|
Интервью с Чарли Миллером
THG.ru: Привет, Чарли, благодарим, что ты нашел время поговорить с нами и читателями THG. Полагаю, что ты очень занят сейчас, во время Black Hat.
Чарли Миллер: Да, если отставить в сторону мою "повседневную работу", включающую консультации, написание слайдов и окончание исследования, можно сказать, что это второе по степени занятости время в этом году. Последний раз так было перед Pwn2Own. Не могу дождаться, когда Black Hat и DEF CON закончатся и я смогу расслабиться и начать новые исследования.
THG.ru: Многое изменилось с момента нашего последнего разговора. Значение и принципиальная важность компьютерной безопасности всё более очевидны для массовых пользователей. Нью-Йорк Таймс опубликовала большое исследование о Stuxnet и о том, как "хорошие парни" обезвредили иранскую ядерную программу. "Плохие парни" атаковали Lockheed Martin, рассекретив данные RSA SecurID. Наконец, мы наблюдали, как конечные пользователи пострадали от деятельности групп вроде Anonymous и LulzSec. Мы надеемся немного поговорить с тобой о глобальной картине перед тем, как начну расспросы о методах взлома iOS и уязвимостях прошивки батарей.
Чарли Миллер: Что ж, иногда бывает непросто понять, кто плохой, а кто хороший. Уверен, что иранцы не считают Stuxnet силой добра.
THG.ru: Мы относим себя к хорошим парням и полагаю, что ты тоже. После бомбардировки Брайтона в 1984, IRA опубликовала сообщение, в котором содержалось следующее: "...запомните: нам повезло один раз. Вам должно везти всегда". Тот же вызов можно применить к сфере компьютерной безопасности. Только здесь дела обстоят хуже. "Плохие парни" атакуют со всех сторон. У них есть целенаправленные атаки, автоматизированные ботнеты и разработанные методами социальной инженерии инструменты рассылки спама. Кроме того, существует большое количество мотивов вредительской деятельности, от шпионажа до финансовых и политических выгод. И, пока в Великобритании не установилось время стабильности, у нас нет возможности вести продуктивные переговоры с теми, кто ищет уязвимости кредитных карт или ворует конфиденциальные данные. Можем ли мы надеяться на победу в этой войне, или лучше подумать о том, как свести к потери минимуму?
Чарли Миллер: Это то, что мы называем "Definder's Dilemma" (проблема защитника). Защита всегда сложнее, потому что ты должен быть неуязвим, в то время как атакующему достаточно найти одну дыру. Именно поэтому интереснее находить уязвимости у Apple, чем работать на Apple!
Но всё не так мрачно, как можно подумать. Всегда будут уязвимости и всегда будут преступники, и найти выход, действительно, сложно. Конечный пользователь может лишь довериться защите своего программного обеспечения, почти не имея контроля над степенью защиты. Пока существует общество, будут и компьютерные атаки.
Однако единственное, что можно сделать (и такой подход выглядит как, своего рода, интеграция в индустрию), это максимально усложнить и затруднить проведение компьютерных атак таким образом, чтобы они были возможны для минимального числа хакеров. И даже для опытных хакеров, таким образом, можно свести к минимуму количество возможных путей для атаки. Это подразумевает снижение количества уязвимостей в программном обеспечении и использование его самых последних версий.
Операционные системы становятся всё более устойчивыми к атакам при помощи инструментов вроде stack canaries, ASLR, DEP и "песочницы", так что хакерам требуется использовать одновременно несколько уязвимостей. Нужен, также, лучший контроль над программами, которые загружаются на наши устройства (как, например, Apple App Store). Цель, к которой стоит стремиться - ситуация, в которой атака проводится не с помощью одного эксплойта, а тремя-четырьмя, и требует больше времени на проведение.
THG.ru: Можно ли "математически" доказать, что программное обеспечение "корректно" и что оно в точности соответствует проектным требованиям? Как, например, обстоит дело в аэрокосмической сфере. Можно ли сделать то же для обычных программ? То есть, можно ли быть "математически" уверенным в защите, или хотя бы в неуязвимости к конкретным типам атак, таким как атака случайными данными или внедрение SQL-кода?
Чарли Миллер: Иногда это действительно возможно, но это не используется. Технологии программной защиты до сих пор находятся в каменном веке. Сегодня работают только практические вещи, такие как fuzz-тестирование, проверка и анализ полученных при этом результатов. В Microsoft проводят fuzz-тесты всего своего ПО, но, как правило, в их продуктах всё равно остаётся много дыр. Я как-то нашёл критическую ошибку в программе, которая была проверена инструментами статического анализа.
Исследования показывают, что разные fuzz-программы находят разные ошибки. Найти все уязвимости, или хотя бы их большую часть, очень трудно, это требует временных затрат и обходится недёшево. У NASA, например, есть столько денег и времени, что они могут быть уверены, что программное обеспечение их Mars Rover безупречно. Ну а поставщики программного обеспечения работают в рыночных условиях, они получают прибыль и вполне могут мириться с "несколькими" уязвимости в своих продуктах.
THG.ru: С совершенствованием программ понятно, ну а что насчёт техники? Йоанна Рутковская (Joanna Rutkowska) несколько лет назад сделала публикацию SMM-атаки, а ты недавно говорил про возможности атаки на устройства Apple через прошивку батарей. Как решить эти проблемы?
Чарли Миллер: Это действительно трудно. Вспоминается другой пример: Ральф Филип Вэйнман (Ralf Phillip Weinmann) с его широкополосной атакой на прошивку мобильных устройств. В устройствах, которыми мы пользуемся, есть много чипов, о назначении которых мы не задумываемся. Это одна из причин моего увлечения исследованием батарей.
Самое сложное в работе с железом - это трудозатратность такого анализа. Каждый может скачать для исследования Internet Explorer и провести fuzz-тест, либо изучить его код. С железом другое дело: это требует оборудования и специальных навыков. Я потратил около $1000 на оборудование в ходе работы с батареями, и всё это – для забавы. Эти препятствия, в конечном итоге, ведут к уменьшению безопасности систем, поскольку они мешают исследователям, например мне, вести исследования.
THG.ru: Как бы ты определил роль "облачных" вычислений? Не слишком ли мы доверяем разработчикам "облачных" программ, а также провайдерам "облачных" сервисов? Ведь у них может быть "дырявое" программное обеспечение или недостаточно строгая политика конфиденциальности, или её сотрудники не чисты на руку, и всё это создаёт риск утечки данных. А большие базы данных, которыми они располагают, представляют собой основную цель для хакеров. Но с другой стороны, такие компании, как Amazon, Apple, Microsoft и Google оснащены лучше, чем обычный пользователь, когда речь заходит о безопасности.
Чарли Миллер: Да, безопасность "облачных" сервисов непроницаема в том смысле, что для неё нелегко провести независимую проверку. Мы все можем изучить MS PowerPoint и узнать, как именно он обрабатывает наши данные, но когда мы отправляем информацию в "облачный" сервис, у нас нет возможности получить доступ к программному обеспечению, чтобы проверить его на ошибки. Ковыряться в таком сайте - незаконно.
Нужно действительно доверять программистам для того, чтобы использовать ПО, которое установлено не в вашей системе и которое не может быть досконально изучено вами. А такие люди как я ничем не могут помочь. И я не уверен в том, что корпорация лучше защищена, чем обычный пользователь, как ты говоришь. Хороший контраргумент в этом смысле это Sony.
THG.ru: Но ведь существуют же независимые эксперты, которые могли бы оценить компании по степени их защищённости, исходя из отзывов пользователей? Допустим, мои данные лучше защищены у меня, чем у Sony, но что касается специалистов из Microsoft и Google, то их квалификация много выше квалификации среднего пользователя. Сложно представить, чтобы средний пользователь был способен на такие действия, которые Google применила при борьбе с китайскими хакерами, или Microsoft, комбинируя технические, политические и юридические инструменты – с Waledac.
Чарли Миллер: Да, это одно из решений, которое я рекомендовал во время моего недавнего выступления в Эстонии в NATO Cooperative Cyber Defense Centre of Excellence. Оно должно проводиться на высшем уровне, с созданием инстанции, вроде Underwriters Laboratories. Когда вы покупаете тостер со знаком UL, вы можете быть уверены в том, что он не сожжёт ваш дом.
Нам нужно нечто в этом роде для программного обеспечения: когда ты видишь знак UL, ты знаешь, что этот продукт может быть далек от совершенства, но он прошёл определённый уровень контроля. На техническом уровне я представляю это как набор fuzz-тестов, определяющих годность или негодность продукта, и соответственный вердикт издателю, причём без пояснений о том, где именно в его продукции найдены ошибки. Таким образом можно найти большее количество ошибок: этим будут заниматься разработчики и издатели, просто для того, чтобы получить сертификат.
Страница:
1 2
|
| |||
|