Gambar: UnsplashDmitry Sklyarov, Kepala Analisis Aplikasi di Positive Technologies, berbagi pandangannya tentang sejarah perkembangan industri keamanan informasi selama 20 tahun terakhir.
Jika Anda melihat program konferensi modern apa pun tentang keamanan informasi, Anda dapat melihat topik penting apa yang ditempati oleh para peneliti. Jika Anda menganalisis daftar topik, teknologi, dan arah penting ini, ternyata dua puluh tahun yang lalu sebagian besar tidak ada.
Misalnya, berikut adalah beberapa topik dari konferensi OFFZONE 2018:
- pembayaran non tunai
- Bypass WAF
- perangkat lunak yang mendefinisikan sistem radio,
- eksekusi spekulatif
- pencarian malware untuk Android,
- HTTP / 2,
- ponsel OAuth 2.0,
- eksploitasi Eksploitasi XSS,
- cybergroup Lazarus,
- serangan pada aplikasi web dengan arsitektur multilayer,
- Serangan Injeksi Fault pada prosesor ARM.
Dari jumlah tersebut, hanya ada dua masalah untuk waktu yang lama. Yang pertama adalah fitur arsitektur prosesor ARM yang muncul di pertengahan 80-an. Yang kedua adalah masalah eksekusi spekulatif, yang berasal dari prosesor Intel Pentium Pro, dirilis pada tahun 1995.
Dengan kata lain, dari topik-topik ini, yang benar-benar "kuno" adalah yang terkait dengan besi. Pada dasarnya, penelitian yang dilakukan oleh spesialis saat ini terinspirasi oleh peristiwa satu, dua, tiga tahun yang lalu. Sebagai contoh, teknologi HTTP / 2 hanya muncul pada tahun 2015, pada prinsipnya, dapat dipelajari tidak lebih dari empat tahun.
Mari kita kembali 20 tahun. Pada tahun 1998, Perang Browser Pertama berakhir, di mana dua browser terbesar saat itu, Internet Explorer dan Netscape Navigator, berkompetisi. Akibatnya, Microsoft memenangkan perang ini, dan pesaing utama meninggalkan pasar. Lalu ada beberapa program seperti itu, banyak dari mereka dibayar, seperti, misalnya, Opera: ini dianggap normal. Pada saat yang sama, peramban terpopuler Safari, Mozilla, dan Chrome saat ini ditemukan jauh kemudian, dan gagasan bahwa peramban dapat dibayar hari ini tidak terpikirkan oleh siapa pun.
Penetrasi Internet 20 tahun yang lalu beberapa kali lebih rendah dari hari ini, sehingga permintaan untuk banyak layanan terkait web terbentuk jauh lebih lambat daripada akhir perang browser.
Situasi lain telah berkembang di bidang kriptografi. Itu mulai berkembang beberapa dekade yang lalu, pada tahun sembilan puluhan ada sejumlah standar enkripsi teruji waktu (DES, RSA) dan tanda tangan digital, dan selama tahun-tahun berikutnya banyak produk baru, algoritma dan standar muncul, termasuk format bebas openSSL; di Rusia, standar GOST 28147-89 tidak diklasifikasikan.
Hampir semua teknologi terkait kriptografi yang kami gunakan saat ini sudah ada di tahun sembilan puluhan. Satu-satunya peristiwa yang banyak didiskusikan di bidang ini sejak saat itu adalah penemuan backdoor pada algoritma Dual_EC_DRBG 2004 yang didukung oleh NSA.
Sumber pengetahuan
Pada awal tahun sembilan puluhan, buku kultus Bruce Schneier Applied Cryptography muncul, itu sangat menarik, tetapi dikhususkan untuk kriptografi, dan bukan keamanan informasi. Di Rusia pada tahun 1997 buku "Serang melalui Internet" oleh Ilya Medvedovsky, Pavel Semyanov dan Vladimir Platonov diterbitkan. Munculnya materi praktis seperti itu, berdasarkan pengalaman pribadi para ahli Rusia, memberikan dorongan untuk pengembangan bidang keamanan informasi di negara kita.
Sebelumnya, para peneliti pemula hanya dapat membeli buku cetak studi asing, sering kali diterjemahkan dengan buruk dan tanpa referensi ke sumber-sumber, setelah "Serangan melalui Internet" manual praktis baru mulai muncul jauh lebih sering. Misalnya, sudah pada tahun 1999, Teknik dan Filsafat Serangan Hacker Chris Kaspersky dirilis. "Serangan melalui Internet" sendiri menerima dua sekuel - "Serangan di Internet" (1999), dan "Serangan dari Internet" (2002).
Pada tahun 2001, buku Microsoft tentang pengembangan kode aman, Writing Secure Code, dirilis. Saat itulah raksasa industri perangkat lunak menyadari fakta bahwa keamanan perangkat lunak sangat penting: itu adalah momen yang sangat serius dalam pengembangan keamanan informasi. Setelah itu, perusahaan mulai berpikir untuk memastikan keamanan, tetapi sebelumnya masalah ini tidak mendapat perhatian yang cukup: kode ditulis, produk dijual, dipercaya bahwa ini sudah cukup. Sejak itu, Microsoft telah menginvestasikan sumber daya yang signifikan dalam keamanan, dan meskipun terdapat kerentanan dalam produk-produk perusahaan, secara umum, perlindungan mereka berada pada tingkat yang baik.
Di AS, industri keamanan informasi telah berkembang cukup aktif sejak tahun 70-an. Akibatnya, di tahun sembilan puluhan di negara ini sudah ada beberapa konferensi besar tentang topik keamanan informasi. Salah satunya diorganisir oleh RSA, Black Hat muncul, dan pada tahun-tahun yang sama kompetisi peretas CTF terjadi.
Di negara kami, situasinya berbeda. Banyak pemimpin saat ini di pasar keamanan informasi di Rusia pada tahun sembilan puluhan belum ada. Para peneliti tidak memiliki banyak pilihan pekerjaan: ada Kaspersky Lab, DialogueScience, Informzashita, dan beberapa perusahaan lain. Yandex, Teknologi Positif, Keamanan Digital, Group-IB, dan bahkan Doctor Web muncul setelah 1998.
Situasi serupa telah berkembang dengan konferensi untuk berbagi pengetahuan dan mempelajari tren saat ini. Semuanya baik dengan ini di luar negeri: sejak 1984, Kongres Komunikasi Chaos diadakan, sejak 1991 ada konferensi RSA, pada 1993 DEF CON muncul (pada 1996 mereka mengadakan CTF pertama), dan dari pertengahan sembilan puluhan Black Hat diadakan. Di negara kami, acara penting pertama di daerah ini adalah konferensi RusCrypto, yang pertama kali diadakan pada tahun 2000. Sulit bagi spesialis di Rusia yang tidak memiliki kesempatan untuk pergi ke acara asing untuk menemukan orang yang berpikiran sama dan bertukar ide.
Sejak itu, jumlah acara domestik yang layak telah berkembang secara signifikan: ada Positive Hack Days, ZeroNights, OFFZONE.
Pengalaman pribadi: langkah pertama dalam keamanan informasi
Pada tahun 1998, saya lulus dari departemen "Sistem desain berbantuan komputer" di MSTU. Bauman, tempat saya diajari mengembangkan perangkat lunak yang kompleks. Itu menarik, tetapi saya menyadari bahwa saya bisa melakukan sesuatu yang lain. Dari sekolah saya suka menggunakan debugger, untuk memahami cara kerja perangkat lunak; Saya melakukan percobaan pertama ke arah ini dengan program Agat-Debugger dan Agat-DOS ketika saya ingin mencari tahu mengapa yang pertama memuat lima kali lebih cepat, meskipun membutuhkan ruang yang sama.
Seperti yang telah kita ketahui, pada saat penyelesaian pelatihan saya, web dalam pengertian modern tidak ada. Karena itu, tidak ada yang mengalihkan saya dari teknik terbalik. Salah satu bidang penting dari rekayasa terbalik adalah pemulihan logika kode. Saya tahu bahwa ada banyak produk yang melindungi terhadap penyalinan bajakan, serta solusi enkripsi data - rekayasa balik juga digunakan dalam penelitian mereka. Ada juga pengembangan antivirus, tetapi untuk beberapa alasan arah ini tidak pernah menarik saya, seperti halnya bekerja di militer atau organisasi pemerintah.
Pada tahun 1998, saya pandai pemrograman (misalnya, membuat perangkat lunak untuk sistem desain berbantuan komputer), menggunakan debugger, gemar menyelesaikan tugas-tugas seperti keygen-me dan crack-me, tertarik pada kriptografi (bahkan ketika saya berhasil memulihkan kata sandi Excel yang dilupakan oleh teman-teman saya dari data tidak langsung - "Nama wanita Rusia di tata letak bahasa Inggris").
Kemudian saya melanjutkan studi saya, bahkan menulis disertasi tentang "Metode analisis metode perangkat lunak untuk melindungi dokumen elektronik", meskipun saya tidak pernah membela diri (tetapi saya menyadari pentingnya perlindungan hak cipta).
Di bidang keamanan informasi, saya akhirnya jatuh setelah bergabung dengan Elcomsoft. Itu juga terjadi secara kebetulan: seorang teman meminta saya untuk membantunya memulihkan kehilangan akses ke database MS Access, yang saya lakukan dengan membuat alat pemulihan kata sandi otomatis. Saya mencoba menjual alat ini di Elcomsoft, tetapi sebagai imbalannya saya menerima tawaran pekerjaan dan menghabiskan 12 tahun di perusahaan ini. Di tempat kerja, saya terutama berurusan dengan pemulihan akses, pemulihan data, dan forensik komputer.
Selama tahun-tahun pertama karir saya di dunia kriptografi dan perlindungan kata sandi, beberapa terobosan terjadi - misalnya, pada tahun 2003 konsep tabel pelangi muncul, dan pada tahun 2008 penggunaan akselerator grafis untuk pemulihan kata sandi dimulai.
Situasi di industri: perjuangan topi hitam dan putih
Selama karier saya, yang sudah berada dalam lingkup keamanan informasi, saya bertemu dan berkorespondensi dengan banyak orang. Dalam perjalanan komunikasi seperti itu, saya mulai memahami bahwa pembagian menjadi "topi hitam" dan "topi putih" yang diterapkan dalam industri tidak mencerminkan situasi yang sebenarnya. Tentu saja, ada lebih banyak warna dan corak.
Jika Anda beralih ke asal-usul Internet dan keamanan informasi dan membaca kisah-kisah para peretas pada masa itu, menjadi jelas bahwa stimulus utama bagi orang-orang saat itu adalah keingintahuan mereka, keinginan untuk mempelajari sesuatu yang baru. Pada saat yang sama, mereka tidak selalu menggunakan metode hukum - cukup untuk membaca tentang kehidupan Kevin Mitnik.
Hari ini, spektrum motivasi bagi para peneliti telah berkembang: kaum idealis ingin membuat seluruh dunia lebih aman; orang lain ingin menjadi terkenal dengan menciptakan teknologi baru atau menjelajahi produk yang populer; yang lain berusaha menghasilkan uang sesegera mungkin - dan untuk ini ada banyak kemungkinan berbagai tingkat legalitas. Akibatnya, yang terakhir sering menemukan diri mereka "di sisi gelap" dan menghadapi rekan mereka sendiri.
Akibatnya, saat ini ada beberapa bidang untuk pengembangan dalam keamanan informasi. Anda dapat menjadi peneliti, bersaing dalam CTF, mendapatkan uang dengan mencari kerentanan, dan membantu bisnis dengan keamanan siber.
Pengembangan program karunia bug
Sebuah dorongan serius untuk pengembangan pasar keamanan informasi di tahun 2000-an adalah penyebaran bug bug. Dalam program-program ini, pengembang sistem yang kompleks memberi penghargaan kepada peneliti untuk kerentanan yang ditemukan dalam produk mereka.
Gagasan utama di sini adalah bahwa hal itu terutama bermanfaat bagi pengembang dan penggunanya, karena kerusakan dari serangan siber yang sukses dapat puluhan dan ratusan kali lebih tinggi dari kemungkinan pembayaran kepada peneliti. Pakar keamanan informasi dapat melakukan apa yang mereka sukai - mencari kerentanan - sambil tetap sepenuhnya berada dalam hukum dan masih menerima hadiah. Akibatnya, perusahaan mendapatkan peneliti setia yang mengikuti praktik pengungkapan yang bertanggung jawab dan membantu membuat produk perangkat lunak lebih aman.
Pendekatan Pengungkapan
Selama dua puluh tahun terakhir, beberapa pendekatan tentang bagaimana pengungkapan hasil penelitian di bidang keamanan informasi seharusnya muncul. Ada perusahaan seperti Zerodium yang membeli kerentanan nol hari dan eksploitasi untuk perangkat lunak populer - misalnya, 0-hari pada iOS harganya sekitar $ 1 juta. Namun, cara yang lebih tepat bagi peneliti yang menghargai diri sendiri untuk bertindak setelah mendeteksi kerentanan adalah dengan terlebih dahulu menghubungi produsen perangkat lunak. Produsen tidak selalu siap untuk mengakui kesalahan mereka dan berkolaborasi dengan para peneliti, tetapi banyak perusahaan melindungi reputasi mereka, mencoba dengan cepat menghilangkan kerentanan dan berterima kasih kepada para peneliti.
Jika vendor tidak cukup aktif, praktik umum adalah memberinya waktu untuk mengeluarkan tambalan, dan hanya kemudian menerbitkan informasi tentang kerentanan. Dalam hal ini, peneliti pertama-tama harus memikirkan kepentingan pengguna: jika ada kemungkinan bahwa pengembang tidak akan pernah memperbaiki kesalahan sama sekali, publikasi ini akan memberi penyerang alat untuk serangan konstan.
Evolusi Legislasi
Seperti disebutkan di atas, pada awal Internet, motif utama peretas adalah keinginan untuk pengetahuan dan keingintahuan dangkal. Untuk memuaskannya, para peneliti sering melakukan hal-hal yang meragukan dari sudut pandang pihak berwenang, tetapi pada tahun-tahun itu masih sangat sedikit undang-undang yang mengatur bidang teknologi informasi.
Akibatnya, undang-undang sering muncul setelah peretasan profil tinggi. Inisiatif legislatif pertama di bidang keamanan informasi muncul di Rusia pada tahun 1996 - kemudian tiga artikel dari hukum pidana diadopsi mengenai akses tidak sah ke informasi (Pasal 272), pengembangan kode berbahaya (Pasal 273) dan pelanggaran aturan untuk melayani sistem komputer (Pasal 274).
Namun, cukup sulit untuk secara jelas menyatakan dalam undang-undang semua nuansa interaksi, sebagai akibatnya terdapat perbedaan dalam interpretasi. Ini juga mempersulit kegiatan peneliti keamanan informasi: seringkali tidak jelas di mana kegiatan penelitian yang patuh hukum berakhir dan kejahatan dimulai.
Bahkan dalam kerangka program karunia bug, pengembang perangkat lunak dapat meminta para peneliti untuk mendemonstrasikan eksploitasi kerentanan, bukti konsep. Akibatnya, spesialis keamanan informasi terpaksa membuat, pada kenyataannya, kode berbahaya, dan ketika dikirim, "distribusi" sudah dimulai.
Di masa depan, hukum diselesaikan, tetapi ini tidak selalu membuat hidup lebih mudah bagi para peneliti. Jadi, pada tahun 2006 ada artikel kode sipil yang berkaitan dengan perlindungan hak cipta dan cara teknis perlindungan. Upaya untuk menghindari solusi semacam itu bahkan selama penelitian dapat dianggap sebagai pelanggaran hukum.
Semua ini menimbulkan risiko bagi para peneliti, oleh karena itu, sebelum melakukan eksperimen tertentu, lebih baik berkonsultasi dengan pengacara.
Siklus Pengembangan Teknologi Informasi
Di dunia modern, teknologi berkembang dalam siklus tertentu. Setelah munculnya beberapa ide bagus, itu dikomersialkan, produk jadi muncul yang memungkinkan Anda menghasilkan uang. Jika produk ini berhasil, itu menarik perhatian para penjahat dunia maya yang mulai mencari cara untuk mendapatkan uang dari itu atau penggunanya. Bisnis dipaksa untuk menanggapi ancaman ini dan terlibat dalam perlindungan. Konfrontasi antara penyerang dan penjaga keamanan dimulai.
Terlebih lagi, dalam beberapa tahun terakhir telah terjadi beberapa terobosan teknologi revolusioner, mulai dari kemunculan akses Internet kecepatan tinggi massal, jejaring sosial hingga penyebaran ponsel dan internet. Saat ini, menggunakan smartphone, pengguna dapat melakukan hampir semua hal yang sama seperti menggunakan komputer. Tetapi pada saat yang sama, tingkat keamanan di "ponsel" pada dasarnya berbeda.
Untuk mencuri komputer, Anda harus memasuki ruangan tempat ia disimpan. Anda bisa mencuri telepon di luar. Namun, banyak orang masih tidak memahami skala risiko keamanan yang dibawa oleh perkembangan teknologi.
Situasi serupa adalah dengan menghapus data dari SSD (mis. Flash drive). Standar untuk menghapus data dari drive magnetik telah ada selama bertahun-tahun. Dengan memori flash, situasinya berbeda. Sebagai contoh, disk tersebut mendukung operasi TRIM: ini memberi tahu pengontrol SSD bahwa data yang dihapus tidak lagi perlu disimpan, dan mereka menjadi tidak dapat diakses untuk dibaca. Namun, perintah ini berfungsi pada level sistem operasi, dan jika Anda turun ke level chip memori fisik, Anda akan dapat mengakses data menggunakan programmer sederhana.
Contoh lain adalah modem 3G dan 4G. Sebelumnya, modem adalah budak, mereka sepenuhnya dikendalikan oleh komputer. Modem modern sendiri telah menjadi komputer, mereka mengandung OS mereka sendiri, mereka menjalankan proses komputasi independen. Jika cracker memodifikasi firmware modem, ia akan dapat mencegat dan mengontrol data yang dikirimkan, dan pengguna tidak akan pernah menebaknya. Untuk mendeteksi serangan seperti itu, Anda harus dapat menganalisis lalu lintas 3G / 4G, dan hanya agen intelijen dan operator seluler yang memiliki kemampuan seperti itu. Jadi modem yang nyaman seperti itu berubah menjadi perangkat yang tidak dipercaya.
Kesimpulan hasil 20 tahun di IB
Saya telah dikaitkan dengan bidang keamanan informasi selama dua puluh tahun, dan selama ini minat saya di dalamnya telah berubah seiring dengan perkembangan industri. Saat ini, teknologi informasi berada pada tingkat perkembangan sedemikian rupa sehingga mustahil untuk mengetahui segala sesuatu bahkan dalam satu ceruk kecil, seperti rekayasa terbalik. Oleh karena itu, penciptaan alat perlindungan yang benar-benar efektif sekarang mungkin hanya untuk tim yang menggabungkan pakar berpengalaman dengan beragam pengetahuan dan kompetensi.
Kesimpulan penting lainnya: saat ini, tugas keamanan informasi bukan untuk membuat serangan tidak mungkin, tetapi untuk mengelola risiko. Konfrontasi antara spesialis pertahanan dan serangan turun untuk membuat serangan itu terlalu mahal dan mengurangi kemungkinan kerugian finansial jika serangan berhasil.
Dan kesimpulan ketiga, lebih global: keamanan informasi hanya diperlukan selama bisnis membutuhkannya. Bahkan melakukan tes penetrasi yang kompleks, yang memerlukan spesialis kelas ekstra, pada dasarnya adalah fungsi tambahan dari proses penjualan produk untuk keamanan informasi.
Keamanan adalah puncak gunung es. Kami melindungi sistem informasi yang dibuat hanya karena bisnis membutuhkannya, dibuat untuk menyelesaikan masalahnya. Tetapi fakta ini diimbangi oleh pentingnya bidang keamanan informasi. Jika masalah keamanan terjadi, itu dapat mengganggu fungsi sistem informasi, dan ini akan langsung mempengaruhi bisnis. Jadi banyak tergantung pada tim keamanan.
Total
Saat ini, di bidang teknologi informasi, tidak semuanya cloudless, dan ada masalah serius. Inilah tiga yang utama, menurut saya:
Perhatian yang berlebihan dari pihak berwenang. Negara-negara di seluruh dunia semakin berusaha untuk mengendalikan dan mengatur Internet dan teknologi informasi.
Internet berubah menjadi platform untuk perang informasi. Dua puluh tahun yang lalu, tidak ada yang menyalahkan "peretas Rusia" untuk semua masalah dunia, tapi hari ini semuanya ada dalam urutan.
Teknologi baru tidak membuat orang lebih baik atau lebih pintar. Orang-orang perlu menjelaskan mengapa keputusan ini atau itu diperlukan, mengajari mereka cara menggunakannya, dan berbicara tentang kemungkinan risiko.
Dengan semua kelemahan ini, keamanan informasi saat ini jelas merupakan bidang yang harus ditangani. Hanya di sini setiap hari Anda akan menemukan teknologi terbaru, orang-orang yang menarik, Anda dapat menguji diri Anda dalam konfrontasi dengan "topi hitam". Setiap hari baru akan menantang, dan tidak akan pernah bosan.
Diposting oleh Dmitry Sklyarov, Kepala Analisis Aplikasi, Teknologi Positif