Bild: UnsplashDmitry Sklyarov, Leiter Anwendungsanalyse bei Positive Technologies, teilt seine Ansichten zur Geschichte der Entwicklung der Informationssicherheitsbranche in den letzten 20 Jahren.
Wenn Sie sich das Programm einer modernen Konferenz zur Informationssicherheit ansehen, können Sie sehen, welche wichtigen Themen Forscher beschäftigen. Wenn Sie die Liste dieser wichtigen Themen, Technologien und Richtungen analysieren, stellt sich heraus, dass die überwiegende Mehrheit von ihnen vor zwanzig Jahren einfach nicht existierte.
Hier sind zum Beispiel einige Themen der OFFZONE 2018-Konferenz:
- bargeldlose Zahlungen
- WAF-Bypass
- softwaredefinierte Funksysteme,
- spekulative Ausführung
- Malware-Suche nach Android,
- HTTP / 2,
- mobile OAuth 2.0,
- Nutzung von XSS Exploiting,
- Cybergroup Lazarus,
- Angriffe auf Webanwendungen mit einer mehrschichtigen Architektur,
- Fehlerinjektionsangriffe auf ARM-Prozessoren.
Von diesen bestehen seit langem nur zwei Probleme. Das erste sind die Architekturmerkmale von ARM-Prozessoren, die Mitte der 80er Jahre erschienen sind. Das zweite ist das Problem der spekulativen Ausführung, das auf dem 1995 veröffentlichten Intel Pentium Pro-Prozessor beruht.
Mit anderen Worten, von diesen Themen sind wirklich „uralt“ diejenigen, die mit Eisen verbunden sind. Grundsätzlich sind die heute von Fachleuten durchgeführten Studien von den Ereignissen vor ein, zwei, drei Jahren inspiriert. Beispielsweise wurde die HTTP / 2-Technologie erst im Jahr 2015 eingeführt und kann im Prinzip nicht länger als vier Jahre untersucht werden.
Gehen wir 20 Jahre zurück. 1998 endete der sogenannte Erste Browserkrieg, in dem die beiden damals größten Browser, Internet Explorer und Netscape Navigator, gegeneinander antraten. Infolgedessen gewann Microsoft diesen Krieg und der Hauptkonkurrent verließ den Markt. Dann gab es nur wenige solcher Programme, von denen viele bezahlt wurden, wie zum Beispiel Opera: Dies wurde als normal angesehen. Gleichzeitig wurden die beliebtesten Browser Safari, Mozilla und Chrome viel später erfunden, und die Idee, dass der Browser heute bezahlt werden kann, wird niemandem einfallen.
Die Verbreitung des Internets war vor 20 Jahren um ein Vielfaches geringer als heute, so dass die Nachfrage nach vielen webbezogenen Diensten viel später als nach dem Ende des Browserkrieges entstand.
Eine andere Situation hat sich im Bereich der Kryptographie entwickelt. Es begann sich vor vielen Jahrzehnten zu entwickeln. In den neunziger Jahren gab es eine Reihe bewährter Verschlüsselungsstandards (DES, RSA) und digitaler Signaturen. In den folgenden Jahren erschienen viele neue Produkte, Algorithmen und Standards, einschließlich des freien OpenSSL-Formats. In Russland wurde der Standard GOST 28147-89 freigegeben.
Fast alle kryptografischen Technologien, die wir heute verwenden, existierten bereits in den neunziger Jahren. Das einzige viel diskutierte Ereignis in diesem Bereich seitdem ist die Entdeckung einer Hintertür im Dual_EC_DRBG-Algorithmus von 2004, der von der NSA unterstützt wird.
Wissensquellen
In den frühen neunziger Jahren erschien das Kultbuch der angewandten Kryptographie von Bruce Schneier, es war sehr interessant, aber es widmete sich der Kryptographie und nicht der Informationssicherheit. In Russland wurde 1997 das Buch „Angriff durch das Internet“ von Ilya Medvedovsky, Pavel Semyanov und Vladimir Platonov veröffentlicht. Das Erscheinen eines solchen praktischen Materials, das auf den persönlichen Erfahrungen russischer Experten beruhte, gab Impulse für die Entwicklung des Bereichs Informationssicherheit in unserem Land.
Früher konnten unerfahrene Forscher nur Nachdruckbücher ausländischer Studien kaufen, die oft schlecht übersetzt und ohne Quellenangabe waren. Nach dem „Angriff über das Internet“ tauchten viel häufiger neue praktische Handbücher auf. Zum Beispiel wurde bereits 1999 Chris Kasperskys Technik und Philosophie der Hackerangriffe veröffentlicht. Der "Angriff durch das Internet" selbst erhielt zwei Fortsetzungen - "Angriff im Internet" (1999) und "Angriff aus dem Internet" (2002).
Im Jahr 2001 wurde das Microsoft-Buch zur Entwicklung von sicherem Code, Writing Secure Code, veröffentlicht. Damals erkannte der Riese der Softwareindustrie, dass Software-Sicherheit sehr wichtig ist: Es war ein sehr ernster Moment in der Entwicklung der Informationssicherheit. Danach begannen Unternehmen, über die Gewährleistung der Sicherheit nachzudenken, aber früher wurde diesen Themen nicht genügend Aufmerksamkeit geschenkt: Der Code wird geschrieben, das Produkt wird verkauft, es wurde angenommen, dass dies ausreicht. Seitdem hat Microsoft erhebliche Ressourcen in die Sicherheit investiert, und trotz des Vorhandenseins von Sicherheitslücken in den Produkten des Unternehmens ist deren Schutz im Allgemeinen auf einem guten Niveau.
In den USA hat sich die Informationssicherheitsbranche seit den 70er Jahren recht aktiv entwickelt. Infolgedessen gab es in den neunziger Jahren in diesem Land bereits mehrere große Konferenzen zum Thema Informationssicherheit. Einer von ihnen wurde von RSA organisiert, Black Hat erschien und in den gleichen Jahren fanden die ersten CTF-Hacker-Wettbewerbe statt.
In unserem Land war die Situation anders. Viele der heutigen Marktführer auf dem Informationssicherheitsmarkt in Russland in den neunziger Jahren existierten noch nicht. Die Forscher hatten nicht viele Beschäftigungsmöglichkeiten: Es gab Kaspersky Lab, DialogueScience, Informzashita und mehrere andere Unternehmen. Yandex, Positive Technologies, Digital Security, Group-IB und sogar Doctor Web erschienen nach 1998.
Eine ähnliche Situation hat sich bei Konferenzen entwickelt, um Wissen auszutauschen und aktuelle Trends zu untersuchen. Im Ausland war damit alles in Ordnung: Seit 1984 findet der Chaos Communication Congress statt, seit 1991 gab es eine RSA-Konferenz, 1993 gab es eine DEF CON (1996 veranstalteten sie die erste CTF), ab Mitte der neunziger Jahre fand Black Hat statt. In unserem Land war das erste bedeutende Ereignis in diesem Bereich die RusCrypto-Konferenz, die erstmals im Jahr 2000 stattfand. Es war schwierig für Spezialisten in Russland, die nicht die Möglichkeit hatten, zu ausländischen Veranstaltungen zu gehen, um Gleichgesinnte zu finden und Ideen auszutauschen.
Seitdem hat die Anzahl der würdigen Inlandsveranstaltungen erheblich zugenommen: Es gibt Positive Hack Days, ZeroNights, OFFZONE.
Persönliche Erfahrung: erste Schritte in der Informationssicherheit
1998 absolvierte ich die Abteilung "Computergestützte Entwurfssysteme" an der MSTU. Bauman, wo mir beigebracht wurde, komplexe Software zu entwickeln. Es war interessant, aber mir wurde klar, dass ich etwas anderes tun konnte. Von der Schule an benutzte ich gerne den Debugger, um zu verstehen, wie die Software funktioniert. Ich habe die ersten Experimente in dieser Richtung mit den Programmen Agat-Debugger und Agat-DOS durchgeführt, als ich herausfinden wollte, warum das erste fünfmal schneller geladen wurde, obwohl es den gleichen Speicherplatz beanspruchte.
Wie wir bereits herausgefunden haben, existierte das Web im modernen Sinne zum Zeitpunkt des Abschlusses meiner Ausbildung nicht. Daher hat mich nichts vom Reverse Engineering abgelenkt. Einer der wichtigen Bereiche des Reverse Engineering ist die Wiederherstellung der Logik des Codes. Ich wusste, dass es viele Produkte gibt, die vor Raubkopien schützen, sowie Datenverschlüsselungslösungen - Reverse Engineering wurde auch in ihrer Forschung verwendet. Es gab auch die Entwicklung von Antivirenprogrammen, aber aus irgendeinem Grund hat mich diese Richtung nie angezogen, ebenso wie die Arbeit in einer Militär- oder Regierungsorganisation.
Bis 1998 war ich gut im Programmieren (z. B. Erstellen von Software für computergestützte Entwurfssysteme) mit einem Debugger, löste gern Aufgaben wie keygen-me und crack-me, interessierte mich für Kryptografie (nachdem ich es sogar geschafft hatte, ein von meinen Freunden vergessenes Excel-Passwort aus indirekten Daten wiederherzustellen - "Russischer weiblicher Vorname im englischen Layout").
Dann setzte ich mein Studium fort und schrieb sogar eine Dissertation über „Methoden zur Analyse von Softwaremethoden zum Schutz elektronischer Dokumente“, obwohl ich nie zu ihrer Verteidigung kam (aber ich erkannte die Bedeutung des Urheberrechtsschutzes).
Im Bereich der Informationssicherheit stürzte ich mich schließlich, nachdem ich zu Elcomsoft gekommen war. Es geschah auch zufällig: Ein Freund bat mich, ihm zu helfen, den verlorenen Zugriff auf die MS Access-Datenbank wiederherzustellen, indem ich ein automatisiertes Tool zur Kennwortwiederherstellung erstellte. Ich habe versucht, dieses Tool bei Elcomsoft zu verkaufen, aber im Gegenzug erhielt ich ein Stellenangebot und verbrachte 12 Jahre in dieser Firma. Bei der Arbeit beschäftigte ich mich hauptsächlich mit Zugriffswiederherstellung, Datenwiederherstellung und Computerforensik.
In den ersten Jahren meiner Karriere in der Welt der Kryptographie und des Passwortschutzes gab es mehrere Durchbrüche - zum Beispiel erschien 2003 das Konzept der Regenbogentabellen und 2008 begann die Verwendung von Grafikbeschleunigern für die Passwortwiederherstellung.
Die Situation in der Branche: der Kampf der schwarzen und weißen Hüte
Während meiner Karriere, bereits im Bereich der Informationssicherheit, habe ich eine große Anzahl von Menschen getroffen und mit ihnen korrespondiert. Im Verlauf einer solchen Kommunikation begann ich zu verstehen, dass die in der Branche angenommene Unterteilung in „schwarze Hüte“ und „weiße Hüte“ nicht die tatsächliche Situation widerspiegelt. Natürlich gibt es viel mehr Farben und Schattierungen.
Wenn Sie sich den Ursprüngen des Internets und der Informationssicherheit zuwenden und die Geschichten von Hackern jener Zeit lesen, wird klar, dass der Hauptanreiz für die Menschen dann ihre Neugier war, der Wunsch, etwas Neues zu lernen. Gleichzeitig verwendeten sie nicht immer legale Methoden - es reicht aus, über das Leben von Kevin Mitnik zu lesen.
Heute hat sich das Motivationsspektrum für Forscher erweitert: Idealisten wollen die ganze Welt sicherer machen; jemand anderes möchte berühmt werden, indem er eine neue Technologie entwickelt oder ein beliebtes Produkt erforscht; andere versuchen so schnell wie möglich Geld zu verdienen - und dafür gibt es viele Möglichkeiten unterschiedlicher Legalität. Letztere befinden sich daher oft „auf der dunklen Seite“ und konfrontieren ihre eigenen Kollegen.
Infolgedessen gibt es heute mehrere Bereiche für die Entwicklung innerhalb der Informationssicherheit. Sie können Forscher werden, an CTF teilnehmen, Geld verdienen, indem Sie nach Schwachstellen suchen, und Unternehmen bei der Cybersicherheit helfen.
Die Entwicklung von Bug-Bounty-Programmen
Ein ernsthafter Impuls für die Entwicklung des Marktes für Informationssicherheit in den 2000er Jahren war die Verbreitung von Bug Bounty. Innerhalb dieser Programme belohnen Entwickler komplexer Systeme Forscher für Schwachstellen, die in ihren Produkten entdeckt wurden.
Die Hauptidee dabei ist, dass dies in erster Linie für Entwickler und ihre Benutzer von Vorteil ist, da der Schaden durch einen erfolgreichen Cyberangriff zehn- oder hundertmal höher sein kann als mögliche Zahlungen an Forscher. Experten für Informationssicherheit können das tun, was sie gerne tun - nach Schwachstellen suchen - und dabei die gesetzlichen Bestimmungen einhalten und dennoch Belohnungen erhalten. Infolgedessen erhalten Unternehmen treue Forscher, die der Praxis der verantwortungsvollen Offenlegung folgen und dazu beitragen, Softwareprodukte sicherer zu machen.
Offenlegungsansätze
In den letzten zwanzig Jahren hätten verschiedene Ansätze zur Offenlegung von Forschungsergebnissen im Bereich der Informationssicherheit auftauchen müssen. Es gibt Unternehmen wie Zerodium, die Zero-Day-Schwachstellen und Exploits für beliebte Software kaufen. Beispielsweise kostet 0-Day unter iOS etwa 1 Million US-Dollar. Der korrektere Weg für einen Forscher mit Selbstachtung, nach dem Erkennen einer Sicherheitsanfälligkeit zu handeln, besteht darin, sich zuerst an den Softwarehersteller zu wenden. Hersteller sind nicht immer bereit, ihre Fehler zuzugeben und mit Forschern zusammenzuarbeiten, aber viele Unternehmen schützen ihren Ruf, versuchen, Schwachstellen schnell zu beseitigen und danken den Forschern.
Wenn der Anbieter nicht aktiv genug ist, ist es üblich, ihm Zeit für die Ausgabe von Patches zu geben und erst dann Informationen über die Sicherheitsanfälligkeit zu veröffentlichen. In diesem Fall sollte der Forscher zunächst über die Interessen der Benutzer nachdenken: Wenn die Möglichkeit besteht, dass die Entwickler den Fehler niemals korrigieren, bietet seine Veröffentlichung Angreifern ein Werkzeug für ständige Angriffe.
Entwicklung der Gesetzgebung
Wie oben erwähnt, war das Hauptmotiv für Hacker zu Beginn des Internets das Verlangen nach Wissen und banaler Neugier. Um ihn zufrieden zu stellen, haben Forscher aus Sicht der Behörden oft zweifelhafte Dinge getan, aber in diesen Jahren gab es noch sehr wenige Gesetze, die den Bereich der Informationstechnologie regelten.
Infolgedessen tauchten Gesetze häufig bereits nach hochkarätigen Hacks auf. Die ersten Gesetzesinitiativen im Bereich der Informationssicherheit wurden 1996 in Russland ergriffen. Anschließend wurden drei Artikel des Strafgesetzbuchs über den unbefugten Zugriff auf Informationen (Artikel 272), die Entwicklung von Schadcode (Artikel 273) und den Verstoß gegen die Vorschriften für die Wartung von Computersystemen (Artikel 274) verabschiedet.
Es ist jedoch ziemlich schwierig, alle Nuancen von Interaktionen in Gesetzen klar darzulegen, wodurch es zu Diskrepanzen bei den Interpretationen kommt. Dies erschwert auch die Aktivitäten von Informationssicherheitsforschern: Es ist oft unklar, wo die gesetzestreuen Forschungsaktivitäten enden und das Verbrechen beginnt.
Selbst im Rahmen von Bug-Bounty-Programmen können Softwareentwickler Forscher um eine Demonstration der Ausnutzung der Sicherheitsanfälligkeit und einen Proof of Concept bitten. Infolgedessen ist der Informationssicherheitsspezialist gezwungen, tatsächlich bösartigen Code zu erstellen, und wenn er gesendet wird, beginnt die „Verteilung“ bereits.
In Zukunft wurden Gesetze verabschiedet, was den Forschern jedoch nicht immer das Leben leichter machte. So gab es 2006 Artikel des Zivilgesetzbuches zum Schutz des Urheberrechts und zu technischen Schutzmitteln. Ein Versuch, solche Abhilfemaßnahmen auch während der Forschung zu umgehen, kann als Verstoß gegen das Gesetz angesehen werden.
All dies birgt Risiken für Forscher. Bevor bestimmte Experimente durchgeführt werden, ist es daher besser, sich mit Anwälten in Verbindung zu setzen.
Entwicklungszyklus der Informationstechnologie
In der modernen Welt entwickeln sich Technologien in bestimmten Zyklen. Nach dem Aufkommen einer guten Idee wird sie kommerzialisiert. Es erscheint ein fertiges Produkt, mit dem Sie Geld verdienen können. Wenn dieses Produkt erfolgreich ist, zieht es die Aufmerksamkeit von Cyberkriminellen auf sich, die nach Wegen suchen, um damit Geld zu verdienen. Unternehmen sind gezwungen, auf diese Bedrohungen zu reagieren und Schutz zu leisten. Die Konfrontation zwischen Angreifern und Sicherheitsleuten beginnt.
Darüber hinaus gab es in den letzten Jahren mehrere revolutionäre technologische Durchbrüche, angefangen vom Massen-Hochgeschwindigkeits-Internetzugang über soziale Netzwerke bis hin zur Verbreitung von Mobiltelefonen und dem Internet der Dinge. Mit Smartphones können Benutzer heute fast alles genauso machen wie mit Computern. Gleichzeitig ist das Sicherheitsniveau im "Handy" grundlegend anders.
Um einen Computer zu stehlen, müssen Sie den Raum betreten, in dem er gespeichert ist. Sie können einfach ein Telefon draußen stehlen. Viele Menschen verstehen jedoch immer noch nicht das Ausmaß der Sicherheitsrisiken, die die technologische Entwicklung mit sich bringt.
Eine ähnliche Situation besteht beim Löschen von Daten von SSDs (d. H. Flash-Laufwerken). Standards zum Entfernen von Daten von Magnetantrieben gibt es seit vielen Jahren. Beim Flash-Speicher ist die Situation anders. Solche Festplatten unterstützen beispielsweise die TRIM-Operation: Sie teilen dem SSD-Controller mit, dass die gelöschten Daten nicht mehr gespeichert werden müssen und für das Lesen nicht mehr zugänglich sind. Dieser Befehl funktioniert jedoch auf Betriebssystemebene. Wenn Sie auf die Ebene der physischen Speicherchips wechseln, können Sie mit einem einfachen Programmierer auf die Daten zugreifen.
Ein weiteres Beispiel sind 3G- und 4G-Modems. Bisher waren Modems Slaves, die vollständig von einem Computer gesteuert wurden. Moderne Modems selbst sind zu Computern geworden, sie enthalten ein eigenes Betriebssystem und sie führen unabhängige Computerprozesse aus. Wenn der Cracker die Firmware des Modems ändert, kann er alle übertragenen Daten abfangen und steuern, und der Benutzer wird es nie erraten. Um einen solchen Angriff zu erkennen, müssen Sie in der Lage sein, den 3G / 4G-Verkehr zu analysieren, und nur Geheimdienste und Mobilfunkbetreiber verfügen über solche Funktionen. Solche praktischen Modems erweisen sich also als nicht vertrauenswürdige Geräte.
Schlussfolgerungen zu den Ergebnissen von 20 Jahren in IB
Ich bin seit zwanzig Jahren mit dem Bereich der Informationssicherheit verbunden, und während dieser Zeit haben sich meine Interessen darin parallel zur Entwicklung der Branche geändert. Die Informationstechnologie befindet sich heute auf einem solchen Entwicklungsstand, dass es einfach unmöglich ist, alles in einer einzigen kleinen Nische wie dem Reverse Engineering zu kennen. Daher ist die Schaffung wirklich wirksamer Schutzinstrumente nur noch für Teams möglich, die erfahrene Experten mit unterschiedlichen Kenntnissen und Kompetenzen kombinieren.
Eine weitere wichtige Schlussfolgerung: Derzeit besteht die Aufgabe der Informationssicherheit nicht darin, Angriffe unmöglich zu machen, sondern Risiken zu managen. Die Konfrontation zwischen Verteidigungs- und Angriffsspezialisten führt dazu, dass der Angriff zu teuer wird und mögliche finanzielle Verluste im Falle eines erfolgreichen Angriffs verringert werden.
Und die dritte, globalere Schlussfolgerung: Informationssicherheit wird nur benötigt, solange das Unternehmen sie benötigt. Selbst die Durchführung komplexer Penetrationstests, für die Spezialisten der Extraklasse erforderlich sind, ist im Wesentlichen eine Hilfsfunktion des Verkaufs von Produkten für die Informationssicherheit.Sicherheit ist die Spitze des Eisbergs. Wir schützen Informationssysteme, die nur erstellt werden, weil das Unternehmen sie benötigt, um ihre Probleme zu lösen. Diese Tatsache wird jedoch durch die Bedeutung des Bereichs der Informationssicherheit ausgeglichen. Wenn ein Sicherheitsproblem auftritt, kann dies die Funktion von Informationssystemen stören, was sich direkt auf das Geschäft auswirkt. Viel hängt also vom Sicherheitsteam ab.Insgesamt
Auf dem Gebiet der Informationstechnologie ist heute nicht alles wolkenlos, und es gibt ernsthafte Probleme. Hier sind meiner Meinung nach drei Hauptpunkte:Übermäßige Aufmerksamkeit der Behörden. Staaten auf der ganzen Welt versuchen zunehmend, das Internet und die Informationstechnologie zu kontrollieren und zu regulieren.Das Internet wird zu einer Plattform für Information Warfare. Vor zwanzig Jahren machte niemand die "russischen Hacker" für alle Probleme der Welt verantwortlich, aber heute ist es in der Reihenfolge der Dinge.Neue Technologien machen Menschen nicht besser oder schlauer. Die Menschen müssen erklären, warum diese oder jene Entscheidung erforderlich ist, ihnen den Umgang damit beibringen und über mögliche Risiken sprechen.Mit all diesen Nachteilen ist die Informationssicherheit heute eindeutig ein Bereich, der angegangen werden sollte. Nur hier begegnen Sie jeden Tag den neuesten Technologien, interessanten Menschen, Sie können sich in der Konfrontation mit den "schwarzen Hüten" testen. Jeder neue Tag wird herausfordern und niemals langweilig werden.Gepostet von Dmitry Sklyarov, Leiter Anwendungsanalyse, Positive Technologien