Geekly articles weekly

كيف تغير أمن المعلومات على مدى السنوات العشرين الماضية



الصورة: Unsplash

يشاطر ديمتري سكلياروف ، رئيس تحليل التطبيقات في شركة إيجيبت تكنولوجيز ، وجهات نظره حول تاريخ تطور صناعة أمن المعلومات على مدار العشرين عامًا الماضية.

إذا نظرت إلى برنامج أي مؤتمر حديث حول أمن المعلومات ، يمكنك معرفة الموضوعات المهمة التي يشغلها الباحثون. إذا قمت بتحليل قائمة هذه المواضيع والتقنيات والاتجاهات الهامة ، فقد تبين أنه قبل عشرين عامًا لم تكن الغالبية العظمى منها موجودة.

على سبيل المثال ، فيما يلي بعض الموضوعات من مؤتمر OFFZONE 2018:

  • المدفوعات غير النقدية
  • WAF الالتفافية
  • أنظمة الراديو المعرفة بالبرنامج
  • تنفيذ المضاربة
  • البحث عن البرامج الضارة لنظام Android ،
  • HTTP / 2 ،
  • 2.0 المحمول OAuth ،
  • استغلال استغلال XSS ،
  • cybergroup لعازر ،
  • الهجمات على تطبيقات الويب مع بنية متعددة الطبقات ،
  • هجمات حقن خطأ على معالجات أرمينيا.

من بين هؤلاء ، توجد مشكلتان فقط لفترة طويلة. الأول هو ميزات الهندسة المعمارية لمعالجات ARM التي ظهرت في منتصف الثمانينات. والثاني هو مشكلة تنفيذ المضاربة ، التي تنشأ في معالج Intel Pentium Pro ، الذي صدر في عام 1995.

بمعنى آخر ، من بين هذه المواضيع ، "القديمة" حقًا هي تلك المرتبطة بالحديد. في الأساس ، فإن الدراسات التي أجراها المتخصصون اليوم مستوحاة من أحداث سنة أو سنتين أو ثلاث سنوات مضت. على سبيل المثال ، ظهرت تقنية HTTP / 2 في عام 2015 فقط ؛ من حيث المبدأ ، لا يمكن دراستها لمدة تزيد عن أربع سنوات.

دعنا نعود 20 سنة. في عام 1998 ، انتهت لعبة First Browser War ، التي تنافس خلالها أكبر متصفحين في ذلك الوقت ، Internet Explorer و Netscape Navigator. ونتيجة لذلك ، ربح Microsoft هذه الحرب ، وغادر المنافس الرئيسي السوق. ثم كان هناك عدد قليل من هذه البرامج ، تم دفع الكثير منها ، مثل ، أوبرا: كان هذا يعتبر عاديًا. في الوقت نفسه ، تم اختراع المتصفحات الأكثر شعبية Safari و Mozilla و Chrome في وقت لاحق ، وفكرة أن المستعرض يمكن أن يدفع اليوم لن تحدث لأي شخص.

كان تغلغل الإنترنت قبل 20 عامًا أقل بعدة مرات من اليوم ، لذلك تم تشكيل الطلب على العديد من الخدمات ذات الصلة بالويب في وقت متأخر أكثر من نهاية حرب المتصفح.

تطور وضع آخر في مجال التشفير. بدأ تطويره منذ عدة عقود ، بحلول التسعينيات كان هناك عدد من معايير التشفير التي تم اختبارها (DES ، RSA) والتوقيعات الرقمية ، وعلى مدار الأعوام التالية ظهرت العديد من المنتجات والخوارزميات والمعايير الجديدة ، بما في ذلك التنسيق المجاني لـ openSSL ؛ في روسيا ، تم رفع السرية عن معيار GOST 28147-89.

تقريبا جميع التقنيات المتعلقة بالتشفير التي نستخدمها اليوم موجودة بالفعل في التسعينات. الحدث الوحيد الذي تمت مناقشته على نطاق واسع في هذا المجال منذ ذلك الحين هو اكتشاف مستتر في خوارزمية Dual_EC_DRBG 2004 تدعمها وكالة الأمن القومي.

مصادر المعرفة


في أوائل تسعينيات القرن العشرين ، ظهر كتاب عبادة كتاب Bruce Schneier Applied Cryptography ، كان ممتعًا للغاية ، لكنه كان مخصصًا للتشفير ، وليس لأمن المعلومات. في روسيا في عام 1997 ، تم نشر كتاب "الهجوم عبر الإنترنت" من تأليف إيليا ميدفيوفسكي ، وبافل سيميانوف ، وفلاديمير بلاتونوف. أعطى ظهور هذه المواد العملية ، بناءً على الخبرة الشخصية للخبراء الروس ، قوة دفع لتطوير مجال أمن المعلومات في بلدنا.

في وقت سابق ، لم يكن بوسع الباحثين المبتدئين شراء كتب معاد طباعتها من دراسات أجنبية ، وغالبًا ما تتم ترجمتها بشكل سيئ ودون الرجوع إلى المصادر ، بعد أن بدأت أدلة عملية جديدة تظهر في "الهجوم عبر الإنترنت" في كثير من الأحيان. على سبيل المثال ، بالفعل في عام 1999 ، تم إصدار كريس كاسبرسكي تكنيك وفلسفة هجمات القراصنة. تلقى "الهجوم عبر الإنترنت" نفسه تسلسلين - "الهجوم على الإنترنت" (1999) ، و "الهجوم من الإنترنت" (2002).

في عام 2001 ، تم إصدار كتاب Microsoft الخاص بتطوير الكود الآمن ، كتابة الكود الآمن. في ذلك الوقت ، أدرك عملاق صناعة البرمجيات حقيقة أن أمن البرمجيات مهم للغاية: لقد كانت لحظة خطيرة للغاية في تطوير أمن المعلومات. بعد ذلك ، بدأت الشركات في التفكير في ضمان الأمن ، ولكن في وقت سابق لم يتم إيلاء اهتمام كاف لهذه المشكلات: تم كتابة الرمز ، وبيع المنتج ، وكان يعتقد أن هذا يكفي. منذ ذلك الحين ، استثمرت Microsoft موارد كبيرة في مجال الأمن ، وعلى الرغم من وجود ثغرات أمنية في منتجات الشركة ، بشكل عام ، فإن حمايتها في مستوى جيد.

في الولايات المتحدة الأمريكية ، تطورت صناعة أمن المعلومات بنشاط كبير منذ السبعينيات. نتيجة لذلك ، في التسعينات في هذا البلد كان هناك بالفعل العديد من المؤتمرات الكبرى حول موضوع أمن المعلومات. أحدهما تم تنظيمه من قبل RSA ، ظهر Black Hat ، وفي نفس العام ، جرت أول مسابقات للقراصنة من قبل CTF.

في بلدنا ، كان الوضع مختلفًا. العديد من قادة اليوم في سوق أمن المعلومات في روسيا في التسعينات لم تكن موجودة بعد. لم يكن لدى الباحثين العديد من خيارات التوظيف: كانت هناك شركة Kaspersky Lab و DialogueScience و Informzashita والعديد من الشركات الأخرى. ظهر Yandex و Positive Technologies و Digital Security و Group-IB وحتى Doctor Web بعد عام 1998.

تطورت حالة مماثلة مع المؤتمرات لتبادل المعرفة ودراسة الاتجاهات الحالية. كان كل شيء جيدًا مع هذا في الخارج: منذ عام 1984 ، عقد مؤتمر الاتصالات Chaos ، منذ عام 1991 كان هناك مؤتمر RSA ، في عام 1993 ظهر DEF CON (في عام 1996 كانوا أول CTF) ، ومنذ منتصف التسعينات عقدت Black Hat. في بلدنا ، كان أول حدث مهم في هذا المجال هو مؤتمر RusCrypto ، الذي عقد لأول مرة في عام 2000. كان من الصعب على المتخصصين في روسيا الذين لم تتح لهم الفرصة للذهاب إلى الأحداث الأجنبية للعثور على أشخاص متشابهين في الأفكار وتبادل الأفكار.

منذ ذلك الحين ، ازداد عدد الأحداث المحلية الجديرة بالاهتمام بشكل كبير: هناك أيام هاك إيجابية ، و ZeroNights ، و OFFZONE.

تجربة شخصية: الخطوات الأولى في أمن المعلومات


في عام 1998 ، تخرجت من قسم "أنظمة التصميم بمساعدة الكمبيوتر" في جامعة MSTU. بومان ، حيث درست لتطوير البرمجيات المعقدة. كان الأمر ممتعًا ، ولكني أدركت أنه يمكنني فعل شيء آخر. من المدرسة أحببت استخدام مصحح الأخطاء لفهم كيفية عمل البرنامج ؛ لقد أجريت التجارب الأولى في هذا الاتجاه مع برنامجي Agat-Debugger و Agat-DOS ، عندما أردت معرفة السبب في تحميل أول مرة خمس مرات بشكل أسرع ، على الرغم من أنها استغرقت نفس المساحة.

كما اكتشفنا بالفعل ، في وقت الانتهاء من تدريبي ، لم تكن الشبكة بالمعنى الحديث موجودة. لذلك ، لم يصرفني أي شيء عن الهندسة العكسية. أحد المجالات المهمة للهندسة العكسية هو استعادة منطق الكود. كنت أعرف أن هناك العديد من المنتجات التي تحمي من النسخ المقرصنة ، وكذلك حلول تشفير البيانات - الهندسة العكسية استخدمت أيضًا في أبحاثهم. كان هناك أيضًا تطور لمضادات الفيروسات ، لكن لسبب ما لم يجذبني هذا الاتجاه أبدًا ، كما فعل في منظمة عسكرية أو حكومية.

بحلول عام 1998 ، كنت جيدًا في البرمجة (على سبيل المثال ، إنشاء برامج لأنظمة التصميم بمساعدة الكمبيوتر) ، باستخدام مصحح أخطاء ، كنت مولعًا بحل مهام مثل keygen-me و crack-me ، وكان مهتمًا بالتشفير (بمجرد أن تمكنت من استعادة كلمة مرور Excel التي نسيها أصدقائي من البيانات غير المباشرة - "اسم أنثى الروسية في تخطيط اللغة الإنجليزية").

ثم تابعت دراستي ، وكتبت أطروحة حول "طرق تحليل أساليب البرمجيات لحماية المستندات الإلكترونية" ، على الرغم من أنني لم أتعرض للدفاع عنها أبدًا (لكنني أدركت أهمية حماية حقوق النشر).

في مجال أمن المعلومات ، تراجعت أخيرًا بعد انضمامي إلى Elcomsoft. حدث ذلك أيضًا عن طريق الصدفة: طلب مني أحد الأصدقاء مساعدته في استعادة الوصول المفقود إلى قاعدة بيانات MS Access ، وهو ما قمت به من خلال إنشاء أداة استرداد كلمة مرور آلية. حاولت بيع هذه الأداة في Elcomsoft ، لكن في المقابل تلقيت عرض عمل وأمضيت 12 عامًا في هذه الشركة. في العمل ، تعاملت بشكل أساسي مع الوصول إلى الاسترداد واستعادة البيانات والطب الشرعي للكمبيوتر.

خلال السنوات الأولى من حياتي المهنية في عالم التشفير وحماية كلمة المرور ، حدثت عدة اختراقات - على سبيل المثال ، في عام 2003 ، ظهر مفهوم جداول قوس قزح ، وفي عام 2008 بدأ استخدام مسرعات الرسوم البيانية لاستعادة كلمة المرور.

الوضع في الصناعة: صراع القبعات السوداء والبيضاء


خلال حياتي المهنية ، داخل مجال أمن المعلومات ، قابلت عددًا كبيرًا من الأشخاص وتحدثت معهم. في سياق هذا الاتصال ، بدأت أفهم أن التقسيم إلى "قبعات سوداء" و "قبعات بيضاء" المعتمدة في الصناعة لا يعكس الوضع الحقيقي. بالطبع ، هناك الكثير من الألوان والظلال.

إذا تحولت إلى أصول الإنترنت وأمن المعلومات وقرأت قصص المتسللين في تلك الأوقات ، يصبح من الواضح أن الحافز الرئيسي للناس هو فضولهم ، الرغبة في تعلم شيء جديد. في الوقت نفسه ، لم يستخدموا دائمًا الطرق القانونية - فقط قرأوا عن حياة كيفن ميتنيك.

اليوم ، اتسع نطاق التحفيز لدى الباحثين: يريد المثاليون جعل العالم كله أكثر أمانًا ؛ يريد شخص آخر أن يصبح مشهورًا عن طريق إنشاء تقنية جديدة أو استكشاف منتج مشهور ؛ يحاول الآخرون جني الأموال في أسرع وقت ممكن - ولهذا هناك العديد من الاحتمالات بدرجات متفاوتة من الشرعية. نتيجة لذلك ، غالباً ما يجد الأخيرون أنفسهم "في الجانب المظلم" ويواجهون زملائهم.

نتيجة لذلك ، هناك اليوم عدة مجالات للتطوير داخل أمن المعلومات. يمكنك أن تصبح باحثًا ، وتنافس في CTF ، وكسب المال من خلال البحث عن نقاط الضعف ، ومساعدة الشركات في مجال الأمن السيبراني.

تطوير برامج مكافأة الأخطاء


كان الدافع الجاد لتطوير سوق أمن المعلومات في 2000s انتشار فضله علة. ضمن هذه البرامج ، يكافئ مطورو الأنظمة المعقدة الباحثين عن الثغرات التي اكتشفت في منتجاتهم.

الفكرة الرئيسية هنا هي أنها مفيدة للمطورين ومستخدميهم في المقام الأول ، لأن الضرر الناجم عن الهجوم السيبراني الناجح يمكن أن يكون عشرات ومئات المرات أعلى من المدفوعات المحتملة للباحثين. يمكن لخبراء أمن المعلومات أن يفعلوا ما يحلو لهم القيام به - البحث عن الثغرات الأمنية - في حين يظلون كاملون في القانون ولا يزالون يتلقون مكافآت. نتيجة لذلك ، تحصل الشركات على باحثين مخلصين يتبعون ممارسة الكشف المسؤول ويساعدون في جعل منتجات البرمجيات أكثر أمانًا.

نهج الإفصاح


على مدار العشرين عامًا الماضية ، ظهرت عدة طرق لكيفية ظهور نتائج البحوث في مجال أمن المعلومات. هناك شركات مثل Zerodium تشتري نقاط الضعف في اليوم صفر وتستغل للبرامج الشائعة - على سبيل المثال ، تبلغ تكلفة نظام iOS لليوم الواحد حوالي مليون دولار. ومع ذلك ، فإن الطريقة الأصح لعمل الباحث الذي يحترم نفسه بعد اكتشاف ثغرة أمنية تتمثل في الاتصال أولاً بمصنّع البرامج. المصنعون ليسوا مستعدين دائمًا للاعتراف بأخطائهم والتعاون مع الباحثين ، لكن العديد من الشركات تحمي سمعتها وتحاول التخلص بسرعة من نقاط الضعف وشكر الباحثين.

إذا كان البائع غير نشط بما فيه الكفاية ، فمن الممارسات الشائعة إتاحة الوقت له لإصدار تصحيحات ، وعندها فقط نشر معلومات حول مشكلة عدم الحصانة. في هذه الحالة ، يجب على الباحث أولاً أن يفكر في اهتمامات المستخدمين: إذا كان من المحتمل أن المطورين لن يصححوا الخطأ مطلقًا ، فسيمنح المنشور المهاجمين أداة للهجمات المستمرة.

تطور التشريعات


كما ذكر أعلاه ، في فجر الإنترنت ، كان الدافع الرئيسي للمتسللين هو الرغبة في المعرفة والفضول عادي. لإرضائه ، غالبًا ما فعل الباحثون أشياء مشكوك فيها من وجهة نظر السلطات ، ولكن في تلك السنوات كان لا يزال هناك عدد قليل جدًا من القوانين التي تنظم مجال تكنولوجيا المعلومات.

نتيجة لذلك ، غالبًا ما ظهرت القوانين بالفعل في أعقاب الاختراقات البارزة. ظهرت المبادرات التشريعية الأولى في مجال أمن المعلومات في روسيا في عام 1996 - ثم تم اعتماد ثلاث مواد من القانون الجنائي فيما يتعلق بالنفاذ غير المصرح به إلى المعلومات (المادة 272) ، وتطوير الكود الضار (المادة 273) ، وانتهاك قواعد صيانة أنظمة الكمبيوتر (المادة 274).

ومع ذلك ، من الصعب للغاية تحديد جميع الفروق الدقيقة للتفاعلات بوضوح في القوانين ، مما يؤدي إلى وجود تباينات في التفسيرات. كما أنه يعقد أنشطة الباحثين في مجال أمن المعلومات: غالبًا ما يكون من غير الواضح أين تنتهي أنشطة البحث الملتزم بالقانون وتبدأ الجريمة.

حتى في إطار برامج مكافآت الأخطاء ، يمكن لمطوري البرمجيات أن يسألوا الباحثين عن عرض لاستغلال الضعف ودليل على المفهوم. ونتيجة لذلك ، يضطر متخصص أمن المعلومات إلى إنشاء ، في الواقع ، رمز خبيث ، وعندما يتم إرساله ، يبدأ "التوزيع" بالفعل.

في المستقبل ، تم وضع اللمسات الأخيرة على القوانين ، ولكن هذا لم يجعل الحياة أسهل للباحثين دائمًا. لذلك ، في عام 2006 ، كانت هناك مواد في القانون المدني تتعلق بحماية حق المؤلف والوسائل التقنية للحماية. قد تعتبر محاولة التحايل على هذه العلاجات حتى أثناء البحث انتهاكًا للقانون.

كل هذا يخلق مخاطر للباحثين ، لذلك ، قبل إجراء تجارب معينة ، من الأفضل التشاور مع المحامين.

دورة تطوير تكنولوجيا المعلومات


في العالم الحديث ، تتطور التقنيات في دورات معينة. بعد ظهور فكرة جيدة ، يتم تسويقها ، ويظهر منتج نهائي يتيح لك كسب المال. إذا نجح هذا المنتج ، فإنه يجذب انتباه مجرمي الإنترنت الذين بدأوا في البحث عن طرق لكسب المال عليه أو على مستخدميه. تُجبر الشركات على الاستجابة لهذه التهديدات والانخراط في الحماية. تبدأ المواجهة بين المهاجمين وحراس الأمن.

علاوة على ذلك ، شهدت السنوات الأخيرة العديد من الإنجازات التكنولوجية الثورية ، من ظهور إمكانية الوصول إلى الإنترنت فائق السرعة الشامل ، والشبكات الاجتماعية إلى انتشار الهواتف المحمولة وإنترنت الأشياء. اليوم ، باستخدام الهواتف الذكية ، يمكن للمستخدمين القيام بكل شيء تقريبًا مثل استخدام أجهزة الكمبيوتر. ولكن في الوقت نفسه ، فإن مستوى الأمان في "الجوال" مختلف تمامًا.

لسرقة جهاز كمبيوتر ، تحتاج إلى دخول الغرفة حيث يتم تخزينه. يمكنك فقط سرقة الهاتف في الخارج. ومع ذلك ، لا يزال الكثير من الناس لا يفهمون حجم المخاطر الأمنية التي تنطوي عليها التنمية التكنولوجية.

هناك موقف مشابه يتمثل في حذف البيانات من محركات أقراص الحالة الصلبة (أي محركات أقراص فلاش). كانت معايير إزالة البيانات من محركات الأقراص المغناطيسية موجودة منذ سنوات عديدة. مع ذاكرة فلاش ، فإن الوضع مختلف. على سبيل المثال ، تدعم هذه الأقراص عملية TRIM: تخبر وحدة تحكم SSD أن البيانات المحذوفة لم تعد بحاجة إلى تخزين ، وأنها أصبحت غير قابلة للوصول للقراءة. ومع ذلك ، يعمل هذا الأمر على مستوى نظام التشغيل ، وإذا انتقلت إلى مستوى رقائق الذاكرة الفعلية ، فستتمكن من الوصول إلى البيانات باستخدام مبرمج بسيط.

مثال آخر على أجهزة المودم 3G و 4G. في السابق ، كانت أجهزة المودم عبيدًا ، وكان يتم التحكم فيها بالكامل بواسطة جهاز كمبيوتر. أصبحت أجهزة المودم الحديثة نفسها أجهزة كمبيوتر ، وهي تحتوي على نظام التشغيل الخاص بها ، وتقوم بتشغيل عمليات الحوسبة المستقلة. إذا قام جهاز التكسير بتعديل البرنامج الثابت للمودم ، فسيكون قادرًا على اعتراض والتحكم في أي بيانات مرسلة ، ولن يخمن المستخدم أبدًا. لاكتشاف مثل هذا الهجوم ، يجب أن تكون قادرًا على تحليل حركة مرور 3G / 4G ، وفقط وكالات الاستخبارات ومشغلي الهواتف المحمولة لديهم هذه القدرات. لذلك تتحول أجهزة المودم المريحة هذه إلى أجهزة غير موثوق بها.

استنتاجات حول نتائج 20 سنة في البكالوريا الدولية


لقد ارتبطت بمجال أمن المعلومات لمدة عشرين عامًا ، وخلال هذا الوقت تغيرت اهتماماتي داخلها بالتوازي مع تطور الصناعة. اليوم ، أصبحت تكنولوجيا المعلومات في هذا المستوى من التطوير بحيث أصبح من المستحيل معرفة كل شيء داخل مكان صغير واحد ، مثل الهندسة العكسية. لذلك ، أصبح إنشاء أدوات حماية فعالة حقًا ممكنًا الآن فقط للفرق التي تجمع الخبراء ذوي الخبرة مع مجموعة متنوعة من المعرفة والكفاءات.

استنتاج مهم آخر: في الوقت الحالي ، لا تتمثل مهمة أمن المعلومات في جعل أي هجمات مستحيلة ، ولكن إدارة المخاطر. تكمن المواجهة بين متخصصي الدفاع والهجوم في جعل الهجوم باهظ التكاليف وتقليل الخسائر المالية المحتملة في حالة وقوع هجوم ناجح.

والنتيجة الثالثة والأكثر عالمية: إن أمن المعلومات مطلوب فقط طالما كانت الشركة بحاجة إليها. حتى إجراء اختبارات الاختراق المعقدة ، والتي تتطلب متخصصين من الدرجة الأولى ، هي في الأساس وظيفة مساعدة لعملية بيع المنتجات لأمن المعلومات.

السلامة هي غيض من فيض. نحن نحمي أنظمة المعلومات التي يتم إنشاؤها فقط لأن الأعمال تحتاج إليها ، والتي تم إنشاؤها لحل مشاكلها. ولكن هذه الحقيقة يقابلها أهمية مجال أمن المعلومات. في حالة حدوث مشكلة أمنية ، فقد يؤدي ذلك إلى تعطيل عمل أنظمة المعلومات ، وسيؤثر هذا بشكل مباشر على العمل. الكثير يعتمد على فريق الأمن.

في المجموع


اليوم ، في مجال تكنولوجيا المعلومات ، ليس كل شيء غائمًا ، وتوجد مشاكل خطيرة. فيما يلي ثلاثة أمور رئيسية ، في رأيي:

الاهتمام المفرط للسلطات. تحاول الدول في جميع أنحاء العالم بشكل متزايد التحكم في الإنترنت وتكنولوجيا المعلومات وتنظيمها.
الإنترنت يتحول إلى منصة لحرب المعلومات. قبل عشرين عامًا ، لم يلقِ أحد باللوم على "المتسللين الروس" في جميع مشاكل العالم ، ولكن اليوم في ترتيب الأمور.
التقنيات الحديثة لا تجعل الناس أفضل أو أكثر ذكاءً. يحتاج الناس إلى توضيح سبب الحاجة إلى هذا القرار أو ذاك ، وتعليمهم كيفية استخدامه ، والتحدث عن المخاطر المحتملة.

مع كل هذه العيوب ، من الواضح أن أمن المعلومات اليوم مجال يجب معالجته. هنا فقط كل يوم سوف تواجه أحدث التقنيات ، والأشخاص المثيرين للاهتمام ، يمكنك اختبار نفسك في المواجهة مع "القبعات السوداء". كل يوم جديد سيواجه التحدي ولن يشعر بالملل أبدًا.

كتب بواسطة ديمتري سكلياروف ، رئيس تحليل التطبيقات ، التقنيات الإيجابية

Source: https://habr.com/ru/post/ar449320/

More articles:


All Articles