Powstaję globalny system kontroli i oceniania oprogramowania

2 sierpnia 2016, 14:55
Fot. Domena Publiczna
Przykład działania algorytmu na podstawie popularnych przeglądarek internetowych. Fot. theintercept.com

Peiter Zatko, znany szerszej publiczności pod swoim hakerskim pseudonimem Mudge wraz ze swoją żoną - byłym analitykiem matematycznym z NSA Sarą Zatko stworzyli narzędzie do oceny poziomu zabezpieczeń w oprogramowaniu komputerowym. Rozwiązanie to zostało nazwane Cyber Independet Testing Lab (CITL) i aktualnie jest tworzone w piwnicy państwa Zatko. Projekt jest finansowany przez DARPA, Ford oraz amerykańską Unię Konsumentów, a łącznie na ten cel przeznaczono 600 tys. dolarów amerykańskich.

Podobne rozwiązania do tych, które aktualnie tworzy jedna z najsłynniejszych par ekspertów ds. cyberbezpieczeństwa istnieją na rynku, jest to m.in. zaprezentowany w 2014 roku przez Dana Geera mechanizm sprawdzający poprawność kodu aplikacji. Problem jednak pojawił się w momencie, kiedy program miał ocenić, czy niepoprawność kodu jest tylko mało znaczącym błędem programistów, który posiada niewielki wpływ na samo bezpieczeństwo aplikacji, czy jednak jest luką krytyczną, którą należy natychmiast załatać – czytamy na serwisie The Intercept.

Działają także takie firmy jak VeraCode, które powstało na bazie opracowywanego algorytmu jeszcze za czasów pierwszej dużej grupy hakerskiej L0pht działającej w latach 90. XX wieku na terenie Stanów Zjednoczonych. Algorytm został wykorzystany przy połączeniu L0pht z małą niezależną firmą @Stake, która dalej rozwijała narzędzie. Do L0pht należał nie tylko Peiter Zatko, ale także obecny szef VeraCode Chris Wsyopal, który korzysta z teorii opracowanej przez L0pht w 1998 roku. Co więcej bez wyraźnej rekomendacji ze strony VeraCode niektóre firmy oraz organizacje starają się nie kupować oprogramowania odpowiadającego za krytyczne systemy informatyczne. Sam Chris chwali się dokonaniami swojej firmy – Dla mnie osobiście jest to jak kończenie całego procesu pisania programu. Nie tylko pokazujemy, że oprogramowanie posiada wady, ale także dzięki nam programy stają się coraz lepsze – jak czytamy na stronie The Intercept.

Wadą tego rozwiązania ma być jednak wąski zakres jakim zajmuję się firma analityczna. Oprogramowanie badane jest głównie wykorzystywane w dużych korporacjach a możliwość przebadania jest możliwa tylko dzięki zapłacie na sam proces analizy. Mechanizm właśnie opracowywany przez Zatko może zapewnić bezpieczeństwo na poziomie globalnym, tam gdzie gdzie działalność naszej firmy nie sięga. Choćby w sektorze prywatnym, czy rozwiązaniach typu open-source – przyznaję sam Wysopal z VeraCode.

Algorytm przygotowywany jest nie tylko przez państwo Zatko, ale także przez byłego hakera pracującego dla NSA Charliego Milera, Dina Daia Zovi'ego z firmy Square i Franka Riegera z niemieckiej firmy GSMk - twórcę Cryptophone. Co więcej jak komentują sami twórcy CITL, nie ma on za zadanie wskazywać czy program stworzony jest z zachowaniem odpowiednich mechanizmów zabezpieczających i czy jak komentuję to Sara Zatko, został stworzony z odpowiednimi zasadami higieny pracy programistów. Zatko przyrównują swoje informatyczne dziecko do mechanizmów jakie mają miejsce w innych branżach, np. przy produkcji samochodów. Jeżeli samochód posiada alarm, pasy bezpieczeństwa, poduszki powietrzne czy nawet zabezpieczenie przed zakleszczaniem się hamulców z reguły jest bezpieczniejszy od takiego, który takich rozwiązań nie posiada.

Tak samo ma być według Sary z oprogramowaniem i ich algorytmem, w aplikacjach posiadających pewne standardy zabezpieczeń jak ASLR (Address space layout randomization), które losowo przydziela adresy ważnych informacji w pamięci urządzenia, utrudniając jednocześnie włamanie hakerom.

Państwo Zatkos zamierzają podzielić się ze światem na temat metodologi użytej podczas opracowywania swojego programu do sprawdzania integralności kodu źródłowego, podobnie zamierzają postąpić z swoimi algorytmami. Na ten moment jednak w ramach CITL nie można uzyskać więcej informacji o samym procesie analizy. Jednak jest też dobra informacja, ponieważ Peiter Zatko zamierza opublikować raport obejmujący przynajmniej 12 tys. przebadanych aplikacji na początku 2017 roku.

Czytaj też: Największa dziura w Windowsie załatana

KomentarzeLiczba komentarzy: 0
No results found.
Tweets CyberDefence24