Gizem çözüldü | Google'ın seçkin bilgisayar korsanı ekibi Project Zero: Dünyanın güvenliğini koruyor
Lei Feng.com: Bu Her Şeyin İnterneti çağında, bilgi güvenliği kaçınılmaz bir konudur, ancak buna yeterince dikkat etmemiş gibi görünüyoruz. Neyse ki, Google zamanın en ön saflarında yer alıyor ve Project Zero adında bir ekip kurdu ve bu ekip sadece kendi güvenlik sorunlarına değil, aynı zamanda tüm sektörün güvenliğine de önem veriyor.
Küresel dijital tehditlere karşı savaşan yalnız bir kahraman gibi, biraz sabırsız ve tartışmalı. Ekip üyeleri İnternet güvenliğini kendi yöntemleriyle sağlar. Leifeng.com makaleyi şu şekilde derledi:
Bir
Bir Cuma öğleden sonra, Kaliforniya, Mountain View'daki Google merkezinde, güvenlik araştırma tanrısı Tavis Ormandy, iş istasyonunda bazı rutin "fuzzing testleri" yapıyordu. Bu, yazılımdaki hataları rastgele verilerle ortaya çıkarabilen yaygın bir kod testi tekniğidir. Sonra veri setinde bazı problemler buldu, ama tuhaf bir şekilde, bu tipik bir bozuk veri değil. Test sonucu beklenen çıktıyı almadı, ancak garip bir yapılandırma istisnası - büyük miktarda bellek dağıldı. Böylece daha derine inmeye devam etti.
Yeterli bilgi topladıktan sonra Ormandy, buldukları her şeyi paylaşmaları için meslektaşlarını aradı. Project Zero adlı Google ekibi, sorunun özünü hızla keşfetti: San Francisco'daki Cloudflare şirketinden büyük miktarda veri sızıyor. Çoğu durumda, Cloudflare'nin içerik dağıtım ağı, dünyadaki İnternet trafiğinin yaklaşık onda birini gecikmeden idare edebilir. Ancak Ormandy, şirketin sunucularının insanların özel verilerini internette sızdırdığını keşfetti. Bu bilgiler birkaç aydır sızdırıldı.
Ormandy, Cloudflare'de kimseyi tanımıyordu. Üç günlük bir tatilden önceki gece Cloudflare'nin teknik destek ekibini aramakta tereddüt etti. Sonunda Twitter hesabından yardım isteyen başka bir çözümü benimsedi.
"Cloudflare'nin güvenlik bölümünde çalışan biri var mı, hemen benimle iletişime geçebilir misin?"
Serbest bırakıldığında, Pasifik saatiyle öğleden sonra saat beşti.
Ormandy'de @Cloudflare yok. İhtiyacı yok. Popüler bir bilgi güvenliği uzmanları topluluğunda bir üne sahip olduğundan, "gönder" düğmesine basıldıktan sonra 15 dakika içinde, dünyadaki herkes bilmesi gereken ve bilmesi gerekmeyen birçok kişi mesajını görebilir .
Londra'da yerel saatle 01: 26'da John Graham-Cumming'in cep telefonu onu uyandırdı. Cloudflare CTO gözlerini ovuşturdu ve telefonu eline aldı. Bir çağrı almadı. Arayan, onu gece yarısı arayabilen tek beyaz listedir. Hemen ne olduğunu soran bir metin mesajı gönderdi.
Meslektaşı hemen yanıt verdi, "Ciddi bir güvenlik sorunu var."
Şok içinde oturdu ve "Hemen çevrimiçi olacağım" dedi.
CTO yataktan sıçradı, aşağı koştu ve bu tür durumlar için hazırladığı ekipmanı - şarj cihazları, kulaklıklar ve ekstra piller - çıkardı. Bilgisayarı açtı ve Cloudflare'nın California merkezindeki meslektaşlarıyla toplantıya hızla katıldı.
Güvenlik ekibi ona durum hakkında bilgi verdi. Google'ın Project Zero ekibi, altyapılarında ciddi bir hata olan bir hata buldu. Yardımları 6 milyondan fazla müşteri web sitesinin sunucularını çalıştırıyor ve veri sızıntıları var. Bu müşteriler arasında FBI, Nasdaq ve Reddit bulunmaktadır. Herkes Cloudflare destekli siteleri ziyaret edebilir ve bazı durumlarda ağdaki başka bir sitenin kullanıcılarının özel belirteçlerini, önbelleğini ve özel mesajlarını alabilir. Bu kullanıcılar arasında Uber, 1Password, OKCupid ve Fitbit bulunmaktadır.
Ormandy ve Graham-Cumming
Bilgiler tam görünümde ifşa edildi. Sorunları daha da kötüleştirmek için, arama motorları ve diğer web tarama araçları sızdırılan verileri aylarca önbelleğe aldı. Sızıntının kaynağının engellenmesi sorunu tamamen çözmeyecektir.
Graham-Cumming, "Bir petrol sızıntısı gibi," dedi ve "Bir petrol tankındaki bir sızıntıyla başa çıkmak kolaydır, ancak zorluk, temizlenmesi gereken çok sayıda kirli deniz yatağının olmasıdır."
Yani Cloudflare mühendisleri meşgul. Amerikan siber hacker draması "Mr. Robot" için yarı zamanlı Cloudflare güvenlik danışmanı olarak görev yapan Marc Rogers, saptırma çalışmalarına liderlik etti. Ekip, bir saatten kısa bir süre içinde, küresel güvenlik açığını kapatmak için bir ilk güncelleme programı başlattı. Birkaç saat sonra teknisyen, hataya neden olan işlevi başarıyla geri yükledi. Ormandy'nin bu tweet'i yayınlamasından neredeyse yedi saat sonra, Cloudflare mühendisleri büyük arama motorlarından - Google, Microsoft ve Yahoo - geçmiş web sayfalarını temizlemelerini istemeyi başardılar.
Bu, küçük bir tatilin başlangıcı. Cloudflare mühendisleri, kalan zamanı ne kadar veri ve ne tür verilerin sızdırıldığını ve bu konunun ne kadar etkisi olacağını değerlendirmek için harcadılar.
Cloudflare'nin hızlı tepkisi Google'ın Project Zero ekibini etkiledi. Ancak iki ekip arasında sızdırılan içeriğin tarihini duyurmak için görüşmeler başladıkça ilişkileri donmaya başladı. İki taraf geçici olarak 21 Şubat Salı günü duyurmayı kabul etti, ancak Cloudflare sözünü yerine getirmedi ve temizlemek için daha fazla zamana ihtiyaç olduğunu iddia etti. Böylece ilan edilen tarih Salı'dan Çarşamba'ya ve ardından Perşembe'ye değiştirildi. Google buna tahammül edemez: Cloudflare değerlendirmeyi tamamlasın ve ağ önbelleğindeki sızan verilerin temizlenmesini sağlasın, sızıntı Perşembe öğleden sonra duyurulacak.
Her iki taraf da kararı 23 Şubat'ta duyurmayı kabul etti. Bunu bir haftalık internet paniği de izledi.
iki
Google'ın Project Zero'nun bir üyesi olmasanız bile, bilgi güvenliği krizinin küresel ölçekte yoğunlaştığını biliyorsunuz. Her şirket bir teknoloji şirketi haline geldi ve bilgisayar korsanları daha yaygın hale geliyor. Bu bilgisayar korsanları, kurumsal banka hesaplarından çalar, kişisel bilgileri izler ve seçimlere müdahale eder. Haber başlıkları da çirkin: 1 milyardan fazla Yahoo hesabı ele geçirildi. Hackerlar, SWIFT finans ağından milyonlarca dolar çaldı. 2016 ABD başkanlık seçimlerinden önce Demokratik Ulusal Komite'nin sayısız özel e-postası ifşa edildi.
ABD Kimlik Hırsızlığı Kaynak Merkezi istatistiklerine göre, ABD şirketleri ve devlet kurumları 2016'da 2015'e göre% 40 daha fazla bilgi sızıntısı yaşadı. Bu yalnızca muhafazakar bir tahmindir. Aynı zamanda araştırma kuruluşu Ponemon tarafından yapılan bir araştırmaya göre, bir veri ihlalinin mevcut ortalama maliyeti 3,6 milyon ABD dolarına yükseldi.
Bir programcının veya belirli bir ülkedeki bir bilgisayar korsanının neden olduğu bir hata olsun, veri ihlalleri yeni normaldir. Bu nedenle yöneticilerin düşüncesi, sorunların çığ gibi büyümesini önlemek için kod sorunlarını filizlenmeden öldürmenin daha ekonomik olacağı yönündedir.
Ancak bu o kadar basit değil. Birçok şirket bilgi güvenliğini ilk etapta koymaz ve bunu teslimat öncesi bir gösterge olarak görmez. CA Technologies tarafından bu yılın başlarında satın alınan bir uygulama yazılımı güvenlik şirketi olan Veracode tarafından yapılan bir ankete göre, ankete katılan 500 BT yöneticisinin% 83'ü hataları test etmeden ve güvenlik sorunlarını çözmeden önce kod yayınladıklarını itiraf etti. Aynı zamanda, bilgi güvenliği endüstrisi de yetenek sıkıntısı ile karşı karşıyadır. Cisco, dünya çapında 1 milyon boş bilgi güvenliği işi olduğunu tahmin ediyor. Symantec, 2019 yılına kadar boş kadro sayısının 1,5 milyona çıkmasını bekliyor. Diğerleri 2021 yılına kadar bu sayının 3,5 milyona çıkacağını tahmin ediyor.
Bilgi güvenliğini desteklemek için zengin, hırslı ve prestijli bir şirket bile hatalı kodun etkisinden kaçınamaz. En iyi kalite kontrol prosedürleri ve çevik geliştirme yöntemleri her hatayı yakalayamaz.
Microsoft ve Apple dahil birçok şirket, kendi yazılımlarını araştırmak için dahili güvenlik araştırma ekiplerine sahiptir. Ancak çok az takım hala diğer şirketlerin yazılımlarını incelemek için yeterli enerjiye sahip. Google'ın bu kadar sıradışı olmasının nedeni budur. Ormandy ve Project Zero'daki düzinelerce insan için, yetki alanlarının sınırları yoktur ve İnternet'in herhangi bir yerine dokunabilirler. Tüm siber alanı izlemek yalnızca insanlar için değil, aynı zamanda işletmeler için de iyidir.
üç
Google, resmi olarak Project Zero'yu 2014'te oluşturdu ve ekibin kökeni 2009'a kadar izlenebilir. Bilgi güvenliği sorunları ile karşı karşıya kalan birçok şirket, acil durumlarla karşılaşana kadar bilgi güvenliğinin ciddiyetinin farkına varmaz. Google için o an "Aurora Operasyonu" dur.
2009 yılında Çin Hanedanlığı ile ilgili bir siber casusluk grubu, Google'a ve diğer bazı teknoloji devlerine saldırdı, sunucularını sabote etti, bilgilerini çaldı ve kullanıcılarına casusluk yapmaya çalıştı. Bu saldırı Google'ın üst yönetimini kızdırdı ve sonunda Google'ın Çin'den çekilmesine neden oldu.
Bu olay özellikle Google'ın kurucu ortağı Sergey Brin'i rahatsız etti. Bilgisayar adli tıp şirketleri ve araştırmacılar, Google'a yapılan saldırının kendi yazılımındaki bir hata olmadığını, Microsoft IE6'daki bir ihlal olduğunu belirlediler. Bilmek istedi, Google'ın güvenliği neden diğer şirketlerin ürünlerine bağlı?
Önümüzdeki birkaç ay içinde Google, rakiplerinden yazılım kusurlarını daha aktif bir şekilde çözmelerini istemeye başladı. Google ve benzerleri arasındaki savaş kısa sürede efsane oldu. Böcek avcısı Tavis Ormandy, bu mükemmel çözümle bu ihtilafların tam merkezinde yer alıyor.
Aurora Operasyonu kamuoyuna duyurulduktan kısa bir süre sonra Ormandy, Microsoft Windows'da, bilgisayar korsanlarının kişisel bilgisayarlara saldırıp felç etmesine izin verebilecek birkaç ay önce keşfettiği bir güvenlik açığını ortaya çıkardı. Microsoft'u yedi ay bekledikten sonra sorunu kendi başına çözmeye karar verdi. Ocak 2010'da Ormandy, güvenlik açığını ve olası saldırıları bilgi güvenliği araştırmalarında çalışan meslektaşlarına "tam ifşa" e-postasında yayınladı. Onun düşüncesi: Microsoft bu sorunu zamanında çözmezse, en azından insanların kendi çözümlerini geliştirebilmesi için bu sorunu insanlara bildirmesi gerekir. Birkaç ay sonra, Oracle'ın Java yazılımını etkileyen bir hataya ve daha büyük bir Windows güvenlik açığına aynı yaklaşımı benimsedi. İkincisi, Microsoft'a bildirildikten beş gün sonra.
Birisi, güvenliği tehlikeye attığını iddia ederek Ormandy'nin eylemlerini kınadı. Bir blog gönderisinde, iki Verizon bilgi güvenliği uzmanı, bu kapsamlı ifşa yollarını seçen araştırmacıların "narsistik savunmasızlık pezevenkleri" olduğunu belirtti. Ormandy bunu duymazdan geldi. 2013 yılında, Windows bir düzeltme yayınlamadan önce güvenlik açığını tekrar halka açmayı seçti. Hiçbir akademisyen onlara baskı yapmazsa, aciliyet duygusu yaşamayacaklarına ve bu konularla sonsuza kadar ilgileneceklerine ve herkesi tehlikeye atacaklarına inanıyor.
2014 yılında Google, Project Zero ekibini gizlice resmen tanımladı (bu ad, 0Day güvenlik açığını ifade eder, bilgi güvenliği uzmanları tarafından çözülecek zamanı olmayan bilinmeyen bir güvenlik açığını tanımlamak için kullanılan bir terimdir). Şirket, Chrome'un eski güvenlik direktörü Chris Evans'ın işi yönetmesi için bir dizi anlaşma geliştirdi. Evans daha sonra Google çalışanlarını ve diğerlerini ekibe aldı.
Apple kod hatalarını keşfetme konusunda özel bir tercihi olan İsviçre'deki İngiliz güvenlik araştırmacısı Ian Beer'i; Microsoft ile kamuya açık çatışmasıyla tanınan İngiliz Ormandy'yi; Adobe Flash ve Microsoft'u keşfeden Ben Hawkes'ı işe aldı. Ofis hatalarıyla tanınan Yeni Zelandalı ve stajyer olarak genç George Hotz. Bir bilgisayar korsanlığı yarışmasının başlarında Chrome tarayıcısını hack'ledi ve 150.000 $ kazandı.
Project Zero, ilk olarak Nisan 2014'te, Apple'ın bir Google araştırmacısını, bilgisayar korsanlarının Apple'ın Safari tarayıcısını çalıştırabilen yazılımı kontrol etmesine olanak tanıyan bir güvenlik açığını keşfettiği için kısa bir metinde övmesiyle açıklandı. Makale, "Google Project Zero ekibinden Ian Beer'e" minnettarlığını ifade etti.
Twitter'da güvenlik topluluğu bu gizli grubu merak ediyor. New York siber güvenlik danışmanı Trail of Bits'in CEO'su ve kurucu ortağı Dan Guido bir tweet'te "Proje Sıfır nedir?" Diye sordu. Amerikan Sivil Özgürlükler Birliği CTO'su Chris Soghoian da çok meraklı, "Apple'ın güvenlik güncelleme günlüğü aslında gizemli Google Project Zero çalışanlarına minnettarlığını ifade etti."
Dan ve Chris'in tweetleri
Project Zero giderek daha çok teşekkür aldı. Mayıs ayında Apple, OS X sisteminde birkaç hata keşfettiği için Beer'e teşekkür etti. Bir ay sonra Microsoft bir hatayı düzeltti ve Project Zero'dan Tavis Ormandy'ye teşekkür etti.
O zamanlar, güvenlik sorunları hakkında endişe duyan insanlar arasında bu ekip ayrılmaz bir konuydu. Evans sonunda şirket blogunda varlığını resmi olarak duyurmaya karar verdi. İnsanlar, bilgisayarlarına virüs bulaştırmak, sırları çalmak veya iletişimleri izlemek için yazılım açıklarını kullanan suçlular veya devlet destekli kişiler hakkında endişelenmeden İnternet'i özgürce kullanabilmeli dedi. Şirketlere ve insan haklarına yönelik casusluk örneklerinden bahsetti. Bunlar, "bunun durdurulması gerektiğini" düşünen vicdansız tacizlerdir.
Evans, bir yıl sonra Tesla'ya katılmak için ekipten ayrıldı ve şu anda bir bug ödül şirketi olan HackerOne'un danışmanı. Hawkes artık Project Zero'nun lideridir. Evans, ekibin kökenini daha dikkatli bir şekilde anlatıyor. "Project Zero, yıllarca süren derinlemesine öğle yemeği konuşmalarından ve saldırıların evriminin yıllarca gözlemlenmesinden kaynaklanıyor. Üst düzey bilgi güvenliği saldırı araştırmalarına odaklanan ve dünyanın en iyi yeteneklerini kamu araştırma alanına çekmeyi umuyoruz.
Bu daha zor bir meydan okuma gibi görünüyor. Özel fonlar, dünyadaki en iyi bilgisayar korsanlarının birçoğunu cezbetti ve onları gizlice çalışmaya teşvik etti ve hükümet ve diğer ekipler, aracılar aracılığıyla araştırma sonuçları için yüksek ücret ödüyorlar. Evans, araştırma yayınlanamazsa birinin acı çekeceğini düşünüyor.
Sıfır Projesi resmi olarak bir ekip oluşturduğundan bu yana, bu elit hacker grubu, üç yıl içinde gezegendeki en verimli bilgisayar güvenlik açığı katillerinden biri haline geldi. Sıradan tüketiciler bu insanları tanımasa da: James Forshaw, Natalie Silvanovich, Gal Beniamini.
Ancak dünya onlara bir minnettarlık borçlu çünkü dijital ekipman ve hizmetlerimizin güvenliğini sağlamaya çok katkıda bulundular. Ekip ayrıca, işletim sistemlerindeki, antivirüs yazılımındaki, parola yöneticilerindeki, açık kaynak kod kitaplıklarındaki ve diğer yazılımlardaki binden fazla güvenlik açığını bulma ve düzeltmeye yardımcı olma dahil olmak üzere, diğer şirketlerin ürünlerinde bir dizi iyileştirmeden sorumludur. Project Zero, şimdiye kadar çalışmaları hakkında 70'den fazla blog yazısı yayınladı ve bunlardan bazıları şu anda İnternet'teki en iyi kamu güvenliği araştırma kaynakları.
Ekibin çalışması dolaylı olarak Google'ın ana işi olan çevrimiçi reklamcılığa fayda sağlar. İnternet kullanıcılarını tehditlerden korumak, şirketin bu kullanıcılara reklam sağlama yeteneğini korumak anlamına gelir. Project Zeronun çabaları tedarikçileri sıkıntıya sokarken aynı zamanda onları Google'ın ürünlerinin çökmesine neden olan hataları düzeltmeye zorladı.
Siber güvenlik girişimcisi, tanınmış bir Apple hackerı ve Squarein mobil güvenlik departmanının eski başkanı Dino Dai Zovi şunları söyledi: "Bu aptalca bir isim, ancak çoban köpeği gibidir. Çoban köpeği kurt değildir. Kibar ama aynı zamanda kovalayıcıdır. Koyun, ağıla dönsünler. "
dört
Nisan ayında, Project Zero'nun üç üyesi, temelde hacker alanının saldırgan tarafına odaklanan Infiltrate güvenlik konferansına katılmak için Miami'ye gitti.
Güneş, plajlar ve spor arabalarla dolu bir şehirde, hacker ekibi biraz uygunsuz görünüyor. Hawkes, Ormandy ve Alman güvenlik araştırmacısı Thomas Dullien (daha çok "Halvar Flake" lakabıyla tanınan Zero ekibinin bir üyesi) Fontainebleau Hotel'in çimlerinde palmiye ağaçlarının altında kokteyller yudumlarken toplandılar. Onlarla birlikte başka Google katılımcıları da var. Bu Google çalışanları çalışmaları, en sevdikleri bilim kurgu romanları ve bilgisayar korsanlarının geçmişini nasıl koruyacakları hakkında konuştular.
Ormandy'nin üreticilerin kodlarını düzeltmeleri için yüz yüze gelmek zorunda kaldığı gerçeğiyle ilgili olarak, Dave Aitel şunları söyledi: "İnsanlar size iyi görünmüyor. Ama biliyorsunuz, bu sorunlarla uğraşmanıza gerek yok." Aitel eski bir NSA hacker'ı. , Saldırgan bir hacker dükkanı olan Immunity'yi işletiyor. Hatta Aitel şaka yollu bir şekilde Ormandy'yi hacker araştırmacısının "karanlık tarafına" katılmaya, yani savunmasızlığı keşfettikten sonra etkilenen şirkete bildirmek yerine satış yapmaya ikna etmeye çalıştı.
Çeşitli cihazlar için güvenlik açığı bonus miktarı
Ormandy omuzlarını silkti ve gülümsedi. İnsanları çok sıkıntılı hissettiren biri olabilir ama amacı saftır.
Dış dünya Project Zero'nun sınırını gösteriyor gibi görünse de, idealleri ile gerçek dünyanın karmaşıklığı arasındaki çatışma nedeniyle ekibin daha esnek hale gelmesi gerekiyordu. Başlangıçta 90 günlük çok katı bir ifşa süresi belirlediler, ancak aktif olarak kötüye kullanılan güvenlik açıkları için yalnızca yedi gün. Ancak, Microsoft'un her Salı düzeltme eki yayınlama alışkanlığı gibi, şirketin güncellemeleri yayınlamadan önce güvenlik açıklarının ifşa edilmesiyle ilgili birkaç olaydan sonra, ekip çok sayıda eleştiri aldı. Ayrıca, üreticinin bir yama hazırlaması ancak henüz yayınlamaması durumunda 90 günlük süreye 14 günlük bir genişletme süresi ekler.
Katie Moussouris, Project Zero'nun sektördeki en net ifşa politikasına sahip olduğunu söyledi. Microsoft'un ifşa politikasını formüle etmesine yardımcı oldu ve şimdi kendi hata ödül danışmanlık şirketi Luta Security'yi yönetiyor. Bunun iyi bir şey olduğunu düşünüyor. Pek çok şirketin güvenlik açıklarının nasıl rapor edileceğine dair yönergeleri olmadığı gibi, güvenlik açıklarının nasıl ve ne zaman ifşa edileceği konusunda araştırmacılara yol gösteren politikaları da yoktur. Bazı kuruluşlar, yazılımları onarmak için şirketlere Google'dan daha az zaman sağlar. Carnegie Mellon Üniversitesi'nden doğan bir grup olan Cert CC, süreyi sadece 45 gün verdi, ancak her duruma göre ayarlayacaklar.
Project Zero ekibi, hataları düzeltmek için harekete geçen şirketleri hızlı bir şekilde övdü ve yavaş yanıt veren şirketleri ciddi şekilde eleştirdi. Bu yılın başlarında Ormandy, Twitter'da kendisinin ve meslektaşı Natalie Silvanovich'in "bellekteki en kötü Windows uzaktan kod yürütmesini bulduğunu" söyledi, bu da Windows tabanlı sistemlerin uzaktan kontrol edilebileceği anlamına geliyor. Bu boşluğun son derece tehlikeli olduğunu söyledi. İkisi, hatayı düzeltmek için Microsoft ile çalıştı ve Microsoft güvenlik departmanının ekteki tweet'teki yanıtını övdü.
Teknoloji şirketleri, Project Zeronun cesaretinden korkabilirler, ancak bu bilgisayar korsanları, bazı araştırmacıları araştırmalarının sonuçlarını satmaya sevk eden motivasyonlara direnmeye istekli oldukları için rahatlatılmalıdırlar. Hackerların daha profesyonel hale geldiği son birkaç yılda, Project Zero tarafından açıklanan hatalar pazarda filizlendi. Hükümetler, istihbarat teşkilatları ve suçluların hepsi bu boşluklara sahip olmak istiyor ve yüksek bedeller ödemeye istekliler. Neyse ki, yazılım şirketleri dengenin kötü niyetli tarafa kaymasını önlemek için giderek daha fazla hata ödül programları başlatıyor. Bu ödüller, araştırmacılara zaman, enerji ve uzmanlıklarını telafi eder. Ancak ödül miktarı, karanlık piyasanın verebileceği fiyatla asla eşleşmeyebilir.
IBM'de tanınmış bir güvenlik gurusu ve yöneticisi olan Bruce Schneier şunları söyledi: "Google'ın güvenlik açıkları için ne kadar ödüllendirdiği önemli değil, bazı hükümetler daha fazla ödeyecek."
Dullien, bilgisayar korsanlığı becerilerine olan talep karşısında şaşırdığını, bir zamanlar karanlık bodrumda bir hobi iken, artık hükümet binasında meslek haline geldiğini söyledi. "Hip-hop, breakdans, kaykay veya grafiti gibi 90'ların bir altkültürü ama şimdi durum, ordunun onu faydalı bulması."
Beşler
Cloudflare CEO'su ve kurucu ortağı Matthew Prince'e göre, Google'ın en iyi güvenlik araştırmacısı tarafından keşfedilen güvenlik açığı, başlangıçta şirketine neredeyse bir aylık gelire mal oldu.
Ancak bu deneyim onu gerçekten kötü hissettiriyorsa, bunu söylemeyebilir. Gerçekten kötü niyetli bir bilgisayar korsanı tarafından hedef alınmanın nasıl bir his olduğunu kesinlikle biliyor. Birkaç yıl önce, "UGNazi" adlı bir bilgisayar korsanı grubu Prince'in kişisel Gmail hesabını hackledi, onu kurumsal posta hesabını kontrol etmek için kullandı ve ardından Cloudflare'nin altyapısını ele geçirdi. Bu bilgisayar korsanları önemli kayıplara neden olabilirdi, ancak 4chan.org'un (bir hacker topluluğu) adresini tanıtım için kişisel Twitter sayfalarına yönlendirdiler.
Prince, Google ve Cloudflare ön bulguları yayınlamadan önce müşteriye şirketin tüm sorunlarını bildirmediğinden pişman oldu. Şirketin, haber raporlarını okumadan önce müşterileri bu boşluk konusunda uyaracağını umuyor. Öyle olsa bile, geçmişe bakıldığında, Proje Sıfır ekibinin güvenlik açığını ne zaman ifşa etmesi gerektiği konusunda haklı olduğunu hissetti. Bildiği kadarıyla, güvenlik açığı duyurulduktan sonra bununla ilgili herhangi bir büyük kayıp bulunmadı ve şifre, kredi kartı numarası veya sağlık kaydı sızdırılmadı.
Prince, Cloudflare'nin bu tür olayların tekrar olmasını önlemek için yeni kontrol önlemleri geliştirdiğini söyledi. Şirket tüm kodu incelemeye başladı ve aynısını yapmak için harici test uzmanları tuttu. Ayrıca, genellikle bir güvenlik açığına işaret eden yaygın yazılım çökmelerini tanımlamak için daha karmaşık bir sistem oluşturdu.
Güvenlik açığı ve sonuçlarıyla ilgili olarak, Neyse ki, Tavis ve ekibinin bazı çılgın bilgisayar korsanlarını değil, güvenlik açığını keşfettiğini söyledi.
Elbette, sızdırılan verilerin bir kopyasının başka bir kişi veya kuruluşa sahip olma olasılığını asla göz ardı edemez. Bu aynı zamanda Proje Sıfır'ın görüşüdür.Ekip üyelerinin her biri için, özel olarak çalışan sayısız başka araştırmacı var ve hedefleri çok yüksek değil. Bu bildiğin ve bilmediğin kötülük.
Leifeng.com, güvenlik açığı pazarı hakkında biraz bilgi ekliyor:
İki savunmasız pazar var: hücum ve savunma. İlki, ulus devletleri, organize suç gruplarını ve diğer bilgisayar korsanlarını içerir. İkincisi, hata ödül programlarını ve güvenlik ürünleri satan şirketleri içerir.
Piyasaya saldırma fiyatı daha yüksek ve üst sınır yok. Sadece güvenlik açıklarını satın almıyorlar, aynı zamanda tespit edilmeden onları sömürme yeteneğini de satın alıyorlar. Alıcılar çok düşük anahtarlar.
Savunma pazarının ödeme yeteneği güçlü değildir ve neredeyse hiçbir üretici, milyonlarca dolarlık boşluklar bulan en iyi geliştiricilere tazminat ödemeyecektir. Büyük şirketlerin kod kalitesi artmasına rağmen, karmaşıklık hala artıyor, bu da daha fazla hata anlamına geliyor.
Güvenlik araştırmacılarının belirli bir güvenlik açığıyla ilgili yapabilecekleri eylemler genellikle finansal ihtiyaçlarına, bir yazılım veya satıcı için öznel para birimlerine ve kendi kişisel risk iştahlarına bağlıdır. Sadece basit siyah beyaz değil.
