图片:未飞溅Positive Technologies应用分析主管Dmitry Sklyarov就过去20年中信息安全行业的发展历史分享了他的观点。
如果您查看任何有关信息安全的现代会议的计划,就会发现研究人员占据了哪些重要主题。 如果您分析这些重要主题,技术和方向的列表,就会发现二十多年前根本就不存在它们。
例如,以下是OFFZONE 2018会议的一些主题:
- 非现金付款
- WAF旁路
- 软件定义的无线电系统,
- 投机执行
- Android的恶意软件搜索,
- HTTP / 2
- 移动OAuth 2.0,
- 利用XSS开发,
- 网络组织拉撒路,
- 对具有多层体系结构的Web应用程序的攻击,
- 对ARM处理器的故障注入攻击。
其中,只有两个问题存在很长时间。 首先是80年代中期出现的ARM处理器的体系结构功能。 第二个是推测执行问题,该问题起源于1995年发布的Intel Pentium Pro处理器。
换句话说,在这些主题中,真正的“古老”是与铁有关的主题。 基本上,今天由专家进行的研究是受一,二,三年前事件的启发。 例如,HTTP / 2技术仅在2015年才出现;原则上,它的研究时间不得超过四年。
让我们回溯20年。 1998年,所谓的“第一次浏览器之战”结束了,当时两个最大的浏览器Internet Explorer和Netscape Navigator展开了竞争。 结果,微软赢得了这场战争,主要竞争对手退出了市场。 这样的程序很少,有很多是付费的,例如Opera:这被认为是正常的。 同时,最流行的浏览器Safari,Mozilla和Chrome后来才发明出来,任何人都不会想到今天可以付费购买浏览器。
20年前,Internet的普及率比今天低几倍,因此对与Web相关的许多服务的需求形成的时间比浏览器战争的结束要晚得多。
在密码学领域中已经出现了另一种情况。 它在几十年前开始发展,到90年代,已经有许多经过时间考验的加密标准(DES,RSA)和数字签名,并且在随后的几年中,出现了许多新产品,算法和标准,包括openSSL free格式。 在俄罗斯,标准的GOST 28147-89被解密。
我们今天使用的几乎所有与密码相关的技术都已经存在于90年代。 此后在此领域中唯一被广泛讨论的事件是在NSA支持的2004 Dual_EC_DRBG算法中检测到后门。
知识来源
上世纪90年代初,布鲁斯·施耐尔(Bruce Schneier)应用密码学的崇拜书籍出现了,这很有趣,但它专门用于加密而不是信息安全。 1997年在俄罗斯出版了Ilya Medvedovsky,Pavel Semyanov和Vladimir Platonov撰写的《通过互联网进行攻击》一书。 根据俄罗斯专家的亲身经历,这种实用材料的出现,推动了我国信息安全领域的发展。
以前,新手研究人员只能购买重印的外国研究书籍,这些书籍通常翻译不善,没有参考来源,然后在“通过互联网进行攻击”之后,新的实用手册开始出现了。 例如,早在1999年,克里斯·卡巴斯基(Chris Kaspersky)的《黑客攻击的技巧和哲学》就已发行。 “通过互联网进行攻击”本身获得了两个续集-“互联网上的攻击”(1999年)和“互联网上的攻击”(2002年)。
2001年,Microsoft发布了有关安全代码开发的书《编写安全代码》。 那时,软件行业巨头意识到软件安全非常重要的事实:这是信息安全发展中非常重要的时刻。 在那之后,公司开始考虑确保安全性,但是在早期,这些问题并未得到足够的重视:编写代码,出售产品,相信这已经足够。 从那时起,Microsoft已在安全性上投入了大量资源,尽管公司产品中存在漏洞,但总体而言,它们的保护处于良好水平。
在美国,自70年代以来,信息安全行业一直在积极发展。 结果,在这个国家的90年代,已经有几个关于信息安全的大型会议。 其中之一是由RSA组织的,Black Hat出现了,并且在同一年举行了首届CTF黑客竞赛。
在我们国家,情况有所不同。 九十年代俄罗斯当今信息安全市场的许多领导者还不存在。 研究人员没有很多就业选择:有卡巴斯基实验室,DialogueScience,Informzashita和其他几家公司。 Yandex,Positive Technologies,Digital Security,Group-IB甚至Doctor Web在1998年之后出现。
通过召开会议来分享知识和研究当前趋势也出现了类似的情况。 国外的一切都很好:自1984年以来,举行了混沌通信大会,自1991年以来,就举行了RSA会议,1993年,出现了DEF CON(1996年,他们举行了第一届CTF),并且从90年代中期开始,举办了黑帽大会。 在我们国家,这方面的第一个重要事件是RusCrypto会议,该会议于2000年首次举行。 对于没有机会参加国外活动的俄罗斯专家来说,很难找到志趣相投的人并交流思想。
从那时起,值得进行的国内活动的数量已大大增加:有“积极的黑客日”,“零之夜”和“ OFFZONE”。
个人经验:信息安全的第一步
1998年,我毕业于MSTU的“计算机辅助设计系统”系。 鲍曼(Bauman),我在那里学习开发复杂软件。 这很有趣,但是我意识到我可以做些其他的事情。 从学校开始,我喜欢使用调试器来了解软件的工作方式。 当我想找出为什么第一个加载速度快五倍(尽管占用相同的空间)时,我在这个方向上使用Agat-Debugger和Agat-DOS程序进行了第一个实验。
正如我们已经发现的那样,在完成我的培训时,还没有现代意义上的网络。 因此,没有什么可以分散我对逆向工程的兴趣。 逆向工程的重要领域之一是代码逻辑的恢复。 我知道有很多产品可以防止盗版以及数据加密解决方案-反向工程也用于他们的研究中。 也有反病毒的发展,但是由于某种原因,这个方向从来没有像在军事或政府组织中一样吸引我。
到1998年,我擅长使用调试器进行编程(例如,为计算机辅助设计系统创建软件),喜欢解决诸如keygen-me和crack-me之类的任务,对加密技术很感兴趣(甚至我设法从间接数据中恢复了朋友遗忘的Excel密码- “英语版式中的俄罗斯女性名称”)。
然后,我继续学习,甚至写了一篇关于“用于保护电子文档的软件方法的分析方法”的论文,尽管我从没有提出过抗辩(但我意识到版权保护的重要性)。
在信息安全领域,我加入Elcomsoft后终于陷入困境。 这也是偶然发生的:一个朋友要求我帮助他恢复对MS Access数据库的丢失访问权限,这是我创建了一个自动密码恢复工具来完成的。 我曾尝试在Elcomsoft上出售该工具,但作为回报,我收到了工作邀请,并在该公司工作了12年。 在工作中,我主要处理访问恢复,数据恢复和计算机取证。
在我从事密码学和密码保护领域的职业生涯的头几年中,取得了一些突破-例如,在2003年,彩虹表的概念出现了,在2008年,开始使用图形加速器进行密码恢复。
行业情况:黑白帽子的斗争
在我的职业生涯中,已经在信息安全领域内,我遇到了很多人并与之通信。 在进行这种交流的过程中,我开始了解到行业中采用的“黑帽”和“白帽”划分并不能反映实际情况。 当然,还有更多的颜色和阴影。
如果您回顾Internet和信息安全的起源并阅读那些时代的黑客的故事,那么很显然,人们的主要动机就是好奇心,即学习新知识的欲望。 同时,他们并不总是使用法律方法-只是读到凯文·米特尼克(Kevin Mitnik)的生平。
如今,研究人员的动机范围已经扩大:理想主义者希望使整个世界更加安全; 有人想通过创造新技术或探索流行产品而出名; 其他人则试图尽快赚钱-为此,存在许多不同程度合法性的可能性。 结果,后者经常发现自己处于“黑暗面”并与自己的同事面对。
结果,今天在信息安全领域中有几个发展领域。 您可以成为研究人员,参加CTF竞赛,通过搜索漏洞来赚钱,并为企业提供网络安全帮助。
错误赏金计划的开发
错误赏金的传播是2000年代信息安全市场发展的重要动力。 在这些程序中,复杂系统的开发人员会奖励研究人员其产品中发现的漏洞。
这里的主要思想是,它主要对开发人员及其用户有利,因为成功的网络攻击造成的损害可能比向研究人员支付的费用高数十倍至数百倍。 信息安全专家可以做自己喜欢做的事情-寻找漏洞-同时完全遵守法律并仍然获得奖励。 结果,公司吸引了忠实的研究人员,他们遵循负责任的披露做法,并帮助使软件产品更安全。
披露方法
在过去的二十年中,应该出现几种方法来揭示信息安全领域的研究成果。 像Zerodium这样的公司会购买零日漏洞和流行软件的漏洞利用-例如,iOS上的零日漏洞费用约为100万美元。 但是,自尊心的研究人员在检测到漏洞后采取的更正确方法是首先与软件制造商联系。 制造商并不总是愿意承认自己的错误并与研究人员合作,但是许多公司保护自己的声誉,试图迅速消除漏洞并感谢研究人员。
如果供应商不够活跃,通常的做法是让他有时间发布补丁,然后才发布有关漏洞的信息。 在这种情况下,研究人员首先应考虑用户的利益:如果开发人员根本不可能完全纠正错误,则其发布将为攻击者提供持续攻击的工具。
立法演变
如上所述,在互联网诞生之初,黑客的主要动机是对知识和平凡好奇心的渴望。 为了使他满意,研究人员经常从当局的角度做可疑的事情,但是在那些年里,仍然很少有法律规范信息技术领域。
结果,在备受瞩目的黑客攻击之后,法律往往已经出现。 信息安全领域的第一个立法举措于1996年在俄罗斯出现-随后通过了刑法的三条条款,涉及未经授权的信息访问(第272条),开发恶意代码(第273条)和违反为计算机系统提供服务的规则(第274条)。
但是,很难在法律上清楚地说明所有相互作用的细微差别,因此,解释上会有差异。 这也使信息安全研究人员的活动复杂化:通常不清楚遵守法律的研究活动在哪里结束以及犯罪在哪里开始。
即使在漏洞赏金计划的框架内,软件开发人员也可以要求研究人员对漏洞利用进行演示,并提供概念证明。 结果,信息安全专家实际上不得不创建恶意代码,并且在发送恶意代码时,已经开始“分发”。
将来,法律定稿了,但这并不总是使研究人员的生活更轻松。 因此,2006年有民法典中有关版权保护和技术保护手段的条款。 即使在研究期间企图规避此类补救措施也可能被视为违反法律。
所有这些都会给研究人员带来风险,因此,在进行某些实验之前,最好先咨询律师。
信息技术发展周期
在现代世界中,技术以特定周期发展。 一些好主意出现后,它就被商业化了,出现了一种成品,可以让您赚钱。 如果该产品成功,它将引起网络犯罪分子的注意,他们开始寻找通过其或其用户赚钱的方法。 企业被迫应对这些威胁并采取保护措施。 攻击者与安全卫士之间的对抗开始了。
而且,近年来,从大规模的高速Internet访问,社交网络到移动电话和物联网的普及,出现了几项革命性的技术突破。 如今,使用智能手机,用户几乎可以执行与使用计算机相同的所有操作。 但是与此同时,“移动”中的安全级别根本不同。
要窃取计算机,您需要进入存储计算机的房间。 您可以在外面偷手机。 但是,许多人仍然不了解技术发展所带来的安全风险的规模。
类似的情况是从SSD(即闪存驱动器)中删除数据。 从磁驱动器中删除数据的标准已经存在了很多年。 使用闪存时,情况有所不同。 例如,这样的磁盘支持TRIM操作:它告诉SSD控制器不再需要存储已删除的数据,并且无法读取它们。 但是,此命令在操作系统级别有效,如果您降至物理内存芯片级别,则可以使用简单的编程器访问数据。
另一个示例是3G和4G调制解调器。 以前,调制解调器是奴隶,它们完全由计算机控制。 现代调制解调器本身已成为计算机,它们包含自己的操作系统,它们运行独立的计算过程。 如果破解者修改了调制解调器的固件,他将能够截获和控制任何传输的数据,并且用户将永远不会猜测它。 要检测到此类攻击,您需要能够分析3G / 4G流量,并且只有情报机构和移动运营商才具有这种功能。 因此,这种方便的调制解调器被证明是不受信任的设备。
关于IB 20年结果的结论
我从事信息安全领域已有20年了,在这段时间里,我对信息安全的兴趣随着行业的发展而发生了变化。 如今,信息技术处于如此发展的水平,以至于即使在一个很小的细分市场中,也几乎不可能了解所有内容,例如逆向工程。 因此,只有将经验丰富的专家与各种知识和能力结合在一起的团队,才可能创建真正有效的保护工具。
另一个重要的结论是:目前,信息安全的任务不是使任何攻击都不可能,而是管理风险。 防御和攻击专家之间的对抗归结为使攻击过于昂贵,并在成功攻击的情况下减少了可能的财务损失。
第三,更全球化的结论:仅在企业需要时才需要信息安全。 即使进行复杂的渗透测试(这需要一流的专家),本质上也是信息安全产品销售过程的辅助功能。
安全是冰山一角。 我们保护仅因业务需要而创建的信息系统,这些信息系统是为解决其问题而创建的。 但是,这一事实被信息安全领域的重要性所抵消。 如果发生安全问题,则可能会破坏信息系统的功能,这将直接影响业务。 因此,很大程度上取决于安全团队。
合计
如今,在信息技术领域,并非万事万物,并且存在严重的问题。 我认为这是三个主要方面:
当局的过度重视。 世界各地的越来越多的国家试图控制和规范Internet和信息技术。
互联网正在成为信息战的平台。 二十年前,没有人将“俄罗斯黑客”归咎于世界上所有的问题,但今天却是按顺序进行的。
新技术并不能使人们变得更好或更聪明。 人们需要解释为什么需要这个或那个决定,教他们如何使用它,并谈论可能的风险。
由于存在所有这些缺点,当今的信息安全显然是一个应该解决的领域。 只有在这里,您每天都会遇到最新的技术,有趣的人们,您可以在与“黑帽”的对抗中测试自己。 每一天都有新的挑战,永远不会感到无聊。
积极技术应用分析主管Dmitry Sklyarov
发布