اخبار

پریسا تبریز و پیام کنفرانس بلک هت: شروع تقویت همکاری و پایان انزوا

ده‌ها هزار نفر از نقاط مختلف در این تابستان وارد منطقه‌ی گرم آمریکا شدند: لاس وگاس! دلیل آن مشخصاً کنفرانس بلک هت، اجتماع بهترین هکرها و متخصصین امنیت دنیا و ارائه‌ی ناب‌ترین ایده‌های ممکن است. این مطلب در خصوص سخنرانی پریسا تبریز در بلک هت ۲۰۱۸ می باشد.

ویدئو: سخنرانی پریسا تبریز در کنفرانس بلک هت ۲۰۱۸

 

برخی از مذاکرات نیز درباره‌ی امنیت در صنعت و شرکت‌هاست و همچنین بیان کردن مشکلات شخصی درگیر با تخصص در یک حرفه‌ی خاص که ایجاب می‌کند امنیت فیزیکی، امنیت ملی و شرایط ثابت ماندن وضعیت اقتصادی تامین شود.

کمپانی گوگل نیز در انتظار اجازه برای راهبری و پیشرفت این جنبش است. گوگل برای افراد زیادی خود اینترنت است و آنقدر برای این افراد اعتبار دارد که اگر سایتی با پروتکل http را معتبر نداند، به سایتی برچسب ناامن بزند یا انزوای سایتی در Chrome را اجرا کند، مورد تایید بسیاری قرار خواهد گرفت.

پریسا تبریز در کنفرانس بلک هت 2018

پریسا تبریز، مدیر امنیت گوگل، در طول سخنرانی اصلی خود این پیام را داد. او درخواست کرد تا روزهای رفع اشکالات را به پایان برساند. در عوض، کلاس‌های نرم‌افزار و اشکالات سخت‌افزاری باید ریشه‌کن شوند؛ چیزی که نیاز به رویکرد شناسایی علل ریشه دارد، به جای آنکه بارها و بارها برای هر تکه‌ی مشکل تنها یک راه حل قابل استفاده باشد.

تبریز اضافه کرد که این صنعت نیاز به سرمایه گذاری در پروژه‌های دفاعی فعال و قاطعانه‌تر عمل کردن در این پروژه‌ها است و اینکه باید بهترین‌های حوزه‌ی امنیت آن‌ها را تست کنند تا کارآیی آن‌ها ثابت شود.

هر شرکتی مثل گوگل تا این حد امکانات را ندارد. ولی پریسا تبریز که در برابر امنیت کروم، درست مثل تیم تحقیقاتی Zero Project مسئول است، می‌تواند این را عملی کند.

گوگل در آپدیت جدیدی برای کروم، ویژگی جدیدی ایجاد کرده تا بعضی سایت‌های غیرقابل اعتمادی را که همچنان ترافیک را انتقال می‌دهند، با علامت Not Secure نشان دهد. این پیاده‌سازی تدریجی بود؛ چون به مردم و سرمایه‌گذاری‌های مالی و تعامل با دیگر سازندگان مرورگر و ذینفعان برای عملی کردن آن نیاز داشت.

تبریز گفت: «ما باید بازی Whac-A-Mole را متوقف کنیم.» « گزارش‌های مربوط به یک آسیب‌پذیری که قبلا رفع شده است و یا یک مشکل بی‌اهمیت که ما در مورد آن اطلاع داشتیم، خیلی آزار دهنده است. ما به یک رویکرد بلندپروازانه، استراتژیک و مبتنی بر همکاری برای دفاع نیاز داریم.»

اصل حرکت گوگل، حذف http از کروم بود. در واقع این اصل کار تیم پریسا تبریزدر گوگل و خصوصاً Zero Project است. این تیم متشکل از محققان پیشرفته و تهاجمی، بیش از ۱۴۰۰ اشکال در نرم افزار، سخت افزار، سیستم عامل‌های تلفن همراه و غیره را رفع کرده است. همچنین اینکه جهشی بزرگ زمانی رخ داد که با ۹۰ روز مهلت افشای آن را بر کارکنان تحمیل کرد. سه ماه مهلت از طرف گوگل به آنان، آن مقدار زمانی است که اعتقاد دارد وقت کافی برای رفع آسیب‌پذیری‌‌ها است.

با توجه به اغراق بسیاری از جمله مایکروسافت و غول‌های دیگر تکنولوژی در سال ۲۰۱۴، برخی از شرکت‌ها مجبور بودند با افشای اطلاعاتی از Zero Project کنار آیند. با نگاهی به عقب، و با توجه به نتایج پیش از مهلت، نرخ patch در حدود ۲۵ درصد است. تبریز گفت که امروز، این میزان ۹۸ درصد است.

تبریز: «این رقم قابل توجهی است. اما بیانگر مهمترین تاثیر تیم ما نیست. هدف آن اطلاع رسانی و بهبود استراتژی‌های دفاعی است. این استراتژی ساختن یک خط تحقیق برای پیشبرد درک بیشتر بهره‌برداری آن توسط مدافعان می‌باشد.»

بخش رو به پیشرفت رویکرد گوگل در Site Isolation آشکار است. که بعداً در کروم برای اولین بار به طور پیش‌فرض فعال شد. جداسازی سایت مرزهایی بین سایت هایی را که از Chrome استفاده می کنند ایجاد می‌کند و در نتیجه سایت‌های مختلف تحت فرایندهای خودشان اجرا می‌شوند. این باعث قطع شدن اتصال تعدادی زیادی از دزدی‌های دیتا می‌شود و بر اساس تصادفی خوشایند مسیری طولانی در جهت کاهش آسیب‌پذیری Spectre and Meltdown در تراشه های سخت افزاری در اوایل امسال پیدا شد.

تبریز گفت: «هیچکس Spectre را پیش‌بینی نمی‌کرد و ما مدت‌ها در حال پیدا کردن راه حل این مشکل بودیم. Site Isolation برای کروم شروعی خوش فراهم کرد. »

Spectre and Meltdown تازه‌ترین نمونه‌هایی از همکاری شرکت‌های چندملیتی بود، چیزی که تبریز از سخنرانی خود در بلک هت برای بیان مهم‌ترین مسائل نیاز به یادآوری‌ استفاده کرد.

او گفت: «سرمایه گذاری در پروژه‌های دفاعی، هسته‌ی اصول امنیت انزوا، مهار و سادگی را ارتقاء می دهد. هنگامی که مزایا روشن نیست، ارتباط برقرار کردن و خارج کردن افراد غیر از تیم امنیتی خود در یک پروژه‌ی سرمایه گذاری شده مهم است.»

 

مطالب مرتبط:

 


پریسا تبریز و پیام کنفرانس بلک هت: شروع تقویت همکاری و پایان انزوا


پانته‌آ ستوده

دیدگاهتان را بنویسید