Image: UnsplashDmitry Sklyarov, responsable de l'analyse des applications chez Positive Technologies, partage son point de vue sur l'histoire du développement de l'industrie de la sécurité de l'information au cours des 20 dernières années.
Si vous regardez le programme de toute conférence moderne sur la sécurité de l'information, vous pouvez voir quels sujets importants sont occupés par les chercheurs. Si vous analysez la liste de ces sujets, technologies et directions importants, il s'avère qu'il y a vingt ans, la grande majorité d'entre eux n'existait tout simplement pas.
Par exemple, voici quelques sujets de la conférence OFFZONE 2018:
- paiements non monétaires
- Contournement WAF
- systèmes radio définis par logiciel,
- exécution spéculative
- recherche de logiciels malveillants pour Android,
- HTTP / 2,
- mobile OAuth 2.0,
- exploitation de XSS Exploiting,
- cybergroup Lazarus,
- les attaques sur les applications web avec une architecture multicouche,
- Attaques par injection de faute sur les processeurs ARM.
Parmi ceux-ci, seuls deux problèmes existent depuis longtemps. Le premier est les caractéristiques d'architecture des processeurs ARM qui sont apparues au milieu des années 80. Le second est le problème de l'exécution spéculative, qui trouve son origine dans le processeur Intel Pentium Pro, sorti en 1995.
En d'autres termes, de ces sujets, vraiment «anciens» sont ceux associés au fer. Fondamentalement, les études menées par des spécialistes aujourd'hui s'inspirent des événements d'il y a un, deux ou trois ans. Par exemple, la technologie HTTP / 2 n'est apparue qu'en 2015; en principe, elle ne peut être étudiée que pendant quatre ans au maximum.
Revenons 20 ans en arrière. En 1998, la soi-disant première guerre des navigateurs a pris fin, au cours de laquelle les deux plus grands navigateurs de l'époque, Internet Explorer et Netscape Navigator, ont concouru. En conséquence, Microsoft a remporté cette guerre et le principal concurrent a quitté le marché. Ensuite, il y avait peu de tels programmes, beaucoup d'entre eux étaient payés, comme, par exemple, Opera: c'était considéré comme normal. Dans le même temps, les navigateurs les plus populaires Safari, Mozilla et Chrome ont été inventés beaucoup plus tard, et l'idée que le navigateur peut être payé aujourd'hui ne viendra à personne.
Il y a 20 ans, la pénétration d'Internet était plusieurs fois plus faible qu'aujourd'hui, de sorte que la demande pour de nombreux services liés au Web s'est formée bien plus tard que la fin de la guerre des navigateurs.
Une autre situation s'est développée dans le domaine de la cryptographie. Il a commencé à se développer il y a plusieurs décennies, dans les années 90, il existait un certain nombre de normes de chiffrement éprouvées (DES, RSA) et de signatures numériques, et au cours des années suivantes, de nombreux nouveaux produits, algorithmes et normes sont apparus, y compris le format libre openSSL; en Russie, la norme GOST 28147-89 a été déclassifiée.
Presque toutes les technologies liées à la cryptographie que nous utilisons aujourd'hui existaient déjà dans les années 90. Le seul événement largement discuté dans ce domaine depuis lors est la découverte d'une porte dérobée dans l'algorithme Dual_EC_DRBG 2004 pris en charge par la NSA.
Sources de connaissances
Au début des années 90, le livre culte de Bruce Schneier Applied Cryptography est apparu, il était très intéressant, mais il était consacré à la cryptographie, et non à la sécurité de l'information. En Russie, en 1997, le livre «Attack through the Internet» d'Ilya Medvedovsky, Pavel Semyanov et Vladimir Platonov a été publié. L'apparition de ce matériel pratique, basée sur l'expérience personnelle d'experts russes, a donné une impulsion au développement du domaine de la sécurité de l'information dans notre pays.
Plus tôt, les chercheurs novices ne pouvaient acheter des livres de réimpression d'études étrangères, souvent mal traduits et sans référence aux sources, après que l'attaque via Internet de nouveaux manuels pratiques ont commencé à apparaître beaucoup plus souvent. Par exemple, déjà en 1999, Chris Kaspersky's Technique and Philosophy of Hacker Attacks est sorti. «L'attaque par Internet» elle-même a reçu deux suites - «Attaque sur Internet» (1999) et «Attaque par Internet» (2002).
En 2001, le livre de Microsoft sur le développement de code sécurisé, Writing Secure Code, a été publié. C'est alors que le géant de l'industrie du logiciel s'est rendu compte que la sécurité des logiciels est très importante: ce fut un moment très grave dans le développement de la sécurité de l'information. Après cela, les entreprises ont commencé à penser à assurer la sécurité, mais auparavant, ces problèmes n'étaient pas suffisamment pris en compte: le code est écrit, le produit est vendu, on pensait que cela suffisait. Depuis lors, Microsoft a investi des ressources importantes dans la sécurité, et malgré l'existence de vulnérabilités dans les produits de l'entreprise, en général, leur protection est à un bon niveau.
Aux États-Unis, l'industrie de la sécurité de l'information se développe assez activement depuis les années 70. En conséquence, dans les années 90 dans ce pays, il y avait déjà plusieurs grandes conférences sur le thème de la sécurité de l'information. L'un d'eux a été organisé par RSA, Black Hat est apparu, et au cours des mêmes années, les premières compétitions de hackers de la CTF ont eu lieu.
Dans notre pays, la situation était différente. De nombreux leaders d'aujourd'hui sur le marché de la sécurité de l'information en Russie dans les années 90 n'existaient pas encore. Les chercheurs n'avaient pas beaucoup d'options d'emploi: il y avait Kaspersky Lab, DialogueScience, Informzashita et plusieurs autres sociétés. Yandex, Positive Technologies, Digital Security, Group-IB et même Doctor Web sont apparus après 1998.
Une situation similaire s'est développée avec des conférences pour partager les connaissances et étudier les tendances actuelles. Tout allait bien à l'étranger: depuis 1984, le Chaos Communication Congress a eu lieu, depuis 1991 il y avait une conférence RSA, en 1993 DEF CON est apparu (en 1996, ils ont tenu le premier CTF), à partir du milieu des années 90, Black Hat a eu lieu. Dans notre pays, le premier événement important dans ce domaine a été la conférence RusCrypto, qui s'est tenue pour la première fois en 2000. C'était difficile pour les spécialistes en Russie qui n'avaient pas eu l'occasion d'aller à des événements étrangers pour trouver des personnes partageant les mêmes idées et échanger des idées.
Depuis lors, le nombre d'événements nationaux dignes a considérablement augmenté: il y a les Positive Hack Days, ZeroNights, OFFZONE.
Expérience personnelle: premiers pas dans la sécurité de l'information
En 1998, je suis diplômé du département "Systèmes de conception assistée par ordinateur" du MSTU. Bauman, où j'ai appris à développer des logiciels complexes. C'était intéressant, mais j'ai réalisé que je pouvais faire autre chose. Depuis l'école, j'aimais utiliser le débogueur pour comprendre le fonctionnement du logiciel; J'ai mené les premières expériences dans ce sens avec les programmes Agat-Debugger et Agat-DOS, quand j'ai voulu découvrir pourquoi le premier se chargeait cinq fois plus vite, bien qu'il prenne la même quantité d'espace.
Comme nous l'avons déjà découvert, au moment de l'achèvement de ma formation, le web au sens moderne n'existait pas. Par conséquent, rien ne m'a distrait de l'ingénierie inverse. L'un des domaines importants de la rétro-ingénierie est la restauration de la logique du code. Je savais qu'il existe de nombreux produits qui protègent contre la copie piratée, ainsi que des solutions de chiffrement des données - l'ingénierie inverse a également été utilisée dans leurs recherches. Il y avait aussi le développement d'antivirus, mais pour une raison quelconque, cette direction ne m'a jamais attiré, tout comme le travail dans une organisation militaire ou gouvernementale.
En 1998, j'étais bon en programmation (par exemple, créer des logiciels pour les systèmes de conception assistée par ordinateur), en utilisant un débogueur, aimais résoudre des tâches comme keygen-me et crack-me, je m'intéressais à la cryptographie (une fois que j'ai même réussi à récupérer un mot de passe Excel oublié par mes amis à partir de données indirectes - "Nom féminin russe dans la disposition anglaise").
Ensuite, j'ai poursuivi mes études, j'ai même écrit une thèse sur «Méthodes d'analyse des méthodes logicielles de protection des documents électroniques», bien que je ne sois jamais venu à sa défense (mais j'ai réalisé l'importance de la protection du droit d'auteur).
Dans le domaine de la sécurité de l'information, j'ai finalement plongé après avoir rejoint Elcomsoft. C'est aussi arrivé par hasard: un ami m'a demandé de l'aider à récupérer l'accès perdu à la base de données MS Access, ce que j'ai fait en créant un outil de récupération de mot de passe automatisé. J'ai essayé de vendre cet outil chez Elcomsoft, mais en retour j'ai reçu une offre d'emploi et j'ai passé 12 ans dans cette entreprise. Au travail, je m'occupais principalement de récupération d'accès, de récupération de données et de criminalistique informatique.
Au cours des premières années de ma carrière dans le monde de la cryptographie et de la protection par mot de passe, plusieurs percées ont eu lieu - par exemple, en 2003, le concept de tables arc-en-ciel est apparu, et en 2008, l'utilisation d'accélérateurs graphiques pour la récupération de mot de passe a commencé.
La situation dans l'industrie: la lutte des chapeaux noirs et blancs
Au cours de ma carrière, déjà dans le domaine de la sécurité de l'information, j'ai rencontré et correspondu un très grand nombre de personnes. Au cours d'une telle communication, j'ai commencé à comprendre que la division en «chapeaux noirs» et «chapeaux blancs» adoptée dans l'industrie ne reflète pas la situation réelle. Bien sûr, il y a beaucoup plus de couleurs et de nuances.
Si vous regardez les origines d'Internet et de la sécurité de l'information et lisez les histoires des pirates de cette époque, il devient clair que le principal stimulant pour les gens était alors leur curiosité, le désir d'apprendre quelque chose de nouveau. Dans le même temps, ils n'ont pas toujours utilisé des méthodes légales - il suffit de lire sur la vie de Kevin Mitnik.
Aujourd'hui, le spectre de la motivation des chercheurs s'est élargi: les idéalistes veulent rendre le monde entier plus sûr; quelqu'un d'autre veut devenir célèbre en créant une nouvelle technologie ou en explorant un produit populaire; d'autres essaient de gagner de l'argent dès que possible - et pour cela, il existe de nombreuses possibilités de divers degrés de légalité. En conséquence, ces derniers se retrouvent souvent «du côté obscur» et confrontent leurs propres collègues.
En conséquence, il existe aujourd'hui plusieurs domaines de développement dans le domaine de la sécurité de l'information. Vous pouvez devenir chercheur, participer au CTF, gagner de l'argent en recherchant des vulnérabilités et aider les entreprises en matière de cybersécurité.
Le développement de programmes de bug bounty
Une impulsion sérieuse pour le développement du marché de la sécurité de l'information dans les années 2000 a été la propagation de la prime aux bogues. Au sein de ces programmes, les développeurs de systèmes complexes récompensent les chercheurs pour les vulnérabilités découvertes dans leurs produits.
L'idée principale ici est qu'elle est principalement bénéfique pour les développeurs et leurs utilisateurs, car les dommages d'une cyberattaque réussie peuvent être des dizaines et des centaines de fois plus élevés que les paiements possibles aux chercheurs. Les experts en sécurité de l'information peuvent faire ce qu'ils aiment faire - rechercher des vulnérabilités - tout en respectant pleinement la loi et en recevant toujours des récompenses. En conséquence, les entreprises obtiennent des chercheurs fidèles qui suivent la pratique de la divulgation responsable et contribuent à rendre les produits logiciels plus sûrs.
Approches de divulgation
Au cours des vingt dernières années, plusieurs approches sur la façon dont la divulgation des résultats de recherche dans le domaine de la sécurité de l'information aurait dû apparaître. Il y a des entreprises comme Zerodium qui achètent des vulnérabilités zero-day et des exploits pour des logiciels populaires - par exemple, 0-day sur iOS coûte environ 1 million de dollars. Cependant, la façon la plus correcte pour un chercheur qui se respecte d'agir après avoir détecté une vulnérabilité est de contacter d'abord le fabricant du logiciel. Les fabricants ne sont pas toujours prêts à admettre leurs erreurs et à collaborer avec les chercheurs, mais de nombreuses entreprises protègent leur réputation, tentent d'éliminer rapidement les vulnérabilités et remercient les chercheurs.
Si le fournisseur n'est pas suffisamment actif, une pratique courante consiste à lui donner le temps d'émettre des correctifs, puis de publier des informations sur la vulnérabilité. Dans ce cas, le chercheur doit d'abord penser aux intérêts des utilisateurs: s'il est possible que les développeurs ne corrigent jamais l'erreur du tout, sa publication donnera aux attaquants un outil pour des attaques constantes.
Évolution de la législation
Comme mentionné ci-dessus, à l'aube de l'Internet, le principal motif pour les pirates était un désir de connaissance et une curiosité banale. Pour le satisfaire, les chercheurs ont souvent fait des choses douteuses du point de vue des autorités, mais à cette époque, il y avait encore très peu de lois réglementant le domaine des technologies de l'information.
En conséquence, les lois sont souvent apparues déjà à la suite de hacks de haut niveau. Les premières initiatives législatives dans le domaine de la sécurité de l'information sont apparues en Russie en 1996 - puis trois articles du code pénal ont été adoptés concernant l'accès non autorisé à l'information (article 272), le développement de code malveillant (article 273) et la violation des règles de maintenance des systèmes informatiques (article 274).
Cependant, il est assez difficile d'énoncer clairement dans les lois toutes les nuances des interactions, ce qui entraîne des divergences d'interprétation. Cela complique également les activités des chercheurs en sécurité de l'information: il est souvent difficile de savoir où se terminent les activités de recherche respectueuses des lois et où commence le crime.
Même dans le cadre des programmes de bug bounty, les développeurs de logiciels peuvent demander aux chercheurs une démonstration d'exploitation de la vulnérabilité, preuve de concept. En conséquence, le spécialiste de la sécurité de l'information est obligé de créer, en fait, du code malveillant, et lorsqu'il est envoyé, la «distribution» commence déjà.
À l'avenir, des lois ont été finalisées, mais cela n'a pas toujours facilité la vie des chercheurs. Ainsi, en 2006, il y avait des articles du code civil relatifs à la protection du droit d'auteur et des moyens techniques de protection. Une tentative de contourner de tels recours même pendant la recherche peut être considérée comme une violation de la loi.
Tout cela crée des risques pour les chercheurs.Par conséquent, avant de mener certaines expériences, il est préférable de consulter des avocats.
Cycle de développement des technologies de l'information
Dans le monde moderne, les technologies se développent dans certains cycles. Après l'émergence d'une bonne idée, il est commercialisé, un produit fini apparaît qui vous permet de gagner de l'argent. Si ce produit réussit, il attire l'attention des cybercriminels qui commencent à chercher des moyens de gagner de l'argent sur lui ou sur ses utilisateurs. Les entreprises sont obligées de répondre à ces menaces et de se protéger. La confrontation entre les assaillants et les agents de sécurité commence.
En outre, au cours des dernières années, plusieurs percées technologiques révolutionnaires ont eu lieu, depuis l'apparition d'un accès Internet haut débit de masse, des réseaux sociaux à la diffusion des téléphones portables et de l'Internet des objets. Aujourd'hui, en utilisant les smartphones, les utilisateurs peuvent presque tout faire de la même façon que les ordinateurs. Mais en même temps, le niveau de sécurité dans le «mobile» est fondamentalement différent.
Pour voler un ordinateur, vous devez entrer dans la pièce où il est stocké. Vous pouvez simplement voler un téléphone à l'extérieur. Cependant, de nombreuses personnes ne comprennent toujours pas l'ampleur des risques pour la sécurité que le développement technologique comporte.
Une situation similaire consiste à supprimer des données des SSD (c'est-à-dire des lecteurs flash). Les normes de suppression des données des lecteurs magnétiques existent depuis de nombreuses années. Avec la mémoire flash, la situation est différente. Par exemple, ces disques prennent en charge l'opération TRIM: ils indiquent au contrôleur SSD que les données supprimées n'ont plus besoin d'être stockées et qu'elles deviennent inaccessibles à la lecture. Cependant, cette commande fonctionne au niveau du système d'exploitation, et si vous descendez au niveau des puces de mémoire physique, vous pourrez accéder aux données à l'aide d'un simple programmeur.
Un autre exemple est les modems 3G et 4G. Auparavant, les modems étaient des esclaves, ils étaient complètement contrôlés par un ordinateur. Les modems modernes eux-mêmes sont devenus des ordinateurs, ils contiennent leur propre système d'exploitation, ils exécutent des processus informatiques indépendants. Si le pirate modifie le firmware du modem, il pourra intercepter et contrôler toutes les données transmises, et l'utilisateur ne devinera jamais. Pour détecter une telle attaque, vous devez être en mesure d'analyser le trafic 3G / 4G, et seules les agences de renseignement et les opérateurs mobiles ont de telles capacités. De tels modems pratiques s'avèrent donc être des appareils non fiables.
Conclusions sur les résultats de 20 ans d'IB
Je suis associé au domaine de la sécurité de l'information depuis vingt ans, et pendant ce temps, mes intérêts au sein de celui-ci ont changé parallèlement au développement de l'industrie. Aujourd'hui, la technologie de l'information est à un niveau de développement tel qu'il est tout simplement impossible de tout savoir, même dans un petit créneau, comme la rétro-ingénierie. Par conséquent, la création d'outils de protection vraiment efficaces n'est désormais possible que pour des équipes combinant des experts expérimentés avec un ensemble diversifié de connaissances et de compétences.
Autre conclusion importante: à l'heure actuelle, la tâche de la sécurité de l'information n'est pas de rendre impossible toute attaque, mais de gérer les risques. La confrontation entre les spécialistes de la défense et de l'attaque revient à rendre l'attaque trop coûteuse et à réduire les éventuelles pertes financières en cas d'attaque réussie.
Et la troisième conclusion, plus globale: la sécurité de l'information n'est nécessaire que tant que l'entreprise en a besoin. Même la réalisation de tests de pénétration complexes, qui nécessitent des spécialistes de classe supérieure, est essentiellement une fonction auxiliaire du processus de vente de produits pour la sécurité de l'information.
La sécurité n'est que la pointe de l'iceberg. Nous protégeons les systèmes d'information créés uniquement parce que l'entreprise en a besoin, créés pour résoudre ses problèmes. Mais ce fait est compensé par l'importance du domaine de la sécurité de l'information. Si un problème de sécurité se produit, il peut perturber le fonctionnement des systèmes d'information, ce qui affectera directement l'entreprise. Cela dépend donc beaucoup de l'équipe de sécurité.
Total
Aujourd'hui, dans le domaine des technologies de l'information, tout n'est pas sans nuage et de graves problèmes existent. En voici trois principaux, à mon avis:
Attention excessive des autorités. Les États du monde entier essaient de plus en plus de contrôler et de réglementer Internet et les technologies de l'information.
Internet est en train de devenir une plateforme de guerre de l'information. Il y a vingt ans, personne n'a blâmé les «pirates russes» pour tous les problèmes du monde, mais aujourd'hui, c'est dans l'ordre des choses.
Les nouvelles technologies ne rendent pas les gens meilleurs ou plus intelligents. Les gens doivent expliquer pourquoi telle ou telle décision est nécessaire, leur apprendre à l'utiliser et parler des risques possibles.
Avec tous ces inconvénients, la sécurité de l'information est aujourd'hui clairement un domaine qui devrait être abordé. Seulement ici, chaque jour, vous rencontrerez les dernières technologies, des gens intéressants, vous pourrez vous tester dans la confrontation avec les "chapeaux noirs". Chaque nouvelle journée sera difficile et ne s'ennuiera jamais.
Publié par Dmitry Sklyarov, chef de l'analyse des applications, technologies positives