На этой неделе расцвела пышным цветом, растеклась по лугам и долинам, распустилась и опала главная конференция по информационной безопасности — RSA Conference 2017. Конференция, в отличие от мероприятий типа Blackhat или нашего собственного Security Analyst Summit, немножко маркетинговая. Исследований по безопасности там почти нет (у нас есть, а так не очень), зато красивых слов об инновационных технологиях — много. Слова тоже нужны: хочется того или нет, инфобезопасность давно перестала быть чисто техническим феноменом, превратившись в социальный. Возможно из-за того, что в прошлом году я был на мероприятии, а в этом — нет, в этот раз слова с RSA я воспринимаю с несколько большей долей скепсиса.

Может быть так происходит и потому, что инфобезопасный маркетинг в последнее время часто строится на некоем ожидании чуда. Пока технарь ждет, когда соберется проект, иной маркетолог мечтает о голубом вертолете с волшебником, который прилетит и решит все, абсолютно все проблемы. Но нет. Показательным примером дисбаланса между мечтами и суровой реальностью стал семинар, посвященный технологиям будущего — конкретно искусственному интеллекту и квантовым вычислениям — в переложении на киберзащиту (новость).

Приглашенные эксперты, действительно разбирающиеся в этих технологиях, несколько остудили пыл аудитории. Если коротко: artificial intelligence в киберзащите полезен только для обработки больших объемов данных и поиска аномалий (и если совсем конкретно, для этих задач не нужен тот AI, который все имеют в виду). Не стоит ожидать от умных машин самостоятельного обнаружения сложных угроз. И, нет, квантовые вычисления пока не угрожают системам шифрования, ни в ближайшем будущем, ни в более отдаленном. Шифрованию угрожают кривой код и попытки политиков соорудить госбэкдор. В конце семинара разговор и вовсе зашел о доступности надежных технологий защиты данных и комфортных условиях для исследователей в области безопасности — вот где есть необходимость в улучшении. А что до технологий: да нечего тут изобретать. Работать надо. Нерешенных задач (и в криптографии, и в технологиях машинного обучения, и вообще) вагон и маленькая тележка. Ими нужно заниматься, а не ждать пришествия серебряных пуль.



Вот еще Линус Торвальдс высказался на ту же тему. Надо просто кодить.

Безопасность экосистемы Android и пять тысяч сборок
Новость.

Конференцию RSA в этом году посетил главный в Google по безопасности Android Адриан Людвиг: он выступил с программной речью про защиту платформы Android от киберугроз. В инициативах Google, конечно поражает масштаб: каждый день проводится проверка на вредоносное ПО на 750 миллионах устройств, регулярно сканируются более 6 миллиардов приложений, общее количество активных устройств насчитывает 1,6 миллиарда. Цитата: «Чем больше я думаю о масштабе [проблемы], тем сложнее она кажется».



Три ключевых направления работы безопасников Android следующие: надежность самой платформы (читай — операционной системы), защитные сервисы и безопасность приложений. Обеспечить последнее помогает концепция магазина приложений Google Play, в котором все играют (или пытаются играть) по правилам. С сервисами интереснее. По мнению Google, экосистема, где есть вендор и есть независимые поставщики условного антивируса (и в целом технологий и услуг по защите) — это тяжелое наследие Microsoft и Windows, и надо делать по-другому. По версии Google, сервисы по безопасности (например удаленная блокировка украденного устройства) должны интегрироваться в ОС, а крупным компаниям должен предоставляться API для защиты корпоративных данных, вплоть до ограничения доступа к вебу.

Это все прекрасно, но одна цифра в презентации Людвига вызывает, мягко говоря беспокойство: компании за последние два года пришлось иметь дело с 5033 разными версиями Android. Да, действительно, «315 сотовых операторов» делают все возможное, чтобы доставлять security-патчи до пользователей как можно быстрее. Но, блин, пять тысяч сборок! Резюмирую: Google действительно очень много делает для улучшения защищенности Android. Но при этом (и на RSA, и ранее) Google еще делает вид, что по теме безопасности у Android и сейчас все просто чудесно — осталось допилить ну буквально пару багов. А это не так. Чудовищная фрагментация платформы была, есть и будет проблемой Android. Ее нельзя решить красивыми словами и обтекаемыми формулировками. Возможно эту проблему нельзя решить вообще, не угробив саму платформу. В такой ситуации лучше исходить из реально тяжелого положения вещей, а не делать успокаивающие движения руками.

Криптограф Брюс Шнайер призывает к госрегулированию интернета вещей
Новость. Установочные документы в блоге Брюса Шнайера.


Впервые известный криптограф Брюс Шнайер высказал мысль о необходимости государственного регулирования безопасности IoT еще в ноябре прошлого года. На RSA он развил тему, и для поддержки своих доводов привел длинный список (по ссылке вверху) различных гайдлайнов и прочих рекомендаций по безопасной разработке ПО для автономных и подключенных к сети устройств. Их в общем не обязательно читать: все сводится к применению имеющегося опыта, чтобы не вставлять в свой код уже известные уязвимости, поощрению независимой оценки безопасности своих устройств и прочему.

Есть проблема: эти красивые слова не работают. Пока IoT в виде роутеров и IP-вебкамер делают в Китае за нищий бюджет и микроскопическую маржу, лучше не станет. Основная проблема таких устройств — даже не баги, а подчас принципиальная невозможность установки обновлений. Выступление Брюса очень хорошо дополняет обсуждения под моими постами на Хабре: про IoT и "принуждение вендоров к безопасности".

Про сам интернет вещей дискуссия часто сводится к правильной трактовке определения: дескать есть «настоящий IoT» и «ненастоящий». К последнему относятся как раз роутеры, телеприставки и камеры — это и правда слегка урезанные по функциональности компьютеры. С вещами они имеют мало общего кроме поддержки общераспространенных сетевых протоколов. Я потому и предложил в своем прошлогоднем посте про IoT трактовку «постоянно подключенные к сети автономные устройства», чтобы не вызывать очередную волну крючкотворства. Шнайер в своем выступлении признал, что еще один критерий настоящего IoT — а именно включение в сеть миллиардов новых умных устройств — пока не выполнен. Его довод в том, что если разрабатывать IoT будут так же, через одно место, это станет основой для первого реального, глобального цифрового апокалипсиса, когда уже будет поздно. Одно дело, когда из-за DDoS отваливается сайт с котиками, другое — когда перестает быть доступен термостат зимой.

А что до политической интервенции в интернет вещей, тот тут все просто. Шнайеру, как и любому технарю, такой расклад не нравится. Просто складывается ощущение, что нельзя ждать, когда госорганы придут и сами все отрегулируют по вкусу. Нужно что-то предлагать самим. Это будет больно: безопасность стоит денег (вспоминаем про микромаржу). Но необходимо.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Поделиться с друзьями
-->

Комментарии (3)


  1. lash05
    17.02.2017 20:26
    +2

    нельзя ждать, когда госорганы придут и сами все отрегулируют по вкусу. Нужно что-то предлагать самим.

    И если госорганы придут позже, может быть еще хуже, кстати.


  1. DenMMM
    17.02.2017 20:26
    -2

    Первый и главнейший вопрос: кому кроме производителей всякого хлама и продаванов нужен IoT?
    Сомнительные удобства в обмен на постоянную головную боль.


    1. mazahakajay
      19.02.2017 00:40

      «А Вам надо больше газеты читать и меньше ездить» ©