-
Karen: Vincezo Izzo on yrittäjä ja
sijoittaja jolla on fokus kyberturvallisuudessa. Hän
-
on aloittanut, hänet on ostettu, ja
hän on toistanut tämän muutaman kerran, ja nyt hän on
-
neuvonantaja joka opastaa ihmisiä yritysten
perustamisessa, ostetuksi tulemisessa, ja
-
sen toistamisessa. Hän on lisäksi johtaja
CrowdStrikellä ja hän on kumppani MIT Media
-
Labissä.
Tarkistan vain ajan varmistaakseni että
-
aloitamme ajoissa, ja tämä on, aloita
puhumaan nyt. Kyberturvallisuuden
-
skaalasta. Toivottakaa lämpimästi tervetulleeksi
Vincenzo.
-
Aplodeja
-
Vincenzo Izzo: Joten, hei, kaikki, kiitos kun
olette täällä. Kuten Karen sanoi, olen tehnyt
-
muutamia muutoksia urallani, mutta minun
taustani on alunperin tekninen, ja
-
mitä halusin tehdä tänään on puhua
trendistä jota pidämme ikäänkuin
-
itsestäänselvyytenä ja se on tiettyyn pisteeseen asti ilmeinen
mutta myös aliarvostettu. Ja se on
-
pilvialustojen skaala turvallisuudessa. Erityisesti
kun sanon pilvialustojen skaala, tarkoitan
-
kykyä prosessoida erittäin suuria määriä
informaatiota ja myös luoda laskentatehoa
-
helposti, ja millainen rooli sillä on ollut
alallamme viimeisellä vuosikymmenellä. Mutta
-
ennenkuin puhun siitä, luulen että jonkinlainen
konteksti on tärkeää. Joten tulin
-
alalle noin 15 vuotta sitten ja aikoinaan,
paikat kuten
-
kongressi olivat paljon pienempiä paikkoja. Ne olivat
tiettyyn pisteeseen asti mukavampia ja yhteisö
-
oli pieni. Ala oli melko kapea.
Sitten jotain tapahtui noin vuonna 2010.
-
Ihmiset alkoivat ymmärtää että
enemmän ja enemmän valtioiden rahoittamia hyökkäyksiä
-
tehtiin. Operaatio Aurorasta Googlea vastaan,
Mandiantin raporttiin APT1, joka oli
-
ensimmäinen raportoitu asiakirja siitä miten Kiinan
PLA hakkeroi länttä- kutsutaan sitä
-
läntisen mailman infrastruktuuriksi IP varkauksille.
Ja se muutti paljon
-
alan osalta. On tapahtunut kaksi merkittävää
muutosta kaiken tämän huomion takia.
-
Ensimmäinen on pahamaineisuus. Menimme
kuten sanottua, suhteellisen tuntemattomasta
-
alasta johonkin sellaiseen josta jokainen
puhuu. Jos avaat minkä tahansa
-
sanomalehden, se sisältää lähes aina
artikkelin kyberturvallisuudesta, johtajisto puhuu
-
kyberturvallisuudesta... ja tietyssä mielessä,
taas, silloin kun liityin, kyberturvallisuus
-
ei ollut juttu. Sitä kutsuttiin nimellä
infosec. Nyt erittäin harvat ihmiset tietävät mitä
-
infosec edes tarkoittaa. Joten pahamaineisuus on yksi
asia, mutta pahamaineisuus ei ole ainut asia
-
joka muuttui. Toinen asia joka muuttui
on rahan määrä jota sektorilla
-
otettiin käyttöön. Eli, vuonna 2004, riippuen
arviosta johon luotat siellä, rahan
-
kokonais-käyttömäärä kyberturvallisuuteen oli väliltä
3.5 ja 10 miljardia dollaria.
-
Nykyään se on 120 miljardia dollaria. Ja siten
se tavallaan näyttää eksponentiaaliselta. Mutta
-
rahan kulutukseen tuli melkeinpä... Ikään kuin
erittäin merkittävä muutos sen osalta minkä tyyppisiä
-
pelureita alalla on nykyään.
Joten monet perinteisistä myyjistä jotka
-
myivät turvallisuuteen liittyviä sovelluksia ovat tavallaan
kadonneet. Ja mitä nykyisin on olemassa
-
on kahdenlaisia pelureita laajalti. On olemassa
isoja teknologian myyjiä. Joten on olemassa
-
yrityksiä kuten Google, Amazon, Apple ja
niin edespäin, jotka ovat ikäänkuin
-
päättäneet suhtautua turvallisuuteen vakavammin.
Jotkut niistä yrittävät kaupallistaa
-
turvallisuutta. Jotkut yrittävät käyttää sitä
ikään kuin sloganina myydäkseen enemmän puhelimia.
-
Toinen ryhmä ihmisiä tai entiteettejä ovat
isoja pilvipohjaisia turvallisuusmyyjiä. Ja
-
mitä molemmilla ryhmillä on yhteistä, on se että
ne käyttävät enemmän ja enemmän
-
pilvialustojen skaalaa ja pilven resursseja yrittäessään
puuttua turvallisuus ongelmiin. Joten se mistä haluan
-
keskustella tänään on lähtöisin jokseenkin
teknisestä näkökulmasta, skaalamme on aiheuttanut
-
merkittäviä vaikutuksia siihen millä tavalla
lähestymme ongelmia, mutta myös siihen millaisia
-
ihmisiä meillä on alalla nykyään.
Joten mitä aijon tehdä on antaa teille muutamia
-
esimerkkejä muutoksista joita olemme
kokeneet. Ja yksi, mielestäni yksi
-
tärkeimmistä asioista jota pitää mielessä on
mitä skaala on tehnyt, ainakin
-
viime vuosikymmenellä, on että se on antanut puolustukselle
merkittävän edun hyökkäystä vastaan. Se ei ole
-
välttämättä tullut tänne jäädäkseen, mutta luulen että se on
tärkeä trendi joka on jokseenkin
-
unohdettu. Joten antakaa, kun aloitan päätepisteen
turvallisuuden osalta. Eli 80-luvulla, muutamat ihmiset
-
aloittivat leikittelemään ajatuksella IDS
järjestelmistä. Ja idea IDS järjestelmän taustalla
-
on melko suoraviivainen. Haluat
luoda lähtötason hyväntahtoista käytöstä
-
koneelle, ja sitten jos se kone alkaa
näyttää epänormaalia käytöstä, tulisit
-
merkkaamaan sen mahdollisesti haitalliseksi. Tämä
oli ensimmäinen tutkimus joka on julkaistu isäntään
-
perustuvista IDS järjestelmistä. Nyt, ongelma
isäntään perustuvissa IDS järjestelmissä on että ne eivät koskaan
-
tosiasiassa menestyneet kaupallisena
tuotteena. Ja syy tälle on… Oli
-
olemassa laajalti kaksi syytä tälle:
Ensimmäinen on se että oli erittäin vaikeaa
-
tulkita tuloksia. Eli oli erittäin vaikeaa
hoksata: ”Hei, tässä on poikkeama ja
-
tämän takia tämä poikkeama voi mahdollisesti olla
tietoturvasattuma.” Toinen ongelma
-
oli, että oli paljon vääriä positiivisia ja
oli tavallaan vaikeaa muodostaa hyväntahtoista
-
perustasoa yhdellä koneella, koska sen osalta
oli niin paljon vaihtelua miten yksittäinen
-
kone käyttäytyy. Joten mitä tapahtui on
että kaupallisesti me tavallaan jäimme jumiin
-
antiviruksien, antivirus myyjien, ja
allekirjoitusten kanssa todella pitkäksi aikaa. Nyt,
-
pikakelataan vuoteen 2013. Kuten mainitsin, APT1
raportti tuli ulos ja Antivirus yritykset jopa
-
myönsivät että he eivät olleet niin hyödyllisiä
havaitsemaan asioita kuten Stuxnet tai Flame. Ja
-
sitten kaupunkiin ilmestyi ikäänkuin tuore
naama, ja muotisana sille oli
-
EDR. Joten, päätepisteen havaitseminen ja reaktio.
Mutta kun EDR erotellaan niinkuin
-
markkinoinnin nukasta, mitä EDR oikeastaan on, on
tosiasiassa isäntäpohjainen tunkeutumisen havaitsemis
-
järjestelmä skaalalla. Joten toisinsanoen, skaala
ja pilvien skaalauksen kyky on tehnyt mahdolliseksi
-
IDS järjestelmät kahdella tavalla.
Ensimmäinen tapa on että nyt itse asiassa on mahdollista
-
saada tietyn tyyppinen data-allas jossa on
lukuisia koneita, käytettävissä on paljon suurempia
-
tietoaineistoja kouluttamista ja havaitsemisen testaamisia varten.
Mitä se tarkoittaa on, että on paljon helpompaa
-
määritellä suotuisa perustaso, ja on
paljon helpompaa aikaansaada kunnon havaitsemista, jotta
-
ne eivät havaitse pelkästään haittaohjelmia, vaan myös
ikäänkuin haittaohjelmittomia hyökkäyksiä.
-
toinen juttu on että EDR myyjät ja myös
Yrityksillä joilla on sisäiset EDR järjestelmät
-
omaavat suurelta osin skaalaetua.
Ja mitä se tarkoittaa on että teillä voi
-
olla tiimi analyytikkoja jotka voivat luoda
selityksiä ja tavallaan filosofiaa jolla
-
selittää millä tavalla jokin tietty havainto voi itseasiassa
esittää turvallisuustapahtumaa. Sen lisäksi
-
koska teillä on nyt data-altaita, te
voitte nyt louhia sitä tietoa varten
-
jolla voitte keksiä uusia hyökkäyskaavoja joista te
ette olleet tietoisia menneisyydessä. Joten tämä
-
itsessään on melko merkittävä
saavutus, koska olemme viimeinkin onnistuneet
-
siirtymään pois allekirjoituksista johonkin sellaiseen
joka toimii paljon paremmin ja pystyy
-
havaitsemaan laajemman alueen hyökkäyksiä. Mutta
toinen juttu jonka EDR järjestelmä ratkaisi,
-
tavallaan sivuvaikutuksena, on datan
jakamisen ongelman. Joten, jos olet ollut
-
alalla pitkään, on ollut
useita yrityksiä jakaa uhkiin liittyvää dataa
-
erilaisten tahojen välillä ja ne kaikki
tavallaan epäonnistuivat koska oli todella vaikeaa
-
perustaa tavallaan protokolla jolla
jakaa sitä dataa. Mutta epäsuorasti, mitä EDR
-
on tehnyt, on pakottaa ihmisiä jakamaan ja
keräämään uhkatiedustelun dataa ja vain
-
yleisellä tasolla olevaa dataa päätepisteistä. Joten nyt
myyjät ovat muuttuneet tavallaan
-
epäsuorasti luotetuksi kolmanneksi osapuoleksi joka voi
käyttää sitä dataa havaintojen kirjoittamiseksi joita
-
voidaan käyttää kaikissa järjestelmissä, ei pelkästään
yksittäisissä yrityksissä tai yksittäisissä
-
koneissa. Ja sen tulos siitä,
seuraus siitä on meemi että
-
hyökkääjän tarvitsee vain onnistua siinä
kerran ja että puolustajan tarvitsee onnistua
-
aina mikä itseasiassa ei ole niin
totta enää, koska menneisyydessä olitte
-
tilanteessa jossa jos teillä oli
hyökkäävä infrastruktuuri, olipa se
-
palvelimet, olipa se hyväksikäyttöketju,
voisitte useimmiten käyttää niitä uudelleen
-
uudestaan ja uudestaan. Vielä jos teillä olisi
haittaohjelmia, teidän tarvitsisi ainoastaan hieman
-
muuntaa näytettä ja läpäisisitte minkä
tahansa havaitsemisen. Mutta nykyään se ei ole
-
enää totta useimmiten. Jos teidät
havaitaan yhdellä koneella, yhtäkkiä
-
kaikki teidän hyökkäys
infrastruktuurinne täytyy romuttaa ja teidän
-
täytyy aloittaa alusta. Joten tämä on
ensimmäinen esimerkki ja on mielestäni itsessään
-
melko merkittävä. Toinen esimerkki josta
haluan puhua on fuzzaus. Ja
-
fuzzaus on mielenkiintoista myös muusta
syystä, joka on se että se antaa meille vilkaisun
-
siihen miltä luulen tulevaisuuden näyttävän.
Koska olette luultavasti tulleet tutuksi, jos
-
olette tehneet yhtään sovelluksen kaltaisia töitä
menneisyydessä, fuzzing on ollut tavallaan
-
päätuote sovelluksen kaltaisissa arsenaaleissa erittäin
pitkään. Mutta menneisyydessä, luultavasti noin viidessä
-
vuodessa, fuzzing on kokenut eräänlaisen
renesanssin siinä mielessä että kaksi
-
asiaa on muuttunut. Kaksi asiaa on
parantunut suuresti. Ensimmäinen on että
-
onnistuimme viimeinkin löytämään paremman tavan
arvioida sopivuustoimintoa jota käytämme
-
fuzzingin ohjaamisessa. Joten muutama vuosi sitten,
joku nimeltä Michal Zalewski julkaisi
-
fuzzaajan nimeltä AFL, ja yksi ensisijaisista
intuitioista AFL:n takana oli että pystyitte
-
itseasiassa sen sijaan että käyttäisitte koodin kattavuutta
fuzzerin ajamiseen, käyttämään polun
-
kattavuutta fuzzerin ajamiseen ja se
muutti fuzzingin enemmän, tiedättekö,
-
enemmän tehokkaaksi välineeksi bugien
löytämiseen. Mutta seuraava intuitio jonka luulen
-
olevan vielä tärkeämpi ja joka
muutti fuzzingia merkittävästi on fakta
-
mikä tulee fuzzingiin liittyen, nopeus
on paljon tärkeämpää kuin äly. Tiedättekö,
-
tavallaan. Ja mitä tarkoitan tällä on että
kun katsotte AFL:ää, AFL esimerkkinä,
-
on äärimmäisen tyhmä fuzzer. Se tekee asioita
kuten tavujen flippaamista, bittien flippaamista. Sillä on
-
erittäin, erittäin yksinkertaisia strategioita muuntautumiselle.
Mutta mitä AFL tekee erittäin hyvin on, se on
-
äärimmäisen optimoitu kappale C koodia ja se
skaalautuu erittäin hyvin. Joten jos olette
-
tilanteessa jossa teillä on kohtuullisen
hyvä palvelin, jolla voitte ajaa AFL:ää, te
-
voitte syntetisoida erittäin monimutkaisia tiedostoformaateja
erittäin vähäisillä iteraatioilla. Ja mitä pidän
-
hämmästyttävänä on että tämän havainto
ei päde pelkästään tiedosto formaatteihin. Tämä
-
havainto pätee myös moniin vielä monimutkaisemman
olotilan koneisiin. Joten toinen esimerkki josta
-
haluan puhua fuzzingiin liittyen, on
ClusterFuzz. ClusterFuzz on
-
fuzzing ohjelma jota Chromen tiimi käyttää
bugien löytämiseen Chromessa ja ClusterFuzz on
-
ollut maisemissa noin kuusi vuotta.
Kuuden vuoden jaksolla ClusterFuzz löysi
-
kuusitoista tuhatta bugia pelkästään Chromessa,
plus yksitoista tuhatta muuta bugia
-
joukossa avoimen lähdekoodin projekteja. Jos
vertaatte ClusterFuzzia toiseksi eniten
-
onnistuneisiin fuzzereihin joita on olemassa
JavaScript moottoreille, huomaatte että
-
toiseksi tullut fuzzer nimeltään jsfunfuzz löysi noin
kuusi tuhatta bugia aikajaksolla kahdeksasta
-
yhdeksään vuoteen. Ja jos katsotte koodia,
isoin ero näiden kahden välillä ei ole
-
muuntautumismoottori. Muuntautumismoottori
on itseasiassa melko samankaltainen. Ne eivät...
-
ClusterFuzz ei tee mitään
erityisen hienoa, mutta mitä ClusterFuzz
-
Tekee erittäin hyvin on että se skaalautuu suuresti.
Joten ClusterFuzz käyttää nykyään noin kaksikymmentäviisi
-
tuhatta ydintä. Joten fuzzauksessa
olemme sillä tasolla jossa bugien suoltaminen
-
on niin korkeaa että puolustuksella on jälleen
etu verrattuna hyökkäykseen koska
-
bugien korjaamisesta tulee paljon nopeampaa kuin
hyväksikäyttöketjujen korjaamisesta, mikä olisi
-
ollut käsittämätöntä vain muutama vuosi
sitten. Viimeinen esimerkki jonka haluan nostaa
-
esille on hieman erilainen. Eli, muutama
kuukausi sitten, Googlen TAG joukkue löysi
-
erämaasta palvelimen jota käytettiin
vesiaukko hyökkäyksessä, ja siitä ajateltiin
-
että palvelinta oli käytetty Kiinalaisia
Muslimi toisinajattelijoita vastaan. Mutta mikä on kiinnostavaa
-
on että se tapa jolla havaitsisitte tällaisen
hyökkäyksen menneisyydessä on että teillä olisi
-
vaarantunut laite ja te tulisitte
tavallaan työskentelemään takaperin siitä.
-
Yrittäisitte keksiä miten laite
on vaarantunut. Mikä on kiinnostavaa on
-
että tapa jolla he löysivätpalvelimen oli
tosiasiassa louhia heidän paikallista kopiota
-
Internetistä. Ja niin, taas, tämä on
taas yksi esimerkki skaalasta joka antaa heille
-
merkittävää etua puolustuksessa vastaan
hyökkäys. Joten, kaikissa näissä esimerkeissä
-
joita nostin esille, luulen että kun katsotte
niitä tarkemmin, ymmärrätte että ei ole niin
-
että turvallisuuden tila olisi
parantunut koska olisimme välttämättä tulleet
-
paremmaksi turvallisuudessa. Se on parantunut
koska olemme tulleet paremmaksi käsittelemään
-
suuria määriä dataa, tallentamaan suuria
määriä dataa, ja poikimaan laskenta
-
tehoa ja resursseja nopeasti tarvittaessa.
Joten, jos se on totta, sitten yksi...
-
muu ymmärrettävä asia on että monissa
näistä tapauksista, kun katsotte edellisiä
-
esimerkkejä joita toin esille, se on
itseasiassa niin että skaala näyttää
-
paljon erilaisemmalta ongelmaan liittyen
paljon pienemmällä skaalalla, ja ratkaisu
-
lopputuloksena on hyvin erilainen. Joten aijon
käyttää hassua esimerkkiä yrittääkseni ajaa
-
asian kotiin. Sanotaan että teidän työ on
auditoida tätä ominaisuutta. Ja teidän tarvitsee
-
löytää bugeja siinä. Jos
C koodi ei ole teille tuttu,
-
tässä ongelmaksi muodostuu että voitte ylivuotaa
tai alivuotaa puskuria mielenne mukaan
-
vain syöttämällä satunnaisen arvon "pos".
Nyt, jos manuaalisesti auditoisitte
-
tämän asian, tai jos työnne olisi auditoida
tämä funktio, selvästi, voisitte käyttää... teillä
-
olisi monia työkaluja joita voisitte käyttää. Te
voisitte tehdä manuaalista koodin auditointia. Voisitte
-
käyttää symbolista suoritusmoottoria. Voisitte
käyttää fuzzeria. Voisitte käyttää staattista
-
analyysiä. Ja monet ratkaisuista jotka
ovat optimaalisia tässä tapauksessa ovat lopulta
-
täysin hyödyttömiä, jos tehtäväksesi
tulee auditoida tätä funktiota
-
sen takia että tilakone jonka tämä
funktio toteuttaa on niin monimutkainen että
-
monet työkaluista eivät skaalaudu päästäkseen
tänne. Nyt, useimpien ongelmien osalta joista
-
olen puhunut, me tavallaan kohtaamme saman
tilanteen jossa ratkaisu skaalassa ja
-
ongelman skaala näyttää hyvin erilaiselta.
Joten yksi asia, yksi oivallus on että
-
konetekniikan taidot ovat nykyään enemmän
tärkeitä kuin turvallisuus taidot monilla
-
tavoilla. Joten kun katsotte... kun ajattelette
taaksepäin fuzzereita kuten ClusterFuzz, tai AFL,
-
tai jälleen EDR työkaluja, millä on väliä on
että siinä ei ole oikein minkäänlaista turvallisuusosaamista.
-
Millä on väliä on että on olemassa kyky
kyky suunnitella järjestelmiä jotka skaalautuvat mielivaltaisesti
-
hyvin, tavallaan niiden palvelinpuolen,
suunnittelemiseksi, koodin kirjoittamiseksi joka on erittäin
-
tehokas ja millään tästä ei oikeastaan ole
tekemistä perinteisien turvallisuus
-
taitojen kanssa. Toinen asia jonka käsitätte on
kun yhdistätte nämä kaksi asiaa
-
paljon siitä mitä pidämme tutkimuksena
tapahtuu toisenlaisessa maailmassa tiettyyn
-
pisteeseen asti. Eli, kuusi vuotta sitten, noin kuusi vuotta
sitten, pidin puheen konferenssissa nimeltä
-
CCS ja se on akateeminen konferenssi. Ja
käytännössä mitä minä... minun sanoma siellä oli
-
että jos yliopistot haluaisivat tehdä tutkimusta
joka on alalle relevanttia, heidän
-
tulisi puhua alalle enemmän. Ja minä
luulen että olemme nyt saavuttaneet pisteen jossa
-
tämä on totta alalle siinä mielessä
että jos haluamme yhä tuottaa
-
merkityksellisiä tutkimuksia paikoissa kuten CCC,
olemme tavallaan huonossa paikassa koska paljon
-
innovaatioista jotka ovat käytännöllisiä
oikeassa elämässä tapahtuu erittäin isoissa...
-
erittäin isoissa ympäristöissä joihin harvoilla meistä
on pääsy. Ja tulen puhumaan tästä
-
hieman enemmän kohta. Mutta
ennenkuin teen niin, on olemassa kysymys johon pidän
-
tärkeänä poiketa hetkeksi.
Ja tämä kysymys on:
-
Olemmeko muuttuneet
merkittävästi alana, olemmeko
-
tavallaan uudessa ajassa alalla?
Ja luulen että jos jaatte
-
alan vaiheisiin, poistuimme tavallaan
artisaanivaiheesta, vaihe jossa
-
eniten merkitystä oli turvallisuuden tiedolla.
Ja nyt olemme vaiheessa missä meillä on
-
tällaisia ison skaalan ammattilaisten järjestelmiä jotka
vaativat paljon enemmän
-
suunnittelutaitoja, jotka vaativat
turvallisuustaitoja, mutta ne silti ottavat syötteitä
-
vastaan tavallaan turvallisuuden harjoittajilta.
Ja luulen että siihen liittyy kysymys: Oliko
-
tämä tässä? Vai onko tämä sellainen asia mihin
ala jää, vai onko jotain
-
muuta tulossa? Tiedän paremmin kuin
tehdä ennustuksia turvallisuudesta, koska
-
useimmiten ne ovat väärässä, mutta haluan
piirtää yhtäläisyyden. Ja se yhtäläisyys
-
on toisen alan kanssa, ja se on kone-
oppiminen. Joten, joku nimeltä Rich Sutton
-
joka on yksi koneoppimisen kummisetä,
kirjoitti esseen nimeltä "Katkera
-
Totuus". Siinä esseessä, hän
miettii monia vuosikymmeniä
-
koneoppimistyötä ja mitä hän sanoo
esseessä on että ihmiset ovat yrittäneet todella
-
pitkän ajan istuttaa tietoa kone-
oppimis järjestelmiin. Perustelut olivat että
-
jos pystyt istuttamaan tietoa, teillä olisi
älykäs... voisitte rakentaa älykkäämpiä
-
järjestelmiä. Mutta selvisi kuitenkin että mikä
oikeasti toimi olivat asioita jotka skaalautuvat
-
mielivaltaisesti hyvin isommalla laskenta
teholla, isommalla tallennuskyvyllä. Joten,
-
mitä hän tajusi oli että mikä oikeasti
toimi koneoppimisessa oli tutkimus ja
-
oppiminen. Ja kun katsotte asioita kuten
AlphaGO nykyään, AlphaGo ei oikeastaan toimi
-
sen takia että sillä on paljon tavoitetietoa. Se
toimii koska sillä on paljon laskenta
-
tehoa. Sillä on kyky opettaa itseään
nopeammin ja nopeammin. Joten kysymys herää
-
kuinka paljon tästä voidaan
portata turvallisuuteen. Selvästi,
-
turvallisuus on hieman erilainen, se on enemmän
vihamielinen luonteeltaan, joten se ei ole aivan
-
sama asia. Mutta luulen että me... me
olemme vain raapaisseet pintaa siitä
-
mitä on tehtävissä uuden automaation
tason saavuttamiseksi missä turvallisuuden
-
informaatiolla on väliä enemmän tai vähemmän. Joten luulen
että haluan palata AFL esimerkkiin jonka
-
toin esille aikaisemmin, koska yksi tapa ajatella
AFL:ää on ajatella siitä
-
vahvistamisen oppimis fuzzerina. Ja mitä minä
tarkoitan tällä... on tässä diassa, mihin AFL
-
kykenee, on ottaa yksittäinen JPEG
tiedosto ja noin tuhannenkahdensadan
-
päivän kestävän kertaamisen jälkeen, se
muodosti täysin satunnaisen tyhmän muunnoksen. Siirry
-
toiseen hyvin muodostuneeseen JPEG tiedostoon. Ja kun
ajattelette sitä, tämä on hämmästyttävä
-
saavutus koska AFL:ssä ei ollut mitään
tietoa sen tiedostoformaatista. Ja näin olemme
-
sisällä... rakennamme nyt enemmän ja enemmän
järjestelmiä jotka eivät vaadi minkäänlaista
-
asiantuntijan tietämystä turvallisuuden mielessä
pitäen. Toinen esimerkki josta haluan
-
puhua on Cyber Grand
Challenge. Eli DARPA... muutama vuosi sitten
-
aloitti tällaisen kisan nimeltä Cyber
Grand Challenge,
-
ja ideana cyber grand challengen takana
oli yrittää vastata kysymykseen siitä
-
voitko automaattisesti generoida hyväksikäyttömetodeja
ja voitko automaattisesti generoida paikkauksia
-
Ja ilmiselvästi he tekivät sen
joissain hyvissä leikki ympäristöissä. Mutta jos
-
puhut nykyään kenelle tahansa joka tekee automaattista
viennin generointitutkimusta, he tulevat
-
kertomaan sinulle että olemme luultavasti viiden vuoden päässä
kyvystämme automaattisesti
-
syntetisoida ei triviaalisia hyväksikäyttömetodeja, joka on
hämmästyttävä saavutus koska jos
-
olisitte kysyneet keneltä tahansa viisi vuotta sitten, useimmat ihmiset,
minä mukaanlukien, tulisimme kertomaan teille että
-
sen aika ei ole vielä lähelläkään.
Kolmas esimerkki jonka halusin nostaa esille on
-
jokin nimeltä Amazon Macie, joka on
uuden tyyppinen palvelu Amazonilta
-
Ja se käytännössä käyttää kone
oppimista yrittääkseen automaattisesti tunnistaa
-
PII informaatiota ja immateriaaliomaisuutta
datassa. Aloititte AWS:llä ja
-
sitten yrititte antaa paremman käsityksen
mitä sille datalle tapahtuu. Joten kaikissa
-
näistä tapauksista, kun ajattelette niitä,
taas, se on tilanne mihin tarvitaan erittäin
-
vähän turvallisuuden asiantuntijuutta. Mikä
merkitsee enemmän on suunnittelutaidot. Joten
-
kaikki mitä olen sanonut tähän asti on kohtuullisen
positiivista skaalalle. Se on positiivinen skaala,
-
se on positiivinen, tavallaan tapaus
skaalalle. Mutta luulen että skaalalla
-
on toinen puoli johon paneutua.
Ja luulen että se on erityisen tärkeää
-
ajateltavaa tälle yleisölle. Ja toinen
puoli skaalasta on että skaala synnyttää
-
keskittämistä. Ja joten siihen pointtiin jota
olin tekemässä aikaisemmin siitä missä, missä
-
tutkimus tapahtuu, missä oikeaan elämään
soveltuvaa tutkimusta tapahtuu, ja se
-
tapahtuu kasvavassa määrin paikoissa kuten Amazon
tai Google tai isot turvallisuusmyyjät tai
-
joissain tiedusteluvirastoissa. Ja mitä
se tarkoittaa on että kenttä, esteet
-
sisäänpääsyyn alalle ovat merkittävästi
korkeammat. Eli kuten sanoin aikaisemmin että yritin
-
liittyä alalle noin 15 vuotta sitten.
Silloin, olin vielä lukiossa. Ja yksi
-
asioista joka oli siistiä
alan osalta minulle oli että kunhan teillä
-
oli kohtuullisen hyvä internet
yhteys ja kannettava, pystyitte
-
olemaan osallisena alan huippuun.
Pystyitte näkemään mitä kaikki tekevät. Te
-
pystyitte tekemään tutkimusta mikä
oli relevanttia alan työstämille asioille.
-
Mutta tänään, samanlaisella 15, 16
vuotiaalla lapsella lukiossa olisi
-
paljon vaikeampaa olla osallisena
alalla. Joten olemme tilanteessa
-
jossa... mutta koska skaala synnyttää
keskittämistä. Olemme tilanteessa
-
jossa me todennäköisesti kasvatamme estettä
sisäänpääsyyn siten että jos haluatte
-
olla osallisena turvallisuudessa merkityksellisesti,
joudutte kulkemaan erittäin
-
standardisoitua polkua jossa luultavasti
teette tietokonetiedettä ja sitten pääsette töihin
-
isoon teknologiayritykseen. Ja se ei ole
välttämättä positiivinen asia. Joten luulen että
-
sama Kranzbergin periaate pätee skaalaan
tietyssä mielessä, missä se on tehnyt paljon
-
positiivisia asioita sektorille, mutta se
tuo myös mukanaan seurauksia. Ja jos
-
tästä esityksestä voi ottaa yhden asian
jonka haluan antaa teille on ajatella
-
kuinka paljon jokin asia joka on melko
arkipäiväinen jota pidämme itsestäänselvyytenä
-
jokapäiväisessä elämässämme on muuttanut alaa
ja kuinka paljon se luultavasti antaa
-
seuraavaan vaiheeseen alalla. Ja eikä
pelkästään teknisestä näkökulmasta.
-
Ratkaisut joita käytämme nykyään
eivät ole kovin erilaisia siitä mitä ennen käytimme,
-
mutta myös niiltä ystävällisiltä ihmisiltä jotka
ovat osa alaa ja yhteisöä.
-
Ja siinä oli kaikki osaltani. Kiitos
kuuntelemisesta.
-
Aplodeja
-
Karen: Kiitos paljon. Meillä on aikaa
kysymyksille. Joten jos teillä on
-
kysymyksiä Vincenzolle, asettukaa jonoon
mikrofonien taakse jotka on merkitty
-
numeroilla ja annan teille merkin
jos voitte kysyä kysymyksen. Meillä on myös
-
uskomattomat signal enkelimme jotka ovat
tarkkailleet Internetiä nähdäkseen
-
onko kysymyksiä tullut joko
Twitteristä, Mastodonista tai IRC:stä.
-
Onko kysymyksiä Internetistä? Meidän
täytyy vain mikittää neljäs... mikrofoni numero
-
yhdeksän laitetaan päälle ja sitten meillä on
kysymys Internetistä Vincenzolle.
-
Älkää olko ujoja. Jonottakaa mikrofonin
taakse. Kysykää mitä tahansa.
-
Signal Enkeli: Nyt se on päällä. Mutta itseasiassa
Internetistä ei ole yhtään kysymyksiä
-
juuri nyt.
Karen: Huoneessa on varmasti ihmisiä
-
joilla on joitain kysymyksiä. En näe
ketään jonottamassa. Vincenzo onko sinulla mitään vinkkejä
-
ihmisille jotka haluavat työstää
turvallisuutta skaalalla?
-
Vincenzo: No tuota, mietin että
suuri osa mielenkiintoisista tutkimuksista
-
tapahtuu enemmän ja enemmän teknologia
yrityksissä ja sen kaltaisissa. Niin paljon
-
kuin se sattuukin. Luultavasti ohje on
ajatella löydätkö vai et muita
-
keinoja saada pääsyä suureen määrään
dataa tai ja laskentatehoon tai ehkä
-
harkita työjaksoa johonkin noista paikoista.
Karen: Ja nyt meillä on itseasiassa kysymyksiä
-
mikrofoni numero yhdellä.
Mikrofoni 1: Voitteko kuulla minut? Kyllä. Kiitos
-
hyvästä esitelmästä. Olet tekemässä
erittäin vahvan pointin siitä että informaatio skaalalla
-
on hyötynyt turvallisuudesta, mutta onko siitä myös
tilastollisia todisteita?
-
Vincenzo: Eli luulen, tuota, tähän
kysymykseen on hieman vaikea vastata koska
-
useat ihmiset joilla on motivaatio
vastata tuohon kysymykseen ovat myös tavallaan
-
puolueellisia, mutta luulen että kun katsot
metriikkoja kuten, aikaa siihen liittyen kuinka
-
paljon aikaa ihmiset käyttävät hyökkääjien
koneella, se aika on vähentynyt merkittävästi
-
kuten, se on tilastollisesti vähentynyt
merkittävästi. Mitä tulee muihin
-
esimerkkeihin joita nostin esille, kuten fuzzaus
ja sen kaltaiset. Niin pitkälle kuin olen
-
tietoinen, en usko että on tehty yhtään
tarkkaa tutkimusta tämän aiheen ympärillä.
-
Olemme tulleet sellaiseen paikkaan missä puoluksella on
tavallaan etua hyökkäystä vastaan. Mutta
-
luulen että jos puhun kenelle tahansa jolla on
jonkinlaista tietoa hyökkäävästä turvallisuudesta
-
tai he tekivät töitä hyökkäyksessä, yleisin
palaute jota saan kuulla on että siitä on tulossa
-
paljon vaikeampaa pitää bugiketjuja elossa
pitkään. Tämä ei suurelta osin ole oikeastaan
-
vastatoimenpiteitä varten. Se johtuu
suurimmaksi osaksi siitä että bugit jatkavat kuohumista.
-
Eli ei ole olemassa paljon
tilastollisia todisteita, mutta mitä voin
-
ymmärtää, tämä tuntuu olevan tapaus.
Karen: Meillä on yksi kysymys lisää
-
mikrofonilta numero yksi.
Mikrofoni 1: Eli kiitos kiinnostavasta
-
esitelmästä. Kysymykseni menee
hajautuksen suuntaan jonka
-
mainitsit, että isot niinkuin
palveluntarjoajat lähentyvät olemaan
-
pesäkkeitä turvallisuuden tutkimiselle. Eli
onko olemassa opastusta jota voit antaa meille
-
yhteisönä ja kuinka voimme säilyttää pääsyn
alalle ja antaa oman osamme?
-
Vincenzo: Kyllä. Eli. Eli tuo on
mielestäni kiinnostava tilanne
-
koska on olemassa enemmän
ja enemmän avoimen lähdekoodin työkaluja jotka
-
sallivat teidän kerätä dataa. Mutta
ongelma näissä datan keruu
-
harjoituksissa ei ole miten kerätä
dataa. Ongelma on mitä kerätä
-
ja miten säilyttää se. Koska kun katsotte
pilvipalvelun laskua, useimmille
-
pelureille, se on poikkeuksellisen suuri.
Ja en valitettavasti, minulla ei ole
-
helppoa ratkaisua siihen. Tarkoitan, voitte käyttää
melko halpoja pilvipalvelutarjoajia, mutta
-
se on silti, kulutus on silti
magnitudin verran korkeampi kuin se
-
oli. Enkä tiedä, ehkä yliopistot
voivat astua esille. En ole varma.
-
Karen: Meillä on viimeinen kysymys
Internetistä. Voitte jäädä
-
mikrofonille jos teillä on uusi kysymys
Vincenzolle.
-
Signal: Kyllä, Internet kysyi tuota. Kysyt
paljon fuzzauksesta skaalalla
-
paitsi OSS-Fuzz, oletko tietoinen mistään
muusta skaalatusta isosta fuzzing infrastruktuurista?
-
Vincenzo: Joka on julkisesti saatavilla? En.
Mutta kun katsot, tarkoitan että kun
-
katsot, vaikkapa, osallistujia
Cyber Grand Challengessä, monet heistä
-
käyttivät merkittävää
määrää CPU tehoa fuzzaukseen. Joten
-
en ole tietoinen minkäänlaisesta plug
and play fuzzing infrastruktuurista jota voisitte käyttää
-
muuta kuin OSS-Fuzz. Mutta on olemassa laki,
niin pitkälle kuin tiedän jokaisella
-
joka tekee fuzzausta elääkseen on
pääsy merkittäviin resursseihin ja yrittää
-
skaalata fuzzing infrastruktuuria.
Karen: Jos meillä ei ole enempää
-
kysymyksiä, tämä on viimeinen mahdollisuus
juosta mikrofonille tai kirjoittaa kysymys
-
Internettiin. Seuraavaksi luulen että meidän
pitäisi antaa isot aplodit Vincenzolle.
-
Vincenzo: Kiitos.
-
Aplodeja
-
[Translated by {Veli-Matti}{Tarkkonen} (KYBS2001EN25K2 course assignment at JYU.FI)]
