Black Hat: el cap de Google diu que deixeu de jugar a Security Whack-A-Mole

LAS VEGAS: la conferència de Black Hat 2018 va començar amb una celebració del soroll, el fum i els làsers digne de qualsevol producció de Hollywood. Conferència de l'any passat va aplegar més de 17.000 assistents. Black Hat no publica els totals fins que l'esdeveniment no s'hagi completat, però aquest any pot ser encara més gran. D'acord amb la mida de la multitud, la conferència va tenir lloc al pavelló esportiu del Mandalay Bay Resort.



Black Hat Bug ArtEl fundador de Black Hat, Jeff Moss (també conegut com @darktangent) va donar la benvinguda a la multitud. Va compartir el fet que aquest any 112 països havien enviat almenys un assistent, i va donar un crit especial als 26 que van enviar només un assistent. Moss també va informar que el programa de beques de Black Hat, que renuncia a les quotes per a joves investigadors de seguretat mereixedors, va emetre 233 beques aquest any.

'Els esdeveniments mundials s'han posat al dia i ens estan posant a prova', va dir Moss. 'L'ofensa cibernètica és gairebé purament tècnica, gairebé sense política implicada. La defensa és fonamentalment política. Quants diners gastes? Quin tipus d'ous d'or estàs intentant protegir?





'Sembla que els nostres adversaris tenen estratègies i nosaltres tenim tàctiques', va continuar Moss. 'Això no m'agrada. Quina és la meva estratègia?

Moss va assenyalar que unes 20 empreses del món tenen una influència global que afecta milers de milions. Aquests són els Microsoft, els Google i les Apples del món de la tecnologia. Els consumidors i experts, va dir Moss, poden pressionar aquestes empreses perquè facin productes millors i més segurs. Va oferir l'exemple de Google que va abandonar progressivament l'HTTP insegur a Chrome, que ara marca activament els llocs HTTP com a no segurs. Aquell moviment d'una sola empresa va tenir un efecte enorme.



Insatisfacció optimista

Per què Google hauria d'adoptar Blockchain

Parisa Tabriz, directora d'enginyeria de Google, és la responsable de garantir la seguretat de Chrome. Ella també gestiona el Projecte Zero equip d'investigació de seguretat.

Revisió de la nova inspiron 14 7000

La 'Princesa de seguretat', com se l'anomena, era la propietària de l'escenari principal amb un elegant vestit blanc i els cabells amb vetes rosades. Va obrir amb una imatge d'aquell vell joc arcade favorit, Whack-A-Mole. Va admetre que quan era petita, Tabriz havia col·locat un germà a cada costat per copejar els talps que no podia posar al mig. L'analogia era important.

'Hem de deixar de jugar a Whack-A-Mole i ser més estratègics', va dir Tabriz. 'Aquesta sala compta amb els millors experts del món en seguretat informàtica, que s'està convertint en la seguretat del món'.

'Hem de fer més per resoldre els problemes', va continuar, 'però sóc optimista. Hem fet grans avenços al llarg de la dècada. Però hi ha més feina per fer en un paisatge cada cop més complex».

Abordeu la causa arrel

Per evitar jugar a Whack-A-Mole i solucionar els problemes només a mesura que apareixen, Tabriz aconsella que els investigadors han d'abordar la causa arrel. Va plantejar la tècnica '5 Whys', popular en el disseny d'automòbils i altres àrees. Si hi ha un problema, pregunta per què. Cada resposta esdevé el tema de la següent pregunta. Cinc per què més avall, comences a arribar a algun lloc.

Tabriz va posar un exemple. 'Suposem que algú revela un error d'execució de codi remot al vostre producte. Per què l'error va provocar l'execució de codi remota? Per què no ho vam descobrir abans? Per què no tenim les proves que ho haurien agafat? Per què l'actualització va trigar tant? Per què triguen cinc setmanes a oferir una solució?' Va aconsellar a l'audiència que invertís més, i de manera diferent, en abordar les causes arrels.

Projecte Zero

Llibre de jocs de seguretat al núvol per a pimes

L'equip del Projecte Zero de Google, gestionat per Tabriz, se centra a prevenir exploits de dia zero i reduir el dany causat per atacs dirigits. L'equip no està alineat amb cap projecte de Google; tracten Android , Chrome i altres serveis de Google com ho farien amb productes de tercers.

Tabriz va assenyalar que el 2014 aquest equip va exposar més de 1.400 vulnerabilitats en una gamma de productes. 'El nostre objectiu és avançar en la comprensió dels actors ofensius per informar i millorar les nostres defenses', va dir Tabriz. 'Hem de fer més que solucions puntuals. La nostra estratègia és construir una comprensió avançada dels atacants'.

'El problema és que els venedors no sempre tenen un sentit de prioritat per a la seguretat', va continuar Tabriz, 'i hi ha un gran desequilibri de poder entre l'investigador individual i una corporació'. Per anivellar el camp, Project Zero va introduir la divulgació de 90 dies. Després de notificar a una empresa una vulnerabilitat de seguretat, la fan pública en 90 dies, tant si l'empresa l'ha arreglat com si no.

'La data límit causa dolor a curt termini per a les grans organitzacions, inclosa Google', va assenyalar Tabriz. Però complint la data límit, obliguen els venedors a reunir-se i invertir en millors processos. Va informar que actualment, el 98 per cent dels problemes es solucionen en el període de 90 dies, en comparació amb el 25 per cent abans de la política de termini.

Tria fites i celebra-ho

Tabriz va assenyalar que les persones que treballen en ciberdefensa poques vegades apareixen als titulars. Treballen en segon pla, mantenint-nos tots segurs. Va aconsellar a tots els equips de defensa que identifiquessin fites en el seu treball i que la celebració fos part del projecte.

Va prendre com a exemple l'equip que va treballar per aconseguir que més, o fins i tot tots, els llocs web fessin servir la connexió HTTPS segura, en lloc d'un HTTP insegur. 'Sense HTTPS, no hi ha seguretat ni privadesa', va observar. Tabriz va passar per una cronologia detallada del procés, que va incloure una poesia que va iniciar l'esforç i va produir aquest haiku:

Recomanat pels nostres editors

Processador obsolet CPU sobre mòduls de memòria RAMEls investigadors de Meltdown demanen CPU més segures Estirada de la guerra de cadena de blocs La compressió i les VPN fan que els secrets filtrats

Secrets als tubs.
La gent al mig esquiva.
Protegiu amb cripto.

L'aspecte de la celebració també va anar més enllà de la poesia per tractar, incloent un pastís HTTPS i un pastís HTTPS. Tabriz va assenyalar que no hi ha una gran despesa, però que la celebració eleva l'equip i el projecte.

Construeix la teva coalició

Seguint amb l'equip de Chrome com a exemple, Tabriz es va centrar en el projecte que va canviar Chrome per renderitzar cada lloc per separat, aïllant-los perquè un lloc perillós no pugui infectar altres pàgines obertes. Va assenyalar diverses maneres en què aquest projecte podria fracassar.

'La direcció podria matar-ho', va dir. 'Teníem 10 enginyers treballant en l'aïllament del lloc i vam pensar que trigaria un any. Van necessitar sis. Errors com aquest poden tornar a mirar els projectes.' Però, va explicar, l'equip es va mantenir en contacte amb la direcció i altres equips, articulant el progrés i els motius pels quals va trigar més temps.

'La manca de suport entre iguals també podria matar el projecte', va continuar. 'Chrome té 10 anys, amb deu milions de línies de codi, i el projecte d'aïllament del lloc inclou tota l'arquitectura'. El procés de trobar text en una pàgina anteriorment era un simple bucle; l'aïllament del lloc ho faria molt més complex. 'El petit equip havia d'esbrinar qui és el propietari de la cerca de text i convèncer-los perquè canviessin'.

hp pagewide pro mfp 477dw

El tercer assassí podria haver estat un canvi als estàndards web subjacents que descarriliaria el nou esforç. Afortunadament, l'equip va incorporar els organismes d'estàndards web, amb un acord que l'aïllament del lloc és prou valuós com per evitar canvis que l'afectin.

Fora amb l'statu quo

Tabriz es refereix a la comunicació cap amunt cap a la direcció i cap a l'exterior cap als companys i socis com la construcció de la vostra coalició. Això, juntament amb centrar-se en les causes arrel i construir fites i celebracions, conformen el seu pla per millorar seriosament la tecnologia de seguretat. És important destacar que no és l'statu quo. En un moment donat, va mostrar una diapositiva que deia... bé... 'Execra l'status quo'.

'Sóc optimista', va concloure. 'Podeu estar orgullós dels nostres avenços. Continuo amb l'esperança perquè, encara que molts de vosaltres sou cínics, és perquè personalment us importa. Depèn de nosaltres.

Recomanat