Mũ đen: Chính phủ Mỹ muốn nghiên cứu an ninh của bạn

BlackHat: U.S Government Wants Your Security Research

CựuHacker “Mudge” công bố chương trình mới để cấp vốncho nghiên cứu về an ninh. Ông nói “hacker” không phảilà một từ xấu.

FormerHacker "Mudge" announces new program to fund securityresearch. He claims "hacker" is not a bad word.

August4, 2011, By SeanMichael Kerner

Theo:http://www.datamation.com/security/black-hat-u.s-government-wants-your-security-research.html

Bàiđược đưa lên Internet ngày: 04/08/2011

Lờingười dịch: Đâylà những gì một tin tặc nổi tiếng một thời của nướcMỹ với chương trình bẻ khóa mật khẩu L0phtCracknói tại hội nghị Mũ Đen của Mỹ hôm 03/08/2011: “DARPA(Văn phòng Đổi mới sáng tạo Thông tin, Cơ quan Dự ánNghiên cứu Cao cấp Quốc phòng) giữ một danh sách theodõi các phần mềm được sử dụng trong chính phủ cầnvá hoặc sửa các lỗi về an ninh. Như một nguồn của sựmỉa mai và thất vọng, Zatko nói rằng trong một danh sáchgần đây, 6trong số 17 chỗ bị tổn thương mà DARPA từng theo dõi đểsửa từng là những chỗ bị tổn thương trong các phầnmềm an ninh.Vì thế các phần mềm tưởng là đảm bảo an ninh chochính phủ trong một số trường hợp lại là có thể bịtổn thương và vẫn còn chưa được vá... Không có mụctiêu nhỏ và mục tiêu lớn bao giờ nữa... Mọi thứ làmục tiêu lớn trong các hệ điều hành hiện đại... vớimỗi 1,000 dòng mã lệnh, thì có từ 1-5 lỗi tồn tại...Không phải tất cả các lỗi này đều có khả năng bịkhai thác, nhưng một số thì có”. Hơn nữa, Sẽ có DARPASummer of Code cho việc kiểm tra các phần mềm nguồn mở.“Chính phủ Mỹ sử dụng mã nguồn mở nên chính phủsẽ giúp họ cũng như cộng đồng... “Những gì tốt chocộng đồng này cũng tốt cho DARPA”. Bạn có còn tin vàocác phần mềm an ninh được mua từ nước ngoài vào ViệtNam để sử dụng không???

LasVegas. Hacker không phải là một từ xấu. Đó là khẳngđịnh của Peiter “Mudge” Zatko, Quản lý chương trình,Văn phòng Đổi mới sáng tạo Thông tin, Cơ quan Dự ánNghiên cứu Cao cấp Quốc phòng (DARPA) trong chính phủ Mỹ.Zatko đã trình bày bài nói chuyện chính tại hội nghịan ninh Mũ Đen, một nói ông quen thuộc, từng trước đâylà một hacker nổi tiếng với đội hacker L0pht, từng nổitiếng với công cụ phá mật khẩu L0phtCrack của mình.

Zatkođã lưu ý rằng mục tiêu của ông nói tại hội nghị MũĐen là để giúp xây dựng một cầu nối giữa cộng đồngan ninh và chính phủ. Ông đã nhấn mạnh rằng tiếp cậnhiện đại để xây dựng các giải pháp an ninh cho cả sửdụng của chính phủ và doanh nghiệp không làm việc tốtđược như nó nên và có thể.

Zatkođã giải thích rằng DARPA giữ một danh sách theo dõi cácphần mềm được sử dụng trong chính phủ cần vá hoặcsửa các lỗi về an ninh. Như một nguồn của sự mỉamai và thất vọng, Zatko nói rằng trong một danh sách gầnđây, 6 trong số 17 chỗ bị tổn thương mà DARPA từngtheo dõi để sửa từng là những chỗ bị tổn thươngtrong các phần mềm an ninh. Vì thế các phần mềm tưởnglà đảm bảo an ninh cho chính phủ trong một số trườnghợp lại là có thể bị tổn thương và vẫn còn chưađược vá.

Vấnđề khác mà Zatko lo lắng là thực tế rằng các phầnmềm hiện đại được xây dựng theo nhiều lớp, làm giatăng bề mặt tấn công.

“Khôngcó mục tiêu nhỏ và mục tiêu lớn bao giờ nữa”, Zatkonói. “Mọi thứ là mục tiêu lớn trong các hệ điềuhành hiện đại”.

Zatkođã bổ sung rằng đối với mỗi 1,000 dòng mã lệnh, thìcó từ 1-5 lỗi tồn tại.

“Khôngphải tất cả các lỗi này đều có khả năng bị khaithác, nhưng một số thì có”, Zatko nói. “Chúng ta đangtạo ra một khu vực giao diện rất lớn và phức tạp vàđiều đó là khó để bảo vệ”.

LASVEGAS. Hacker is not a bad word. That's the assertion of Peiter"Mudge" Zatko, Program Manager, Information InnovationOffice, Defense Advanced Research Projects Agency (DARPA) in the U.SGovernment. Zatko delivered the keynote address at the Black Hatsecurity conference, a stage he's familiar with, having formerly beena well known hacker with the L0pht hacker collective, which wasfamous for its L0phtCrack password cracking tool.

Zatkonoted that his goal in speaking at Black Hat was to help build abridge between the security community and the government. He stressedthat the modern approach to building security solutions for bothgovernment and commercial use isn't working as well as it could orshould.

Zatkoexplained that DARPA keeps a watchlist of software deployed in theGovernment that needs patching or security fixes. As a source ofirony and frustration, Zatko said that on a recent list, six out of17 vulnerabilities that DARPA was tracking for fixes were forvulnerabilities in security software. So the software that issupposed to be securing the government is in some cases vulnerableand still unpatched.

Theother issue that Zatko is worried about is the fact that modernsoftware is built in multiple layers, which end up increasing theattack surface.

"Thereis no small target and large target anymore," Zatko said."Everything is a large target in modern operating systems."

Zatkoadded for every 1,000 lines of code, 1 to 5 bugs are introduced.

"Notall those bugs are exploitable, but some are," Zatko said. "Weare creating a very large and complex surface area and that'sdifficult to protect."

Theokinh nghiệm của Zatko, thế giới thương mại không phảilúc nào cũng luôn giải quyết các vấn đề về an ninh,nơi mà DARPA sẽ có khả năng giúp.

Zatkođã công bố rằng nỗ lực của DARPA RA-11-52 chỉ sốngđộng trong tuần này, mà là một chương trình cho nghiêncứu an ninh xử lý nhanh (fast-track) về không gian mạng.Ông đã lưu ý rằng nỗ lực hiện hành của chính phủthường liên quan tới qui trình quá phức tạp cả về muasắm và phát triển.

“Tôinghĩ đến lúc phải giúp các nhóm nhỏ hơn cấp vốn vàgiúp nghiên cứu về an ninh”, Zatko nói.

Zatkomuốn năng lượng mới và nhanh hơn, các giải pháp sángtạo hơn mà có thể chưa phù hợp với các chủng loạivà sản phẩm hiện đang tồn tại. Ông cũng muốn các nhànghiên cứu giảm bề mặt tấn công trong các chươngtrình. Ông bổ sung rằng DARPA dự định nuôi dưỡng cácmối quan hệ và trở thành một tài nguyên.

TheoZatko, trong quá khứ cố làm việc với chính phủ có thểthường đòi hỏi một nhà nghiên cứu phải có một độinhững người chỉ ra cách quản lý 'bài nói của chínhphủ' trong qui trình RFP.

Xửlý nhanh về không gian mạng được mong đợi làm cho toànbộ qui trình sẽ nhanh hơn cho các nhà nghiên cứu an ninhđể có được sự cấp vốn từ chính phủ. Zatko đã lưuý ông mong đợi khoảng 20-100 nỗ lực sẽ được cấpvốn mỗi năm, với khoảng 14 ngày là có được hợpđồng.

Chươngtrình xử lý nhanh không gian mạng cũng sẽ xem xét tiếnhành nỗ lực DARPA Summer of Code cho việc kiểm tra các phầnmềm nguồn mở. Zatko nói rằng Chính phủ Mỹ sử dụngmã nguồn mở nên chính phủ sẽ giúp họ cũng như cộngđồng.

“Nhữnggì tốt cho cộng đồng này cũng tốt cho DARPA”, Zatkonói.

InZatko's experience, the commercial world doesn't always solvesecurity problems, which is whe-re DARPA will be able to help.

Zatkoannounced that the DARPA RA-11-52 effort just went live this week,which is a program to cyber fast-track security research. He notedthat current government effort often involves overly complex processboth in terms of acquisition and development.

"Ithink it's time to help smaller groups to fund and help securityresearch," Zatko said.

Zatkowants new energy and faster, more creative solutions that might notfit into existing categories of products. He also wants researchersto reduce the attack surface in programs. He added that DARPA intendsto cultivate relations and become a resource.

Accordingto Zatko, in the past trying to deal with the government would oftenrequire a researcher to have a team of people to figure out how tohandle the 'government speak' in the RFP process.

Cyberfast-track is intended to make the whole process easier for securityresearchers to get government funding. Zatko noted that he expectsthat between 20 and 100 efforts will be funded each year, with a14-day turnaround to get on contract.

TheCyber fast-track program will also be looking to do a DARPA Summer ofCode effort for auditing open source software. Zatko said that theU.S. Government uses open source code so it will help them as well asthe community.

"What'sgood for this community is good for DARPA," Zatko said.

Dịchtài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com