Imagem: UnsplashDmitry Sklyarov, chefe de análise de aplicativos da Positive Technologies, compartilha suas opiniões sobre a história do desenvolvimento do setor de segurança da informação nos últimos 20 anos.
Se você observar o programa de qualquer conferência moderna sobre segurança da informação, poderá ver quais tópicos importantes são ocupados pelos pesquisadores. Se você analisar a lista desses tópicos, tecnologias e orientações importantes, verifica-se que há vinte anos a grande maioria deles simplesmente não existia.
Por exemplo, aqui estão alguns tópicos da conferência OFFZONE 2018:
- pagamentos não monetários
- Desvio WAF
- sistemas de rádio definidos por software,
- execução especulativa
- pesquisa de malware para Android,
- HTTP / 2,
- OAuth 2.0 para celular,
- exploração da exploração XSS,
- cibergrupo Lázaro,
- ataques a aplicativos da web com arquitetura multicamada,
- Ataques de injeção de falha nos processadores ARM.
Destes, apenas dois problemas existem há muito tempo. O primeiro são os recursos de arquitetura dos processadores ARM que surgiram em meados dos anos 80. O segundo é o problema da execução especulativa, originada no processador Intel Pentium Pro, lançado em 1995.
Em outras palavras, desses tópicos, verdadeiramente "antigos" são aqueles associados ao ferro. Basicamente, os estudos hoje realizados por especialistas são inspirados nos eventos de um, dois, três anos atrás. Por exemplo, a tecnologia HTTP / 2 apareceu apenas em 2015; em princípio, pode ser estudada por não mais de quatro anos.
Vamos voltar 20 anos. Em 1998, terminou a chamada Primeira Guerra dos Navegadores, durante a qual competiram os dois maiores navegadores da época, Internet Explorer e Netscape Navigator. Como resultado, a Microsoft venceu essa guerra e o principal concorrente deixou o mercado. Havia poucos programas, muitos deles eram pagos, como, por exemplo, o Opera: isso era considerado normal. Ao mesmo tempo, os navegadores mais populares Safari, Mozilla e Chrome foram inventados muito mais tarde, e a idéia de que o navegador pode ser pago hoje não ocorrerá a ninguém.
A penetração da Internet há 20 anos foi várias vezes menor do que hoje, então a demanda por muitos serviços relacionados à Web foi formada muito mais tarde do que o fim da guerra dos navegadores.
Outra situação se desenvolveu no campo da criptografia. Ele começou a se desenvolver há muitas décadas atrás, nos anos 90, havia vários padrões de criptografia testados pelo tempo (DES, RSA) e assinaturas digitais, e nos anos seguintes surgiram muitos novos produtos, algoritmos e padrões, incluindo o formato livre openSSL; na Rússia, o padrão GOST 28147-89 foi desclassificado.
Quase todas as tecnologias relacionadas à criptografia que usamos hoje já existiam nos anos noventa. O único evento amplamente discutido nessa área desde então é a descoberta de um backdoor no algoritmo Dual_EC_DRBG de 2004, suportado pela NSA.
Fontes de conhecimento
No início dos anos 90, o livro de culto de Bruce Schneier Applied Cryptography apareceu, era muito interessante, mas era dedicado à criptografia, e não à segurança da informação. Na Rússia, em 1997, foi publicado o livro “Ataque pela Internet”, de Ilya Medvedovsky, Pavel Semyanov e Vladimir Platonov. O surgimento desse material prático, baseado na experiência pessoal de especialistas russos, deu impulso ao desenvolvimento do campo de segurança da informação em nosso país.
Antes, pesquisadores iniciantes só podiam comprar livros de reimpressão de estudos estrangeiros, geralmente mal traduzidos e sem referência a fontes, após o "Ataque pela Internet" novos manuais práticos começaram a aparecer com muito mais frequência. Por exemplo, já em 1999, a Técnica e a filosofia de ataques de hackers de Chris Kaspersky foi lançada. O próprio “Ataque pela Internet” recebeu duas seqüências - “Ataque na Internet” (1999) e “Ataque da Internet” (2002).
Em 2001, foi lançado o livro da Microsoft sobre desenvolvimento seguro de código, Writing Secure Code. Foi então que o gigante da indústria de software percebeu o fato de que a segurança do software é muito importante: foi um momento muito sério no desenvolvimento da segurança da informação. Depois disso, as empresas começaram a pensar em garantir a segurança, mas antes essas questões não recebiam atenção suficiente: o código é escrito, o produto é vendido, acreditava-se que isso basta. Desde então, a Microsoft investiu recursos significativos em segurança e, apesar da existência de vulnerabilidades nos produtos da empresa, em geral, sua proteção está em um bom nível.
Nos EUA, o setor de segurança da informação vem se desenvolvendo bastante ativamente desde os anos 70. Como resultado, nos anos noventa neste país, já havia várias conferências importantes sobre o tema segurança da informação. Um deles foi organizado pela RSA, o Black Hat apareceu e, nos mesmos anos, ocorreram as primeiras competições de hackers do CTF.
Em nosso país, a situação era diferente. Muitos dos líderes de hoje no mercado de segurança da informação na Rússia nos anos 90 ainda não existiam. Os pesquisadores não tinham muitas opções de emprego: havia Kaspersky Lab, DialogueScience, Informzashita e várias outras empresas. Yandex, Positive Technologies, Digital Security, Group-IB e até Doctor Web apareceram depois de 1998.
Uma situação semelhante se desenvolveu com as conferências para compartilhar conhecimento e estudar as tendências atuais. Tudo estava bem com isso no exterior: desde 1984, o Chaos Communication Congress foi realizado, desde 1991 houve uma conferência da RSA, em 1993 apareceu o DEF CON (em 1996, eles realizaram o primeiro CTF) e, a partir de meados dos anos 90, foi realizado o Black Hat. Em nosso país, o primeiro evento significativo nessa área foi a conferência RusCrypto, realizada pela primeira vez em 2000. Foi difícil para especialistas na Rússia, que não tiveram a oportunidade de ir a eventos estrangeiros, encontrar pessoas com idéias semelhantes e trocar idéias.
Desde então, o número de eventos domésticos dignos expandiu-se significativamente: existem Dias Positivos de Hack, ZeroNights, OFFZONE.
Experiência pessoal: primeiros passos na segurança da informação
Em 1998, me formei no departamento "Sistemas de design assistido por computador" no MSTU. Bauman, onde fui ensinado a desenvolver software complexo. Foi interessante, mas percebi que poderia fazer outra coisa. Na escola, eu gostava de usar o depurador, para entender como o software funciona; Eu conduzi os primeiros experimentos nessa direção com os programas Agat-Debugger e Agat-DOS, quando quis descobrir por que o primeiro foi carregado cinco vezes mais rápido, embora ocupasse a mesma quantidade de espaço.
Como já descobrimos, no momento da conclusão do meu treinamento, a web no sentido moderno não existia. Portanto, nada me distraiu da engenharia reversa. Uma das áreas importantes da engenharia reversa é restaurar a lógica do código. Eu sabia que existem muitos produtos que protegem contra cópias piratas, bem como soluções de criptografia de dados - a engenharia reversa também foi usada em suas pesquisas. Houve também o desenvolvimento de antivírus, mas, por alguma razão, essa direção nunca me atraiu, assim como o trabalho em uma organização militar ou governamental.
Em 1998, eu era bom em programação (por exemplo, criando software para sistemas de design auxiliados por computador), usando um depurador, gostava de resolver tarefas como keygen-me e crack-me, estava interessado em criptografia (uma vez que consegui recuperar uma senha do Excel esquecida por meus amigos a partir de dados indiretos - "Nome feminino russo no layout em inglês").
Então continuei meus estudos, até escrevi uma dissertação sobre “Métodos de análise de métodos de software para proteção de documentos eletrônicos”, embora nunca tenha vindo em sua defesa (mas percebi a importância da proteção de direitos autorais).
No campo da segurança da informação, finalmente mergulhei depois de me juntar à Elcomsoft. Também aconteceu por acaso: um amigo me pediu para ajudá-lo a recuperar o acesso perdido ao banco de dados do MS Access, o que fiz ao criar uma ferramenta de recuperação de senha automatizada. Tentei vender essa ferramenta na Elcomsoft, mas, em troca, recebi uma oferta de emprego e passei 12 anos nesta empresa. No trabalho, lidei principalmente com recuperação de acesso, recuperação de dados e análise forense de computadores.
Durante os primeiros anos de minha carreira no mundo da criptografia e proteção por senha, ocorreram várias descobertas - por exemplo, em 2003, o conceito de tabelas arco-íris apareceu e em 2008 o uso de aceleradores gráficos para recuperação de senha começou.
A situação na indústria: a luta dos chapéus preto e branco
Durante minha carreira, já dentro da área de segurança da informação, conheci e me correspondi com um grande número de pessoas. No decorrer dessa comunicação, comecei a entender que a divisão entre "chapéu preto" e "chapéu branco" adotada no setor não reflete a situação real. Claro, existem muito mais cores e tons.
Se você se voltar para as origens da Internet e da segurança da informação e ler as histórias de hackers da época, fica claro que o principal estímulo para as pessoas era a curiosidade, o desejo de aprender algo novo. Ao mesmo tempo, eles nem sempre usavam métodos legais - basta ler sobre a vida de Kevin Mitnik.
Hoje, o espectro de motivação dos pesquisadores se expandiu: idealistas querem tornar o mundo inteiro mais seguro; alguém quer se tornar famoso criando uma nova tecnologia ou explorando um produto popular; outros tentam ganhar dinheiro o mais rápido possível - e para isso existem muitas possibilidades de diferentes graus de legalidade. Como resultado, os últimos geralmente se encontram "no lado escuro" e confrontam seus próprios colegas.
Como resultado, hoje existem várias áreas para desenvolvimento em segurança da informação. Você pode se tornar um pesquisador, competir no CTF, ganhar dinheiro pesquisando vulnerabilidades e ajudar as empresas com segurança cibernética.
O desenvolvimento de programas de recompensa de bugs
Um grande impulso para o desenvolvimento do mercado de segurança da informação nos anos 2000 foi a disseminação de recompensas por insetos. Dentro desses programas, os desenvolvedores de sistemas complexos recompensam os pesquisadores pelas vulnerabilidades descobertas em seus produtos.
A principal idéia aqui é que é principalmente benéfico para desenvolvedores e seus usuários, porque os danos de um ataque cibernético bem-sucedido podem ser dezenas ou centenas de vezes maiores do que os possíveis pagamentos a pesquisadores. Os especialistas em segurança da informação podem fazer o que gostam - procurar vulnerabilidades -, mantendo-se totalmente dentro da lei e ainda recebendo recompensas. Como resultado, as empresas obtêm pesquisadores fiéis que seguem a prática da divulgação responsável e ajudam a tornar os produtos de software mais seguros.
Abordagens de divulgação
Nos últimos vinte anos, várias abordagens sobre como a divulgação de resultados de pesquisas no campo da segurança da informação deveriam aparecer. Existem empresas como a Zerodium que compram vulnerabilidades e explorações de dia zero para softwares populares - por exemplo, 0 dia no iOS custa cerca de US $ 1 milhão. No entanto, a maneira mais correta de um pesquisador que se preze agir após detectar uma vulnerabilidade é primeiro entrar em contato com o fabricante do software. Os fabricantes nem sempre estão prontos para admitir seus erros e colaborar com os pesquisadores, mas muitas empresas protegem sua reputação, tentam eliminar rapidamente as vulnerabilidades e agradecem aos pesquisadores.
Se o fornecedor não estiver ativo o suficiente, uma prática comum é dar a ele tempo para emitir patches e somente publicar informações sobre a vulnerabilidade. Nesse caso, o pesquisador deve pensar primeiro nos interesses dos usuários: se houver a possibilidade de os desenvolvedores nunca corrigirem o erro, sua publicação fornecerá aos invasores uma ferramenta para ataques constantes.
Evolução da legislação
Como mencionado acima, no início da Internet, o principal motivo dos hackers era o desejo de conhecimento e curiosidade banal. Para satisfazê-lo, os pesquisadores costumavam fazer coisas duvidosas do ponto de vista das autoridades, mas naqueles anos ainda havia muito poucas leis regulando o campo da tecnologia da informação.
Como resultado, as leis muitas vezes já apareceram na sequência de hacks de alto perfil. As primeiras iniciativas legislativas no campo da segurança da informação surgiram na Rússia em 1996 - então foram adotados três artigos do código criminal sobre acesso não autorizado a informações (artigo 272), desenvolvimento de código malicioso (artigo 273) e violação das regras de manutenção de sistemas de computadores (artigo 274).
No entanto, é bastante difícil declarar claramente nas leis todas as nuances das interações, como resultado das quais existem discrepâncias nas interpretações. Isso também complica as atividades dos pesquisadores de segurança da informação: geralmente não é claro onde as atividades de pesquisa que cumprem a lei terminam e o crime começa.
Mesmo dentro da estrutura de programas de recompensas por bugs, os desenvolvedores de software podem solicitar aos pesquisadores uma demonstração da exploração da vulnerabilidade, prova de conceito. Como resultado, o especialista em segurança da informação é forçado a criar, de fato, código malicioso e, quando enviado, a "distribuição" já começa.
No futuro, as leis foram finalizadas, mas isso nem sempre facilitou a vida dos pesquisadores. Assim, em 2006, havia artigos do código civil relacionados à proteção de direitos autorais e meios técnicos de proteção. Uma tentativa de burlar esses remédios, mesmo durante a pesquisa, pode ser considerada uma violação da lei.
Tudo isso cria riscos para os pesquisadores, portanto, antes de realizar certas experiências, é melhor consultar os advogados.
Ciclo de Desenvolvimento de Tecnologia da Informação
No mundo moderno, as tecnologias se desenvolvem em certos ciclos. Após o surgimento de uma boa idéia, ela é comercializada, um produto acabado aparece e permite que você ganhe dinheiro. Se este produto for bem-sucedido, atrai a atenção de cibercriminosos que estão começando a procurar maneiras de ganhar dinheiro com ele ou com seus usuários. As empresas são forçadas a responder a essas ameaças e se envolver em proteção. O confronto entre atacantes e guardas de segurança começa.
Além disso, nos últimos anos, houve várias descobertas tecnológicas revolucionárias, desde o surgimento de acesso massivo à Internet de alta velocidade, redes sociais até a disseminação de telefones celulares e a Internet das coisas. Hoje, usando smartphones, os usuários podem fazer quase tudo o mesmo que usar computadores. Mas, ao mesmo tempo, o nível de segurança no "móvel" é radicalmente diferente.
Para roubar um computador, você precisa entrar na sala onde está armazenado. Você pode roubar um telefone lá fora. No entanto, muitas pessoas ainda não entendem a escala dos riscos à segurança que o desenvolvimento tecnológico acarreta.
Uma situação semelhante ocorre com a exclusão de dados de SSDs (ou seja, unidades flash). Os padrões para remover dados de unidades magnéticas existem há muitos anos. Com a memória flash, a situação é diferente. Por exemplo, esses discos suportam a operação TRIM: informa ao controlador SSD que os dados excluídos não precisam mais ser armazenados e ficam inacessíveis para leitura. No entanto, esse comando funciona no nível do sistema operacional e, se você descer para o nível de chips de memória física, poderá acessar os dados usando um programador simples.
Outro exemplo são os modems 3G e 4G. Anteriormente, os modems eram escravos, eram completamente controlados por um computador. Os próprios modems modernos tornaram-se computadores, contêm seu próprio sistema operacional, executam processos de computação independentes. Se o cracker modificar o firmware do modem, ele poderá interceptar e controlar todos os dados transmitidos, e o usuário nunca irá adivinhar. Para detectar esse ataque, você precisa poder analisar o tráfego 3G / 4G, e apenas agências de inteligência e operadoras de telefonia móvel têm esses recursos. Portanto, esses modems convenientes acabam sendo dispositivos não confiáveis.
Conclusões sobre os resultados de 20 anos no IB
Estou associado ao campo da segurança da informação há vinte anos e, durante esse período, meus interesses dentro dele mudaram paralelamente ao desenvolvimento da indústria. Hoje, a tecnologia da informação está em tal nível de desenvolvimento que é simplesmente impossível saber tudo dentro de um único nicho pequeno, como a engenharia reversa. Portanto, a criação de ferramentas de proteção verdadeiramente eficazes agora é possível apenas para equipes que combinam especialistas experientes com um conjunto diversificado de conhecimentos e competências.
Outra conclusão importante: no momento, a tarefa da segurança da informação não é impossibilitar ataques, mas gerenciar riscos. O confronto entre especialistas em defesa e ataque se resume a tornar o ataque muito caro e reduzir possíveis perdas financeiras no caso de um ataque bem-sucedido.
E a terceira conclusão mais global: a segurança da informação é necessária apenas enquanto os negócios precisarem. Mesmo a realização de testes de penetração complexos, que exigem especialistas de classe extra, é essencialmente uma função auxiliar do processo de venda de produtos para segurança da informação.
Segurança é a ponta do iceberg. Protegemos os sistemas de informação criados apenas porque os negócios precisam, criados para resolver seus problemas. Mas esse fato é compensado pela importância do campo da segurança da informação. Se ocorrer um problema de segurança, poderá atrapalhar o funcionamento dos sistemas de informação e isso afetará diretamente os negócios. Então, depende muito da equipe de segurança.
Total
Hoje, no campo da tecnologia da informação, nem tudo está sem nuvens, e existem problemas sérios. Aqui estão três principais, na minha opinião:
Atenção excessiva das autoridades. Estados ao redor do mundo estão cada vez mais tentando controlar e regular a Internet e a tecnologia da informação.
A Internet está se transformando em uma plataforma de guerra de informação. Vinte anos atrás, ninguém culpava os "hackers russos" por todos os problemas do mundo, mas hoje está na ordem das coisas.
As novas tecnologias não tornam as pessoas melhores ou mais inteligentes. As pessoas precisam explicar por que essa decisão é necessária, ensiná-las a usá-la e conversar sobre possíveis riscos.
Com todas essas desvantagens, a segurança da informação hoje é claramente uma área que deve ser abordada. Só aqui todos os dias você encontrará as mais recentes tecnologias, pessoas interessantes, você pode testar-se no confronto com os "chapéus pretos". Cada novo dia será um desafio e nunca será entediado.
Postado por Dmitry Sklyarov, chefe de análise de aplicativos, Positive Technologies