"Nessuna difesa perfetta è fondamentalmente possibile."

Negli scacchi, hai 64 caselle, 2 persone che giocano e una serie di regole immutabili, comunemente note.

Nelle infrastrutture server, ci sono un numero incalcolabile di risorse e modi per avvicinarsi a tali risorse, un numero sconosciuto di persone che giocano e regole che cambiano costantemente con i giocatori che cercano intenzionalmente di piegare, infrangere o aggirare le regole.

Considera due elementi che dimostreranno il mio punto di vista: zero giorni e barrette di cioccolato .

In primo luogo, zero giorni cambiano le regole durante il gioco. Mentre una parte ottiene il vantaggio di questo elemento, l'altra parte non è a conoscenza del vantaggio ed è forse ancora incapace di contrastare questi attacchi, anche se alla fine sono noti. Ogni giorno zero è una nuova regola che viene applicata in modo non uniforme al gioco. Anche se una "strategia di sicurezza perfezionata" può essere ideata e applicata perfettamente, zero giorni può significare che la strategia è costruita su punti deboli sconosciuti che potrebbero non essere mai conosciuti dalla parte in difesa.

In secondo luogo, le barrette di cioccolato possono fare più per rompere la sicurezza di un'infrastruttura rispetto a qualsiasi altro elemento. Quello che voglio dire è che le persone possono essere corrotte o indotte a "cambiare lato" e concedere vantaggio alla parte opposta, a volte per qualcosa di piccolo come una barretta di cioccolato (studi dimostrano). Phishing, tangenti, fuga di dati, ecc. Fanno tutti parte del lato umano del gioco che la tecnologia non può spiegare completamente. Finché c'è un essere umano con potere nell'infrastruttura, esisterà sempre quella debolezza per il sistema.

Cosa fare?

Nella storia, assistiamo a molteplici situazioni in cui un massiccio tentativo di difesa è stato sconfitto da qualcosa di piccolo e imprevisto (ad esempio, le porte della Grande Muraglia cinese si sono aperte a una concubina che era un doppio agente per i mongoli). L'obiettivo, come difensori, non è quello di montare la difesa perfetta, ma piuttosto di progettare un'infrastruttura resiliente e trasparente in cui gli attacchi possono essere visti rapidamente e rispondere completamente. Non muri più alti, ma milizie più vigili. Non fondamenta incrollabili ma un'architettura sostituibile.

La sicurezza può essere dimostrata, ma devi capire cosa viene provato

https://sel4.systems/FAQ/proof.pml

La nostra dichiarazione di prova in linguaggio naturale di alto livello è la seguente:

Il codice binario del microkernel seL4 implementa correttamente il comportamento descritto nelle sue specifiche astratte e nient'altro. Inoltre, le specifiche e il binario seL4 soddisfano le classiche proprietà di sicurezza chiamate integrità e riservatezza.

Integrità significa che i dati non possono essere modificati senza autorizzazione e riservatezza significa che i dati non possono essere letti senza autorizzazione.

La nostra prova va anche oltre e mostra che i dati non possono essere dedotti senza autorizzazione, fino a un certo punto. È noto che esistono i cosiddetti canali informativi (chiamati anche canali nascosti). La prova copre solo quei canali di inferenza di informazioni che sono presenti nel modello formale: la prova di riservatezza copre tutti i canali di archiviazione nel kernel, ma esclude i canali di temporizzazione che devono essere trattati empiricamente.

Quindi , perché non tutti usano solo sel4? (Attualmente il luogo in cui è più probabile che lo incontri è sul processore TrustZone di alcuni dispositivi Apple).

La risposta è che la prova copre solo il kernel, non il software dello spazio utente che potresti voler correre. Ad esempio, non esiste un server Web collaudato, per non parlare delle implementazioni del linguaggio per le applicazioni che potresti voler eseguire su di esso. E dovresti anche dimostrare la sicurezza della tua applicazione web. Lo sviluppo di queste cose richiederà un investimento molto grande, che nessuna grande azienda è interessata a fare.

I sistemi ad alta sicurezza vengono solitamente attaccati nella chiave e nel punto di gestione degli accessi

Non importa quanto sia sicuro il sistema se il tuo amministratore lascia per errore la sua password su pastebin. Proprio l'altro giorno abbiamo visto un dipendente della TSA pubblicare una foto delle chiavi principali (fisiche) della TSA per le serrature dei bagagli su Twitter, quindi ora sono tutte compromesse. Password deboli, password indovinabili, password memorizzate in modo non sicuro, token di sicurezza hardware non validi, impronte digitali copiate: tutti questi sono possibili vettori di attacco.

Nessuno ha trovato una ragione particolare per credere di aver trovato un sistema del genere.

Parli degli scacchi, che è un bel gioco su una griglia 8x8. Considera che un server moderno è leggermente più complicato di così. Giochiamo invece su una tavola 65536x65536, per renderlo più realistico. Inoltre, negli scacchi, più giochi, meno posizioni sono possibili. Invece, un sistema più realistico è come Go. Più giochi, più intricata può essere la posizione. Noterò che il gioco del Go fa sembrare insignificante il nostro lavoro sui computer di scacchi.

Conway, intorno al 1970 circa, ha cercato di smantellare il gioco del Go. Ha scoperto che spesso il tabellone sembrava dividersi in sottogiochi, ognuno dei quali si giocava nel suo spazio per arrivare al vincitore finale. Ha scoperto che il modo in cui lavoravano insieme era molto complicato. Di conseguenza, ha trovato numeri surreali, uno schema numerico che è letteralmente più vasto dei numeri reali che usiamo in fisica. Non è uno scherzo, in realtà è più facile prevedere il tempo a livello globale che vincere al Go dividendo e conquistando. Potrebbe esserci un caso di "vittoria" qui? Forse. Buona fortuna a trovarlo. L'unico modo per saperlo con certezza è tenere conto dell'intera scheda 65536x65536, tutto in una volta.

Kevin Mitnick in uno dei suoi libri ha commentato sulla falsariga di:

L'unico computer veramente sicuro è quello disconnesso da Internet, spento, scollegato dalla presa di corrente, conservato in un bunker di cemento, sotto scorta armata. E anche allora, lo controllavo ogni tanto. "

Il paragone con gli scacchi è interessante perché mostra cosa non è proteggere un sistema. Rispetto agli scacchi, il gioco tra buoni e cattivi nella sicurezza informatica non ha regole fisse, non sai chi sono i tuoi avversari e puoi essere attaccato fuori dalla scacchiera. E se l'avversario perde una miniatura, può semplicemente ottenerne una nuova mentre tu no.

• Hai risorse limitate (tempo, denaro, conoscenza) per proteggere i tuoi sistemi. Anche gli aggressori hanno risorse limitate, ma se sei un bersaglio interessante ci saranno abbastanza hacker interessati che in totale potrebbero avere più risorse di te.
• Con queste risorse limitate devi proteggere tutto. Ciò significa chiudere ogni possibile (e probabilmente sconosciuto) modo / sfruttamento che un utente malintenzionato potrebbe utilizzare per entrare. L'aggressore deve solo trovare un modo per entrare e usarlo.
• A parte questo, esiste un conflitto tra usabilità e sicurezza. Dai un'occhiata al controllo degli accessi con le password, ai modi per reimpostare le password dimenticate, ecc. Questi non sono sicuri al 100% perché rappresentano un compromesso tra sicurezza e usabilità. Potresti spostare tutti i tuoi utenti su metodi più sicuri come l'autorizzazione a due fattori, i certificati client, le smart card, ecc., Ma questi potrebbero essere troppo scomodi per gli utenti e potresti perdere clienti. E non sono nemmeno sicuri al 100%, solo più sicuri delle password.
• Hai anche un conflitto tra sicurezza e prestazioni. Più difficile è analizzare tutti i dati in arrivo per rilevare gli attacchi, più lento sarà. Sebbene sia possibile utilizzare più hardware per risolvere il problema, non verrà ridimensionato in modo lineare, quindi è necessario trovare un equilibrio tra velocità e profondità di analisi.
• E hai a che fare con software che non è sicuro. Potrebbe essere closed source, quindi non puoi guardarlo e risolverlo, ma anche con l'open source non hai il tempo e l'esperienza per scoprire bug o backdoor nascosti accidentalmente o deliberatamente. Anche se avessi tutti i soldi ei migliori esperti che potresti ottenere per i soldi, hai un tempo limitato per fare la valutazione e l'analisi non scala linearmente con il numero di esperti (cioè non aiuta a ottenere 1000 esperti se tu devi analizzare 1000 righe di codice, perché queste 1000 righe non sono indipendenti l'una dall'altra).
• E infine ci sono le persone che proteggono la tua infrastruttura e hanno accesso anche ad essa. Sono esseri umani, quindi possono essere attaccati con ingegneria sociale, corrotti, ricattati ...

In sintesi: mentre in teoria potresti avere risorse illimitate (tempo, denaro, conoscenza, hardware veloce illimitato ) per proteggere un sistema e avere solo clienti che sono anche tali esperti e preferiscono metodi di accesso sicuri a convenienti - in realtà non lo fai. Ci sarà sempre un modo per entrare, quindi dovresti essere preparato. Non credere che riuscirai mai a realizzare un'infrastruttura sicura al 100%, ma crea invece un'infrastruttura che non solo è robusta contro gli attacchi dall'esterno, ma in cui puoi rilevare una compromissione e ripristinarla il più velocemente possibile. Si potrebbe fare del male, ma dovrebbe essere limitato.

Probabilmente un tale sistema esiste, ma probabilmente non lo troveremo

Abbiamo molti algoritmi da utilizzare in Sicurezza. Alcuni di loro probabilmente hanno ragione. In particolare, alcuni probabilmente sono esponenzialmente difficili da rompere. In effetti, ne conosciamo alcuni che sono assolutamente impossibili da rompere (una volta sola). Il problema è l ' implementazione”.

La sicurezza non riguarda chi è più intelligente. La sicurezza riguarda l'attenzione del difensore contro l'intelligenza e la creatività dell'aggressore. Un difensore non deve essere brillante se può seguire un algoritmo con estrema attenzione. Difesa perfetta vs. l'offesa perfetta si traduce in un vincitore difensivo nel campo della sicurezza.

Il problema è che i server sono spesso macchine complesse. Hai il sistema operativo e mirate di programmi e diversi protocolli e linguaggi di programmazione e AHH. È quasi impossibile avere una sicurezza perfetta in un ambiente del genere.

D'altra parte, se un sistema è abbastanza semplice, probabilmente un essere umano può renderlo perfetto. Ad esempio, ho un messaggio, $ M $, codificato come un numero da 1 a 6. Lancio ora un dado, che sarà la chiave $ K $, e aggiungerò $ M $ e $ K $ modulari $ 6 $ , per ottenere il testo cifrato $ C $.

Il testo cifrato è $ 5 $. Qual era il messaggio?

Questo esempio era così semplice che potevo plausibilmente considerare tutte le possibilità. D'altra parte, un server è piuttosto complesso.

Che consiglio possiamo trarne. Sii semplice, stupido. (Il principio K.I.S.S.). Anche se probabilmente è al di fuori della nostra capacità umana di creare un server perfetto, più semplice è il server e i nostri algoritmi, meglio è. Documenta il tuo codice, rendilo comprensibile, rendilo semplice. Ogni riga di codice ha un motivo. Usa un sistema operativo semplice (Nota: non confondere la semplicità con la facilità d'uso. Pensa ad Arch Linux, non a iOS). Mantieni solo il minimo indispensabile di programmi. Scegli un linguaggio di programmazione con una definizione piccola e senza regole strane e simili (ti sto guardando, javascript.) Anche se questo non lo renderà perfetto, farà molto per renderti più sicuro.

Supponiamo che la sicurezza sia come gli scacchi

A differenza della maggior parte delle persone qui, in realtà conosco un bel po 'di scacchi e quel tanto che basta sulla sicurezza per renderla una risposta utile.

Se consideri scacchi scoprirai che:

Il numero di possibilità è così grande che nessuna strategia pratica le copre tutte esplicitamente

Pertanto, come vediamo anche in pratica , è più probabile che vinca il partecipante più forte. Ma anche così, c'è sempre la possibilità che una persona forte / giocatore computer perda contro uno (molto) più debole.

Quindi, per concludere:

A meno che tu non conosca la mossa giusta in ogni situazione possibile, non è possibile alcuna difesa perfetta

Una difesa perfetta è fondamentalmente possibile.

In realtà sono mediocre negli scacchi, ma è banale per me mettere in stallo i più grandi giocatori del mondo e posso persino andare in stallo i computer più veloci e migliori che giocano a scacchi.

Mi siedo sulle mie mani e aspetto che il tempo finisca e il grande maestro di scacchi non può rivendicare una vittoria su di me.

Allo stesso modo, il server impenetrabile non risponde mai alle richieste dei client e non può essere sconfitto nemmeno dall'hacker più intelligente.

Nonostante la sua perfetta sicurezza, è totalmente inutile.

La sicurezza delle informazioni è fondamentalmente diversa dagli scacchi. Gli scacchi sono un modello scadente da applicare alla sicurezza informatica, sebbene le differenze tra i due possano essere illuminanti.

Gli scacchi sono un gioco di informazioni perfette. Entrambe le parti sanno esattamente dove si trovano tutti i pezzi in ogni momento. Nella sicurezza delle informazioni la maggior parte delle informazioni è nascosta e una parte può trarre vantaggio dall'avere più informazioni dell'altra. "Smartest" non ha nulla a che fare con questo.

Gli scacchi sono un gioco in cui tutte le regole sono conosciute e stabilite. Nella sicurezza delle informazioni l'esistenza di regole è discutibile nella migliore delle ipotesi. Le "Regole" sono meglio pensate come un ambiente e quindi un bersaglio mobile.

Gli scacchi sono un gioco a somma zero. Nella sicurezza informatica tutti possono perdere, tutti possono vincere, nessuno può vincere e vincere e perdere non può significare nulla.

Gli scacchi sono un gioco con due giocatori. La sicurezza delle informazioni ha più attori con motivazioni diverse (vedi "non un gioco a somma zero").

Gli scacchi hanno una vittoria e una sconfitta chiaramente definite. Le vittorie sono complete e le sconfitte sono complete. La sicurezza delle informazioni è molto più confusa e per niente in bianco e nero. Il sistema può essere parzialmente compromesso e le perdite sono mitigate.

Sì. Un'infrastruttura di server nulli è fondamentalmente impossibile da violare.

Nessun server = niente da violare = fondamentalmente impossibile da violare.

Qualsiasi altra cosa è fondamentalmente possibile da violare.

Ovviamente, non esiste una soluzione tecnica perfetta per prevenire l'errore umano o impedire a un utente malintenzionato di corrompere il tuo amministratore di sistema. Ma se guardiamo al lato tecnico puramente deterministico di questo, la risposta è (banalmente) sì.

Puoi considerare un sistema connesso in rete come una funzione. Hai qualche funzione che vuoi calcolare, in cui gli ingressi sono uno stato del sistema e i bit che arrivano sul filo e le uscite sono un nuovo stato del sistema e i bit inviati sul filo. Se la funzione è calcolabile, allora c'è un'implementazione del sistema che farà esattamente questo.

Il problema è che decidere se un dato sistema calcola perfettamente una funzione è impossibile in generale, e impossibile determinarlo con certezza in pratica quando il comportamento del sistema è complesso. Quindi una persona il cui sistema è veramente impenetrabile (di nuovo, da questa prospettiva tecnica limitata) non potrebbe mai esserne sicura. Al contrario, qualcuno che è completamente certo della sicurezza di un sistema molto complesso, quasi certo, sostiene questa convinzione in modo irrazionale.

La vera domanda alla base di questo è piuttosto: quante risorse sei disposto a spendere per rompere la difesa? E qual è anche il livello minimo di sicurezza che può essere considerato perfettamente sicuro? Nessun accesso che cosa è mai così? Accesso a dati casuali? O solo l'accesso ai dati che possono essere utilizzati a scopo di lucro è considerato una violazione?

Per usare il tuo esempio di scacchi: in futuro costruiremo un computer che contenga tutto posizioni di tutte le possibili partite di scacchi. Mettere contro se stesso probabilmente si tradurrà in pareggi / stalli del 100%. Con un insieme "limitato" di mosse possibili, questo è un presupposto valido per una difesa perfetta.

La realtà ha troppe opzioni per aggirare le regole e le possibili situazioni. Forse non vuoi rubare i dati, forse vuoi solo che tutti i backup cessino di esistere. Quindi bombardi la struttura del server e sei soddisfatto dei detriti non funzionali.

Nella vita reale, soluzioni come i sistemi di rilevamento delle intrusioni, celle frigorifere (sistemi di archiviazione che non sono presenti sul Web), processi aggressivi di gestione delle password di & degli account, progettazione di applicazioni difensive e analisi del comportamento di utilizzo possono aumentare i costi per hackerare quei sistemi a un tale livello, solo tasche molto profonde potrebbero persino pensare di attaccarlo.

E avresti bisogno di abilità simili a "James Bond" e abilità tattiche ben addestrate per farcela. Per una parte molto ampia della comunità degli hacker, questa sarebbe considerata una difesa "quasi" perfetta.

I siti più hackerati nelle notizie non sanno nemmeno chi sia sui loro "prati digitali". Molti hacker trascorrono settimane o mesi nei loro sistemi, inosservati. Semplicemente non pensavano di spendere milioni di dollari per la difesa minima, perché non è richiesto dalla legge e le cause sono potenzialmente più economiche che iniziare il gioco degli scacchi di "difesa hacker".

È molto più facile progettare un sistema per tenere fuori le persone più intelligenti che progettarne uno per tenere fuori le persone senza nome, senza vergogna, creative e persistenti.

Le persone intelligenti procedono secondo schemi identificabili, lungo strade prevedibili di sforzo ed esplorazione e fanno affidamento su una serie di presupposti miseramente prevedibili e simili. Un genio sembra sempre presumere che quando utilizza la funzione di addizione che 2 e 2 siano sempre 4 e mai 22, o 2 & 2.

La più grande minaccia per un sistema empirico e razionale - in umani termini - dimostra di essere un avversario che possiede un QI di livello inferiore al genio, tende ad essere un anticonformista o balla al ritmo del proprio tamburo piuttosto che seguire le norme sociali della mandria, e raramente viene identificato come intelligente uno nei gruppi sociali. Ben adattata, a proprio agio nella propria pelle e in ciò che sono e accettando il proprio status di non capobranco in nessuna area, questa persona non è influenzata né si impegna nella frivola competizione personale che potrebbe circondarla. Guidato da sé, iniziatore di sé, ispirato e guidato dalla realtà interiore interiore, questo individuo unisce una certa scintilla di spontaneità e creatività genuina e non razionale con una persistenza incrollabile e una volontà o volontà interiore, temperata e disciplinata.

Non hanno bisogno della tua convalida sociale, quindi tutta una serie di exploit di ingegneria sociale si dimostrano inutili. Spesso passano inosservati tra la folla, poiché non si preoccupano né competono per l'attenzione di nessuno, tranne coloro che essi stessi identificano come interessanti o degni del loro impegno e attenzione.

Ho assistito personalmente a qualche occasione preziosa in la vita una persona come la descrivo sfida, viola e invalida le specifiche di progettazione e implementazione del più intelligente dei geni.

Ancora una volta, preferirei progettare un sistema contro le persone più intelligenti piuttosto che contro una sola persona come quella che ho descritto.

Se esiste un accesso legittimo, esiste un accesso illegittimo.

L'unico server che è fondamentalmente impossibile da violare è uno a cui è fondamentalmente impossibile accedere. Nella sicurezza della rete, questo è noto come "air-gapping"; un server o una sottorete è fisicamente disconnesso da qualsiasi altra rete, incluso il mondo esterno. In combinazione con la sicurezza fisica dei componenti di questa rete con intercapedine d'aria, che impedisce a persone non autorizzate di raggiungere e toccare fisicamente qualsiasi componente hardware connesso alla rete, i computer su questa rete sono inattaccabili da un hacker.

... Tipo di. Ancora una volta, se c'è un modo legittimo per entrare, c'è un modo illegittimo per entrare. La sicurezza fisica è in definitiva uno sforzo umano e quindi in definitiva fallibile. L'ingegneria sociale può essere utilizzata per aggirare i protocolli di sicurezza faccia a faccia, inducendo un "guardiano" a far entrare una persona non autorizzata o inducendo una persona autorizzata a fare qualcosa che non dovrebbe per conto di una persona non autorizzata. Quanto meglio gli umani coinvolti sono addestrati a seguire i protocolli di sicurezza fisica, tanto meno è probabile che tutto ciò sia, ma c'è sempre una possibilità diversa da zero di aggirare la sicurezza fisica fino alla forza bruta inclusa (qualcosa come il raid Zero Dark Thirty, pur non essendo minimamente sottile, potrebbe teoricamente essere perpetrato contro qualsiasi sede aziendale sul pianeta; è solo questione di avere le persone giuste con l'attrezzatura giusta per svolgere il lavoro).