Ao mudar a maneira que desenvolvedores fundamentam o código, o pesquisador de segurança Dan Kaminsky planeja corrigir falhas na proteção da computação. Durante a BlackHat e a Defcon no Rio All Suite Hotel e Casino em Las Vegas, conversamos com o pesquisador sobre sua teoria de que reescrever as regras da ciência da computação é a maneira de evitar falhas, ataques e outras vulnerabilidades.
Curta, no Facebook, a Fan Page do IT Web
Kaminsky é mais conhecido por ter descoberto e corrigido um bug no Domain Name System (DNS) da internet.
“Abordagens dogmáticas para segurança da computação não resolvem os problemas que temos. Precisamos de novos modelos de programação e engenharia porque o que estamos fazendo não está funcionando. Não há ciência suficiente sendo realizada”.
Nesta semana, ele planeja lançar uma atualização para o pacote chamado compilador Interpolique, que mantém o código e dados separados. Segundo o especialista, o problema com a forma que as coisas são feitas agora,é que desenvolvedores não escrevem códigos seguros: eles querem misturar códigos e dados.
Não é que os programadores odeiem segurança. “Eles não querem vazar números de cartões de créditos”. Então a pergunta é: por que os desenvolvedores não escrevem códigos de uma maneira que previna problemas?
“Temos que respeitar e dar a eles as ferramentas que precisam. Sabemos que temos problemas de segurança devido ao tempo gasto entre descoberta e resolução. Ainda não os corrigimos. Se conseguirmos corrigi-los, não custariam mais bilhões de dólares”.
A hipótese da linguagem teórica de segurança é que as vulnerabilidades são a consequência da forma que as linguagens códigos são escritos. Em outras palavras, as maiores dificuldades não se resolvem com a geração de números randomizados; e sim por meio da linguagem. Há três problemas: a inabilidade apara autenticação, para escrever código seguro e a incapacidade para prender os vilões.
Kaminsky explicou que ao usar, por exemplo, clocks no computador, isso evita que a randomização de geração de números seja uma maneira viável para atacar redes de computadores.
“Não importa qual código você escreva, se há partes no meio mudando ou bloqueando o que você envia. Bloqueio e alteração de conteúdo se torna realidade. A Verizon reivindica o direito de ser a primeira a reescrever as conexões de internet. Países inteiros estão silenciosamente bloqueados páginas de rede”.
“Antes de certificados serem mudados, temos que perceber que algo mudou. Minha área é a detecção. Quero aumentar a probabilidade de ocorrência de testes”.
Com tecnologias subjacentes, Kaminsky deseja aumentar a quantidade de dados disponíveis, então as vulnerabilidades podem ser descobertas mais rapidamente.
“Operamos em um vácuo de informação. Há coisa que tememos em segurança e censura. Por que não descobrir o que está acontecendo?”
Tradução: Alba Milena, especial para o IT Web | Revisão: Thaís Sabatini
Saiba mais:
Desenvolvimento de aplicativos migra para usuário final, diz Artech
Desenvolvimento de apps móveis: cuidados com a segurança
Segurança de aplicativos: três dicas para facilitar a gestão
Segurança: 5 dicas para ajudar na escolha da tecnologia
SpaceX, Anthropic e OpenAI estão no radar de Wall Street para possíveis aberturas de capital…
por Eduardo Honorato Falar sobre infraestruturas críticas na Era Digital tem sua própria complexidade dentro…
A adoção de inteligência artificial (IA) nas empresas não depende apenas da disponibilidade de ferramentas.…
A Cohesity anunciou a concessão da Patente Nº 12.619.501 pelo Escritório de Patentes e Marcas…
Diogo Cortiz, professor da PUC-SP e doutor em Tecnologias da Inteligência e Design Digital, tem…
DJ Sampath chegou aos Estados Unidos há 30 anos com oito dólares no bolso e…