В Бостоне в начале августа прошел семинар Usenix Workshop on Offensive Technologies. Трудно проигнорировать событие, которое называется таким «хакерским» словечком WOOT, даже не совсем понимая, чему оно посвящено. Поэтому журналист Network World задал несколько вопросов Теду Гарфункелю из Стэнфордского университета и одному из руководителей программы WOOT.
Что именно вы называете «наступательными технологиями»?
Пространство методов защиты компьютерных систем можно структурировать по-разному. К примеру, можно разделить технологии на две категории — для атаки и для обороны. Основной целью традиционных методов защиты является оборона. Обнаружение вторжений, управление доступом, выявление и предотвращение ошибок и т. п. Между тем, задачей большинства сообществ «черных шляп», или «плохих» хакеров, действующих по злому или корыстному умыслу (это выражение отсылает нас к голливудским вестернам, где «плохие» всегда носили черные шляпы, а «хорошие» — белые. — Прим. ред.), всегда были наступательные технологии, то есть технологии, использующие недостатки программ, обратный инжиниринг, сбор информации и т. п. В то же время для любой задачи, возникающей в сфере обороны (например, как защититься от так называемых «клавиатурных шпионов», регистрирующих, какие клавиши были нажаты на клавиатуре), есть аналогия в сфере наступательных технологий (как создать самого эффективного клавиатурного шпиона). Понимая цели и средства обеих сторон, вы начинаете лучше разбираться в компьютерной защите.
Многие из нас читают блоги «черных шляп», анализируют код инструментария, используемого для организации атак, и следят за состоянием дел в этой области для того, чтобы соответствующим образом менять наше представление о защите. Однако информация о «темной» стороне зачастую неполна и фрагментарна. Отсутствие экспертизы со стороны коллег означает, что иногда достоверность утверждений остается под вопросом. В этой среде, например, показателем качества считается то, какое количество новостей порождает шумиха вокруг вашей работы, а не то, насколько оригинальны, важны или правдоподобны ваши утверждения.
Зачем понадобилось проводить семинар отдельно от более масштабного симпозиума Usenix Security Symposium?
Технологии атаки, безусловно, освещаются на таких форумах, как Usenix Security, однако по-прежнему сохраняются достаточно серьезные препятствия к публикации новых работ в этой сфере, а определенный круг тем (таких, как обратный инжиниринг, проектирование «вредоносных» программ, разработка автоматизированных средств, использующих дефекты защиты) вообще остается без внимания. Есть определенные работы, информация о которых была бы действительно полезна, поскольку позволила бы помочь исследователям понять, каково положение дел на «темной» стороне, но это не соответствует модели, которой следуют обычные конференции. Как результат мы получаем, мягко говоря, неполную информацию, а за пределами нашего круга общения остается много практиков, которые располагают ценным материалом.
Мы постоянно пишем о червях, фишинге, фарминге, о ботах, шпионских программах и т. д. Какая следующая «новинка» заинтересует «плохих парней»?
Точно я сказать не могу, хотя думаю, что дать довольно точный прогноз можно, если проследить за деньгами.
Самый серьезный потенциал в этой области, с моей точки зрения, имеют такие вещи, как результаты работы систем бизнес-аналитики, или интеллектуальная собственность, которую можно продать за рубеж (при этом судебный процесс или исполнение приговора могут оказаться затруднительными). Большой интерес представляют и решения, которые можно отнести к высшему классу защиты компьютерных систем. Здесь используются технологии, которые всего несколько лет назад были доступны только сотрудникам спецслужб, и те, которые вам приходилось создавать самим. Я предполагаю, что объем информации, присутствующей на черных рынках, и пул талантливых специалистов, знающих, как добыть эту информацию, будут постоянно увеличиваться. Учитывая, насколько ущербной является защита на периметре корпоративных сетей, это не может не вызывать серьезного беспокойства.
Как вы думаете, продолжается ли сейчас борьба между теми, кто атакует сети, и теми, кто их защищает?
Трудно сказать; все зависит от того, о каком рынке вы говорите. Ведется постоянная гонка вооружений между атакующими и обороняющимися, и удача улыбается то одним, то другим.
Технологии в целом, по-видимому, развиваются значительно быстрее, чем инженерно грамотные технологические решения и надежные средства защиты. Поэтому мы вряд ли останемся без работы в ближайшее время. Трудно сказать, сойдет ли на нет атмосфера Дикого Запада с огромным количеством ботнетов, охвативших всю планету.
Важно, чтобы ИТ-директоры и другие руководители, принимающие решения о закупках, оказали давление на производителей, с тем чтобы они создавали более защищенные продукты. Чем больше понимания будет на рынке относительно того, какие методы делают продукты надежными, и чем больше негативной реакции на уязвимость защиты будет проявляться на рынке, тем скорее мы получим более защищенные системы. Брюс Шнайер прав, утверждая, что нам не нужна отрасль защиты — нам необходимы производители операционных систем, производители сетевого оборудования, производители СУБД и т. д., которые выпускают продукты, изначально более защищенные по своей архитектуре.
Между тем, надежность защиты по-прежнему остается на низком уровне. Производители должны подвергаться безжалостному давлению до тех пор, пока не выпустят «правильный» продукт.