Video: RSAC 2020 Keynote | We the People: Democratizing Security (November 2024)
Na konferencii RSA predstavil vedúci inžinier spoločnosti Google pre zabezpečenie Android Adrian Ludwig filozofiu spoločnosti pre zabezpečenie svojej mobilnej platformy. Je to zvyčajne prístup spoločnosti Google, ktorý sa spolieha na zhromažďovanie údajov a stavebné služby. Zároveň sa však zdá, že lietajú tvárou v tvár konvenčnej mobilnej bezpečnosti.
Neviditeľná bezpečnosť
Počas vystúpenia sa Ludwig niekoľkokrát vrátil k myšlienke jemnej bezpečnosti. „Efektívna a neviditeľná bezpečnosť vyvoláva pokoj, “ povedal. Cieľom bolo umožniť používateľovi interagovať s telefónom, tabletom alebo čokoľvek, čo používalo Android, bez toho, aby sa im bránili bezpečnostné problémy. „Nie tromfová bezpečnosť neznamená, že tam nie je, “ povedal Ludwig. "To znamená, že to funguje."
Tento prístup sa výrazne líši od prístupu bezpečnostného priemyslu ako celku, uviedol, ktorý sa vo veľkej miere spolieha na „bezpečnostné divadlo“. Pre neho to znamená aplikácie, ktoré nahlas hlásajú, ako vás chránia. „Väčšina bezpečnosti je v konečnom dôsledku o predaji väčšej bezpečnosti, “ povedal Ludwig prekvapivo úprimným vyhlásením na konferencii, ktorá sa zaoberá bezpečnostnými spoločnosťami.
Povolenia boli významnou výnimkou. „Je to jedno z miest, ktoré sme výslovne venovali bezpečnosti používateľov, “ uviedol. Tieto určujú, čo má aplikácia prístup a ku ktorej nemá prístup, a povzbudili sme čitateľov, aby si ich pozorne prečítali, aby sa mohli správne rozhodnúť, čo si stiahnu. Ludwig povedal, že to v skutočnosti nebol zámer. „Mysleli sme si, že ľudia sa vždy rozhodnú robiť inteligentné rozhodnutia? Pamätajte si, vidíme, čo ľudia hľadajú každý deň, “ dodal opatrne. Ďalej uviedol, že povolenia nie sú pre používateľov toľko, ale vývojárom pomáhajú pri prijímaní dobrých rozhodnutí „väčšinu času“.
To sa zhoduje s ďalším Ludwigovým prekvapivým výrokom: že nevidí Android ako operačný systém, ale skôr ako vývojovú platformu. „[Android] bol súbor API určených na vytváranie výkonných aplikácií, “ uviedol. „Poskytujeme služby vo forme aplikácií.“
Čo spoločnosť Google poskytuje
Aj keď Ludwig nejaký čas diskutoval o tom, ako podporili platformy Android zabezpečenie platformy - vrátane poďakovania NSA za SC Linux - dotkol sa aj viditeľnejších služieb Google. Napríklad tvrdil, že úsilie spoločnosti Google o detekciu škodlivého softvéru v službe Google Play prevyšuje úsilie celého odvetvia AV. Aj keď uznal, že to nie je neomylné.
Okrem iného zrejmého nástroja, ako je napríklad Správca zariadení Android, Ludwig poukázal na službu Overené aplikácie Google, ktorá poskytuje určitú ochranu používateľom, ktorí inštalujú aplikácie mimo obchodu Play. „Pravdepodobne to máte na telefóne a nepoznáte to, pretože takto sa otáčame, “ povedal Ludwig.
K dispozícii je tiež bezpečnostná sieť Android, ktorá podľa Ludwiga rozšírila ochranu v reálnom čase na samotné zariadenia. Hľadá sa to možné zneužitie, napríklad časté žiadosti o zasielanie prémiových správ SMS - bežná taktika používaná na speňaženie škodlivých aplikácií.
„Musel by som uhádnuť, že ide o najväčšie nasadenie bezpečnostných služieb na svete, “ povedal Ludwig.
Rozmanitosť a otvorenosť sú dobré
Android je známy ako otvorená platforma a Ludwig uviedol, že tento prístup poskytuje neoceniteľné údaje o dobrých hercoch, zlých hercoch a normálnom správaní na mobilných zariadeniach. „Keď sa svet stáva interaktívnejším a stále viac a viac údajov prúdi, bezpečnosť sa v skutočnosti zlepšuje.“ Ludwig sa domnieva, že sa to výrazne líši od zavedených bezpečnostných stratégií, ktoré podľa neho závisia od izolácie.
Otvorenosť znamenala fragmentovaný Android, ale Ludwig zrejme naznačoval, že táto rozmanitosť je dobrá vec. Obrovská rozmanitosť hardvéru a softvéru Android znamená, že je oveľa ťažšie ovplyvniť všetky zariadenia. „Jeden zlatý majster s chybou ovplyvňuje stovky miliónov používateľov, “ uviedol. „Neexistuje jediný zlatý majster [pre Android], každé zariadenie je vyrobené zo zdroja, ktorý sa líši.“
Otvorenie tiež poskytlo bezpečnostným spoločnostiam miesto v systéme Android. „Nezabránili sme im, aby bežali na našej platforme, “ povedal a nepochybne urobil bodnutie do spoločnosti Apple. Ludwig namiesto toho uviedol, že spoločnosť Google privítala bezpečnostné spoločnosti a systém Android ťažil z ich práce.
Otvorenosť tiež uľahčuje akademický výskum v rastúcej oblasti mobilnej bezpečnosti. „Zabezpečenie mobilných telefónov predstavuje eufemizmus pre zabezpečenie systému Android, “ uviedol Ludwig. „Všetky dokumenty sa týkajú zabezpečenia systému Android, pretože je to jediné miesto, na ktoré majú výskumníci prístup v mobile.“
Funguje to?
Aby sa demonštrovala účinnosť prístupu spoločnosti Google k bezpečnosti, Ludwig prešiel časovou osou zneužívania Masterkey, ktorú si opatrní čitatelia SecurityWatch vybavia od minulého leta. Povedal, že spoločnosť Google dokázala rýchlo zistiť, že v obchode Play nedošlo k žiadnym takýmto zneužitiam, keď boli informovaní, že existuje. A čo viac, po tom, čo vedci Blueboxu, ktorí zistili zneužitie, verejne zverejnili svoje údaje, Google zrejme sledoval iba osem pokusov na milión inštalácií.
Ludwig mal podobný názor na škodlivý softvér pre Android ako celok, o ktorom sa uvádza, že je na vzostupe. Pripisoval to viac rýchlemu množeniu zariadení s Androidom a údaje, ktoré uviedol, ukázali relatívne malú časť škodlivého softvéru v obrovskom vesmíre Androidov. „Získate neuveriteľné titulky, pričom v podstate nebude nikto postihnutý.“
Je potrebné povedať, že spoločnosť Google doteraz odviedla vynikajúcu prácu pri spravovaní zabezpečenia systému Android - najmä pri zvažovaní toho, ako smartfóny vtrhli na scénu a prišli dominovať modernému počítaču. Stále však existujú vážne problémy, ktoré treba riešiť, ako sú netesné aplikácie a zabezpečenie osobných údajov.
Z pohľadu spoločnosti Google má Android vyvážené zabezpečenie s milosťou. Udržiavanie tejto rovnováhy bude pravdepodobne také, ako sa systém Android posudzuje podľa jeho vývoja.