Изображение: Unsplash
Руководитель отдела анализа приложений Positive Technologies Дмитрий Скляров делится своим взглядом на историю развития отрасли информационной безопасности на протяжении последних 20 лет.
Если взглянуть на программу любой современной конференции по информационной безопасности, можно увидеть, какие важные темы занимают исследователей. Если проанализировать список этих важных тем, технологий и направлений, то окажется, что еще двадцать лет назад подавляющего большинства из них просто не существовало.
Вот, например, некоторые темы с конференции OFFZONE 2018:
- безналичные платежи,
- обход WAF,
- программно определяемые радиосистемы,
- спекулятивное исполнение,
- поиск ВПО для Android,
- HTTP/2,
- мобильный OAuth 2.0,
- эксплуатация XSS Exploiting,
- кибергруппировка Lazarus,
- атаки на веб-приложения с многослойной архитектурой,
- атаки Fault Injection на процессоры ARM.
Из них только две проблемы существуют достаточно давно. Первая — особенности архитектуры процессоров ARM, которые появились в середине 80-х годов. Вторая — проблема спекулятивного исполнения (speculative execution), которая берет начало в процессоре Intel Pentium Pro, выпущенном в 1995 году.
Другими словами, из этих тем действительно «древними» являются те, что связаны с железом. В основном же те исследования, которые сегодня проводят специалисты, вдохновлены событиями одно-, двух-, трехлетней давности. Например, технология HTTP/2 появилась лишь в 2015 году, ее в принципе можно изучать не больше четырех лет.
Вернемся на 20 лет назад. В 1998 году закончилась так называемая Первая браузерная война, в ходе которой конкурировали два крупнейших на тот момент браузера Internet Explorer и Netscape Navigator. В итоге Microsoft победила в этой войне, а главный конкурент ушел с рынка. Тогда подобных программ было мало, многие из них были платными, как, например, Opera: это считалось нормальным. При этом наиболее популярные сегодня браузеры Safari, Mozilla и Chrome были придуманы гораздо позже, а мысль о том, что браузер может быть платным, в наши дни никому не придет в голову.
Проникновение интернета 20 лет назад было в разы ниже, чем сегодня, поэтому и спрос на многие связанные с вебом сервисы сформировался гораздо позже завершения браузерной войны.
Другая ситуация сложилась в сфере криптографии. Она начала развиваться много десятилетий назад, к девяностым годам существовал целый ряд проверенных временем стандартов шифрования (DES, RSA) и цифровой подписи, а на протяжении последующих лет появилось много новых продуктов, алгоритмов и стандартов, в том числе развивавшийся в свободном формате OpenSSL; в России был рассекречен стандарт ГОСТ 28147-89.
Почти все связанные с криптографией технологии, которыми мы пользуемся сегодня, существовали уже в девяностые. Единственное широко обсуждаемое событие в этой области с тех пор — обнаружение бэкдора в поддерживаемом АНБ США алгоритме Dual_EC_DRBG от 2004 года.
Источники знаний
В начале девяностых появилась культовая книга Брюса Шнайера Applied Cryptography, она была очень интересной, но была посвящена именно криптографии, а не информационной безопасности. В России в 1997 году была издана книга «Атака через Internet» Ильи Медведовского, Павла Семьянова и Владимира Платонова. Появление такого практического материала, основанного на личном опыте российских экспертов, дало толчок к развитию сферы ИБ в нашей стране.
Если раньше начинающие исследователи могли лишь купить книги-перепечатки зарубежных исследований, часто плохо переведенные и без ссылок на источники, то после «Атаки через Internet» новые практические пособия стали появляться гораздо чаще. Например, уже в 1999 году вышла «Техника и философия хакерских атак» Криса Касперски. Сама «Атака через Internet» получила два продолжения — «Атака на Internet» (1999), и «Атака из Internet» (2002).
В 2001 году вышла книга корпорации Microsoft по безопасной разработке кода — Writing Secure Code. Именно тогда гигант софтверной индустрии осознал тот факт, что безопасность программного обеспечения очень важна: это был очень серьезный момент в развитии информационной безопасности. После этого корпорации начали задумываться об обеспечении безопасности, раньше же этим вопросам не уделялось достаточно внимания: код пишется, продукт продается, считалось, что этого достаточно. С тех пор Microsoft вкладывает значительные ресурсы в безопасность, и несмотря на существование уязвимостей в продуктах компании, в целом их защита на хорошем уровне.
В США индустрия информационной безопасности развивалась довольно активно с 70-х годов. В итоге в девяностые годы в этой стране уже существовало несколько крупных конференций по теме ИБ. Одна из них была организована компанией RSA, появился Black Hat, в те же годы прошли и первые соревнования хакеров в формате CTF.
В нашей стране ситуация была другая. Многие сегодняшние лидеры рынка информационной безопасности в России в девяностые годы еще не существовали. У исследователей было не так много вариантов трудоустройства: существовали «Лаборатория Касперского», «ДиалогНаука», «Информзащита» и еще несколько компаний. «Яндекс», Positive Technologies, Digital Security, Group-IB и даже «Доктор Веб» появились после 1998 года.
Аналогичная ситуация сложилась с конференциями для обмена знаниями и изучения текущих тенденций. За рубежом с этим все было хорошо: с 1984 года проводился Chaos Communication Congress, с 1991 года существовала конференция RSA, в 1993 году появился DEF CON (в 1996 году они провели первый CTF), с середины девяностых проводился Black Hat. В нашей же стране первым значительным событием в этой сфере стала конференция «РусКрипто», впервые прошедшая в 2000 году. Специалистам в России, не имевшим возможности ездить на зарубежные мероприятия, было тяжело находить единомышленников и обмениваться идеями.
С тех пор количество достойных отечественных мероприятий значительно расширилось: есть Positive Hack Days, ZeroNights, OFFZONE.
Личный опыт: первые шаги в ИБ
В 1998 году я заканчивал обучение на кафедре «Системы автоматизированного проектирования» в МГТУ им. Баумана, где меня учили разрабатывать сложный софт. Это было интересно, но я понимал, что могу заниматься чем-то еще. Еще со школы мне нравилось пользоваться отладчиком, разбираться в том, как устроено ПО; первые эксперименты в этом направлении я проводил с программами «Агат-отладчик» и «Агат-DOS», когда хотел выяснить, почему первый загружался в пять раз быстрее, хотя занимал столько же места.
Как мы уже выяснили, на момент завершения моего обучения веба в современном понимании не существовало. Поэтому меня ничто не отвлекало от реверс-инжиниринга. Одно из важных направлений обратной разработки — восстановление логики работы кода. Я знал о том, что существует множество продуктов, которые защищают от пиратского копирования, а также решения для шифрования данных — при их исследовании также использовался реверс-инжиниринг. Была еще разработка антивирусов, но это направление почему-то меня не привлекало никогда, как и работа в военной или правительственной организации.
К 1998 году я неплохо умел программировать (например, создавал софт для систем автоматизированного проектирования), пользоваться отладчиком, увлекался решением задач типа keygen-me и crack-me, интересовался криптографией (однажды даже сумел восстановить забытый знакомым пароль от базы Excel по косвенным данным — «русское женское имя в английской раскладке»).
Далее я продолжал обучение, даже написал диссертацию на тему «Методы анализа программных методов защиты электронных документов», хотя так никогда и не вышел на ее защиту (но понял важность темы защиты авторских прав).
В сферу ИБ я окончательно погрузился после прихода на работу в компанию Elcomsoft. Это также вышло случайно: знакомый попросил помочь ему с восстановлением утерянного доступа к базе данных MS Access, что я и сделал, создав автоматизированный инструмент восстановления паролей. Этот инструмент я попробовал продать в Elcomsoft, но взамен получил предложение о работе и провел в этой компании 12 лет. На работе в основном я занимался как раз вопросами восстановления доступа, восстановления данных и компьютерной криминалистики.
В ходе первых лет моей карьеры в мире криптографии и парольной защиты произошло несколько прорывов — например, в 2003 году появилась концепция радужных таблиц, а в 2008 году началось использование графических ускорителей для восстановления паролей.
Ситуация в индустрии: борьба черных и белых шляп
За время карьеры уже внутри сферы информационной безопасности я встречался и переписывался с огромным количеством людей. В ходе такого общения я стал понимать, что разделение на «черные шляпы» и «белые шляпы», принятое в отрасли, не отражает реального положения дел. Конечно же, цветов и оттенков здесь гораздо больше.
Если обратиться к истокам интернета и информационной безопасности и почитать истории хакеров тех времен, то станет ясно, что главным стимулом для людей тогда было их любопытство, желание узнать что-то новое. Не всегда они при этом использовали законные способы — достаточно почитать о жизни Кевина Митника.
Сегодня спектр мотивации исследователей расширился: идеалисты хотят сделать весь мир безопаснее; кто-то еще хочет прославиться, создав новую технологию или исследовав популярный продукт; другие пытаются как можно скорее заработать денег — и для этого есть много возможностей разной степени законности. В итоге последние часто оказываются «на темной стороне» и противостоят своим же коллегам.
Как следствие, сегодня существует несколько направлений для развития внутри ИБ. Можно стать исследователем, соревноваться в CTF, зарабатывать на поиске уязвимостей, помогать бизнесу с киберзащитой.
Развитие программ bug bounty
Серьезным импульсом для развития рынка информационной безопасности уже в 2000-х годах стало распространение bug bounty. В рамках этих программ разработчики сложных систем вознаграждают исследователей за обнаруженные в их продуктах уязвимости.
Основная идея здесь в том, что выгодно это в первую очередь разработчикам и их пользователям, потому что ущерб от успешной кибератаки может в десятки и сотни раз превышать возможные выплаты исследователям. Специалисты же по ИБ могут заниматься любимым делом — поиском уязвимостей — и при этом оставаться полностью в рамках закона и еще получать вознаграждение. В итоге компании получают лояльных исследователей, которые следуют практике ответственного разглашения и помогают делать программные продукты безопаснее.
Подходы к разглашению информации
За последние двадцать лет возникло несколько подходов к тому, как именно должно выглядеть разглашение результатов исследований в области информационной безопасности. Существуют компании, вроде Zerodium, которые скупают уязвимости нулевого дня и рабочие эксплойты для популярного софта — например, 0-day в iOS стоит около 1 млн долл. США. Однако более правильный для уважающего себя исследователя способ действий после обнаружения уязвимости — обратиться сначала к производителю софта. Не всегда производители готовы признавать свои ошибки и сотрудничать с исследователями, но многие компании оберегают репутацию, стараются оперативно устранять уязвимости и благодарят исследователей.
В случае если вендор недостаточно активен, распространенная практика заключается в том, чтобы дать ему время на выпуск патчей, а уже затем публиковать информацию об уязвимости. При этом исследователь должен в первую очередь думать об интересах пользователей: если есть вероятность, что разработчики вообще никогда не исправят ошибку, ее публикация даст атакующим инструмент для постоянных атак.
Эволюция законодательства
Как было сказано выше, на заре интернета основным мотивом хакеров была тяга к знаниям и банальное любопытство. Чтобы удовлетворить его, исследователи часто делали сомнительные с точки зрения властей вещи, но в те годы еще было крайне мало законов, регулирующих сферу информационных технологий.
В итоге законы часто появлялись уже «по следам» громких взломов. В России первые законодательные инициативы в области ИБ появились в 1996 году — тогда были приняты три статьи уголовного кодекса, касающиеся несанкционированного доступа к информации (статья 272), разработки вредоносного кода (статья 273) и нарушения правил обслуживания компьютерных систем (статья 274).
Однако четко прописать в законах все нюансы взаимодействий довольно трудно, в результате чего возникают разночтения в трактовках. Это также затрудняет деятельность исследователей информационной безопасности: часто непонятно, где заканчивается добросовестная с точки зрения закона исследовательская деятельность и начинается преступление.
Даже в рамках программ bug bounty разработчики софта могут запрашивать у исследователей демонстрацию эксплуатации уязвимости, proof of concept. В итоге специалист по ИБ вынужден создать, по сути, вредоносный код, а при его пересылке уже начинается «распространение».
В дальнейшем законы дорабатывались, но не всегда это облегчало жизнь исследователям. Так, в 2006 году появились статьи гражданского кодекса, касающиеся защиты авторских прав и технических средств защиты. Попытка обхода таких средств защиты даже в ходе исследований может быть признана нарушением закона.
Все это создает риски для исследователей, поэтому перед проведением тех или иных экспериментов лучше консультироваться у юристов.
ИБ-цикл развития технологий
В современном мире технологии развиваются по определенным циклам. После возникновения какой-то хорошей идеи она коммерциализируется, появляется законченный продукт, который позволяет зарабатывать деньги. Если этот продукт оказывается успешным, он привлекает внимание киберпреступников, которые начинают искать способы самостоятельного заработка на нем или его пользователях. Бизнес вынужден реагировать на эти угрозы и заниматься защитой. Начинается противостояние атакующих и безопасников.
При этом за последние годы произошло несколько революционных технологических прорывов, от появления массового высокоскоростного доступа в интернет, соцсетей до распространения мобильных телефонов и интернета вещей. Сегодня с помощью смартфонов пользователи могут делать почти все то же самое, что и с помощью компьютеров. Но при этом уровень безопасности в «мобайле» кардинально отличается.
Чтобы украсть компьютер, нужно проникнуть в комнату, где он хранится. Похитить телефон можно просто на улице. Однако многие люди до сих пор не понимают масштаба рисков безопасности, которые несет развитие технологий.
Похожая ситуация с удалением данных с SSD (то есть флеш-дисков). Стандарты удаления данных с магнитных накопителей существуют много лет. С флеш-памятью ситуация иная. К примеру, такие диски поддерживают операцию TRIM: она сообщает контроллеру SSD, что удаленные данные больше не нужно хранить, и они становятся недоступными для чтения. Однако эта команда работает на уровне операционной системы, и если спуститься ниже на уровень физических микросхем памяти, то получить доступ к данным будет возможно с помощью простого программатора.
Еще один пример — модемы 3G и 4G. Раньше модемы были подчиненными устройствами, они полностью контролировались компьютером. Современные модемы сами стали компьютерами, они содержат собственную ОС, внутри них идут самостоятельные вычислительные процессы. Если взломщик модифицирует прошивку модема, то сможет перехватывать и контролировать любые передаваемые данные, и пользователь никогда об этом не догадается. Для обнаружения такой атаки нужно иметь возможность анализировать 3G/4G-трафик, а такие возможности есть только у спецслужб и мобильных операторов. Так что и такие удобные модемы оказываются недоверенными устройствами.
Выводы по итогам 20 лет в ИБ
Я связан со сферой информационной безопасности уже двадцать лет, и за это время мои интересы внутри нее менялись параллельно с развитием отрасли. Сегодня информационные технологии находятся на таком уровне развития, что знать все в рамках даже отдельной небольшой ниши, такой как реверс-инжиниринг, просто невозможно. Поэтому создание по-настоящему эффективных инструментов защиты сегодня возможно только для команд, объединяющих опытных экспертов с разноплановым набором знаний и компетенций.
Другой важный вывод: в настоящий момент задача информационной безопасности сводится не к тому, чтобы сделать любые атаки невозможными, а к управлению рисками. Противостояние специалистов по защите и нападению сводится к тому, чтобы сделать нападение слишком дорогим и снизить возможные финансовые потери в случае успешной атаки.
И третий, более глобальный вывод: информационная безопасность нужна только до тех пор, пока в ней есть потребность у бизнеса. Даже проведение сложных тестов на проникновение, для которых нужны специалисты экстра-класса, — по сути своей вспомогательная функция процесса продажи продуктов для информационной безопасности.
Безопасность — это верхушка айсберга. Мы защищаем информационные системы, которые созданы только потому, что это нужно бизнесу, созданы для решения его задач. Но этот факт компенсируется важностью сферы ИБ. Если случится проблема безопасности, то это может нарушить функционирование информационных систем, а это непосредственно повлияет на бизнес. Так что от безопасников зависит очень много.
Итого
Сегодня в сфере информационных технологий далеко не все безоблачно, существуют и серьезные проблемы. Вот три основных, на мой взгляд:
Излишнее внимание властей. Государства во всем мире все активнее пытаются контролировать и регулировать интернет и информационные технологии.
Интернет превращается в площадку для информационной войны. Двадцать лет назад никто не обвинял во всех мировых проблемах «русских хакеров», а сегодня это в порядке вещей.
Новые технологии не делают людей лучше или умнее. Людям нужно объяснять, зачем нужно то или иное решение, учить их его использовать, рассказывать о возможных рисках.
При всех этих минусах информационная безопасность сегодня — это явно та область, которой стоит заниматься. Только здесь вы каждый день будете сталкиваться с новейшими технологиями, интересными людьми, сможете проверить себя в противостоянии с «черными шляпами». Каждый новый день будет бросать вызов, и скучно не будет никогда.
Автор: Дмитрий Скляров, руководитель отдела анализа приложений Positive Technologies