Imagen: UnsplashDmitry Sklyarov, Jefe de An谩lisis de Aplicaciones de Positive Technologies, comparte sus puntos de vista sobre la historia del desarrollo de la industria de seguridad de la informaci贸n en los 煤ltimos 20 a帽os.
Si observa el programa de cualquier conferencia moderna sobre seguridad de la informaci贸n, puede ver qu茅 temas importantes ocupan los investigadores. Si analiza la lista de estos temas, tecnolog铆as y direcciones importantes, resulta que hace veinte a帽os la gran mayor铆a de ellos simplemente no exist铆a.
Por ejemplo, aqu铆 hay algunos temas de la conferencia OFFZONE 2018:
- pagos no en efectivo
- WAF bypass
- sistemas de radio definidos por software,
- ejecuci贸n especulativa
- b煤squeda de malware para Android,
- HTTP / 2,
- OAuth 2.0 m贸vil,
- explotaci贸n de la explotaci贸n XSS,
- cybergroup Lazarus,
- ataques a aplicaciones web con una arquitectura multicapa,
- Ataques de inyecci贸n de fallas en procesadores ARM.
De estos, solo existen dos problemas durante mucho tiempo. El primero son las caracter铆sticas de arquitectura de los procesadores ARM que aparecieron a mediados de los a帽os 80. El segundo es el problema de la ejecuci贸n especulativa, que se origina en el procesador Intel Pentium Pro, lanzado en 1995.
En otras palabras, de estos temas, verdaderamente "antiguos" son los asociados con el hierro. B谩sicamente, los estudios realizados por especialistas hoy est谩n inspirados en los eventos de hace uno, dos o tres a帽os. Por ejemplo, la tecnolog铆a HTTP / 2 apareci贸 solo en 2015; en principio, no se puede estudiar m谩s de cuatro a帽os.
Volvamos 20 a帽os. En 1998, termin贸 la llamada Primera Guerra de Navegadores, durante la cual los dos navegadores m谩s grandes de la 茅poca, Internet Explorer y Netscape Navigator, compitieron. Como resultado, Microsoft gan贸 esta guerra y el principal competidor abandon贸 el mercado. Luego hubo pocos programas de este tipo, muchos de ellos fueron pagados, como, por ejemplo, Opera: esto se consideraba normal. Al mismo tiempo, los navegadores m谩s populares Safari, Mozilla y Chrome se inventaron mucho m谩s tarde, y la idea de que el navegador se puede pagar hoy no se le ocurrir谩 a nadie.
La penetraci贸n de Internet hace 20 a帽os fue varias veces menor que la actual, por lo que la demanda de muchos servicios relacionados con la web se form贸 mucho m谩s tarde que el final de la guerra del navegador.
Otra situaci贸n se ha desarrollado en el campo de la criptograf铆a. Comenz贸 a desarrollarse hace muchas d茅cadas, en la d茅cada de los noventa hab铆a una serie de est谩ndares de cifrado probados (DES, RSA) y firmas digitales, y en los a帽os siguientes aparecieron muchos productos, algoritmos y est谩ndares nuevos, incluido el formato libre openSSL; En Rusia, el est谩ndar GOST 28147-89 fue desclasificado.
Casi todas las tecnolog铆as relacionadas con la criptograf铆a que utilizamos hoy ya exist铆an en los a帽os noventa. El 煤nico evento ampliamente discutido en esta 谩rea desde entonces es la detecci贸n de una puerta trasera en el algoritmo Dual_EC_DRBG 2004 compatible con la NSA.
Fuentes de conocimiento
A principios de los a帽os noventa, apareci贸 el libro de culto de Criptograf铆a Aplicada Bruce Schneier, fue muy interesante, pero estaba dedicado a la criptograf铆a y no a la seguridad de la informaci贸n. En Rusia, en 1997, se public贸 el libro "Ataque a trav茅s de Internet" de Ilya Medvedovsky, Pavel Semyanov y Vladimir Platonov. La aparici贸n de este material pr谩ctico, basado en la experiencia personal de expertos rusos, impuls贸 el desarrollo del campo de la seguridad de la informaci贸n en nuestro pa铆s.
Anteriormente, los investigadores novatos solo pod铆an comprar libros de reimpresi贸n de estudios extranjeros, a menudo mal traducidos y sin referencia a las fuentes, despu茅s del "Ataque a trav茅s de Internet" nuevos manuales pr谩cticos comenzaron a aparecer con mucha m谩s frecuencia. Por ejemplo, ya en 1999, se lanz贸 la t茅cnica y filosof铆a de ataques de piratas inform谩ticos de Chris Kaspersky. El "Ataque a trav茅s de Internet" recibi贸 dos secuelas: "Ataque a trav茅s de Internet" (1999) y "Ataque a trav茅s de Internet" (2002).
En 2001, se public贸 el libro de Microsoft sobre desarrollo de c贸digo seguro, Writing Secure Code. Fue entonces cuando el gigante de la industria del software se dio cuenta del hecho de que la seguridad del software es muy importante: fue un momento muy serio en el desarrollo de la seguridad de la informaci贸n. Despu茅s de eso, las corporaciones comenzaron a pensar en garantizar la seguridad, pero antes estos problemas no recibieron suficiente atenci贸n: el c贸digo est谩 escrito, el producto se vende, se cre铆a que esto era suficiente. Desde entonces, Microsoft ha invertido importantes recursos en seguridad y, a pesar de la existencia de vulnerabilidades en los productos de la compa帽铆a, en general, su protecci贸n est谩 en un buen nivel.
En los Estados Unidos, la industria de la seguridad de la informaci贸n se ha desarrollado de manera bastante activa desde los a帽os 70. Como resultado, en los a帽os noventa en este pa铆s ya hab铆a varias conferencias importantes sobre el tema de la seguridad de la informaci贸n. Uno de ellos fue organizado por RSA, Black Hat apareci贸, y en los mismos a帽os tuvieron lugar las primeras competiciones de hackers CTF.
En nuestro pa铆s, la situaci贸n era diferente. Muchos de los l铆deres actuales en el mercado de seguridad de la informaci贸n en Rusia en los a帽os noventa a煤n no exist铆an. Los investigadores no ten铆an muchas opciones de empleo: hab铆a Kaspersky Lab, DialogueScience, Informzashita y varias otras compa帽铆as. Yandex, Positive Technologies, Digital Security, Group-IB e incluso Doctor Web aparecieron despu茅s de 1998.
Una situaci贸n similar se ha desarrollado con conferencias para compartir conocimientos y estudiar las tendencias actuales. Todo fue bueno con esto en el extranjero: desde 1984, se celebr贸 el Congreso de Comunicaci贸n del Caos, desde 1991 hubo una conferencia RSA, en 1993 apareci贸 DEF CON (en 1996 celebraron el primer CTF), y desde mediados de los noventa se celebr贸 Black Hat. En nuestro pa铆s, el primer evento significativo en esta 谩rea fue la conferencia RusCrypto, que se celebr贸 por primera vez en 2000. Fue dif铆cil para los especialistas en Rusia que no tuvieron la oportunidad de asistir a eventos extranjeros para encontrar personas de ideas afines e intercambiar ideas.
Desde entonces, el n煤mero de eventos nacionales dignos se ha expandido significativamente: hay d铆as de pirateo positivo, noches de cero, OFFZONE.
Experiencia personal: primeros pasos en seguridad de la informaci贸n
En 1998, me gradu茅 del departamento "Sistemas de dise帽o asistidos por computadora" en el MSTU. Bauman, donde me ense帽aron a desarrollar software complejo. Fue interesante, pero me di cuenta de que pod铆a hacer algo m谩s. Desde la escuela me gustaba usar el depurador, para entender c贸mo funciona el software; Realic茅 los primeros experimentos en esta direcci贸n con los programas Agat-Debugger y Agat-DOS cuando quer铆a saber por qu茅 el primero se cargaba cinco veces m谩s r谩pido, aunque ocupaba la misma cantidad de espacio.
Como ya hemos descubierto, en el momento de completar mi formaci贸n, la web en el sentido moderno no exist铆a. Por lo tanto, nada me distrajo de la ingenier铆a inversa. Una de las 谩reas importantes de la ingenier铆a inversa es la restauraci贸n de la l贸gica del c贸digo. Sab铆a que hay muchos productos que protegen contra la copia pirateada, as铆 como soluciones de encriptaci贸n de datos; la ingenier铆a inversa tambi茅n se utiliz贸 en su investigaci贸n. Tambi茅n se produjo el desarrollo de los antivirus, pero por alguna raz贸n esta direcci贸n nunca me atrajo, al igual que el trabajo en una organizaci贸n militar o gubernamental.
Para 1998, era bueno programando (por ejemplo, creando software para sistemas de dise帽o asistidos por computadora), usando un depurador, me gustaba resolver tareas como keygen-me y crack-me, estaba interesado en la criptograf铆a (una vez que incluso pude recuperar una contrase帽a de Excel olvidada por mis amigos de datos indirectos) "Nombre femenino ruso en el dise帽o en ingl茅s").
Luego continu茅 mis estudios, incluso escrib铆 una disertaci贸n sobre "M茅todos de an谩lisis de m茅todos de software para proteger documentos electr贸nicos", aunque nunca sal铆 en su defensa (pero me di cuenta de la importancia de la protecci贸n de los derechos de autor).
En el campo de la seguridad de la informaci贸n, finalmente me sumerg铆 despu茅s de unirme a Elcomsoft. Tambi茅n sucedi贸 por casualidad: un amigo me pidi贸 que lo ayudara a recuperar el acceso perdido a la base de datos de MS Access, lo que hice al crear una herramienta de recuperaci贸n de contrase帽a autom谩tica. Trat茅 de vender esta herramienta en Elcomsoft, pero a cambio recib铆 una oferta de trabajo y pas茅 12 a帽os en esta empresa. En el trabajo, me ocupaba principalmente de la recuperaci贸n de acceso, recuperaci贸n de datos y an谩lisis forense inform谩tico.
Durante los primeros a帽os de mi carrera en el mundo de la criptograf铆a y la protecci贸n con contrase帽a, se produjeron varios avances: por ejemplo, en 2003 apareci贸 el concepto de tablas arco铆ris y en 2008 comenz贸 el uso de aceleradores gr谩ficos para la recuperaci贸n de contrase帽as.
La situaci贸n en la industria: la lucha de los sombreros blancos y negros
Durante mi carrera, ya dentro del 谩mbito de la seguridad de la informaci贸n, conoc铆 y mantuve correspondencia con una gran cantidad de personas. En el curso de dicha comunicaci贸n, comenc茅 a comprender que la divisi贸n en "sombreros negros" y "sombreros blancos" adoptados en la industria no refleja la situaci贸n real. Por supuesto, hay muchos m谩s colores y sombras.
Si recurre a los or铆genes de Internet y la seguridad de la informaci贸n y lee las historias de los piratas inform谩ticos de aquellos tiempos, queda claro que el principal est铆mulo para las personas fue su curiosidad, el deseo de aprender algo nuevo. Al mismo tiempo, no siempre usaban m茅todos legales, solo le铆an sobre la vida de Kevin Mitnik.
Hoy, el espectro de motivaci贸n para los investigadores se ha expandido: los idealistas quieren hacer que todo el mundo sea m谩s seguro; alguien m谩s quiere hacerse famoso creando una nueva tecnolog铆a o explorando un producto popular; otros intentan ganar dinero lo antes posible, y para esto hay muchas posibilidades de diversos grados de legalidad. Como resultado, estos 煤ltimos a menudo se encuentran "en el lado oscuro" y confrontan a sus propios colegas.
Como resultado, hoy existen varias 谩reas para el desarrollo dentro de la seguridad de la informaci贸n. Puede convertirse en un investigador, competir en CTF, ganar dinero buscando vulnerabilidades y ayudar a las empresas con ciberseguridad.
El desarrollo de programas de recompensas de errores.
Un impulso importante para el desarrollo del mercado de seguridad de la informaci贸n en la d茅cada de 2000 fue la propagaci贸n de la recompensa por errores. Dentro de estos programas, los desarrolladores de sistemas complejos recompensan a los investigadores por las vulnerabilidades descubiertas en sus productos.
La idea principal aqu铆 es que es principalmente beneficioso para los desarrolladores y sus usuarios, porque el da帽o de un ciberataque exitoso puede ser decenas y cientos de veces mayor que los posibles pagos a los investigadores. Los expertos en seguridad de la informaci贸n pueden hacer lo que les gusta hacer: buscar vulnerabilidades, sin dejar de cumplir con la ley y recibir recompensas. Como resultado, las empresas obtienen investigadores leales que siguen la pr谩ctica de la divulgaci贸n responsable y ayudan a que los productos de software sean m谩s seguros.
Enfoques de divulgaci贸n
En los 煤ltimos veinte a帽os, deber铆an haber aparecido varios enfoques sobre c贸mo divulgar los resultados de la investigaci贸n en el campo de la seguridad de la informaci贸n. Hay compa帽铆as como Zerodium que compran vulnerabilidades y exploits de d铆a cero para software popular, por ejemplo, 0 d铆as en iOS cuesta alrededor de $ 1 mill贸n. Sin embargo, la forma m谩s correcta de actuar para un investigador que se respete a s铆 mismo despu茅s de detectar una vulnerabilidad es contactar primero al fabricante del software. Los fabricantes no siempre est谩n listos para admitir sus errores y colaborar con los investigadores, pero muchas compa帽铆as protegen su reputaci贸n, tratan de eliminar r谩pidamente las vulnerabilidades y agradecen a los investigadores.
Si el proveedor no est谩 lo suficientemente activo, una pr谩ctica com煤n es darle tiempo para emitir parches y solo luego publicar informaci贸n sobre la vulnerabilidad. En este caso, el investigador primero debe pensar en los intereses de los usuarios: si existe la posibilidad de que los desarrolladores nunca corrijan el error, su publicaci贸n dar谩 a los atacantes una herramienta para ataques constantes.
Evoluci贸n de la legislaci贸n
Como se mencion贸 anteriormente, en los albores de Internet, el motivo principal para los piratas inform谩ticos era un ansia de conocimiento y curiosidad banal. Para satisfacerlo, los investigadores a menudo hac铆an cosas dudosas desde el punto de vista de las autoridades, pero en aquellos a帽os todav铆a hab铆a muy pocas leyes que regularan el campo de la tecnolog铆a de la informaci贸n.
Como resultado, las leyes a menudo aparecieron a ra铆z de los hacks de alto perfil. Las primeras iniciativas legislativas en el campo de la seguridad de la informaci贸n aparecieron en Rusia en 1996; luego, se adoptaron tres art铆culos del c贸digo penal sobre el acceso no autorizado a la informaci贸n (art铆culo 272), el desarrollo de c贸digo malicioso (art铆culo 273) y la violaci贸n de las reglas para el mantenimiento de los sistemas inform谩ticos (art铆culo 274).
Sin embargo, es bastante dif铆cil establecer claramente en las leyes todos los matices de las interacciones, como resultado de lo cual existen discrepancias en las interpretaciones. Tambi茅n complica las actividades de los investigadores de seguridad de la informaci贸n: a menudo no est谩 claro d贸nde terminan las actividades de investigaci贸n respetuosas de la ley y d贸nde comienza el crimen.
Incluso dentro del marco de los programas de recompensas de errores, los desarrolladores de software pueden solicitar a los investigadores una demostraci贸n de explotaci贸n de la vulnerabilidad, prueba de concepto. Como resultado, el especialista en seguridad de la informaci贸n se ve obligado a crear, de hecho, c贸digo malicioso, y cuando se env铆a, la "distribuci贸n" ya comienza.
En el futuro, se finalizaron las leyes, pero esto no siempre facilit贸 la vida de los investigadores. Por lo tanto, en 2006 hab铆a art铆culos del c贸digo civil relacionados con la protecci贸n de los derechos de autor y los medios t茅cnicos de protecci贸n. Un intento de eludir tales remedios incluso durante la investigaci贸n puede considerarse una violaci贸n de la ley.
Todo esto crea riesgos para los investigadores, por lo tanto, antes de realizar ciertos experimentos, es mejor consultar con abogados.
Ciclo de desarrollo de tecnolog铆a de la informaci贸n
En el mundo moderno, las tecnolog铆as se desarrollan en ciertos ciclos. Despu茅s de la aparici贸n de una buena idea, se comercializa, aparece un producto terminado que le permite ganar dinero. Si este producto tiene 茅xito, atrae la atenci贸n de los ciberdelincuentes que comienzan a buscar formas de ganar dinero con 茅l o con sus usuarios. Las empresas se ven obligadas a responder a estas amenazas y a protegerse. Comienza el enfrentamiento entre atacantes y guardias de seguridad.
Adem谩s, en los 煤ltimos a帽os ha habido varios avances tecnol贸gicos revolucionarios, desde la aparici贸n de acceso masivo a Internet de alta velocidad, redes sociales hasta la difusi贸n de tel茅fonos m贸viles e Internet de las cosas. Hoy, usando tel茅fonos inteligentes, los usuarios pueden hacer casi todo lo mismo que usar computadoras. Pero al mismo tiempo, el nivel de seguridad en el "m贸vil" es fundamentalmente diferente.
Para robar una computadora, debe ingresar a la habitaci贸n donde est谩 almacenada. Puedes robar un tel茅fono afuera. Sin embargo, muchas personas todav铆a no entienden la escala de los riesgos de seguridad que conlleva el desarrollo tecnol贸gico.
Una situaci贸n similar es con la eliminaci贸n de datos de SSD (es decir, unidades flash). Los est谩ndares para eliminar datos de unidades magn茅ticas han existido durante muchos a帽os. Con memoria flash, la situaci贸n es diferente. Por ejemplo, estos discos admiten la operaci贸n TRIM: le dice al controlador SSD que los datos eliminados ya no necesitan ser almacenados y se vuelven inaccesibles para la lectura. Sin embargo, este comando funciona en el nivel del sistema operativo, y si baja al nivel de los chips de memoria f铆sica, podr谩 acceder a los datos utilizando un simple programador.
Otro ejemplo son los m贸dems 3G y 4G. Anteriormente, los m贸dems eran esclavos, estaban completamente controlados por una computadora. Los m贸dems modernos se han convertido en computadoras, contienen su propio sistema operativo, ejecutan procesos inform谩ticos independientes. Si el cracker modifica el firmware del m贸dem, podr谩 interceptar y controlar cualquier dato transmitido, y el usuario nunca lo adivinar谩. Para detectar dicho ataque, debe ser capaz de analizar el tr谩fico 3G / 4G, y solo las agencias de inteligencia y los operadores m贸viles tienen tales capacidades. Por lo tanto, estos m贸dems convenientes resultan ser dispositivos no confiables.
Conclusiones sobre los resultados de 20 a帽os en IB
He estado asociado con el campo de la seguridad de la informaci贸n durante veinte a帽os, y durante este tiempo mis intereses dentro de 茅l han cambiado en paralelo con el desarrollo de la industria. Hoy en d铆a, la tecnolog铆a de la informaci贸n est谩 en un nivel de desarrollo tal que es simplemente imposible saberlo todo, incluso en un peque帽o nicho, como la ingenier铆a inversa. Por lo tanto, la creaci贸n de herramientas de protecci贸n verdaderamente efectivas ahora es posible solo para equipos que combinan expertos experimentados con un conjunto diverso de conocimientos y competencias.
Otra conclusi贸n importante: en este momento, la tarea de la seguridad de la informaci贸n no es hacer que los ataques sean imposibles, sino gestionar los riesgos. La confrontaci贸n entre los especialistas en defensa y ataque se reduce a hacer el ataque demasiado costoso y reducir las posibles p茅rdidas financieras en caso de un ataque exitoso.
Y la tercera conclusi贸n m谩s global: la seguridad de la informaci贸n se necesita solo mientras la empresa la necesite. Incluso la realizaci贸n de pruebas de penetraci贸n complejas, que requieren especialistas de clase extra, es esencialmente una funci贸n auxiliar del proceso de venta de productos para la seguridad de la informaci贸n.
La seguridad es la punta del iceberg. Protegemos los sistemas de informaci贸n que se crean solo porque las empresas lo necesitan, creados para resolver sus problemas. Pero este hecho se ve compensado por la importancia del campo de la seguridad de la informaci贸n. Si ocurre un problema de seguridad, puede interrumpir el funcionamiento de los sistemas de informaci贸n, y esto afectar谩 directamente al negocio. Entonces, mucho depende del equipo de seguridad.
Total
Hoy, en el campo de la tecnolog铆a de la informaci贸n, no todo est谩 despejado y existen serios problemas. Aqu铆 hay tres principales, en mi opini贸n:
Atenci贸n excesiva de las autoridades. Los estados de todo el mundo est谩n tratando cada vez m谩s de controlar y regular Internet y la tecnolog铆a de la informaci贸n.
Internet se est谩 convirtiendo en una plataforma para la guerra de informaci贸n. Hace veinte a帽os, nadie culpaba a los "hackers rusos" por todos los problemas del mundo, pero hoy est谩 en el orden de las cosas.
Las nuevas tecnolog铆as no hacen que las personas sean mejores o m谩s inteligentes. Las personas necesitan explicar por qu茅 se necesita esta o aquella decisi贸n, ense帽arles c贸mo usarla y hablar sobre los posibles riesgos.
Con todas estas desventajas, la seguridad de la informaci贸n hoy es claramente un 谩rea que debe abordarse. Solo aqu铆 todos los d铆as te encontrar谩s con las 煤ltimas tecnolog铆as, personas interesantes, puedes ponerte a prueba en la confrontaci贸n con los "sombreros negros". Cada nuevo d铆a ser谩 un desaf铆o y nunca se aburrir谩.
Publicado por Dmitry Sklyarov, Jefe de An谩lisis de Aplicaciones, Tecnolog铆as Positivas