Как стать автором
Обновить
2383.13
Рейтинг
RUVDS.com
VDS/VPS-хостинг. Скидка 10% по коду HABR10

Русские хакерши: разговор с Алисой Esage Шевченко

Блог компании RUVDS.com Информационная безопасность *Карьера в IT-индустрии Научно-популярное
image

Примечание редактора: в декабре 2016 года президент Барак Обама подписал указ, в котором объявил о санкциях в отношении российских граждан и организаций в ответ на попытки вмешательства в выборы.

В список вошли несколько известных хакеров, а также Федеральная служба безопасности (ФСБ) и Главное разведывательное управление (ГРУ). Также в списке значилась менее известная организация, вызывающая у многих недоумение: ZOR Security. Компания была основана Алисой Шевченко, которая несколько лет работала экспертом по вирусной аналитике в «Лаборатории Касперского» и увлекалась созданием сообщества для хакеров и компьютерных фанатов. Министерство внутренней безопасности США также обратило внимание на ее помощь Schneider Electric в поиске уязвимостей в программном обеспечении.

Согласно заявлениям Министерства, компания Шевченко сотрудничала с ГРУ, которое, как утверждается, стояло за взломом Национального комитета Демократической партии и других политических организаций. Шевченко, также известная как Алиса Esage, сказала, что власти США ошиблись и что она уже закрыла свою компанию. В настоящее время она занимается независимыми исследованиями и является основателем проекта Zero-Day Engineering, в котором люди делятся техническими знаниями и проводят тренинги по исследованию уязвимостей программного обеспечения.

Недавно Шевченко поговорила с экспертом по киберугрозам Recorded Future Дмитрием Смилянцом о событиях 2016 года, своих любимых уязвимостях и о том, каково быть хакером в России. Мы взяли из интервью главное.

Дмитрий Смилянец: Как ты отреагировала, когда узнала, что правительство США ввело санкции в отношении твоей компании ZOR Security?

Алиса Esage: Я пыталась сохранять спокойствие и не позволять прессе представить меня опасной злой стервой, ставшей инициатором взлома века. Попутно я продолжала работать над своими проектами.

image

ДС: Как эти события изменили твою жизнь?

AE: Думаю, они сделали меня специалистом по процветанию в условиях американских санкций.

ДС: Ты сказала, что власти ошибались — в чем?

AE: Меня это больше не волнует. Люди имеют право на ошибку. И правительство США любит накладывать санкции на всех, чтобы иметь возможность утверждать свою власть там, где ее нет – оставим ему это право.

ДС: Ты все еще чувствуешь давление санкций?

AE: Что-то явно происходит, но я бы не назвала это давлением. Если кто-то не может работать со мной или извлекать выгоду из моих продуктов из-за страха перед правительством США, это его собственные проблемы.

DS: Как ты попала в кибербезопасность и хакерство?

AE: Все началось с моего отца Андрея. Он был талантливым инженером-электронщиком, одним из первых в России, кто начал собирать персональные компьютеры на основе запчастей и статей, опубликованных в зарубежных технических журналах в качестве хобби. В те годы компьютеры еще не были общедоступными. Он научил меня паять, когда мне было лет 5. Я начала читать книги о компьютерах и программировании еще в ранней школе, научилась программировать на C++ и языке ассемблера x86, как только в 15 лет у меня появился компьютер. Еще в школе я изучала реверс-инжиниринг, решала задачи «crackme», взламывала компьютерные игры и делала «кейгены» для развлечения. Также я участвовала в российских и международных хакерских проектах – в основном я занималась низкоуровневым взломом ПО. Начало было таким.

ДС: Как думаешь, людям становится легче или труднее идти по твоему пути?

AE: Трудно сказать. Когда я только начинала, информации о компьютерной безопасности было очень мало. Интернет был медленным, и только несколько публикаций могли помочь во всем это разобраться, если не считать общие книги по программированию. Я припоминаю, что был веб-сайт с названием… что-то об этичном хакинге, кажется им управляла женщина. Опубликованные на нем статьи вдохновили меня и помогли начать. В наши дни все по-другому. Информации много. Существуют тысячи общедоступных источников по всем темам в области компьютерной безопасности, от руководств для начинающих до профессиональных технических тренингов по продвинутым темам (например, те, которые я преподаю, ими занимается моя компания Zero Day Engineering). Это многое упрощает.

С другой стороны, компьютерные технологии становятся все более и более сложными, разработки ускоряются, кривые обучения становятся все круче, и, как следствие, становится все труднее достичь высокого уровня знаний в этой области. На это уходит больше времени — годы и десятилетия. Помните старое предположение, что «хакер – значит подросток» и что хакерская карьера должна завершиться до 30-летия? Сейчас все иначе. Большинству лучших хакеров, которых я знаю, уже за 30, и они только начинают. Таковы требования, чтобы достичь истинного мастерства в продвинутом взломе современных компьютерных систем: нужна преданность делу всей жизни.

Я думаю, что достижение действительно крутого уровня на этом пути — это скорее судьба, чем выбор. Требуется очень своеобразный образ мышления, который, кажется, основан на генетических данных, а также на особых жизненных обстоятельствах, чтобы делать невозможное каждый день.

Есть много более простых способов преуспеть в современном человеческом обществе, чем натравливать свой мозг на очередную систему. Вы поймете, что вы уже в этой среде, когда почувствуете, что не можете без неё жить. И когда это произойдет — поздравляю, пути назад нет.

DS: Что ты можешь посоветовать молодым девушкам, которые хотят сделать карьеру вроде твоей? Каковы плюсы и минусы хакерства?

AE: Найдите то, что вас интересует, выберите конкретную задачу и решите ее до конца. Поразмышляйте и повторяйте. Решение технических задач и их завершение необходимы для продвижения по этому пути, в то время как пассивное потребление информации в основном засоряет ваш мозг и мешает вашему техническому творчеству. Посвятите себя практике, читайте в основном первоисточники (например, технические спецификации, классические книги и высококачественные блоги исследователей, чьи работы вам нравятся). Этот совет подойдет как мужчинам, так и женщинам.

И специально для женщин: никого не слушайте и продолжайте заниматься любимым делом. Особенно, если вы уже знаете, что работа в технической сфере – это ваша страсть. Не позволяйте никому отвлекать вас от менеджмента, чтения лекций, написания отчетов, маркетинга или работы на любых других вспомогательных ролях в кибер-индустрии. Мужчины и женщины определенно сталкиваются с разными проблемами на этом карьерном пути, хотя со временем все налаживается (хотя намного медленнее и в меньшей степени, чем обычно предполагается).

Плюсы и минусы? Это работа с рисками, но она весёлая.

DS: Что тебе больше всего нравится в вашей работе? И что не очень любишь?

AE: Мне нравится неопределенность, враждебная среда, охота за ошибками и решение сложных задач. Мне нравится, что моя работа ценится чрезвычайно высоко, так что я могу за три дня заработать высокую годовую зарплату одним своим умом, сидя на пляже в пижаме. Мне не нравится, что мне приходится соревноваться со многими умными парнями, которые составляют подавляющее большинство в этой сфере. Мужчины и женщины не созданы чтобы соревноваться друг с другом.

DS: Какую самую крутую уязвимость ты когда-либо находила?

AE: Ошибка удаленного выполнения кода через DLL в Outlook Express для Windows XP. Это было давно, когда Windows XP еще использовалась на всех персональных компьютерах, а не только на банкоматах и POS-терминалах, как сейчас. В начале своей карьеры в области исследования уязвимостей я разработала собственную методологию для обнаружения ошибок нулевого дня этого класса и обнаружила множество проблем, в том числе и в OE. В течение многих лет после того, как я нашла её, я проверяла, не исправили ли её – и ничего не менялось. В настоящее время это, вероятно, «вечный нулевой день», поскольку XP больше не поддерживается. Такие долгоживущие и надежные подвиги всегда радуют.

В настоящее время проблемы с перехватом DLL (также известные как небезопасная загрузка библиотеки) по-прежнему очень часто встречаются. Например, ошибка этого типа была недавно исправлена в клиенте Zoom для Windows. Такие ошибки легко находить и легко использовать. Тот факт, что ведущие мировые разработчики программного обеспечения по-прежнему допускают такие тривиальные ошибки программирования, указывает на серьезный недостаток осведомленности об уязвимостях в мировой индустрии программного обеспечения. Это одна из причин, по которой моя компания разрабатывает специализированные каналы аналитики уязвимостей, которые (помимо наших тренингов) должны помочь восполнить этот пробел в знаниях и сделать Интернет более безопасным для всех.

DS: Как думаешь, какой самый простой способ скомпрометировать организацию в 2021 году?

image

АЕ: Вообще говоря, такого способа нет. У организаций бывают разные уровни безопасности. Что действительно важно понимать, так это то, что существует целый спектр наступательных кибертехнологий, которые могут быть использованы для компрометации организации, от простых до сложных. Злоумышленники обычно выбирают самое слабое звено в системе, которое можно сломать с помощью самых простых технологий в спектре. Я же предпочитаю специализироваться на наиболее сложных из них — уязвимостях и эксплойтах нулевого дня, особенно в защищенных системах. Как только удастся решить сложную проблему, все остальное – элементарно. Кроме того, все это неотвратимо. Вы можете научить своих сотрудников избегать фишинга, который приводит к появлению программ-вымогателей, вы можете установить надлежащую корпоративную политику, чтобы блокировать инсайдеров, которые перехватывают цепочки поставок и сливают ваши бизнес-секреты, но вы не можете полностью застраховаться от технологий. В технологических системах случаются ошибки, которые могут быть использованы для выполнения произвольного кода. И игра окончена.

Еще один ключевой момент, который следует понять, заключается в том, что, независимо от сценария нарушения безопасности, его первопричиной всегда является уязвимость: либо человеческая, либо техническая. Я заметила, что многие аналитические публикации о компромиссах в области кибербезопасности, как правило, несколько уходят от этого факта и не указывают на уязвимости/уязвимости виновника, при этом подробно объясняют различные периферийные, второстепенные и последние методы, задействованные в процессе. В настоящее время общая тенденция состоит в том, чтобы исключить человеческий фактор из уравнений безопасности, поэтому чисто технические ошибки будут приобретать все большее значение в долгосрочной перспективе.

DS: Расскажи, пожалуйста, о своем новом приключении, Zero Day Engineering.

AE: Эксплойт-инженерия нулевого дня — мой любимый киберспорт. Я не могу жить без него, потому что он дает моему мозгу всю необходимую ему пищу, которую я изо всех сил пыталась найти в других сферах деятельности. У меня не было другого выбора, кроме как создать на основе этого опыта общественное предприятие. С тех пор, как я официально объявила об этом, прошел всего месяц, и это уже мой любимый проект. Оказывается, он эффективно объединяет все знания и опыт, которые я приобрела за два десятилетия работы, как в технической практике, так и в предпринимательстве.

С точки зрения бизнеса, общая идея состоит в том, чтобы предложить аналитику киберугроз из одного источника с очень конкретной направленностью: низкоуровневые уязвимости в компьютерных системах для различных целевых аудиторий, от отдельных технических специалистов до фирм по кибербезопасности, поставщиков программного обеспечения и правительств. Все наши предложения по аналитике должны основываться в первую очередь на оригинальных глубоких технических исследованиях в лаборатории, а не на их сборе из внешних источников. Пока я все еще рассматриваю конкретные коммерческие предложения и проеткы с открытым исходным кодом, которые отрасль готова принять на данном этапе. Общая идея уже оказалась очень прибыльной при нулевых капиталовложениях (с помощью глубоких технических специализированных тренингов для отдельных лиц) и я вижу большой потенциал для будущего развития.

Далее я просто процитирую веб-сайт: «Независимо от того, насколько модно сейчас слово «кибер», существуют только две возможные основные причины любого нарушения безопасности: уязвимости технических систем и уязвимости человека. По мере того как глобальные тенденции в технологиях стремятся устранить человеческий фактор и ускорить развитие технического, осведомленность об уязвимостях технических систем становится критически важной во всех технологических разработках. Помочь справиться с этим могут знания. Вместо того, чтобы использовать наш опыт для создания еще одной защитной системы, которая, как мы знаем из первых рук, будет атакована и обойдена, мы разрабатываем продукты, которые позволяют систематически устранять пробелы в знаниях, которые делает возможным существование уязвимостей и эксплойтов »

DS: Мне понравилась фраза «разный код, одни и те же ошибки» в твоем блоге. Насколько часто ты видишь аналогичные ошибки связанных с гипервизорами? И насколько они, по твоему мнению, связаны с относительной непонятностью гипервизоров для большинства исследователей относительно более медленного цикла исправлений? Особенно если речь идет о популярных системах вроде Windows.

AE: В целом, в разных системах одного и того же класса существует много похожих уязвимостей. Дело не в гипервизорах. Например, ядра ОС и движки Javascript также демонстрируют эту тенденцию. Основная причина этого явления заключается в том, что системы одного класса основаны на одних и тех же абстрактных моделях, что диктуется функциями системы, вариантами использования и сценариями развертывания, даже если они разрабатываются независимо и в разные периоды времени. В свою очередь, одни и те же абстрактные модели предполагают те же ошибочные предположения, сделанные разработчиками систем и программистами, если они не были специально обучены современной безопасности кода. Тут-то и проявляется пересечение паттернов уязвимостей.

Что касается безопасности программного обеспечения, если кому-то это не очевидно – она очень важна. По сути, любая информация о проблемах безопасности в любой данной программной системе имеет прямое отношение ко всем другим системам того же класса и даже ко многим другим системам в целом (хотя и в меньшей степени).

Например, если вы разработчик программного обеспечения, то изучение ошибок безопасности в конкурирующих программных продуктах — это действенный и тривиальный способ укрепить собственную кодовую базу или, по крайней мере, избежать публичного позора, когда кто-то обнаружит ошибку в вашем коде очевидную ошибку, продемонстрированную в продукте конкурентов 10-20 лет назад (без шуток, в моих курсах приводилось много конкретных примеров из этой печальной ситуации). В рабочих процессах изучение ошибок в одной системе (обычно в системе с открытым исходным кодом) мгновенно выявляет паттерны незащищенности в другой, проприетарной системе, для которой прямое моделирование угроз затруднительно. Вообще говоря, множество технических проблем безопасности можно решить или оптимизировать, ориентируясь на эти не столь очевидные совпадения, если вы в состоянии наблюдать их систематически.

ДС: Ты говорила, что как системы, которые редко меняют кодовую базу, так и те, в которые добавляют много могут иметь множество эксплойтов. Можете ли ты сказать об относительном балансе между ними? С той точки зрения, что для одних пишут долговечные эксплойты, а для других – наносящие больше ущерба.

AE: В посте в моем блоге, о котором ты упоминал, содержится несколько иной смысл: речь о важности изучения внутренних компонентов систем, поскольку они являются ключом к созданию многоразовых расширенных примитивов эксплойтов из-за их относительной стабильности, поскольку от них зависят многие периферийные подсистемы. Кроме того, срок годности эксплойта не обязательно противоречит его потенциальному воздействию.

Что касается долговечности эксплойта, ключевым является только один показатель: насколько сложно найти ошибку. Поскольку индустрия обнаружения уязвимостей довольно враждебна, основное влияние на долговечность эксплойта оказывает конкуренция. Меньше конкуренции, дольше живет ошибка.

Этот показатель может быть расширен до системы переменных, таких как доступность информации, объем знаний, необходимых для решения задачи, требуемых специализированных навыков, необходимого специализированного оборудования, доступности наборов инструментов, различных средств безопасности целевого поставщика программного обеспечения и и так далее – и все эти аспекты относятся к разным этапам.

Что касается серьезного стратегического мышления в области исследований и разработок уязвимостей, то тут все может быть очень сложно. Однако для наиболее распространенных целей всю эту сложность можно свести к простому правилу: как можно глубже проникнуть в самую непонятную, но осмысленную систему. Это аспект частично перекликается с внутренними компонентами глубокой системы, но не ограничивается ими.

В отличие от глубоких внутренних компонентов системы, недавно добавленный код зачастую содержит неявные критические ошибки, которые легко найти и использовать. Из-за состязательного характера индустрии исследования уязвимостей эти ошибки будут обнаруживаться и исправляться относительно быстро (по крайней мере, в популярных и критических системах), что делает эксплойты на их основе недолговечными. Что не обязательно плохо.

Наконец, возможность нанесения ущерба не имеет ничего общего ни с одним из вышеперечисленных технических показателей. Я всегда смеюсь над пропагандой в СМИ, которая пытается связать программные эксплойты с убийствами; это просто смешно. Фактически, никакой компьютерный эксплойт не нанесет большего ущерба, чем старое доброе физическое оружие, которое он, как правило, заменяет. Абстрагируясь от этики и эмоций, любой подвиг действительно имеет определенную «силу», которая изначально нейтральна и зависит от многих факторов. Ключевым фактором здесь является то, в чьих руках находится эксплойт, а не его технические свойства.

image

ДС: Каково работать с госструктурами в России? Они профессиональны? Там сильные специалисты? Много бюрократии?

AE: Я слышала, что они компетентны и хорошо платят, если вы готовы пожертвовать международной карьерой.

DS: Что ты думаешь о Путине? Как российские хакеры в целом относятся к его политике и правлению?

АЕ: Пока я не знакома с Путиным. Я не думаю о нем и мне неважно, что думают другие. Я заметила одну вещь: никто из моих друзей из России в наши дни не спешит бежать за границу, хотя такой была общая тенденция 2000-х. Моя сестра даже вернулась в Россию, прожив некоторое время в Европе. Это единственный показатель, который говорит мне о том, что с моей Родиной все в порядке. Исходя из этого, я предполагаю, что Путин старается для России.

ДС: Раскрой секрет, что случилось с ником @ badd1e, который всем так понравился?

АЕ: Это не секрет. Он не подходил для моих целей в Твиттере, поэтому я изменила его на alisaesage. Однако я оставила его на своей странице GitHub — для истории.
Теги:
Хабы:
Всего голосов 73: ↑45 и ↓28 +17
Просмотры 18K
Комментарии Комментарии 85

Информация

Дата основания
Местоположение
Россия
Сайт
ruvds.com
Численность
11–30 человек
Дата регистрации
Представитель
ruvds