Κατανόηση του οράματος της Samsung να μας προστατεύει από απειλές ασφαλείας [Interview]

By

Marizas Dimitris

On

Οκτ 8, 2023

Είχαμε την ευκαιρία να συναντηθούμε με βασικά πρόσωπα από την Ομάδα Ασφαλείας της

Samsung

στο Συνέδριο προγραμματιστών Samsung 2023 για να κατανοήσουμε καλύτερα πώς βλέπει η Samsung την ασφάλεια στο πλαίσιο ολόκληρου του οικοσυστήματος της και τι κάνει για να κάνει τα προϊόντα και τις υπηρεσίες της πιο ασφαλή. Ο Shin-Chul Baik, Κύριος Μηχανικός και Τεχνικός Διευθυντής Προγράμματος της Ομάδας Ασφάλειας για το τμήμα κινητής τηλεφωνίας της Samsung, καθώς και ο κύριος μηχανικός και επικεφαλής της Samsung στο Samsung Knox Vault Ο Bumhan Kim μίλησε με τη SamMobile για τις προσπάθειες της εταιρείας να βελτιώσει την ασφάλεια σε ολόκληρο το οικοσύστημά της.

Πριν ξεκινήσουμε τις ερωτήσεις και απαντήσεις, είναι σημαντικό να κατανοήσουμε το όραμα της Samsung για ένα ασφαλές οικοσύστημα. Η πραγματική προστασία από άκρο σε άκρο, η ασφάλεια με υποστήριξη υλικού, η φιλική προς το χρήστη διαφάνεια και η προστασία πολλών συσκευών είναι οι τέσσερις πυλώνες στους οποίους βασίζεται αυτό το όραμα. Μετά τη συμπλήρωση 10 ετών Knox, η εταιρεία κοιτάζει τώρα για τα επόμενα 10 με συναρπαστικές νέες βελτιώσεις στα σκαριά.

Η ανοιχτότητα και η συν

εργασία

είναι κεντρικά στο όραμα της Samsung για ένα ασφαλές έξυπνο σπίτι. Αντί να υιοθετεί μια προσέγγιση περιφραγμένου κήπου, η Samsung ευδοκιμεί στη συνεργασία με τους συνεργάτες της, όπως η Google, η Qualcomm, η Microsoft, η Cisco και άλλοι. Οι πληροφορίες σχετικά με τις απειλές μοιράζονται σε αυτούς τους συνεργάτες για να κάνουν τα προϊόντα και τις υπηρεσίες τους πιο ασφαλή. Ενώ η συνέντευξη παρέχει μια εξαιρετική προοπτική για το πώς η πλατφόρμα Knox θα εξελιχθεί από τη δύναμή της, σας παρέχει επίσης νέες δυνατότητες που πρέπει να προσβλέπετε, όπως η ζώνη εμπιστοσύνης που βασίζεται σε blockchain.

Για να είναι πιο προληπτική, η εταιρεία διατηρεί 24/7 παρακολούθηση και απόκριση απειλών για τις βασικές υπηρεσίες Samsung όπως το

Samsung Health

, το Samsung Wallet και το Bixby. Η προστασία χρόνου εκτέλεσης είναι πολύ σημαντική για τη Samsung όχι μόνο από έναν κύκλο ζωής ανάπτυξης αλλά σε συνεχή βάση όπου συνεχίζει να συνεργάζεται με την κοινότητα ασφαλείας μέσω του προγράμματος bug bounty και άλλων συνεργατών για να λαμβάνει πληροφορίες σχετικά με τρωτά σημεία και να ενσωματώνει αυτές τις ενημερώσεις κώδικα σε συσκευές όσο το δυνατόν συχνότερα για όσο το δυνατόν περισσότερο.

Οι απαντήσεις έχουν παραφραστεί για λόγους συντομίας και σαφήνειας.

Ε1: Προσωπικά πιστεύουμε ότι η Samsung Knox αξίζει περισσότερους επαίνους από ό,τι λαμβάνει, δεδομένου του τρόπου με τον οποίο εγγυάται σχεδόν αλάνθαστη ασφάλεια σε όλες τις συσκευές Samsung. Πώς αξιολογεί η ομάδα ασφαλείας προληπτικά τις απειλές, όπως μέσω δραστηριοτήτων όπως εσωτερικά hackathons;

ΕΝΑ:

Η Samsung έχει τη δική της κόκκινη ομάδα που προσπαθεί ενεργά να χακάρει συσκευές για να βρει τρωτά σημεία. Έχουμε μια ξεχωριστή ομάδα που εξετάζει τα τρωτά σημεία της

συσκευή

ς για να εντοπίσει προληπτικά τις αδυναμίες. Πέρα από αυτό, θεωρούμε τη διαφάνεια και τη συνεργασία ως ένα από τα βασικά εργαλεία για την αντιμετώπιση των απειλών, επομένως βασιζόμαστε επίσης σε πληροφορίες απειλών από τους συνεργάτες μας και επίσης από το πρόγραμμα επιβράβευσης σφαλμάτων.

Ε2: Όπως καταλαβαίνουμε, έχουν περάσει μερικά χρόνια από τότε που η Google ενσωμάτωσε το Knox στο βασικό Android. Είναι αυτή η συνεργασία ακόμα σε εξέλιξη, καθώς η Google ενσωματώνει ενημερωμένες επαναλήψεις του Knox καθώς η Samsung τις καθιστά διαθέσιμες;

ΕΝΑ:

Η συνεργασία με την Google στο Samsung Knox είναι ακόμη σε εξέλιξη. Σε όλη την ιστορία του Knox, μόλις ενσωματώσουμε ένα νέο βασικό

χαρακτηριστικό

στο Knox, τελικά ενσωματώνεται στη συνολική πλατφόρμα ασφαλείας Android. Συνεχίζουμε να καινοτομούμε με το Knox για να διαφοροποιούμε τις συσκευές μας παρέχοντας ανώτερη ασφάλεια ενώ παράλληλα συμβάλλουμε στο να γίνει ασφαλέστερο ολόκληρο το οικοσύστημα Android.

Ε3: Το Knox Matrix ανακοινώθηκε για πρώτη φορά πέρυσι. Στη συνέχεια ακούσαμε ότι οι πρώτες συσκευές Knox Matrix ενδέχεται να μην φτάσουν μέχρι το 2024. Τι μπορείτε να μοιραστείτε τώρα σχετικά με τον οδικό χάρτη, ειδικά όσον αφορά τις κινητές συσκευές, αν θα τον βλέπαμε για πρώτη φορά στα ναυαρχίδες Galaxy S ή Galaxy Z του επόμενου έτους;

ΕΝΑ:

Ορισμένες λειτουργίες του Knox Matrix έχουν ήδη κυκλοφορήσει, όπως η κρυπτογράφηση από άκρο σε άκρο, ενώ το Passkey, ένα μέρος του στοιχείου συγχρονισμού διαπιστευτηρίων του Knox Matrix, θα είναι διαθέσιμο με το One UI 6.0 και θα επεκταθεί σε περισσότερες συσκευές το επόμενο έτος. Το ψυγείο Family Hub και οι έξυπνες τηλεοράσεις Samsung που τροφοδοτούνται με Tizen θα το αποκτήσουν και στις αρχές του επόμενου έτους. Το Trust Sync, ένα βασικό χαρακτηριστικό του Knox Matrix, θα κυκλοφορήσει και τον επόμενο χρόνο.

Ε4: Μπορείτε να δώσετε περισσότερο πλαίσιο σχετικά με το γιατί έχει καθυστερήσει η διάθεση; Αν οφείλεται σε πρόσθετες δυνατότητες, πώς έχει βελτιωθεί περαιτέρω το Knox Matrix από ό,τι είχε αποκαλυφθεί πέρυσι;

ΕΝΑ:

Οφειλόταν κυρίως στην προσθήκη περισσότερων δυνατοτήτων. Είναι μια πολύπλοκη λειτουργία, καθώς έχουμε ενσωματώσει διαφορετικές πλατφόρμες και συσκευές στα κινητά μας προϊόντα, τηλεοράσεις κ.λπ. Όσον αφορά τη διασφάλιση της σωστής ενσωμάτωσης των χαρακτηριστικών ασφαλείας, θέλαμε να αφιερώσουμε χρόνο και να βεβαιωθούμε ότι όλα τα εξαρτήματα ήταν στη θέση του πριν προχωρήσετε.

Ε5: Γιατί πάρθηκε η απόφαση μόλις τώρα να επεκταθεί το Knox Vault στη σειρά Galaxy A; Οφειλόταν σε περιορισμούς υλικού; Σημαίνει επίσης ότι το Knox Vault θα είναι διαθέσιμο σε πιο προσιτές συσκευές στη σειρά;

ΕΝΑ:

Το Knox Vault απαιτεί ξεχωριστό τσιπ για το απομονωμένο υποσύστημά του. Η αρχιτεκτονική απαιτούσε προηγουμένως SOCs υψηλής ποιότητας. Η Samsung έχει πλέον κάνει τροποποιήσεις σε αυτήν την αρχιτεκτονική, επομένως, παρόλο που εξακολουθεί να είναι ένα ξεχωριστό τσιπ, μπορεί πλέον να τρέχει σε μη κορυφαίες συσκευές από τη σειρά Galaxy A. Αυτή η αλλαγή θα μας επιτρέψει επίσης να επεκτείνουμε το Knox Vault σε περισσότερα μη εμβληματικά τηλέφωνα Galaxy στο μέλλον.

Ε6: Σε τι διαφέρει το Pass Key από το Samsung Pass, μπορείτε να δώσετε περισσότερες πληροφορίες σχετικά με τον τρόπο ενσωμάτωσής του στις κινητές συσκευές της Samsung και πώς ακριβώς διατηρεί ασφαλή τα στοιχεία σύνδεσης του χρήστη;

ΕΝΑ:

Το κλειδί πρόσβασης είναι ένα στοιχείο στο Samsung Pass. Παρέχει προστασία με κωδικό πρόσβασης, η οποία είναι επίσης ευρέως γνωστή ως πρότυπο FIDO, ως ένας τρόπος για να προσφέρει τελικά μια εμπειρία χωρίς κωδικό πρόσβασης. Η υποστήριξη Pass Key θα επιτρέπει στους χρήστες να χρησιμοποιούν το Samsung Pass στη συσκευή τους για να συνδέονται σε ιστότοπους και εφαρμογές που υποστηρίζουν αυτό το πρότυπο. Αυτή η τεχνολογία είναι ακόμα αρκετά νέα, επομένως υπάρχει μόνο ένας περιορισμένος αριθμός μερών όπου μπορείτε να συνδεθείτε με το Pass Key, όπως οι λογαριασμοί PayPal και Google. Εργαζόμαστε σκληρά για να μεταφέρουμε εμπειρίες με δυνατότητα Pass Key σε περισσότερες διαδικτυακές πηγές.

Ε7: Αποφασίζει η Samsung σε ποιες εφαρμογές θα επεκταθεί το Message Guard και θα είναι ευκολότερο για όλους τους προγραμματιστές που θα μπορούσαν ενδεχομένως να επωφεληθούν από αυτό να ενσωματώσουν τη δυνατότητα στις εφαρμογές τους;

ΕΝΑ:

Οι χρήστες μας θα δουν το Message Guard σε περισσότερες εφαρμογές τρίτων στο εγγύς μέλλον. Το Message Guard διατηρεί δυνητικά επιβλαβή μηνύματα σε ένα απομονωμένο sandbox, έτσι ώστε το κακόβουλο συνημμένο που συνοδεύει να μην διαδίδεται στο υπόλοιπο σύστημα, διασφαλίζοντας έτσι ότι μπορούν να αποτραπούν οι επιθέσεις μηδενικού κλικ.

Ε8: Πώς πιστεύει η ομάδα ότι το πρόγραμμα bounty bug βοήθησε να γίνουν οι συσκευές Samsung πιο ασφαλείς; Ποιο ήταν το υψηλότερο bug bounty που καταβλήθηκε από τη Samsung και μπορείτε να μοιραστείτε το bug;

ΕΝΑ:

Πιστεύουμε ότι το πρόγραμμα bounty bug ήταν εξαιρετικά χρήσιμο. Ήταν μια από τις βασικές πηγές βελτίωσης της ασφάλειας των συσκευών μας. Μας δίνει τη δυνατότητα να δούμε τι εξετάζει η ευρύτερη κοινότητα ασφαλείας, ώστε να μπορούμε να εντοπίσουμε τις τάσεις με βάση τις αναφορές τους. Λαμβάνουμε παρόμοιες πληροφορίες από συνεργάτες μας όπως η Google, επομένως έχουμε πάντα μια καλή επισκόπηση του τρόπου με τον οποίο κινούνται τα πράγματα στον χώρο ασφαλείας.

Το υψηλότερο bug bounty που κατέβαλε η Samsung ήταν κοντά στα 120.000 $ και σχετιζόταν με μια κρίσιμη ευπάθεια ζώνης εμπιστοσύνης.

SamMobile.com

Παρόμοια άρθρα