28 Ноября, 2012

На тему круглого стола...

Alexey Sintsov
Ну вот, начало конца этого блога уже скоро 8) Тем не менее, иногда прет... да надо молчать, но иногда остановить некому, итак, блого-запись на тему Ресерчeров, девелоперов, баг-хантеров и ИБ индустрии...

Преамбула.

На прошедшей конфе #Zeronights эта тема была вынесена в отдельный поток "круглого стола", но тема зародилась давно, и уже мусолилась у Токсы, и на Риспе:


Поток.

В контексте этой истории - xakep.ru/post/59715/ все это хорошо объяснимо. Для чего делаются исследования? Вот если ответить на этот вопрос, честно и беспристрастно, то станет понятно, что большинство ресерча бесполезно, ибо цели интересны узкому кругу лиц. Вообще ИБ индустрия - это узкий круг лиц, и рынок там - "натуральное хозяйство". ИБшники это кто, возьмем систему Тохи:

1) Менеджеры ИБ в компаниях.
2) Ресерчеры - баг-хантеры.
3) Вендоры ИБ
4) Регуляторы

И что получается? Что система замкнута. Ресерчеры изображает из себя хакеров, находят XSS, хвастаются ею, создают повод, для того, что бы менеджер ИБ могу купить то, что произвел на свет вендор ИБ. А еще есть Регуляторы, которые тупо говорят: всем покупать и тратить деньги, иначе рынок умрет 8) В 90% рынка - это так (субъективное мнение). Это тупик. Провал. В итоге мы имеем тонны Г.Пиара от Ресерчеров, которые хотят куски котлет. Вендоров ИБ, которые встроились в систему. В итоге что же ресерчеры? Они тоже бывают разными, кто делает ресерч ради фана, кто ради ПР и бизнеса, кто ради реальной цели - взломать что-то. Так вот в последнем случае это хотя бы оправданный ресерч. Человек хочет что-то сломать, делает исследование, находит багу, методу, вектор атаки, ломает и приносит себе реальную выгоду. А ради фана? Смотри пример с электронными замками. Чувак получил фан, сгонял в Лас-Вегас, но на этом все. Пользу получили воры. Все остальные (разработчики, владельцы) только ущерб. ИМХО: полезность такой ресерч принес бы только бы только в процессе разработки.

Вывод.

ИБ-ресерч в отрыве от процесса разработки и эксплуатации - бесполезен. Да вы нашли 100 багов, ну 1000, ну и что? Их еще потом 1000 будет, после вас, другие то же найдут. Гонятся за цифрами или ПР-ом круто, но толку вселенной это не принесет. Актуальность некоторых ресерчей - то же большой вопрос. ИБ - индустрия, особенно в России (но на самом деле на западе примерно такая же идея, только чуть впереди по развитию) - жалкое зрелище, есть отдельные исключения, но в целом, все вместе - унылая ветка по срубанию бабла. До 200x года было веселее, тогда люди делали ресерч ради реального профита и угара, и это двигало всех совершенствовать защиту и развивать процессы, но теперь все застопорилось.

Не претендую на правдивость всего сказанного или того, что я буду так думать через какое-то время, но уверен, что ИБ в отрыве от разработчиков, процессов и эксплуатации - просто махание шашкой. Консультанты, интеграторы, регуляторы - просто элементы системы иногда даже паразитические 8)
или введите имя

CAPTCHA
nonameus
29 Ноября, 2012
Взлом по фану
Не соглашусь, что взлом ради фана не приносит пользы ИБ-индустрии, хотя конечно все зависит от того, как поступать с полученными знаниями. На мой взгляд если в процессе взлома по фану получена какая-либо информация о каких-либо уязвимостях, то даже если исследователь получил какую-то личную выгоду- это вполне можно рассматривать как некоторый бонус за проведенное исследование. И вне зависимости от того, была ли данная информация передана разработчикам, рано или поздно они узнают про выявленную уязвимость (по крайней мере если она будет использоваться). Это в свою очередь должно по идее привести к действиям по устранению подобных угроз. На мой взгляд хорошим тоном будет сообщить разработчикам о найденной уязвимости и дать им время на ее устранение. Если они никаких действий не предпринимают - тогда уязвимость можно публиковать. И в данном случае исследователь не должен нести ответственность за эксплуатацию найденной уязвимости. Если же исследователь не сообщил разработчикам о найденной уязвимости, то он должен нести существенную ответственность за причиненный ущерб. Данная политика мне кажется будет способствовать тому, что разработчики будут следить за устойчивостью своих решений перед возникающими угрозами, а если разработчики не будут за этим следить, то будут нести убытки и вытесняться с рынка.
0 |
offtopic
29 Ноября, 2012
Привет. > в процессе разработки Ты даже не представляешь насколько ты прав. Причем в широком смысле этого слова. По моему скромному мнению у нас хронический недостаток именно прикладных исследований, которые являются результатом решения той или иной практической задачи. Не знаю, насколько ты близок к научной среде, но там генерируется такое количество бумаги поиб, что хватит на все конференции мира. Нет, есть хорошие, годные ресерчи и "от науки", но пальцев одной руки хватит. И, как правило, создатели что-то пишут/консультируют/ниокрят. Как оно бывает. Решила компания X заделать сканер/ips (для ERP например). Если она подходит к своей задаче ответственно, но из нее естественно посыпаться уязвимости, тулы и тулзочки, которые в производство не пустишь, а выкинуть жалко. Ну или идет пентест системы с бэкэндом на ПонгоДб. Тулкита нет, экслойтлист практически пуст, а поломать хочется, да и система выглядит как школьное пособие по небезопасности разработки. Стенд/сниф/фаз/статика -> тулы/уязвимости. Ну, или придумали понять, что жеж такое АСУ ТП и как оно рифмуется с безопасностью. Ткнули пальцем, а оно и развалилось. Клиент плачет, вендор плачет, а исследователь кудахчет, мол давай я в sdl вклинюсь, реально косты снизим, плюс пеар с умными словами. Вот он - наш путь. В принципе все энти уязвимости - побочный продукт производства. Но выкидывать их нерачительно, да и уязвимый вендор расстроится. Поэтому возникло все это мельтешение с респонсиблем. Оно требует дополнительной суеты, которую никто не любит, и хочет как-то монетизировать. С паршивой овцы хоть пресс-релиз. А баг-хантеры исследователи "я нашел XSS", это как раз остатки того фана прошлых веков, о котором ты пишешь. Большая часть багопотоков проходит под NDA (внутренним или внешним) а в багтреках/конфах - стружки производства или отработка "инсталляционных инвестиций" на запуск продукта/услуги и прочего. Конечно, нужны фундаментальные исследования. Но необходимость в них возникает, когда производство тормозит и прикладники упираются в стену. > возьмем систему Тохи: Мне трудно спорить с Тохой (а кому легко?), но imho работа в «невзламываемой» компании немного изменила его мировоззрение, и он забыл про еще одну сторону, которая заставляет всю систему шевелиться. Это те парни, у которых есть 10 правил и TOR (спасибо The Grugq, теперь я знаю). Иначе это как рассматривать Землю в виде замкнутой системы, забывая, что вся эта плесень шевелиться тут только из-за внешнего источника энергии. Вообще, во дни сомнений, во дни тягостных раздумий, я иногда провожу уничижительную аналогию между компьютерной безопасностью и адвокатурой. И те и другие паразитируют на искусственной натуре. На части мира, созданной другими людьми (техногенные и природные угрозы в современной ИБ занимают незначительный кусочек). Кто-то создает системы, кто-то их ломает, а ИБ – бегает туда-сюда. Ведь что есть ИБ? Бизнес внедряет ИТ, чтобы расширить производство/снизить издержки/оптимизировать технологические и бизнес-процессы. Но из-за всех этих пресс-релизов и связанных инсайдеров с аутсайдерами возникает понимание, что косты, связанные с ИТ непредсказуемы. Очень плохо. Во-первых – непонятно когда и сколько платить, а во-вторых – неизвестность пугает и заставляет неадекватно оценивать риски (Шнайер про это писал, да http://www.securitylab.ru/analytics/350799.php). Это для бизнеса неприемлемо. Нужна стабильность. И тогда бизнес идет к ИБ и грит, сделайте мне расходы постоянные более-менее, чтобы я понимал, что раз в квартал надо за ИТ выкладывать еще 2 рубля на эту вашу безопасность и платить не 100 рублей, а 102, чтоб заложить их в бюджет. На эти 2 процента и живем PS. Такими темпами скоро до кейнотера деградирую.
0 |
Spec
29 Ноября, 2012
Сам часто об этом думаю, о роли ИБ в нашей экономике и в обществе, но на мой взгляд. не все так плохо в целом, и сказать что ресерч совсем не нужен я уж точно не могу. Мои 5 копеек: 1. Да, есть перегибы и большая толпа паразитов в лице вендоров/инеграторов с несоразмерными по отдаче стоимостями продуктов, и отчасти - регуляторов с вообще неадекватными посылами в своих действиях, но это скорее следствия. Регуляторы и их перегибы - следствие многолетнего застоя в законодательном поле в области ИБ и ИТ, интеграторы и их несоразмерные аппетиты - вследствие менталитета, построенного на "откатах" и "распилах", только и всего, и это проблемы общие по стране, не специфичные для ИБ отрасли. НО: 2. Свободный (не привязанный к элементам описанной системы) ресерч нужен хотя бы даже в качестве естественной сдерживающей функции. Для того, чтобы производители софта боялись не только и не столько хакеров, как ресерчеров, и даже не боялись, а сотрудничали - без этого элемента киберпреступность вырастет и начнет не только цвести, но и давать серьезные плоды, на мой взгляд, так как производители расслабятся в конец. Просто, наверное, прошла та романтика, тот драйв, как было когда-то после просмотра фильма "Хакеры" все в ИБ стало слишком обыденным и потому, наверное, стало казаться скучным. П.С. Сам не являюсь ресерчером, больше менеджер ИБ, но иногда этим ресерчем занимаюсь - ради фана, конечно. Ну и для того чтобы продемонстрировать свою квалификацию работадателю, не без этого
0 |
securegalaxy
29 Ноября, 2012
Обана
Прекрасно в один пасмурный день обнаружить, что не один ты считаешь, что наибольшую пользу секурити гай принесет в SDLC. То есть, зашибись.
0 |
Deporsepreage
3 Июля, 2013
blog kulinarny
http://bellaangella.pl - blog kulinarny
0 |