หัวหน้า Project Zero ระบุ บล็อคเชนไม่ได้ทำให้ปัญหาความปลอดภัยหมดไป, เล่าการทำงานภายในทีม

Parisa Tabriz หัวหน้าโครงการ Project Zero ของกูเกิลขึ้นพูดเปิดงาน BlackHat USA 2018 และเปิดงานด้วยการย้ำกว่าบล็อคเชนไม่ได้ทำให้ปัญหาความปลอดภัยหมด

เธอพูดถึงปัญหาความปลอดภัยว่าหลายครั้งเป็นปัญหาวัฒนธรรมองค์กร และการที่ Project Zero กำหนดเส้นตาย 90 วัน เหมือนกันทั้งช่องโหว่ภายในและภายนอกกูเกิล ทำให้องค์กรต่างๆ ต้องปรับตัวรวมถึงกูเกิลเองด้วย ผลรวมคือความสำเร็จของ Project Zero ที่ทำให้การสร้างช่องโหว่ 0-day ในช่วงหลังมีต้นทุนสูงขึ้นเรื่อยๆ

นอกจากการหาช่องโหว่และรายงานช่องโหว่แล้ว อีกภารกิจสำคัญของ Project Zero ยังรวมถึงการผลักดันเว็บทั้งโลกให้เป็น HTTPS โดยพยายามผลักดันเรื่องนี้มาตั้งแต่ปี 2013 และต้องเจอแรงต่อต้านทั้งจากภายในและภายนอก Tabriz เล่าถึงกระบวนการทำให้กลุ่มนักพัฒนาเบราว์เซอร์ยอมเปลี่ยนแปลงเพื่อความปลอดภัยผู้ใช้ที่ต้องอาศํยการเผยแพร่ข้อมูลกดดัน และการวางกรอบเวลาที่เป็นไปได้จริง

No Description

อีกผลงานที่เธอเล่าถึงคือการปรับโครงสร้าง Chrome ให้แยกโปรเซสของแต่ละโดเมนออกจากกัน ทีมงานประมาณไว้ว่าจะสามารถปรับปรุงโครงสร้าง Chrome ได้ในปีเดียวแต่ปรากฎว่าต้องใช้เวลาหลายปีโดย Tabriz สนับสนุนโครงการแม้จะช้ากว่ากำหนดไปมาก เพราะวิศวกรอธิบายได้ว่ากำลังทำอะไรมีเหตุผลอะไรที่ทำให้โครงการช้าลง

ในงานการพูดครั้งนี้ เธอขอบคุณคนทำงานความปลอดภัยฝั่งป้องกันเป็นพิเศษที่ทำงานอย่างหนักให้ระบบต่างๆ ปลอดภัยขึ้น พยายามปรับปรุงกระบวนการภายใน แต่มักไม่ได้รับความสนใจเท่านักวิจัยและคนรายงานช่องโหว่ต่างๆ

ที่มา – The Register

from:https://www.blognone.com/node/104451

Advertisements