Black Hat: U.S Government Wants Your Security Research
Cựu Hacker “Mudge” công bố chương trình mới để cấp vốn cho nghiên cứu về an ninh. Ông nói “hacker” không phải là một từ xấu.
Former Hacker "Mudge" announces new program to fund security research. He claims "hacker" is not a bad word.
August 4, 2011, By Sean Michael Kerner
Theo: http://www.datamation.com/security/black-hat-u.s-government-wants-your-security-research.html
Bài được đưa lên Internet ngày: 04/08/2011
Lời người dịch: Đây là những gì một tin tặc nổi tiếng một thời của nước Mỹ với chương trình bẻ khóa mật khẩu L0phtCrack nói tại hội nghị Mũ Đen của Mỹ hôm 03/08/2011: “DARPA (Văn phòng Đổi mới sáng tạo Thông tin, Cơ quan Dự án Nghiên cứu Cao cấp Quốc phòng) giữ một danh sách theo dõi các phần mềm được sử dụng trong chính phủ cần vá hoặc sửa các lỗi về an ninh. Như một nguồn của sự mỉa mai và thất vọng, Zatko nói rằng trong một danh sách gần đây, 6 trong số 17 chỗ bị tổn thương mà DARPA từng theo dõi để sửa từng là những chỗ bị tổn thương trong các phần mềm an ninh. Vì thế các phần mềm tưởng là đảm bảo an ninh cho chính phủ trong một số trường hợp lại là có thể bị tổn thương và vẫn còn chưa được vá... Không có mục tiêu nhỏ và mục tiêu lớn bao giờ nữa... Mọi thứ là mục tiêu lớn trong các hệ điều hành hiện đại... với mỗi 1,000 dòng mã lệnh, thì có từ 1-5 lỗi tồn tại... Không phải tất cả các lỗi này đều có khả năng bị khai thác, nhưng một số thì có”. Hơn nữa, Sẽ có DARPA Summer of Code cho việc kiểm tra các phần mềm nguồn mở. “Chính phủ Mỹ sử dụng mã nguồn mở nên chính phủ sẽ giúp họ cũng như cộng đồng... “Những gì tốt cho cộng đồng này cũng tốt cho DARPA”. Bạn có còn tin vào các phần mềm an ninh được mua từ nước ngoài vào Việt Nam để sử dụng không???
Las Vegas. Hacker không phải là một từ xấu. Đó là khẳng định của Peiter “Mudge” Zatko, Quản lý chương trình, Văn phòng Đổi mới sáng tạo Thông tin, Cơ quan Dự án Nghiên cứu Cao cấp Quốc phòng (DARPA) trong chính phủ Mỹ. Zatko đã trình bày bài nói chuyện chính tại hội nghị an ninh Mũ Đen, một nói ông quen thuộc, từng trước đây là một hacker nổi tiếng với đội hacker L0pht, từng nổi tiếng với công cụ phá mật khẩu L0phtCrack của mình.
Zatko đã lưu ý rằng mục tiêu của ông nói tại hội nghị Mũ Đen là để giúp xây dựng một cầu nối giữa cộng đồng an ninh và chính phủ. Ông đã nhấn mạnh rằng tiếp cận hiện đại để xây dựng các giải pháp an ninh cho cả sử dụng của chính phủ và doanh nghiệp không làm việc tốt được như nó nên và có thể.
Zatko đã giải thích rằng DARPA giữ một danh sách theo dõi các phần mềm được sử dụng trong chính phủ cần vá hoặc sửa các lỗi về an ninh. Như một nguồn của sự mỉa mai và thất vọng, Zatko nói rằng trong một danh sách gần đây, 6 trong số 17 chỗ bị tổn thương mà DARPA từng theo dõi để sửa từng là những chỗ bị tổn thương trong các phần mềm an ninh. Vì thế các phần mềm tưởng là đảm bảo an ninh cho chính phủ trong một số trường hợp lại là có thể bị tổn thương và vẫn còn chưa được vá.
Vấn đề khác mà Zatko lo lắng là thực tế rằng các phần mềm hiện đại được xây dựng theo nhiều lớp, làm gia tăng bề mặt tấn công.
“Không có mục tiêu nhỏ và mục tiêu lớn bao giờ nữa”, Zatko nói. “Mọi thứ là mục tiêu lớn trong các hệ điều hành hiện đại”.
Zatko đã bổ sung rằng đối với mỗi 1,000 dòng mã lệnh, thì có từ 1-5 lỗi tồn tại.
“Không phải tất cả các lỗi này đều có khả năng bị khai thác, nhưng một số thì có”, Zatko nói. “Chúng ta đang tạo ra một khu vực giao diện rất lớn và phức tạp và điều đó là khó để bảo vệ”.
LAS VEGAS. Hacker is not a bad word. That's the assertion of Peiter "Mudge" Zatko, Program Manager, Information Innovation Office, Defense Advanced Research Projects Agency (DARPA) in the U.S Government. Zatko delivered the keynote address at the Black Hat security conference, a stage he's familiar with, having formerly been a well known hacker with the L0pht hacker collective, which was famous for its L0phtCrack password cracking tool.
Zatko noted that his goal in speaking at Black Hat was to help build a bridge between the security community and the government. He stressed that the modern approach to building security solutions for both government and commercial use isn't working as well as it could or should.
Zatko explained that DARPA keeps a watchlist of software deployed in the Government that needs patching or security fixes. As a source of irony and frustration, Zatko said that on a recent list, six out of 17 vulnerabilities that DARPA was tracking for fixes were for vulnerabilities in security software. So the software that is supposed to be securing the government is in some cases vulnerable and still unpatched.
The other issue that Zatko is worried about is the fact that modern software is built in multiple layers, which end up increasing the attack surface.
"There is no small target and large target anymore," Zatko said. "Everything is a large target in modern operating systems."
Zatko added for every 1,000 lines of code, 1 to 5 bugs are introduced.
"Not all those bugs are exploitable, but some are," Zatko said. "We are creating a very large and complex surface area and that's difficult to protect."
Theo kinh nghiệm của Zatko, thế giới thương mại không phải lúc nào cũng luôn giải quyết các vấn đề về an ninh, nơi mà DARPA sẽ có khả năng giúp.
Zatko đã công bố rằng nỗ lực của DARPA RA-11-52 chỉ sống động trong tuần này, mà là một chương trình cho nghiên cứu an ninh xử lý nhanh (fast-track) về không gian mạng. Ông đã lưu ý rằng nỗ lực hiện hành của chính phủ thường liên quan tới qui trình quá phức tạp cả về mua sắm và phát triển.
“Tôi nghĩ đến lúc phải giúp các nhóm nhỏ hơn cấp vốn và giúp nghiên cứu về an ninh”, Zatko nói.
Zatko muốn năng lượng mới và nhanh hơn, các giải pháp sáng tạo hơn mà có thể chưa phù hợp với các chủng loại và sản phẩm hiện đang tồn tại. Ông cũng muốn các nhà nghiên cứu giảm bề mặt tấn công trong các chương trình. Ông bổ sung rằng DARPA dự định nuôi dưỡng các mối quan hệ và trở thành một tài nguyên.
Theo Zatko, trong quá khứ cố làm việc với chính phủ có thể thường đòi hỏi một nhà nghiên cứu phải có một đội những người chỉ ra cách quản lý 'bài nói của chính phủ' trong qui trình RFP.
Xử lý nhanh về không gian mạng được mong đợi làm cho toàn bộ qui trình sẽ nhanh hơn cho các nhà nghiên cứu an ninh để có được sự cấp vốn từ chính phủ. Zatko đã lưu ý ông mong đợi khoảng 20-100 nỗ lực sẽ được cấp vốn mỗi năm, với khoảng 14 ngày là có được hợp đồng.
Chương trình xử lý nhanh không gian mạng cũng sẽ xem xét tiến hành nỗ lực DARPA Summer of Code cho việc kiểm tra các phần mềm nguồn mở. Zatko nói rằng Chính phủ Mỹ sử dụng mã nguồn mở nên chính phủ sẽ giúp họ cũng như cộng đồng.
“Những gì tốt cho cộng đồng này cũng tốt cho DARPA”, Zatko nói.
In Zatko's experience, the commercial world doesn't always solve security problems, which is where DARPA will be able to help.
Zatko announced that the DARPA RA-11-52 effort just went live this week, which is a program to cyber fast-track security research. He noted that current government effort often involves overly complex process both in terms of acquisition and development.
"I think it's time to help smaller groups to fund and help security research," Zatko said.
Zatko wants new energy and faster, more creative solutions that might not fit into existing categories of products. He also wants researchers to reduce the attack surface in programs. He added that DARPA intends to cultivate relations and become a resource.
According to Zatko, in the past trying to deal with the government would often require a researcher to have a team of people to figure out how to handle the 'government speak' in the RFP process.
Cyber fast-track is intended to make the whole process easier for security researchers to get government funding. Zatko noted that he expects that between 20 and 100 efforts will be funded each year, with a 14-day turnaround to get on contract.
The Cyber fast-track program will also be looking to do a DARPA Summer of Code effort for auditing open source software. Zatko said that the U.S. Government uses open source code so it will help them as well as the community.
"What's good for this community is good for DARPA," Zatko said.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.