மலிவான தாக்குதல்கள் பாதுகாப்பின் பொருளாதாரத்தை மாற்றுகின்றன
ஜெனரேட்டிவ் ஏஐ, மென்பொருள் பலவீனங்களை செயல்படும் தாக்குதல்களாக மாற்ற தேவையான செலவையும் நேரத்தையும் குறைப்பதால், சைபர் பாதுகாப்பு பாதுகாப்பு உத்தி மேலும் கட்டமைப்பு ரீதியாக இருக்க வேண்டிய காலத்திற்குள் நுழைகிறது. IEEE Spectrum-இல் வெளியான ஒரு விருந்தினர் கட்டுரையில் முன்வைக்கப்பட்ட வாதம் இதுதான்; அதன்படி, புதிதாக கண்டறியப்பட்ட ஒரு குறையைச் செயலிலுள்ள சைபர் தாக்குதலாக மாற்ற இனி மாதங்கள் எடுக்காது. அந்த கட்டுரையின் வடிவமைப்பில், அது இப்போது மிக வேகமாகவும் மிகக் குறைந்த செலவிலும் நிகழ முடியும்.
அந்தக் கட்டுரை இதை “$1 சைபர் தாக்குதல்கள்” என்ற யுகமாக விவரிக்கிறது; இது தாக்குதலாளர்களின் பொருளாதாரத்தில் ஏற்பட்ட மாற்றத்தைத் தெளிவாகக் காட்டுகிறது. ஆக்கிரமிப்பு திறன் மலிவாகவும், அளவிலாக்கக்கூடியதாகவும், தானியங்கி மயமாகவும் மாறினால், பாதுகாப்பு குழுக்கள் பின்-நடவடிக்கை பேட்ச் செய்வதை தங்கள் முதன்மை பாதுகாப்பாக நம்ப முடியாது.
நீடித்த பாதுகாப்புகளுக்கான காரணம்
அந்தக் கட்டுரையின் மைய வாதம் நேரடியானது: பேட்ச் செய்து பாதுகாப்பை அடைவதைவிட நினைவக-பாதுகாப்பான குறியீட்டை எழுதுவது சிறந்தது. இந்த வாதம் ஒரு மொழி அல்லது ஒரு விற்பனையாளர் பற்றியது அல்ல; அது வடிவமைப்பு தத்துவம் பற்றியது. மென்பொருள் உருவாக்கத்தின் போது சில வகை பலவீனங்களைத் தடுக்க முடிந்தால், உருவாக்கப்பட்ட பின் ஒவ்வொரு தாக்கத்திற்கும் வழிவகுக்கும் பிழையைப் புரிந்து தொடர்ந்து சரிசெய்ய வேண்டிய நிலையைவிட, பாதுகாப்பாளர்கள் மேல் நிலையில் இருப்பார்கள்.
ஏஐ இயக்கும் சூழலில் அந்த வேறுபாடு இன்னும் முக்கியமாகிறது. பேட்ச் செய்யும் உத்தி, நிறுவனங்கள் பிரச்சினைகளை கண்டறிந்து, புரிந்து, சரியான முன்னுரிமை கொடுத்து, தாக்குதலாளர்கள் அதை ஆயுதமாக்குவதற்கு முன் திருத்தங்களை வெளியிடும் என்று கருதுகிறது. வேகமான தானியங்கி exploitation அந்த நேரப்பரப்பைச் சுருக்குகிறது. அந்த சூழ்நிலையில், ஆரம்பத்திலேயே குறைவான நினைவக-தொடர்புடைய, தாக்கத்துக்குட்படும் குறைகள் இருப்பது மூலோபாய ரீதியாக மதிப்புடையதாகிறது.
ஏஐ பழைய பலவீனங்களை ஏன் இன்னும் ஆபத்தானதாக மாற்றுகிறது
பெரிய மொழி மாதிரிகள் இப்போது வேகமான, வலுவான சைபர் தாக்குதல்களுக்கு துணையாக இருக்க முடியும் என ஆசிரியர்கள் வாதிடுகின்றனர். நடைமுறை ரீதியாக, அதாவது ஒரு பிழையை பகுப்பாய்வு செய்தல், exploit code உருவாக்குதல், அல்லது தாக்குதல் நுட்பங்களை மாற்றியமைத்தல் ஆகியவற்றுக்கு முன்பு தேவைப்பட்ட வேலைப்பளுவில் பெரும் பகுதியை இப்போது வேகப்படுத்த முடியும் என்பதாகும். ஏஐ ஊடுருவலின் ஒவ்வொரு கட்டத்திற்கும் போதுமானதாக இல்லாவிட்டாலும், அது தடையை அவ்வளவு குறைக்க முடியும்; அதனால் அறியப்பட்ட மென்பொருள் பலவீன வகைகள் பரவலாக மேலும் ஆபத்தானதாக மாறுகின்றன.
அந்தக் கட்டுரை ஒரு விஷயத்தில் கவனமாகவும் உள்ளது: ஜெனரேட்டிவ் ஏஐ மட்டும் சைபர் பாதுகாப்பை தீர்க்கும் என்று அது கூறவில்லை. அதற்கு பதிலாக, வெளிப்படுத்தல் மற்றும் அவசர எதிர்வினையின் தினசரி சுழற்சியைத் தாண்டி நீடிக்கும் பாதுகாப்பு அணுகுமுறைகளை அது முன்வைக்கிறது. அந்தப் பார்வையில், நினைவகப் பாதுகாப்பு ஒரு நவீன பொறியியல் விருப்பம் அல்ல; மாறாக, அமைப்புகளின் அடிப்படை பாதுகாப்பு பண்புகளை மாற்றும் ஒரு வழியாகும்.
பின்னோக்கி பாதுகாப்பிலிருந்து முன்னோக்கி பொறியியலுக்கு
அந்த முன்னுரிமை மாற்றம் மென்பொருள் மேம்பாட்டில் பரந்த விளைவுகளை ஏற்படுத்துகிறது. பாதுகாப்பு குழுக்கள் நீண்ட காலமாக patch management, monitoring, incident response, secure coding ஆகியவற்றை சமநிலைப்படுத்தி வந்துள்ளனர். ஆனால் exploitation window தொடர்ந்து சுருங்கினால், மேலும் பொறுப்புகள் architecture, language choice, coding practice ஆகியவற்றின் மேற்பகுதிக்கு நகர்கின்றன.
இந்த மாற்றத்தின் மையத்தில் memory safety இருக்கிறது, ஏனெனில் memory-related bugs வரலாற்று ரீதியாக பல கடுமையான பலவீனங்களுக்கு காரணமாக இருந்துள்ளன. நிறுவனங்கள் பாதுகாப்பான கருவிகள் மற்றும் பொறியியல் ஒழுக்கத்தின் மூலம் அந்தத் தோல்வி வகையை குறைக்க முடிந்தால், automated exploit generation மிகவும் பயனுள்ளதாக இருக்கும் நிலப்பரப்பை அவர்கள் சுருக்குகிறார்கள்.
இந்த வாதம் புதுமையைப் பற்றி அல்ல, நம்பகத்தன்மையைப் பற்றியது
IEEE Spectrum கட்டுரை குறிப்பிடத்தக்கது, ஏனெனில் அது முற்றிலும் புதிய பாதுகாப்பு கருத்தை அறிமுகப்படுத்தவில்லை. memory safety பல ஆண்டுகளாக விவாதிக்கப்படுகிறது. இங்கே மாற்றம் ஏற்படுவது ஏஐ உதவியுடன் வரும் தாக்குதலால் உருவாகும் அவசரம். தாக்குதலாளர்கள் ஒரு குறையிலிருந்து weaponization வரை எவ்வளவு வேகமாக நகர முடியுமோ, அதற்கேற்றவாறு after-the-fact correction-ஐ முதன்மை செயல்பாட்டு மாதிரியாக நம்புவது குறைவாகவே சாத்தியமாகிறது.
வேறு வார்த்தைகளில், ஏஐ இன்னொரு அச்சுறுத்தல் வழியை மட்டும் சேர்ப்பதில்லை. அது ஏற்கனவே அறிந்த அச்சுறுத்தல்களின் வேகத்தையே மாற்றுகிறது. அதனால் நீடித்த பாதுகாப்பு நடவடிக்கைகள் மேலும் ஈர்க்கத்தக்கவையாகின்றன, ஏனெனில் அவை தனித்த பேட்ச்களின் நேரத்துடன் கட்டுப்பட்டவை அல்ல.
மேலும் குறுகிய ஆனால் வலுவான பாதுகாப்பு வாதம்
அந்தக் கட்டுரையின் கோட்பாடு குறிப்பிடத்தக்கது, ஏனெனில் அது வரம்புடையது. அது அஜெயத்தை வாக்குறுதி அளிக்கவில்லை; memory-safe code எல்லா சைபர் ஆபத்துகளையும் நீக்கிவிடும் என்றும் கூறவில்லை. அதற்கு பதிலாக, தாக்குதல் உருவாக்கம் மலிவாகும்போது நீடித்த பாதுகாப்புகள் அதிக மதிப்பை தருகின்றன என வாதிடுகிறது. இது ஏஐ இயக்கும் பாதுகாப்பு சமநிலையைப் பற்றிய பரந்த, மிகைப்படுத்தப்பட்ட வாக்குறுதிகளைக் காட்டிலும் நம்பத்தகுந்த கூற்று.
நிறுவனங்கள் எங்கு முதலீடு செய்ய வேண்டும் என்று தீர்மானிக்கும்போது, இப்படியான வரம்புடைய வாதம் பரந்த எதிர்காலவாத பேச்சுகளைவிட அதிக பயன் தரலாம். தாக்குதலின் செலவு குறைந்து வருமானால், தர்க்க ரீதியான பதில் என்பது கண்டறிதல் மற்றும் திருத்தத்தில் முழுமையான வேகத்தை சாராத முன்னெச்சரிக்கை கட்டுப்பாடுகளில் அதிகமாக செலவிடுவதாகும்.
மென்பொருள் உருவாக்குநர்களுக்கான பெரிய செய்தி
பரந்த கருத்து என்னவென்றால், மென்பொருள் தரமும் பாதுகாப்பு நிலையும் இன்னும் நெருக்கமாக இணைந்துகொண்டிருக்கின்றன. ஏஐ குறைபாடிலிருந்து exploit வரை செல்லும் பாதையைச் சுருக்கக்கூடிய சூழலில், ஒருகாலத்தில் தொழில்நுட்பக் கடன் பிரச்சினைகளாகக் கருதப்பட்ட பொறியியல் முடிவுகள் இப்போது முன்னணிப் பாதுகாப்பு முடிவுகளாக மாறுகின்றன.
IEEE Spectrum கட்டுரை, வெளிப்படுத்தலுக்குப் பிறகு ஹீரோயிக் முயற்சிகளைவிட, வெளியீட்டுக்கு முன் மென்பொருள் எவ்வாறு கட்டப்படுகிறது என்பதிலேயே நம்பகத்தன்மை அதிகமாக சார்ந்திருக்கும் ஒரு எதிர்காலத்தைச் சுட்டிக்காட்டுகிறது. “$1 சைபர் தாக்குதல்கள்” உண்மையான செயல்பாட்டு கருதுகோளாக மாறினால், memory-safe code போன்ற நீடித்த பாதுகாப்புகள் சிறந்த நடைமுறையிலிருந்து அடிப்படை சுகாதாரமாகத் தோன்றும்.
இந்தக் கட்டுரை IEEE Spectrum செய்திப்பரப்புதலை அடிப்படையாகக் கொண்டது. மூலக் கட்டுரையைப் படிக்கவும்.
Originally published on spectrum.ieee.org