среда, 28 ноября 2012 г.

На тему круглого стола...

Ну вот, начало конца этого блога уже скоро 8) Тем не менее, иногда прет... да надо молчать, но иногда остановить некому, итак, блого-запись на тему Ресерчeров, девелоперов, баг-хантеров и ИБ индустрии...

Преамбула.

На прошедшей конфе #Zeronights эта тема была вынесена в отдельный поток "круглого стола", но тема зародилась давно, и уже мусолилась у Токсы, и на Риспе:


Поток.

В контексте этой истории -  все это хорошо объяснимо. Для чего делаются исследования? Вот если ответить на этот вопрос, честно и беспристрастно, то станет понятно, что большинство ресерча бесполезно, ибо цели интересны узкому кругу лиц. Вообще ИБ индустрия - это узкий круг лиц, и рынок там - "натуральное хозяйство". ИБшники это кто, возьмем систему Тохи:

1) Менеджеры ИБ в компаниях.
2) Ресерчеры - баг-хантеры.
3) Вендоры ИБ
4) Регуляторы

И что получается? Что система замкнута. Ресерчеры изображает из себя хакеров, находят XSS, хвастаются ею, создают повод, для того, что бы менеджер ИБ могу купить то, что произвел на свет вендор ИБ. А еще есть Регуляторы, которые тупо говорят: всем покупать и тратить деньги, иначе рынок умрет 8)  В 90% рынка - это так (субъективное мнение). Это тупик. Провал. В итоге мы имеем тонны Г.Пиара от Ресерчеров, которые хотят куски котлет. Вендоров ИБ, которые встроились в систему.  В итоге что же ресерчеры? Они тоже бывают разными, кто делает ресерч ради фана, кто ради ПР и бизнеса, кто ради реальной цели - взломать что-то. Так вот в последнем случае это хотя бы оправданный ресерч. Человек хочет что-то сломать, делает исследование, находит багу, методу, вектор атаки, ломает и приносит себе реальную выгоду. А ради фана? Смотри пример с электронными замками. Чувак получил фан, сгонял в Лас-Вегас, но на этом все. Пользу получили воры. Все остальные (разработчики, владельцы) только ущерб. ИМХО: полезность такой ресерч принес бы только бы только в процессе разработки.

Вывод.

ИБ-ресерч в отрыве от процесса разработки и эксплуатации - бесполезен. Да вы нашли 100 багов, ну 1000, ну и что? Их еще потом 1000 будет, после вас, другие то же найдут. Гонятся за цифрами или ПР-ом  круто, но толку вселенной это не принесет.  Актуальность некоторых ресерчей - то же большой вопрос. ИБ - индустрия, особенно в России (но на самом деле на западе примерно такая же идея, только чуть впереди по развитию) - жалкое зрелище, есть отдельные исключения, но в целом, все вместе - унылая ветка по срубанию бабла. До 200x года было веселее, тогда люди делали ресерч ради реального профита и угара, и это двигало всех совершенствовать защиту и развивать процессы, но теперь все застопорилось.

Не претендую на правдивость всего сказанного или того, что я буду так думать через какое-то время, но уверен, что ИБ в отрыве от разработчиков, процессов и эксплуатации - просто махание шашкой. Консультанты, интеграторы, регуляторы - просто элементы системы иногда даже паразитические 8)

4 комментария:

  1. Согласен, что наибольшая польза от ресерча в процессе разработки.
    Однако, производители должны сотрудничать с ресерчерами и после выпуска продукта.

    Многие исследования требуют закупки оборудования для экспериментов, которое простым спасибо не окупишь. Так что For Fun зачастую упирается в конкретный бизнес план.

    Сейчас пытаюсь подружиться с одним вендором, посмотрим чем реальность отличается от круглого стола.

    ОтветитьУдалить
  2. Привет.
    > в процессе разработки
    Ты даже не представляешь насколько ты прав. Причем в широком смысле этого слова. По моему скромному мнению у нас хронический недостаток именно прикладных исследований, которые являются результатом решения той или иной практической задачи.
    Не знаю, насколько ты близок к научной среде, но там генерируется такое количество бумаги поиб, что хватит на все конференции мира. Нет, есть хорошие, годные ресерчи и "от науки", но пальцев одной руки хватит. И, как правило, создатели что-то пишут/консультируют/ниокрят.
    Как оно бывает.
    Решила компания X заделать сканер/ips (для ERP например). Если она подходит к своей задаче ответственно, но из нее естественно посыпаться уязвимости, тулы и тулзочки, которые в производство не пустишь, а выкинуть жалко.
    Ну или идет пентест системы с бэкэндом на ПонгоДб. Тулкита нет, экслойтлист практически пуст, а поломать хочется, да и система выглядит как школьное пособие по небезопасности разработки. Стенд/сниф/фаз/статика -> тулы/уязвимости.
    Ну, или придумали понять, что жеж такое АСУ ТП и как оно рифмуется с безопасностью. Ткнули пальцем, а оно и развалилось. Клиент плачет, вендор плачет, а исследователь кудахчет, мол давай я в sdl вклинюсь, реально косты снизим, плюс пеар с умными словами.
    Вот он - наш путь.
    В принципе все энти уязвимости - побочный продукт производства. Но выкидывать их нерачительно, да и уязвимый вендор расстроится. Поэтому возникло все это мельтешение с респонсиблем. Оно требует дополнительной суеты, которую никто не любит, и хочет как-то монетизировать. С паршивой овцы хоть пресс-релиз.
    А баг-хантеры исследователи "я нашел XSS", это как раз остатки того фана прошлых веков, о котором ты пишешь.
    Большая часть багопотоков проходит под NDA (внутренним или внешним) а в багтреках/конфах - стружки производства или отработка "инсталляционных инвестиций" на запуск продукта/услуги и прочего.
    Конечно, нужны фундаментальные исследования. Но необходимость в них возникает, когда производство тормозит и прикладники упираются в стену.
    > возьмем систему Тохи:
    Мне трудно спорить с Тохой (а кому легко?), но imho работа в «невзламываемой» компании немного изменила его мировоззрение, и он забыл про еще одну сторону, которая заставляет всю систему шевелиться. Это те парни, у которых есть 10 правил и TOR (спасибо The Grugq, теперь я знаю).
    Иначе это как рассматривать Землю в виде замкнутой системы, забывая, что вся эта плесень шевелиться тут только из-за внешнего источника энергии.
    Вообще, во дни сомнений, во дни тягостных раздумий, я иногда провожу уничижительную аналогию между компьютерной безопасностью и адвокатурой. И те и другие паразитируют на искусственной натуре. На части мира, созданной другими людьми (техногенные и природные угрозы в современной ИБ занимают незначительный кусочек). Кто-то создает системы, кто-то их ломает, а ИБ – бегает туда-сюда.

    Ведь что есть ИБ? Бизнес внедряет ИТ, чтобы расширить производство/снизить издержки/оптимизировать технологические и бизнес-процессы. Но из-за всех этих пресс-релизов и связанных инсайдеров с аутсайдерами возникает понимание, что косты, связанные с ИТ непредсказуемы. Очень плохо. Во-первых – непонятно когда и сколько платить, а во-вторых – неизвестность пугает и заставляет неадекватно оценивать риски (Шнайер про это писал, да http://www.securitylab.ru/analytics/350799.php). Это для бизнеса неприемлемо. Нужна стабильность.
    И тогда бизнес идет к ИБ и грит, сделайте мне расходы постоянные более-менее, чтобы я понимал, что раз в квартал надо за ИТ выкладывать еще 2 рубля на эту вашу безопасность и платить не 100 рублей, а 102, чтоб заложить их в бюджет.

    На эти 2 процента и живем :)

    PS. Такими темпами скоро до кейнотера деградирую.

    ОтветитьУдалить