Поиск уязвимостей в компьютерных системах становится сродни наблюдению за жизнью в живой природе
Вчера в часовом поясе Сингапура на конференции Black Hat Asia выступил исследователь по компьютерной безопасности Даниэль Грусс (Daniel Gruss), доцент Австрийского технологического университета Граца. Именно команда Грусса обнаружила уязвимости Meltdown и Spectre в процессорных архитектурах Intel и не только. По мнению специалиста, компьютерную безопасность непоправимо нарушила возросшая сложность систем. Но лекарство есть, хотя и не абсолютное.
Грусс уверен, что нас защитит переосмысление информатики. Сегодня ещё можно классическими способами сделать систему доказуемо безопасной, но это, прежде всего, будет невыгодно заказчику, ибо обойдётся в весьма круглую сумму. Поэтому уже мало кто заботится о том, чтобы проверять систему со всеми её подсистемами на отсутствие компрометирующих элементов. Уязвимости Meltdown и Spectre стали тому ярким примером.
Как считает Грусс, в дальнейшем, по мере прекращения действия закона Мура, люди будут использовать все больше и больше систем с всё большим количеством ядер процессоров и ускорителей, взаимодействующих друг с другом, что означает еще больший риск для безопасности. По его мнению, создание более простых систем — это не вариант, потому что теперь человечество ожидает повсеместных высокопроизводительных вычислений.
Всё это приводит нас в мир, где отдельные системы имеют недостатки, а взаимодействие между ними невозможно обезопасить. Мы строим и подключаем все больше компьютеров каждый день, даже если мы знаем, что это только увеличивает риск, и мы не можем или не будем это менять.
К счастью, специалист думает, что есть способ остановить этот нагромождающийся друг на друга хаос. Компьютерным наукам необходимо переосмыслить себя. Сегодня эта категория знаний относится к формальной науке. Дальше это недопустимо. Сложность компьютеров и сетей теперь приближается к сложности структур, организмов и популяций, наблюдаемых в биологии. А для изучения подобных живых систем лучший способ понять происходящее — это использование эмпирических методов. Фактически натурфилософия (отдельный привет «Барочному циклу» Нила Стивенсона и его же «Криптономикону»).
«Наши системы становятся всё более и более сложными, поэтому мы должны уделять всё больше и больше времени изучению их, как изучаем природу», — сказал Грусс.
Грусс считает, что это может быть хорошей новостью для профессионалов в области безопасности, потому что миру явно потребуется их больше, и у многих будут новые навыки, которым нужно научиться. «Я ожидаю, что через 30 лет у нас будет больше людей, изучающих и анализирующих системы, и у нас будет больше разнообразных работ по обеспечению безопасности, — сказал он на виртуальном мероприятии. — У нас будет гарантия работы для всех, кто занимается анализом безопасности. Я полагаю, что это хорошо».