Изображение: Unsplash Дмитрий Скляров, руководитель отдела анализа приложений Positive Technologies, делится своим взглядом на историю развития индустрии информационной безопасности за последние 20 лет.
Если посмотреть программу любой современной конференции по информационной безопасности, то можно увидеть, какие важные темы занимают умы исследователей.
Если проанализировать список этих важных тем, технологий и тенденций, то окажется, что двадцать лет назад подавляющего большинства из них просто не существовало.
Вот, например, некоторые темы с конференции OFFZONE 2018:
- безналичные расчеты,
- обход WAF,
- программно определяемые радиосистемы,
- спекулятивное исполнение,
- поиск вредоносного ПО для Android,
- HTTP/2
- мобильный OAuth 2.0,
- эксплуатация XSS.
- кибергруппа Лазарь,
- атаки на веб-приложения с многоуровневой архитектурой,
- Атаки с внедрением ошибок на процессоры ARM.
Первый — это особенности архитектуры процессоров ARM, появившиеся в середине 80-х годов.
Вторая — проблема спекулятивного выполнения, которая восходит к процессору Intel Pentium Pro, выпущенному в 1995 году.
Другими словами, из этих тем по-настоящему «древние» связаны с железом.
В основном исследования, которые проводят сегодня специалисты, вдохновлены событиями годичной, двух-трехлетней давности.
Например, технология HTTP/2 появилась только в 2015 году; в принципе, его можно изучать не более четырех лет. Вернемся на 20 лет назад. В 1998 году закончилась так называемая Первая война браузеров, в ходе которой состязались два крупнейших на тот момент браузера — Internet Explorer и Netscape Navigator. В результате Microsoft выиграла эту войну, а ее главный конкурент ушел с рынка.
В то время таких программ было мало, многие из них были платными, например Opera: это считалось нормальным.
При этом самые популярные сегодня браузеры Safari, Mozilla и Chrome были изобретены значительно позже, и мысль о том, что браузер может быть платным, сегодня никому не придет в голову.
Проникновение Интернета 20 лет назад было в несколько раз ниже, чем сегодня, поэтому спрос на многие веб-сервисы сформировался гораздо позже окончания браузерной войны.
Иная ситуация сложилась в области криптографии.
Он начал развиваться много десятилетий назад, к девяностым годам существовал ряд проверенных временем стандартов шифрования (DES, RSA) и цифровых подписей, а в последующие годы появилось множество новых продуктов, алгоритмов и стандартов, в том числе OpenSSL, разработанный в свободный формат; В России рассекречен стандарт ГОСТ 28147-89. Почти все технологии, связанные с криптографией, которые мы используем сегодня, уже существовали в девяностых годах.
Единственным широко обсуждаемым событием в этой области с тех пор стало обнаружение в 2004 году бэкдора в алгоритме Dual_EC_DRBG, поддерживаемом АНБ США.
Источники знаний
В начале девяностых годов появилась культовая книга Брюса Шнайера «Прикладная криптография»; было очень интересно, но посвящалось именно криптографии, а не информационной безопасности.В России в 1997 году вышла книга Ильи Медведовского, Павла Семьянова и Владимира Платонова «Атака через Интернет».
Появление такого практического материала, основанного на личном опыте российских специалистов, дало толчок развитию сферы информационной безопасности в нашей стране.
Если раньше начинающие исследователи могли покупать только репринтные книги зарубежных исследований, зачастую плохо переведенные и без ссылок на источники, то после «Атаки через Интернет» новые практические пособия стали появляться гораздо чаще.
Например, уже в 1999 году была опубликована «Техника и философия хакерских атак» Криса Касперского.
Сама «Атака через Интернет» получила два продолжения — «Атака в Интернете» (1999) и «Атака из Интернета» (2002).
В 2001 году Microsoft опубликовала книгу по разработке безопасного кода — «Написание безопасного кода».
Именно тогда гигант индустрии программного обеспечения осознал, что безопасность программного обеспечения очень важна: это был очень серьезный момент в развитии информационной безопасности.
После этого корпорации начали задумываться об обеспечении безопасности, но раньше этим вопросам не уделялось должного внимания: код написан, продукт продается, считалось, что этого достаточно.
С тех пор Microsoft вложила значительные ресурсы в безопасность, и, несмотря на наличие уязвимостей в продуктах компании, их защита в целом хороша.
В США индустрия информационной безопасности развивалась достаточно активно с 70-х годов.
В результате в девяностые годы в этой стране уже существовало несколько крупных конференций на тему информационной безопасности.
Один из них был организован RSA, появился Black Hat, и в эти же годы прошли первые хакерские соревнования в формате CTF. В нашей стране ситуация была иная.
Многих сегодняшних лидеров рынка информационной безопасности в России в девяностые годы еще не существовало.
Вариантов трудоустройства у исследователей было не так много: были «Лаборатория Касперского», «ДиалогНаука», «Информзащита» и ряд других компаний.
Яндекс, Positive Technologies, Digital Security, Group-IB и даже «Доктор Веб» появились после 1998 года.
Аналогичная ситуация существует и с конференциями для обмена знаниями и изучения текущих тенденций.
За границей с этим все было хорошо: в 1984 году прошел Конгресс Chaos Communication, в 1991 существовала конференция RSA, в 1993 году появился DEF CON (в 1996 году провели первый CTF), а в середине девяностых прошла Black Hat. В нашей стране первым значимым событием в этой сфере стала конференция «РусКрипто», которая впервые прошла в 2000 году.
Специалистам в России, не имевшим возможности выезжать на зарубежные мероприятия, было сложно найти единомышленников и обменяться идеями.
.
С тех пор количество достойных отечественных мероприятий значительно расширилось: есть Positive Hack Days, ZeroNights, OFFZONE.
Личный опыт: первые шаги в информационной безопасности
В 1998 году я закончил обучение на кафедре систем автоматизированного проектирования МГТУ.Баумана, где меня учили разрабатывать сложное программное обеспечение.
Было интересно, но я понял, что могу заняться чем-то другим.
Еще со школы мне нравилось использовать отладчик, чтобы понять, как работает программное обеспечение; Первые свои эксперименты в этом направлении я проводил с программами «Агат-отладчик» и «Агат-ДОС», когда хотел выяснить, почему первая загружалась в пять раз быстрее, хотя места занимала столько же.
Как мы уже выяснили, на момент завершения моего обучения веба в современном понимании еще не существовало.
Поэтому ничто меня не отвлекало от реверс-инжиниринга.
Одним из важных направлений реверс-инжиниринга является восстановление логики кода.
Я знал, что существует множество продуктов, защищающих от пиратства, а также решений для шифрования данных — в их исследованиях также использовался обратный инжиниринг.
Была еще разработка антивирусов, но меня эта сфера почему-то никогда не привлекала, как и работа в военной или государственной организации.
К 1998 году я неплохо умел программировать (например, создавал ПО для систем автоматизированного проектирования), пользовался отладчиком, увлекался решением задач вроде keygen-me и взломать меня, интересовался криптографией (когда-то Мне даже удалось восстановить пароль от базы данных Excel, которую забыл друг, используя косвенные данные — «Русское женское имя в английской раскладке»).
Потом я продолжил учебу, даже написал диссертацию на тему «Методы анализа программных методов защиты электронных документов», хотя защищать ее так и не пришел (но понимал важность темы защиты авторских прав).
Окончательно погрузился в сферу информационной безопасности после прихода в Элкомсофт. Это тоже произошло случайно: друг попросил меня помочь ему восстановить утерянный доступ к базе данных MS Access, что я и сделал, создав инструмент автоматического восстановления пароля.
Я пытался продать этот инструмент компании «Элкомсофт», но взамен получил предложение о работе и проработал в этой компании 12 лет. По работе я в основном занимался вопросами восстановления доступа, восстановления данных и компьютерной криминалистики.
В первые годы моей карьеры произошло несколько прорывов в мире криптографии и защиты паролей, таких как концепция радужных таблиц в 2003 году и использование ускорителей графического процессора для восстановления паролей в 2008 году.
Ситуация в отрасли: борьба между черными и белыми шляпами
За свою карьеру уже в сфере информационной безопасности я познакомился и переписывался с огромным количеством людей.В ходе этих бесед я начал понимать, что принятое в отрасли разделение на «черные шляпы» и «белые шляпы» не отражает реального положения дел.
Конечно, цветов и оттенков здесь гораздо больше.
Если обратиться к истокам Интернета и информационной безопасности и прочитать истории хакеров тех времен, то станет ясно, что главным стимулом для людей тогда было их любопытство, желание узнать что-то новое.
Они не всегда использовали законные средства – достаточно прочитать о жизни Кевина Митника.
Сегодня спектр мотивации исследователей расширился: идеалисты хотят сделать весь мир безопаснее; кто-то другой хочет прославиться, создав новую технологию или исследуя популярный продукт; другие стараются заработать как можно быстрее – и возможностей для этого много, разной степени законности.
В результате последние зачастую оказываются «на темной стороне» и противостоят собственным коллегам.
В результате сегодня существует несколько направлений развития информационной безопасности.
Вы можете стать исследователем, участвовать в CTF, зарабатывать деньги на поиске уязвимостей или помогать бизнесу с киберзащитой.
Разработка программ вознаграждения за ошибки
Серьезным толчком для развития рынка информационной безопасности уже в 2000-х годах стало распространение bug bounty. В рамках этих программ разработчики сложных систем вознаграждают исследователей за обнаружение уязвимостей в их продуктах.Основная идея здесь в том, что это выгодно в первую очередь разработчикам и их пользователям, ведь ущерб от успешной кибератаки может в десятки и сотни раз превышать возможные выплаты исследователям.
Специалисты по информационной безопасности могут заниматься любимым делом — поиском уязвимостей — и при этом оставаться полностью в рамках закона и при этом получать вознаграждение.
В результате компании получают лояльных исследователей, которые следуют принципам ответственного раскрытия информации и помогают сделать программные продукты более безопасными.
Подходы к раскрытию информации
За последние двадцать лет появилось несколько подходов к тому, как именно должно выглядеть раскрытие информации об исследованиях в области информационной безопасности.Есть такие компании, как Zerodium, которые покупают уязвимости нулевого дня и рабочие эксплойты для популярного ПО — например, нулевой день в iOS стоит около $1 млн.
Однако более правильный вариант действий для уважающего себя исследователя после обнаружения уязвимости — сначала обратиться к производителю программного обеспечения.
Производители не всегда готовы признавать свои ошибки и сотрудничать с исследователями, но многие компании берегут свою репутацию, стараются оперативно устранять уязвимости и благодарят исследователей.
Если поставщик не проявляет достаточной активности, обычно ему дают время на выпуск исправлений, прежде чем публиковать информацию об уязвимости.
При этом исследователь должен в первую очередь думать об интересах пользователей: если есть вероятность, что разработчики никогда не исправят ошибку, ее публикация даст злоумышленникам инструмент для постоянных атак.
Ээволюция законодательства
Как уже говорилось выше, на заре Интернета основным мотивом хакеров была жажда знаний и банальное любопытство.Чтобы удовлетворить его, исследователи часто делали вещи, сомнительные с точки зрения властей, но в те годы законов, регулирующих сферу информационных технологий, было еще очень мало.
В результате после громких взломов часто появлялись законы.
В России первые законодательные инициативы в сфере информационной безопасности появились в 1996 году – тогда были приняты три статьи Уголовного кодекса, касающиеся несанкционированного доступа к информации (ст. 272), разработки вредоносного кода (ст. 273) и нарушения правил обслуживание компьютерных систем (статья 274).
Однако в законах достаточно сложно четко прописать все нюансы взаимодействий, что приводит к расхождениям в трактовках.
Это также затрудняет работу исследователей информационной безопасности: зачастую неясно, где заканчивается юридически добросовестная исследовательская деятельность и начинается преступность.
Даже в рамках программ bug bounty разработчики программного обеспечения могут запросить у исследователей демонстрацию эксплуатации уязвимости, подтверждение концепции.
В результате специалист по информационной безопасности вынужден создавать, по сути, вредоносный код, и при его отправке начинается «распространение».
Позже законы были уточнены, но это не всегда облегчало жизнь исследователям.
Так, в 2006 году появились статьи Гражданского кодекса, касающиеся защиты авторских прав и технических средств защиты.
Попытка обойти такую защиту, даже в ходе исследования, может считаться нарушением закона.
Все это создает риски для исследователей, поэтому перед проведением каких-либо экспериментов лучше проконсультироваться с юристами.
Информационная безопасность.
Цикл развития технологий.
В современном мире технологии развиваются определенными циклами.
После того, как возникает хорошая идея, она коммерциализируется, и появляется готовый продукт, позволяющий зарабатывать деньги.
Если этот продукт окажется успешным, он привлечет внимание киберпреступников, которые начнут искать способы заработать на нем или самих его пользователях.
Бизнес вынужден реагировать на эти угрозы и защищать себя.
Начинается противостояние нападавших и силовиков.
В то же время за последние годы произошло несколько революционных технологических прорывов: от появления массового высокоскоростного доступа в Интернет и социальных сетей до распространения мобильных телефонов и Интернета вещей.
Сегодня пользователи могут делать со смартфонами почти все, что они могут делать с компьютерами.
Но в то же время уровень безопасности в мобильных устройствах кардинально другой.
Чтобы украсть компьютер, вам нужно проникнуть в комнату, где он хранится.
Вы можете просто украсть телефон на улице.
Однако многие люди до сих пор не понимают масштаба рисков безопасности, которые несет развитие технологий.
Аналогичная ситуация и с удалением данных с SSD (то есть флешек).
Стандарты удаления данных с магнитных запоминающих устройств существуют уже много лет. Иная ситуация с флэш-памятью.
Например, такие накопители поддерживают операцию TRIM: она сообщает контроллеру SSD, что удаленные данные больше не нужно хранить и они становятся нечитаемыми.
Однако эта команда работает на уровне операционной системы, а если спуститься на уровень микросхем физической памяти, то получить доступ к данным можно будет с помощью простого программатора.
Другой пример — модемы 3G и 4G. Раньше модемы были подчиненными устройствами, они полностью контролировались компьютером.
Современные модемы сами стали компьютерами, содержат собственную ОС, внутри них происходят самостоятельные вычислительные процессы.
Если злоумышленник модифицирует прошивку модема, он сможет перехватить и контролировать любые передаваемые данные, а пользователь никогда об этом не узнает. Чтобы обнаружить такую атаку, нужно уметь анализировать 3G/4G-трафик, а такими возможностями обладают только спецслужбы и мобильные операторы.
Так что даже такие удобные модемы оказываются недоверенными устройствами.
Выводы по итогам 20 лет в информационной безопасности
Я занимаюсь сферой информационной безопасности двадцать лет, и за это время мои интересы в ней менялись параллельно с развитием отрасли.Сегодня информационные технологии находятся на таком уровне развития, что знать все в рамках даже одной небольшой ниши, такой как реверс-инжиниринг, просто невозможно.
Поэтому создание по-настоящему эффективных средств защиты сегодня возможно только для команд, объединяющих опытных специалистов с разнообразным набором знаний и компетенций.
Еще один важный вывод: на данный момент задача информационной безопасности сводится не к тому, чтобы сделать невозможными любые атаки, а к управлению рисками.
Борьба между специалистами по защите и нападению сводится к тому, чтобы сделать атаку слишком дорогой и снизить возможные финансовые потери в случае успешной атаки.
И третий, более глобальный вывод: информационная безопасность нужна лишь до тех пор, пока она нужна бизнесу.
Даже проведение сложных тестов на проникновение, требующих высококлассных специалистов, по сути является вспомогательной функцией процесса продажи продуктов информационной безопасности.
Безопасность – это верхушка айсберга.
Мы защищаем информационные системы, которые создаются только потому, что это нужно бизнесу, созданы для решения его задач.
Но этот факт компенсируется важностью сектора информационной безопасности.
Если возникнет проблема безопасности, это может нарушить функционирование информационных систем, а это напрямую отразится на бизнесе.
Так что многое зависит от охранников.
Общий
Сегодня в сфере информационных технологий не все так радужно; есть и серьезные проблемы.Вот три основных, на мой взгляд: Чрезмерное внимание со стороны властей.
Правительства во всем мире все активнее пытаются контролировать и регулировать Интернет и информационные технологии.
Интернет превращается в площадку информационной войны.
Двадцать лет назад никто не обвинял «русских хакеров» во всех мировых проблемах, но сегодня это в порядке вещей.
Новые технологии не делают людей лучше или умнее.
Людям нужно объяснить, зачем нужно то или иное решение, научить им пользоваться, рассказать о возможных рисках.
Несмотря на все эти недостатки, информационная безопасность сегодня, несомненно, является областью, которой стоит заниматься.
Только здесь вы каждый день будете сталкиваться с новейшими технологиями, интересными людьми и сможете проверить себя в противостоянии с «черными шляпами».
Каждый новый день будет испытанием, и скучно не будет никогда.
Автор : Дмитрий Скляров, руководитель отдела анализа приложений Positive Technologies Теги: #информационная безопасность #обзор #история #история
-
Экономическая Неоклассическая Теория
19 Oct, 24 -
Алиса — Rest-Мониторинг Rabbitmq
19 Oct, 24
