過去20年間で情報セキュリティがどのように変化したか

画像： アンスプラッシュ



Positive Technologiesのアプリケーション分析責任者であるDmitry Sklyarovは、過去20年間の情報セキュリティ業界の発展の歴史に関する見解を共有しています。



情報セキュリティに関する最新の会議のプログラムを見ると、研究者がどのような重要なトピックを占めているかがわかります。 これらの重要なトピック、テクノロジー、および方向のリストを分析すると、20年前にはそれらの大部分が単に存在していなかったことがわかります。



たとえば、OFFZONE 2018カンファレンスのトピックは次のとおりです。

• 現金以外の支払い
• WAFバイパス
• ソフトウェア無線システム、
• 投機的実行
• Androidのマルウェア検索、
• HTTP / 2
• モバイルOAuth 2.0、
• XSSエクスプロイトの悪用、
• サイバーグループラザロ、
• 多層アーキテクチャのWebアプリケーションへの攻撃、
• ARMプロセッサに対するフォールトインジェクション攻撃。

これらのうち、長い間存在していた問題は2つだけです。 1つ目は、80年代半ばに登場したARMプロセッサのアーキテクチャ機能です。 2つ目は投機的実行の問題です。これは、1995年にリリースされたIntel Pentium Proプロセッサに起因しています。



言い換えれば、これらのトピックのうち、真に「古代」とは鉄に関するものです。 基本的に、今日の専門家によって行われた研究は、1、2、3年前の出来事に触発されています。 たとえば、HTTP / 2テクノロジーは2015年にのみ登場しましたが、原則として4年以内に調査できます。



20年前に戻りましょう。 1998年には、いわゆるファーストブラウザー戦争が終了しました。その間、当時の最大のブラウザーであるInternet ExplorerとNetscape Navigatorが競い合いました。 その結果、マイクロソフトはこの戦争に勝ち、主な競合他社は市場を去りました。 その後、そのようなプログラムはほとんどなく、それらの多くは、たとえばOperaのように支払われました。これは正常と考えられていました。 同時に、今日最も人気のあるブラウザであるSafari、Mozilla、Chromeははるかに後に発明されたものであり、今日ブラウザが支払われるという考えは誰にも生じません。



20年前のインターネットの普及率は今日よりも数倍低かったため、多くのWeb関連サービスの需要は、ブラウザ戦争の終わりよりもはるかに遅れて形成されました。



暗号化の分野では別の状況が発生しています。 数十年前に開発が開始され、90年代までに多くの実績のある暗号化標準（DES、RSA）とデジタル署名があり、その後数年にわたって、openSSLフリー形式を含む多くの新しい製品、アルゴリズム、標準が登場しました。 ロシアでは、標準のGOST 28147-89が機密解除されました。



現在使用している暗号関連技術のほぼすべては、90年代にすでに存在していました。 それ以来、この分野で広く議論されている唯一のイベントは、NSAがサポートする2004 Dual_EC_DRBGアルゴリズムのバックドアの発見です。

知識の源

90年代前半、ブルースシュナイアーアプライドクリプトグラフィーのカルト本が登場しました。非常に興味深いものでしたが、情報セキュリティではなく暗号化に専念していました。 ロシアでは1997年に、イリヤメドヴェドフスキー、パベルセミャノフ、ウラジミールプラトノフによる「インターネット経由の攻撃」という本が出版されました。 ロシアの専門家の個人的な経験に基づいたこのような実用的な資料の出現は、わが国の情報セキュリティ分野の発展に弾みをつけました。



以前は、初心者の研究者は外国語の研究の復刻版しか購入できず、翻訳が不十分で、ソースを参照していなかったため、「インターネット経由の攻撃」の後、新しい実用的なマニュアルがはるかに頻繁に登場しました。 たとえば、すでに1999年に、Chris KasperskyのTechnique and Philosophy of Hacker Attacksがリリースされました。 「インターネット経由の攻撃」自体は、「インターネットへの攻撃」（1999年）と「インターネットからの攻撃」（2002年）の2つの続編を受け取りました。



2001年に、Microsoftの安全なコード開発に関する本、Writing Secure Codeがリリースされました。 そのとき、ソフトウェア業界の巨人は、ソフトウェアセキュリティが非常に重要であるという事実に気づいたのです。情報セキュリティの開発において非常に重大な瞬間でした。 この後、企業はセキュリティの確保について考え始めましたが、以前はこれらの問題に十分な注意が払われていませんでした。コードが記述され、製品が販売され、これで十分であると考えられていました。 それ以来、マイクロソフトはセキュリティに多大なリソースを投入しており、会社の製品に脆弱性が存在しているにもかかわらず、一般的にそれらの保護は良好なレベルにあります。



アメリカでは、情報セキュリティ業界は70年代から非常に活発に発展しています。 その結果、この国の90年代には、情報セキュリティのトピックに関する大規模な会議がすでにいくつかありました。 それらの1つはRSAによって組織され、Black Hatが登場し、同じ年に最初のCTFハッカー競技会が開催されました。



私たちの国では、状況は異なっていました。 90年代のロシアの情報セキュリティ市場における今日のリーダーの多くはまだ存在していませんでした。 研究者には多くの雇用オプションがありませんでした：Kaspersky Lab、DialogueScience、Informzashita、および他のいくつかの会社がありました。 Yandex、Positive Technologies、Digital Security、Group-IB、さらにはDoctor Webも1998年以降に登場しました。



同様の状況が会議で発展し、知識を共有し、現在の傾向を研究しています。 これはすべて海外でうまくいきました.1984年からChaos Communication Congressが開催され、1991年からRSA会議が開催され、1993年にDEF CONが登場し（1996年に最初のCTFが開催されました）、90年代半ばからBlack Hatが開催されました。 私たちの国では、この分野で最初の重要なイベントは2000年に最初に開催されたRusCrypto会議でした。 ロシアの専門家が外国のイベントに行って同じような人を見つけて意見を交換する機会がなかったのは困難でした。



それ以来、価値のある国内イベントの数は大幅に拡大しています。ポジティブハックデー、ゼロナイト、オフゾーンがあります。

個人的な経験：情報セキュリティの最初のステップ

1998年、私はMSTUの「コンピューター支援設計システム」部門を卒業しました。 複雑なソフトウェアの開発を教えられたバウマン。 面白かったのですが、私は何か他のことができることに気付きました。 学校からは、デバッガーを使用して、ソフトウェアの動作を理解することが好きでした。 同じ方向で最初の実験が5倍高速になった理由を知りたいときに、Agat-DebuggerとAgat-DOSプログラムで最初の実験を行いましたが、同じ容量を占有していました。



すでにわかったように、私のトレーニングが終了した時点では、現代的な意味でのウェブは存在していませんでした。 そのため、リバースエンジニアリングから気を散らすものはありませんでした。 リバースエンジニアリングの重要な分野の1つは、コードのロジックの復元です。 データの暗号化ソリューションだけでなく、海賊版コピーから保護する多くの製品があることを知っていました-リバースエンジニアリングも彼らの研究で使用されました。 アンチウイルスの開発もありましたが、軍隊や政府機関で働いていたように、何らかの理由でこの方向に惹かれることはありませんでした。



1998年までに、デバッガーを使用したプログラミング（たとえば、コンピューター支援設計システム用のソフトウェアの作成）が得意で、keygen-meやcrack-meなどのタスクを解決するのが好きで、暗号に興味がありました（かつて、間接データから友人が忘れたExcelパスワードを回復することさえできました） 「英語のレイアウトでのロシアの女性の名前」）。



その後、私は研究を続け、「電子文書を保護するためのソフトウェア手法の分析方法」というトピックについての論文を書きましたが、私は決して防御に至りませんでした（しかし、著作権保護のトピックの重要性に気付きました）。



情報セキュリティの分野では、Elcomsoftに入社してついに急落しました。 それは偶然にも起こりました。友人がMS Accessデータベースへの失われたアクセスを回復するのを手伝うように私に頼みました。それは自動パスワード回復ツールを作成することで行いました。 Elcomsoftでこのツールを販売しようとしましたが、見返りに求人を受け取り、この会社で12年間過ごしました。 職場では、主にアクセスリカバリ、データリカバリ、コンピュータフォレンジックなどの問題に対処しました。



暗号化とパスワード保護の世界での私のキャリアの最初の数年間に、いくつかのブレークスルーが発生しました。たとえば、2003年にレインボーテーブルの概念が現れ、2008年にパスワードリカバリにグラフィックアクセラレータの使用が始まりました。

業界の状況：黒と白の帽子の闘争

私のキャリアの中で、すでに情報セキュリティの領域内で、私は膨大な数の人々に会って対応しました。 そのようなコミュニケーションの過程で、業界で採用されている「黒い帽子」と「白い帽子」の区分が実際の状況を反映していないことを理解し始めました。 もちろん、はるかに多くの色と色合いがあります。



インターネットと情報セキュリティの起源を見て、当時のハッカーの話を読んでみると、人々にとっての主な刺激は好奇心であり、新しいことを学びたいという欲求だったことが明らかになります。 彼らは常に法的な方法を同時に使用したわけではありません-ケビン・ミトニックの生涯について読んでください。



今日、研究者のモチベーションの範囲は拡大しています。理想主義者は世界全体をより安全にしたいと考えています。 他の誰かが新しいテクノロジーを作成したり、人気のある製品を探索したりして有名になりたい 他の人はできるだけ早くお金を稼ごうとします-そして、このために合法性の程度が異なる多くの可能性があります。 その結果、後者はしばしば「暗黒面」にいることに気付き、自分の同僚と対frontします。



その結果、今日では情報セキュリティの範囲内でいくつかの開発分野があります。 研究者になり、CTFで競争し、脆弱性の検索で稼ぎ、サイバー防御でビジネスを支援できます。

バグ報奨金プログラムの開発

2000年代の情報セキュリティ市場の発展に対する重大な推進力は、バグ報奨金の拡散でした。 これらのプログラム内で、複雑なシステムの開発者は、製品で発見された脆弱性に対して研究者に報酬を与えます。



ここでの主なアイデアは、開発者とそのユーザーにとって主に有益であるということです。なぜなら、成功したサイバー攻撃による被害は、研究者への可能な支払いよりも数十倍から数百倍も高いからです。 情報セキュリティの専門家は、法律の範囲内にとどまり、それでも報酬を受け取りながら、好きなことを行うことができます-脆弱性を探します。 その結果、企業は責任ある開示の実践に従い、ソフトウェア製品をより安全にするための忠実な研究者を獲得します。

開示アプローチ

過去20年にわたって、情報セキュリティの分野での研究結果の開示方法に対するいくつかのアプローチが登場するはずでした。 Zerodiumのような、人気のソフトウェアのゼロデイ脆弱性とエクスプロイトを購入する企業があります。たとえば、iOSのゼロデイコストは約100万ドルです。 ただし、脆弱性を検出した後に自尊心のある研究者が行動するより適切な方法は、最初にソフトウェアの製造元に連絡することです。 メーカーは常に自分の間違いを認めて研究者と協力する準備ができているわけではありませんが、多くの企業は評判を守り、脆弱性を迅速に排除し、研究者に感謝しています。



ベンダーが十分にアクティブでない場合、一般的な方法は、パッチを発行する時間を与えてから、脆弱性に関する情報を公開することです。 同時に、研究者はまずユーザーの利益について考える必要があります。開発者が間違いをまったく修正しない可能性が高い場合、その出版物は攻撃者に絶え間ない攻撃のためのツールを提供します。

法律の進化

前述のように、インターネットの夜明けに、ハッカーの主な動機は知識と平凡な好奇心への渇望でした。 彼を満足させるために、研究者はしばしば当局の観点から疑わしいことをしましたが、その年にはまだ情報技術の分野を規制する法律はほとんどありませんでした。



その結果、有名なハッキングの結果として、法律がしばしばすでに登場しました。 情報セキュリティの分野における最初の立法イニシアチブは1996年にロシアで登場しました-その後、情報への不正アクセス（第272条）、悪意のあるコードの開発（第273条）、およびコンピューターシステムのサービスに関する規則違反（第274条）に関する刑法の3つの記事が採択されました。



ただし、相互作用のすべてのニュアンスを法律で明確に述べることはかなり難しく、その結果、解釈に矛盾が生じます。 それはまた、情報セキュリティ研究者の活動を複雑にします。研究に誠実な研究がどこで終わり、犯罪が始まるかはしばしば不明です。



バグ報奨金プログラムのフレームワーク内であっても、ソフトウェア開発者は研究者に脆弱性の悪用、概念実証のデモンストレーションを依頼できます。 その結果、情報セキュリティの専門家は実際に悪意のあるコードを作成することを余儀なくされ、送信されると「配布」がすでに開始されます。



将来、法律は最終決定されましたが、これは研究者の生活を常に楽にするものではありませんでした。 したがって、2006年には、著作権の保護と保護の技術的手段に関する民法の記事がありました。 研究中であってもそのような救済策を回避しようとする試みは、法律違反と見なされる場合があります。



これはすべて研究者にリスクをもたらします。したがって、特定の実験を行う前に、弁護士に相談することをお勧めします。

情報技術開発サイクル

現代の世界では、テクノロジーは特定のサイクルで発展します。 いくつかの良いアイデアの出現後、それは商品化され、あなたがお金を稼ぐことができる完成品が表示されます。 この製品が成功すれば、その製品またはそのユーザーでお金を稼ぐ方法を探し始めているサイバー犯罪者の注目を集めます。 企業はこれらの脅威に対応し、保護に取り組むことを余儀なくされています。 攻撃者と警備員の対立が始まります。



さらに、近年では、大量の高速インターネットアクセス、ソーシャルネットワークの登場から、携帯電話やモノのインターネットの普及に至るまで、いくつかの革新的な技術的進歩がありました。 今日、ユーザーはスマートフォンを使用して、コンピューターを使用するのとほぼ同じことを行うことができます。 しかし同時に、「モバイル」のセキュリティレベルは根本的に異なります。



コンピューターを盗むには、コンピューターが保管されている部屋に入る必要があります。 路上で電話を盗むことができます。 ただし、多くの人々は、技術開発がもたらすセキュリティリスクの規模をまだ理解していません。



同様の状況は、SSD（つまり、フラッシュドライブ）からデータを削除する場合です。 磁気ドライブからデータを削除するための標準は、長年にわたって存在していました。 フラッシュメモリでは状況が異なります。 たとえば、このようなディスクはTRIM操作をサポートします。削除されたデータを保存する必要がなくなり、読み取りができなくなることをSSDコントローラーに通知します。 ただし、このコマンドはオペレーティングシステムレベルで機能します。物理メモリチップのレベルまで下がると、簡単なプログラマーを使用してデータにアクセスできます。



別の例は、3Gおよび4Gモデムです。 以前は、モデムはスレーブであり、コンピューターによって完全に制御されていました。 現代のモデム自体がコンピューターになり、独自のOSを搭載し、独立したコンピューティングプロセスを実行しています。 クラッカーがモデムファームウェアを変更すると、送信されたデータを傍受して制御できるようになり、ユーザーが推測することはなくなります。 このような攻撃を検出するには、3G / 4Gトラフィックを分析できる必要があり、そのような機能を備えているのはintelligence報機関とモバイルオペレーターだけです。 そのため、このような便利なモデムは信頼できないデバイスです。

IBでの20年間の結果に関する結論

私は20年にわたって情報セキュリティの分野に携わってきましたが、この間、私の関心は業界の発展と並行して変化しました。 今日、情報技術は開発のレベルにあるため、リバースエンジニアリングなど、1つの小さなニッチ内でもすべてを知ることは不可能です。 したがって、今日の真に効果的な保護ツールの作成は、経験豊富な専門家と多様な知識と能力を組み合わせたチームでのみ可能です。



別の重要な結論：現時点では、情報セキュリティのタスクは攻撃を不可能にすることではなく、リスクを管理することです。 防衛と攻撃のスペシャリストの対立は、攻撃が高額になり、攻撃が成功した場合に発生する可能性のある経済的損失を減らすことにあります。



そして第三の、よりグローバルな結論：情報セキュリティは、ビジネスが必要とする限りのみ必要です。 クラス外の専門家を必要とする複雑な侵入テストを実施することでさえ、情報セキュリティのために製品を販売するプロセスの補助的な機能です。



安全は氷山の一角です。 問題を解決するために作成された、ビジネスが必要とするためだけに作成された情報システムを保護します。 しかし、この事実は、情報セキュリティの分野の重要性によって相殺されます。 セキュリティの問題が発生すると、情報システムの機能を混乱させる可能性があり、これはビジネスに直接影響します。 そのため、多くはセキュリティチームに依存しています。

合計

今日、情報技術の分野では、すべてがクラウドレスではなく、深刻な問題が存在します。 私の意見では、主に3つあります。



当局の過度の注意。 世界中の州は、インターネットと情報技術を制御し、規制しようとしています。

インターネットは情報戦のプラットフォームに変わりつつあります。 20年前、世界のすべての問題を「ロシアのハッカー」のせいにする人はいませんでしたが、今日ではそれが物事の順序になっています。

新しいテクノロジーは、人々をより良くも賢くもしません。 人々は、なぜこの決定が必要なのかを説明し、その使用方法を教え、起こりうるリスクについて話す必要があります。



これらすべての不利な点があるため、今日の情報セキュリティは明らかに対処すべき領域です。 ここでは毎日、最新のテクノロジー、興味深い人々に出会うことができます。あなたは「黒い帽子」との対決で自分自身を試すことができます。 それぞれの新しい日は挑戦し、決して退屈することはありません。



Posted by Dmitry Sklyarov、アプリケーション分析責任者、Positive Technologies