Керівник служби безпеки Adobe Бред Аркін стверджує, що доброзичливі дослідники безпеки, які публікують методи подолання пом’якшення безпеки, роблять серйозну ведмежу послугу.
КАНКУН, Мексика. Керівник служби безпеки Adobe Бред Аркін звернувся до доброзичливої служби безпеки дослідницьке співтовариство: ваша робота знижує вартість і ускладнює атаки на комп’ютер мережі.
Під час основної презентації на саміті аналітиків безпеки Kaspersky (див. розкриття), Аркін сказав, що інтелектуальна гонитва за використанням уразливостей програмного забезпечення та подоланням засобів пом’якшення є просто дорожньою картою для зловмисників, щоб зламати комп’ютерні системи.
«Ми беремо участь у грі в кішки-мишки з боку розробки [програмного забезпечення]. Кожного разу, коли ми придумуємо щось нове та будуємо нові засоби захисту, це створює стимул для поганого хлопця дивитися далі», — пояснив Аркін, зазначивши що спільнота дослідників безпеки допомагає кіберзлочинцям, публікуючи вразливості, експлойти та методи обходу безпеки пом'якшення.«Моя мета — не знайти й виправити кожну помилку безпеки», — стверджував Аркін. «Я хотів би збільшити вартість написання експлойтів. Але коли дослідники оприлюднюють методи та інструменти для подолання пом’якшення, вони знижують ці витрати».
Команди безпеки Arkin понаднормово працювали в Adobe, щоб зупинити потік атак нульового дня проти двох найпоширеніших продуктів — Adobe Reader і Adobe. Flash Player – і він зауважив, що сьогодні надто багато уваги приділяється відповідям на звіти про вразливості замість того, щоб зосередитися на блокуванні активних експлойтів.
«Ми можемо виправити одну вразливість, яка має характеристику безпеки, але коли ми змінюємо цей код, ми створюємо шлях до інших вразливостей, які можуть спричинити більші проблеми в майбутньому», — сказав він.
Аркін сказав, що велика кількість повідомлень про вразливості безпеки змушує Adobe реагувати таким чином, що може створити нові дефекти безпеки. «Ми можемо виправити помилку безпеки, але раптом Adobe Reader не зможе друкувати на принтері певної марки. Нам невідомо, чи хтось коли-небудь писав експлойт для цієї помилки, але ми повинні випустити виправлення, яке спричиняє проблеми».Аркін запропонував Adobe та іншим великим постачальникам програмного забезпечення скоротити свої збитки та застосувати інший підхід. Замість того, щоб бігати на біговій доріжці, щоб виправити кожен звіт про вразливість, команди безпеки повинні інвестувати значні кошти в пом’якшення та технології захисту від використання та тісніше співпрацювати з дослідницьким співтовариством, щоб стримувати публікацію інформації, яка може допомогти зловмисникам хакери.
«За останній рік ми виправили сотні CVE [окремих вразливостей]. Але проти цих вразливостей було написано дуже, дуже мало експлойтів. За останні 24 місяці ми бачили близько двох десятків реальних експлойтів», – сказав Аркін, наводячи аргумент, що постачальники програмного забезпечення нерозумно використовують свої ресурси реагування на безпеку.
«Знайти помилку досить просто, але написати експлойт, який успішно працює, складніше. Експлойт, який надійно працює 100 відсотків часу, набагато складніший. Дуже небагато людей мають навички написання цих експлойтів, тому ми повинні зосередитися на збільшенні витрат на написання цих експлойтів», – сказав він.Аркін стверджував, що постачальники програмного забезпечення не можуть створити код без дефектів безпеки. «Ви можете вдосконалити код, але ви ніколи не досягнете його ідеального. В Adobe ми інвестували багато, щоб створити засоби пом’якшення та збільшити вартість і складність [використання програмних помилок]. Але тепер у нас є наступальні дослідницькі групи — хороші хлопці — які знижують ці витрати, коли досліджують нову техніку злому програмного забезпечення, пишуть статтю та публікують її світові».
«Щось важке стає дуже-дуже легким. Ці експлойти та методи копіюються, адаптуються та модифікуються дуже дешево».
«Я не кажу, що ми повинні заборонити образливі дослідження. Однак очевидно, що ці [інтелектуальні] наступальні досягнення дуже сильно змінюють гру. Щойно щось буде опубліковано, це лише питання часу, коли зловмисники з реального світу запустять це у свої операції».
* Зображення надано Микитою Свєцовим.