?

Log in

No account? Create an account
про компьютерную безопасность и мышление о рисках - Поклонник деепричастий [entries|archive|friends|userinfo]
Anatoly Vorobey

[ website | Website ]
[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Links
[Links:| English-language weblog ]

про компьютерную безопасность и мышление о рисках [июл. 19, 2018|11:58 pm]
Anatoly Vorobey
[Tags|, ]

Эта ссылка для программистов и сочувствующих.

Persuasive Language for Language Security: Making the case for software safety

Одно из самых интересных и содержательных эссе, которые я читал в последнее время. Это выступление на конференции LangSec - области компьютерной безопасности, с которой я почти не знаком (они работают над специальными языками для описания передачи информации, чтобы код для обработки входящих/выходящих пакетов мог быть полностью верифицируемым и свободным от дырок). Но автор (его зовут Майк Уокер) говорит не об этом, а о его впечатлениях от общения с бюрократами и политиками, которые не понимают секьюрити.

Он приводит интересные примеры того, как люди не понимают друг друга оттого, что думают по-разному, и как программистам надо стараться лучше понять, в чем их мышление отличается от неспециалистов. Я перескажу/процитирую пару примеров, но советую прочитать текст целиком, он недлинный.

Уокер рассказывает, например, как он нашел тысячи подключенных к интернету без пароля серверов VNC (программы, к-я позволяет контролировать компьютер издалека) и для того, чтобы показать проблему особо наглядно, нашел сервер на компьютере, который управлял свинофермой. Кто угодно мог подключиться к компьютеру и скажем выпустить всех свиней, или перекрыть им кормежку. Он повесил скриншоты этого сервера у себя на двери офиса (он работал в DARPA, агентства внутри Пентагона). И вот, говорит он, когда другие специалисты по безопасности видели эти скриншоты, они понимали, какой это ужас, и хватались за голову. А когда мимо проходили высокое начальство или политики, они не понимали вообще, что тут такого. Он пытался объяснить, но они быстро теряли интерес. "Зачем кому-то нужно нападать на свиноферму?" Что они не понимали, а специалистам было ясно автоматически - это что если есть один такой сервер, наверняка есть тысяча и десяток тысяч; и что где-то ферма, а где-то больница или завод; и что злоумышленники могут написать скрипты, которые будут автоматически находить такие серверы в интернете и автоматически нажимать на всякие кнопки и двигать мышкой, просто так, чтобы побаловаться, не для того даже, чтобы атаковать конкретное место; и что это может натворить огромную кучу вреда. Но у начальства воображение туда просто не шло; даже если попытаться им подробно все это объяснить, это казалось нереальным и малоосмысленным сценарием.

Другой отличный пример я процитирую по-английски:
...policy thinking within the conflict domain of computer security is dominated by thinking about planned, intentional malice rather than considerations of the collective risk of randomized disaster. This is a real divide; you will find it again and again. What it creates are Rorshach Tests: both sides stare at the inkblot, one side sees a butterfly and the other side sees a butterfly that has been stepped on. Let me give you an example.

V2V is a technology that allows cars to communicate, digitally exchanging position and vector information; when two cars are on a collision course they can compute the collision without seeing each other and either alert the driver or autonomously take avoidance action. This digital exchange of vectors will take place through constant vehicle-to-vehicle exchange of vector information signed and secured by the X.509 certificate industry standard.

Now as I look around the room, and I gauge your reaction, what I see is people who see a butterfly that has been stepped on. Because what we all heard is that the cars of the future are going to be part of a peer-to-peer digital mesh network that transmits, receives, and parses X.509 certificates. We don't think a lot about the safety history of cars, but we think quite a bit about the safety history of X.509 certs, and what we know scares us. Now if you believe that parsing complex, nested binary formats is dangerous, that the uncomputable complexity of ASN.1 Basic Encoding Rules creates unnecessary danger, that peer-to-peer communications without central inspection or forwarding is a basic requirement for self-replicating code, and you intuitively understand that the worst teleporting robots can clone themselves, then you can in one breath summon to mind the sum of all fears: a widely used implementation, memory corruption, a worm, and a nation of vehicles afflicted with a control systems virus.

What the other side heard was that thousands of automotive collisions could be wiped out by a single technology based on a tried-and-true industry standard, defended by best practices that work every day to keep the Internet safe. Our concerns are theoretical; theirs are governed by real lives being lost right now. And if you speak only to the perceived technological weakness, the other side of the table will immediately want to know who perceives this weakness, what their effort to act is, what their motivation to act is, and what deters them. When you possess a threat model dominated by intentional malice, you think about people, not bugs. And if you push on this divide, you end up having what is essentially a deadlocked conversation.


И последнее, ну это просто забавная цитата: "I had the chance to talk to a lot of smart people; one of them was a young roboticist from MIT [...] and I asked this young man what the word Cyber meant. He told me that cyber was a word used exclusively by people in government to let everyone know that they didn't understand how computers worked. I think maybe he was on to something. I think this definition is still universally accepted in the hacker community."
СсылкаОтветить

Comments:
From: acode
2018-07-19 09:23 pm

Это правда глупо

Ну вот вы шериф, у вас под контролем весь округ. А вам говорят, что у вас козодои молоко воруют в отдельном питомнике.

И что вы скажете на вызов?

Служить и защищать?
(Ответить) (Thread)
[User Picture]From: muh2
2018-07-19 09:46 pm

Re: Это правда глупо

Даже не воруют, а могут воровать, но особого резона воровать им нет.
(Ответить) (Parent) (Thread) (Развернуть)
[User Picture]From: unterboa
2018-07-22 03:15 pm

Re: Это правда глупо

До какого-то времени выглядит глупо, да. Пока какой-нибудь ИГИЛ не решит покарать неверных и одновременно не вдарит по тысячам заранее собранных таких вот открытых SCADA. И не только по свинофермам, но и по каким-то более значимым объектам, в том числе и инфраструктурным.
(Ответить) (Parent) (Thread)
[User Picture]From: cmpax_u_pagocmb
2018-07-19 09:28 pm
Если кто-то атакует свиноферму, это будут проблемы фермера, так что политики абсолютно правы.
На мой взгляд, тысячи незащищенных серверов VNC намного лучше, чем блокировки карт Бэнк оф Америка за попытку расплатиться в разных местах.
Тысячи незапертых дверей лучше, чем самоблокирующиеся двери автомобиля с ключами внутри.
(Ответить) (Thread)
[User Picture]From: cat_mucius
2018-07-19 10:20 pm
Сорри, я не понял, в чём его претензия к X.509.

Now if you believe that parsing complex, nested binary formats is dangerous, that the uncomputable complexity of ASN.1 Basic Encoding Rules creates unnecessary danger

Ок, то есть он опасается ошибок при парсинге.

that peer-to-peer communications without central inspection or forwarding is a basic requirement for self-replicating code, and you intuitively understand that the worst teleporting robots can clone themselves

А это о чём вообще? Что за teleporting robots и причём тут self-replicating code?
(Ответить) (Thread)
[User Picture]From: avva
2018-07-19 10:34 pm
Он говорит о том, что протокол X.509 такой сложный и запутанный (это правда, это fucking nightmare), что в софтверном коде, принимающем и посылающем эти сообщения между машинами, наверняка будут уязвимости; эти уязвимости вполне могут позволить послать с одной машины на другую сообщение X.509, внутри которого будет исполняемый код, который выполнится на второй машине; это открывает возможность для вирусов, которые распространяются от машины к машине просто благодаря физической близости, и оттого, что протокол децентрализован, может оказаться, что не будет возможности остановить такие вирусы без физического доступа ко всем машинам.

"teleporting robots" это его предложение того, как объяснять неспециалистам, что такое вирус, который сам распространяет себя по сети.


Edited at 2018-07-19 22:38 (UTC)
(Ответить) (Parent) (Thread) (Развернуть)
[User Picture]From: avva
2018-07-19 10:37 pm
Я скажем вообще не занимаюсь безопасностью, просто интересуюсь темой, и мне от слов "обмен сообщениями по протоколу X.509 между сближающимися автомобилями" уже стало не по себе, даже до остальных его объяснений.
(Ответить) (Parent) (Thread) (Развернуть)
[User Picture]From: occuserpens
2018-07-20 12:40 am
[Он пытался объяснить, но они быстро теряли интерес. "Зачем кому-то нужно нападать на свиноферму?" Что они не понимали, а специалистам было ясно автоматически - это что если есть один такой сервер, наверняка есть тысяча и десяток тысяч]

Начальник знает, что достаточно ему щелкнуть пальцем, и ему на блюдечке принесут скрипт для скрытной атаки на его противника или докажут как 2*2, что его клиент - невинная жертва зимбабвийской кибер-диверсии. Какое ему дело до каких-то свиней, за защиту или нападение на которых ему никто не платит?
(Ответить) (Thread)
From: dmpogo
2018-07-20 01:40 am
Опыт показывет что начальники в чем то правы. Почему то про свиней толпами на свободе не слышно.
(Ответить) (Thread)
[User Picture]From: richard_grm
2018-07-20 01:41 am
это правда очень интересный психологический феномен: иногда специалисты преувеличивают (или преуменьшают) опасность той или иной ситуации, чтобы подчеркнуть, что свою компетентность, определить своих и т.д.

т.е. выбор для демонстрации угрозы свинфермы довольно странен.
это как бы сигнал для "неразбирающегося" начальства: мол, максимум, что мне удалось нарыть - кто-то уморит пару сотен свиней или выпустит их на улицу.

а коллеги, которые в ужасе хватались за голову, они потом бежали писать коллективные заявления о неотвратимой угрозе?
или просто отпускали головы и шли по своим делам, понимая, что, собственно, да, угроза есть, но не слишком вероятна?

просто это такой штамп: мол, знающий человек предупреждает, а его не слушают, нет пророка в отечестве своём и т.д.
красиво и драматично.
и так бывает, да.
но бывает и игра в пророка, не понятого бестолковым начальством.
(Ответить) (Thread)
From: dmpogo
2018-07-20 02:25 am
но бывает и игра в пророка, не понятого бестолковым начальством.

но бывает и игра в пророка, раскушенная толковым начальством :)
(Ответить) (Parent) (Thread) (Развернуть)
[User Picture]From: p2004r
2018-07-20 06:18 am
Да, помним это время, запущенный SATAN в 1995 полностью оправдывал название :)
(Ответить) (Thread)
From: igoretz
2018-07-20 08:32 am

... забавная цитата: "... and I asked this young man what the word Cyber meant."


Забавная -- как подтверждение того, что современная молодежь мало интересуется сексом?
(Ответить) (Thread)
[User Picture]From: cat_mucius
2018-07-20 02:10 pm
and I asked this young man what the word Cyber meant. He told me that cyber was a word used exclusively by people in government to let everyone know that they didn't understand how computers worked.
:-))

А в Израиле это слово используется, по моим наблюдениям, исключительно как часть словосочетания "cyber-security", и потому и по отдельности воспринимается лишь как синоним. Винер бы сильно удивился.
(Ответить) (Thread)
[User Picture]From: zakharov75
2018-07-21 06:08 pm
Я думаю, что в данном случае проблема в том, что начальство идиоты. К сожалению все чаще происхтди, что чем выше начальник, тем глупее.

Фильм сжечь после прочтения вспомнился
(Ответить) (Thread)