Parisa Tabriz หัวหน้าโครงการ Project Zero ของกูเกิลขึ้นพูดเปิดงาน BlackHat USA 2018 และเปิดงานด้วยการย้ำกว่าบล็อคเชนไม่ได้ทำให้ปัญหาความปลอดภัยหมด
เธอพูดถึงปัญหาความปลอดภัยว่าหลายครั้งเป็นปัญหาวัฒนธรรมองค์กร และการที่ Project Zero กำหนดเส้นตาย 90 วัน เหมือนกันทั้งช่องโหว่ภายในและภายนอกกูเกิล ทำให้องค์กรต่างๆ ต้องปรับตัวรวมถึงกูเกิลเองด้วย ผลรวมคือความสำเร็จของ Project Zero ที่ทำให้การสร้างช่องโหว่ 0-day ในช่วงหลังมีต้นทุนสูงขึ้นเรื่อยๆ
นอกจากการหาช่องโหว่และรายงานช่องโหว่แล้ว อีกภารกิจสำคัญของ Project Zero ยังรวมถึงการผลักดันเว็บทั้งโลกให้เป็น HTTPS โดยพยายามผลักดันเรื่องนี้มาตั้งแต่ปี 2013 และต้องเจอแรงต่อต้านทั้งจากภายในและภายนอก Tabriz เล่าถึงกระบวนการทำให้กลุ่มนักพัฒนาเบราว์เซอร์ยอมเปลี่ยนแปลงเพื่อความปลอดภัยผู้ใช้ที่ต้องอาศํยการเผยแพร่ข้อมูลกดดัน และการวางกรอบเวลาที่เป็นไปได้จริง
อีกผลงานที่เธอเล่าถึงคือการปรับโครงสร้าง Chrome ให้แยกโปรเซสของแต่ละโดเมนออกจากกัน ทีมงานประมาณไว้ว่าจะสามารถปรับปรุงโครงสร้าง Chrome ได้ในปีเดียวแต่ปรากฎว่าต้องใช้เวลาหลายปีโดย Tabriz สนับสนุนโครงการแม้จะช้ากว่ากำหนดไปมาก เพราะวิศวกรอธิบายได้ว่ากำลังทำอะไรมีเหตุผลอะไรที่ทำให้โครงการช้าลง
ในงานการพูดครั้งนี้ เธอขอบคุณคนทำงานความปลอดภัยฝั่งป้องกันเป็นพิเศษที่ทำงานอย่างหนักให้ระบบต่างๆ ปลอดภัยขึ้น พยายามปรับปรุงกระบวนการภายใน แต่มักไม่ได้รับความสนใจเท่านักวิจัยและคนรายงานช่องโหว่ต่างๆ
ที่มา - The Register
Comments
รปภ ถ้าจับโจรได้ ไม่โด่งดังเท่ากับ พลเมืองธรรมดาจับโจรเอง หรือ ผู้คิดค้นเทคโนโลยีการตรวจจับโจรครับ
ถึงกับต้อง search ชื่อ "Security Princess" สวดยอด
หัวข่าวเรื่อง blockchain กับเนื้อหามีแค่ประโยคเดียวเท่ากันเลย ไม่มีอะไรขยายเพิ่มเติมเลย...
lewcpe.com, @wasonliw
But, but... insert blockchain joke here
not practical in science
ถ้าเคยอ่านข่าวที่ผ่านมา บอกได้เลยว่าไม่ปลอดภัยครับ แม้จะเป็นแบบเปิดเผย สามารถมองเห็นขั้นตอนและประวัติการทำธุรกรรมได้ แต่ก็สามารถถูกปลอมแปลงหรือแก้ไขได้เหมือนกัน และยังเป็นแค่แนวคิดที่ยังไม่ถูกทดสอบอย่างจริงจังครับ
นอกจากทำเหรียญมาเทรดในตอนนี้ ส่วนเทคโนโลยีตาม ICO ยังไม่เคยเห็นเป็นจริงสักอันเลยนะ ส่วนใหญ่เป็น SCAM
ความล้มเหลว คือจุดเริ่มต้นสู่ความหายนะ มีผลกระทบมากกว่าแค่เสียเงิน เวลา อนาคต และทรัพยากรที่เสียไป - จงอย่าล้มเหลว
+1 ผมคิดว่าในเนื้อข่าวจะมีอะไรมากกว่านี้อีก ถ้าอย่างนั้นตัดเรื่อง blockchain ออกจากหัวข่าวน่าจะดีกว่านะครับ
บล็อคเชนก็เหมือนกับโปรแกรมทุกตัวที่มนุษย์ทำมามันไม่ได้ปลอดภัยและน่าเชื่อถือ 100% แต่มันจะไม่ปลอดภัยเมื่อไหร่ยังไม่มีใครวัดกันอย่างชัดเจนขนาดสมัยตอนออกมาบอก MD5 ไม่ปลอดภัย(ซึ่งก็ยังมีคนใช้อยู่) คนก็คิดว่ายังปลอดภัยกว่าระบบเก่าๆที่มันมอยู่ไปเรื่อยๆ