Поиск уязвимостей в компьютерных системах становится сродни наблюдению за жизнью в живой природе

Вчера в часовом поясе Сингапура на конференции Black Hat Asia выступил исследователь по компьютерной безопасности Даниэль Грусс (Daniel Gruss), доцент Австрийского технологического университета Граца. Именно команда Грусса обнаружила уязвимости Meltdown и Spectre в процессорных архитектурах Intel и не только. По мнению специалиста, компьютерную безопасность непоправимо нарушила возросшая сложность систем. Но лекарство есть, хотя и не абсолютное.

Даниэль Грусс (Daniel Gruss) на фото по центру

Грусс уверен, что нас защитит переосмысление информатики. Сегодня ещё можно классическими способами сделать систему доказуемо безопасной, но это, прежде всего, будет невыгодно заказчику, ибо обойдётся в весьма круглую сумму. Поэтому уже мало кто заботится о том, чтобы проверять систему со всеми её подсистемами на отсутствие компрометирующих элементов. Уязвимости Meltdown и Spectre стали тому ярким примером.

Как считает Грусс, в дальнейшем, по мере прекращения действия закона Мура, люди будут использовать все больше и больше систем с всё большим количеством ядер процессоров и ускорителей, взаимодействующих друг с другом, что означает еще больший риск для безопасности. По его мнению, создание более простых систем — это не вариант, потому что теперь человечество ожидает повсеместных высокопроизводительных вычислений.

Всё это приводит нас в мир, где отдельные системы имеют недостатки, а взаимодействие между ними невозможно обезопасить. Мы строим и подключаем все больше компьютеров каждый день, даже если мы знаем, что это только увеличивает риск, и мы не можем или не будем это менять.

К счастью, специалист думает, что есть способ остановить этот нагромождающийся друг на друга хаос. Компьютерным наукам необходимо переосмыслить себя. Сегодня эта категория знаний относится к формальной науке. Дальше это недопустимо. Сложность компьютеров и сетей теперь приближается к сложности структур, организмов и популяций, наблюдаемых в биологии. А для изучения подобных живых систем лучший способ понять происходящее — это использование эмпирических методов. Фактически натурфилософия (отдельный привет «Барочному циклу» Нила Стивенсона и его же «Криптономикону»).

«Наши системы становятся всё более и более сложными, поэтому мы должны уделять всё больше и больше времени изучению их, как изучаем природу», — сказал Грусс.

Грусс считает, что это может быть хорошей новостью для профессионалов в области безопасности, потому что миру явно потребуется их больше, и у многих будут новые навыки, которым нужно научиться. «Я ожидаю, что через 30 лет у нас будет больше людей, изучающих и анализирующих системы, и у нас будет больше разнообразных работ по обеспечению безопасности, — сказал он на виртуальном мероприятии. — У нас будет гарантия работы для всех, кто занимается анализом безопасности. Я полагаю, что это хорошо».

Источник: