Kaminsky: Công cụ đánh giá an ninh của Microsoft là một 'máy đổi trò chơi'

Crash, bang, analyze

By Dan Goodin in Vancouver

Posted in Security, 20th March 2009 23:05 GMT

Theo: http://www.theregister.co.uk/2009/03/20/microsoft_crash_tool/

Bài được đưa lên Internet ngày: 20/03/2009

Lời người dịch: Microsoft sẽ đưa ra một công cụ để sửa lỗi an ninh. Nhưng vấn đề liệu có thể sửa được các lỗi thực sự liên quan tới an ninh của ứng dụng hay không lại là một việc khác. Chuyên gia nổi tiếng về an ninh là Kaminsky nói. “Không ai có thời gian hoặc tài nguyên để học tất cả những mẹo tù mù mà chúng ta có trong nền công nghiệp an ninh, hãy tự một mình xây dựng thứ đó trong quá trình này”. Liệu chúng ta có thể nhờ ai đó đảm bảo an ninh cho hệ thống và thông tin của quốc gia mình được nhỉ?

CanSecWest: Microsoft hôm thứ sáu đã tung ra một chương trình nguồn mở được thiết kế để hợp lý hoá quá tình làm việc tích cực của việc xác định tính có thể bị tổn thương trong phần mềm trong khi nó vẫn còn đang được phát triển.

Như cái tên của nó gợi lên, Trình phân tích sự đổ vỡ có thể khai thác được - !exploitable Crash Analyzer (được đọc thành “Trình phân tích sự đổ vỡ có thể khai thác vụ nổ được”) lùng sục thông qua các lỗi mà gây ra cho một chương trình để nắm bắt và đánh giá tính có thể của chúng khi đang được khai thác bởi những kẻ tấn công. Dan Kaminsky, một chuyên gia nổi tiếng về an ninh, người cũng cung cấp các dịch vụ tư vấn cho Microsoft, đã gọi phiên bản này là một “máy đổi trò chơi” vì nó cung cấp một cách đáng tin cậy cách cho những người lập trình phát triển phân loại ra trong hàng ngàn lỗi để xác định vài chục lỗi gây ra những rủi ro lớn nhất.

“Microsoft đã trải qua nhiều năm khó khăn với tính có thể bị tổn thương về an ninh và thực sự đã cô đọng được kinh nghiệm đó vào một công cụ có thể lăp đi lặp lại được mà nó nhìn vào một sự hỏng hóc và nói 'Bạn tốt hơn hãy xem chỗ này'”, Kaminsky đã nói với tạp chí The Reg. “Những gì làm cho !Có thể khai thác được đáng kinh ngạc là việc nó nắm ít nhất là mức đầu của tri thức này và gói nó vào trong một thứ mà có thể trong một tiến trình công việc”.

Năm năm qua, Microsoft đã thực hiện được một số lượng qui trình khá xơ cứng các hệ điều hành và các ứng dụng của hãng chống lại những mối đe doạ an ninh thông thường nhất. Những bảo vệ như sự ngẫu nhiên về trình bày không gia địa chỉ (Address Space Layout Randomization) và những bảo vệ scripting chéo các site đã được bổ sung vào các phiên bản mới nhất của Windows và Internet Explorer một cách tương ứng. Và hãng này nói chung đã định yểm trừ các chương trình của mình về tính có thể bị tổn thương nguy hiểm trước khi chúng có thể được khai thác bởi những kẻ tấn công.

CanSecWest Microsoft on Friday released an open-source program designed to streamline the labor-intensive process of identifying security vulnerabilities in software while it's still under development.

As its name suggests, !exploitable Crash Analyzer (pronounced "bang exploitable crash analyzer") combs through bugs that cause a program to seize up, and assesses the likelihood of them being exploited by attackers. Dan Kaminsky, a well-known security expert who also provides consulting services to Microsoft, hailed the release a "game changer" because it provides a reliable way for developers to sort through thousands of bugs to identify the several dozen that pose the greatest risk.

"Microsoft has taken years of difficulties with security vulnerabilities and really condensed that experience down to a repeatable tool that takes a look at a crash and says 'You better take a look at this,'" Kaminsky told The Reg. "What makes !exploitable so fascinating is that it takes at least the first level of this knowledge and packages it up into something that can be in the workflow."

Over the past five years, Microsoft has made a fair amount of progress hardening its operating systems and applications against the most-common security threats. Protections such as Address Space Layout Randomization and cross-site scripting defenses have been added to later versions of Windows and Internet Explorer, respectively. And the company has generally managed to exorcise its programs of dangerous vulnerabilities before they can be exploited by attackers.

Bây giờ, Microsoft muốn giúp về an ninh cho các ứng dụng của bên thứ 3 mà chạy trên đỉnh của Windows. Năm ngoái, hãng này đã tung ra một công cụ mô hình hoá mối đe doạ và các tài nguyên khác được thiết kế để giúp các nhà lập trình phần mềm khởi động các chương trình vòng đời phát triển về an ninh trong các tổ chức của họ. Ý tưởng này là đóng gói kinh nghiệm về an ninh mà Microsoft đã đạt được nên nó có thể phục vụ như một dạng biểu mẫu template cho các công ty khác.

Phiên bản này của !exploitable, mà đã được công bố tại hội nghị an ninh CanSecWest tại Vancouver, British Columbia, là một sự tiếp tục của nỗ lực này. Đây là một mở rộng sửa lỗi của Windows mà nó được sử dụng trong quá trình thử nghiệm sơ bộ, khi những người thử nghiệm thử về tính ổn định và an ninh của một ứng dung bằng việc đưa ra các dữ liệu không mong đợi trong nó. Nó được mong đợi sẽ sẵn sàng sớm tại đường link bên dưới như một chương trình nguồn mở trên CodePlex.

Vì đa số các lỗi gây ra đổ vỡ không gây ra những thứ có thể gây tổn thương về an ninh, nên có thể sẽ có một số khá lớn các tranh cãi nội bộ khi chúng được phát hiện ra trong quá trình phát triển. Việc chậm trễ đưa ra một sản phẩm để sửa lỗi đổ vỡ mà hầu hết có lẽ không thể khai thác được một cách vô ích dẫn tới tăng giá thành phát triển. Kết quả còn tồi tệ hơn là việc bỏ qua một thiếu sót mà sau đó gây ra trong một ứng dụng đang được khai thác.

“Tất cả điều này là về tỷ lệ tín hiệu theo nhiễu”, Kaminsky nói. “Không ai có thời gian hoặc tài nguyên để học tất cả những mẹo tù mù mà chúng ta có trong nền công nghiệp an ninh, hãy tự một mình xây dựng thứ đó trong quá trình này”.

Now, Microsoft wants to help secure third-party applications that run on top of Windows. Last year, the company released a threat-modeling tool and other resources designed to help software developers kick-start secure development lifecycle programs in their organizations. The idea was to package the security experience Microsoft has attained so it can serve as a sort of template for other companies.

The release of !exploitable, which was announced at the CanSecWest security conference in Vancouver, British Columbia, is a continuation of that effort. It's a Windows debugger extension that's used during fuzz testing, when testers test the stability and security of an application by throwing unexpected data at it. It's expected to be available soon at this link as an open-source program on CodePlex.

Because the majority of crash-inducing bugs don't result in security vulnerabilities, there can be a fair amount of internal debate when they're discovered during development. Delaying the release of a product to fix a crash bug that's most likely not exploitable needlessly drives up development costs. An even worse outcome is ignoring a flaw that later results in an application being exploited.

"It's all about signal-to-noise ratio," Kaminsky said. "Nobody has the time or resources to learn all the obscure tricks we have in the security industry, let alone to build that into the process." ®

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com