için güvenlik ürünlerine güvenmelerine neden oluyor - ve bunu yaparken de bunu yapıyorlar ürünler, ilk başta güvenlik ürününü yüklemediyseniz orada olmayacak yeni güvenlik açıkları ortaya çıkarıyor yer.
VB: Ama güvenlik ürünleri en iyisi olmalı, değil mi? Bu itibara dayalı bir ekonomi değil mi? Yoksa piyasanın doygunluğu sorunu daha mı kötüleştiriyor? Sadece bunun neden devam ettiğini ve muhtemelen bunu neyin düzeltebileceğini anlamaya çalışıyorum.
CW: Bu nedenle verileri bu şekilde ortaya çıkarmak istiyoruz. Güvenlik açıklarının nerede olduğunu gösterir. Farklı kategorileri işaret ettiğimizde yazılım satın alan işletmelerin bir dakika bekleyin diyebileceğini düşünüyorum, Vercode ise güvenlik yazılımının bu kategoriler içerisinde en kötüsü olduğunu söylüyor. Güvenlik yazılımı üreticisi: belki de Veracode'un verilerinin söylediği gibi ortalama birisiniz - bu yüzden şimdi bunu test etmenizi istiyoruz. Sanırım Ralph Nader, 1960'larda otomotiv endüstrisini değiştirme biçimi nedeniyle bu yaklaşımın örneğini oluşturuyor. Nader, "arabalar güvensiz" dedi. İşte o zaman insanlar bazı arabaların diğer arabalardan daha güvenli olduğunu düşünmeye başladı.
İnsanlar şöyle demeye başlayabilir: "Daha güvenli bir yazılım satın almak istiyorum ve eğer biri bana berbat bir yazılım veriyorsa, onu sorumlu tutmak ve bunu işaret ederek şunu söylemek isterim: daha iyi olursun düzeltin." Bu noktada insanlar 'tüm yazılımlarda hatalar var' ve 'tüm satıcılar daha iyisini yapmalı' diye düşünüyor. Ancak farkındalığı artırmak ve bunu değiştirmek için gerçek verileri kullanıyoruz zihniyet.
Yazılım, yazılımın olduğu noktadadır dır-dir araç güvenliğine eşdeğerdir.
Sizin ve benim gibi yazılım satın alan bireysel bir tüketici, büyük bir yazılım şirketiyle karşılaştırıldığında hiçbir güce sahip değiliz. Ancak dünyanın en büyük beş bankasından biri, yalnızca 100 milyon geliri olan bir yazılım satıcısıyla 2 milyon dolarlık bir sözleşme üzerinde güce sahip. Alıcı avantajı olduğunda satıcıları daha iyi olmaya zorlayabilir. Kurumsal alıcıları, satıcılarını sorumlu tutmaları gerektiği konusunda eğitmeye başlayarak bu sorunu ortadan kaldırmaya başlayabiliriz diye düşünüyorum.
Yazılım, yazılımın olduğu noktadadır dır-dir araç güvenliğine eşdeğerdir. Etkileşimde bulunduğumuz her şey internetin bir parçası olmadan önce bu sorunu çözmek istiyorum. Yazılım artık finansal işlemleri kontrol ediyor, iletişime aracılık ediyor ve endüstriyel yerlerdeki oldukça bölümlere ayrılmış fiziksel sistemleri kontrol etmeye başlıyor. Yazılım, eskiyen, fiziksel olarak güvenli olduğuna güvendiğimiz şeyler haline geliyor. Otonom, kendi kendini süren arabalar hacklenebilir. O yüzden artık farkındalık yaratmamız lazım. Bunu yapmaya 199'0'ların sonlarında Senato önünde ifade verdiğimde başladım.
VB: Cevap nedir?
CW: NTSB gibi, olayların temel nedenlerinin açıklanması gereken bir başlangıç olacağını düşünüyorum. bu birinci adım gibi olurdu. Sanki kirli çamaşırlarını öylece gizleyemezsin. Öğrenmek isteyen insanların bundan öğrenmesine izin vermelisiniz. Yani bir kez sorunların farkına vardığınızda, bu bilgiyi eyleme geçirmezseniz ihmalkar olursunuz.
- Ayrıca okuyun: Fed'in Anonim saldırıyı doğrulayıp ABD banka acil durum sistemi ihlalini küçümsemesiyle öfke artıyor
Yani aynı şeyi başka bir yerde yapan birisi bundan haberi yokmuş gibi davranamaz. Yani eğer bu sektördeyseniz bu bilgiyi göz ardı etmek ihmalkarlıktır çünkü o bilgi oradaydı.
Yani hükümet ne zaman bilgi paylaşımı yapmak istediğinden bahsederken "bilgi paylaşımı" olarak bahsettiği şey kötü amaçlı yazılım bilgi paylaşımıdır. Saldırılar için imza paylaşmak istiyorlar. Birisi bir saldırının, aracın veya trafiğin parmak izini aldığında diğer insanların da olmasını isterler, böylece bunu tespit etmek isteyen diğer kişiler bu bilgiye sahip olabilir. Ancak bu bilgiyi nasıl topladığımıza ilişkin gizlilikle ilgili çıkarımlar var. Peki neden sorun giderildikten sonra güvenlik açığı bilgilerini paylaşmıyorsunuz?
VB: Peki o zaman insanların bilgi paylaşımını savunuculuk olarak yanlış anlamaları sorununu nasıl aşabilirsiniz? Söyledikleri yerde, bunu yayınlayamazsınız çünkü bu, insanlara bunu yapmalarını söylemekle veya sözde "dolu silahlar" dağıtmakla eşdeğerdir.
CW: Bakın, kötü adamlar zaten bu bilgiye sahip.
Belki bilgiyi bilmeyen birkaç kötü adam vardır, bağlantıları yoktu, ama karanlıkta olan daha fazla insan var Sorunları çözmek için bilgiyi kullanma konusunda daha yetenekli olan, kötü niyetli ve "bilen" insanlardan daha yeteneklidir. Bu geri dönüyor the l0pht, gri şapka zihniyeti, evet, şifre kırma araçları koyacağız, çünkü saldırganlar zaten bunlara sahip ve aynı zamanda kendi binalarını da inşa ediyorlar. Yani bunun kullanımını daha kolay ve ulaşılabilir hale getirerek, ortalama sistem yöneticisine, saldırgana verdiğimizden daha fazla yardım etmiş oluyoruz. Tam açıklama konusundaki zihniyetim bu.
Veracode'un yenisini okuyun Yazılım Güvenliği Durumu Raporu Cilt 5.
Fotoğraf: Chris Wysopal Hack In The Box sırasında sahnede. Kredi: Menekşe Mavisi.