Почему Вайт-хэты и компании по информационной безопасности представляют главную угрозу для безопасности?
Почему Вайт-хэты и компании по информационной безопасности представляют главную угрозу для безопасности?
Alexander Antipov
Неужели вы еще не устали от постоянных информационных уток, которые проскакивают в новостных лентах: о поимке банды суперхакИров, о грядущем конце интернета, о новых потенциальных немыслимых угрозах, уязвимостях и тд и тп. (и пр нелепые новости)?
Вообще, этот материал был написан довольно давно, сейчас что-то изменилось в моих суждениях и отношении ко всему этому.. Но! я все таки решил что подобный материал заинтересует многоуважаемого читателя..
Итак, здесь я решил выразить свои мысли (отчасти беглые) на тему "куда движется индустрия безопасности", какие наблюдаются тенденции и что вообще происходит :). Сразу хочу заметить, что здесь я высказываю свое личное мнение, которое естественно может и не совпадать с вашим.
Но я призываю читателей к дискуссии на эту тему, кроме того вы всегда сможете послать свои комментарии/вопросы на форум.
Итак, начнем.. Вайт-хэты (whitehats) и компании по информационной безопасности (eq "security-industry") представляют главную угрозу для безопасности! Почему?
Security-компании делают все, чтобы выкачать как можно больше денег с клиентов часто продавая им совершенно бесполезные и неактуальные продукты, а также поддерживая множество мифов о информационных угрозах. Неужели вы еще не устали от постоянных информационных уток, которые проскакивают в новостных лентах: о поимке банды суперхакИров, о грядущем конце интернета, о новых потенциальных немыслимых угрозах, уязвимостях и тд и тп. (и пр нелепые новости)?
А на деле выходят аресты uber-dialup-haXOrz и продажи очередного firewall'а или VPN за 100k $. А вот действительно интересные разработки в области безопасности как правило не поддерживаются. Рынок безопасности предпочитает бороться со следствием, а не с причиной. Понятно почему.. И ведь куда лучше продавать очередные поделки ala файрволл-VPN-cryptosystem-anotherscanner чем концептуальные защиты нового поколения вроде exploitation-prevention и пр. На данный момент времени security-индустрия - это огромная машина по выкачиванию денег, построенная на выдуманных угрозах, использующая чужие достижения для получения собственной выгоды, по этому на мой взгляд отчетливая тенденция "non-disclosure" на лицо.. Времена security team'ов уже прошли, и "индустрия" меняется на глазах.
Такие рассылки вроде BugTraq, VulnDev, Full-Disclosure и пр созданы лишь для повышения этих самых угроз. Почему не прикроют рассылки, которые позволяют кидисам ломать машины по всему миру? Последний бастрион против всеобщего "make money movement" - BlackHats и политика неразглашения информации (правильная политика я бы сказал). Они делают то, во что многие не могут поверить и на что не способны security компании и специалисты по информационной безопасности - поиск РЕАЛЬНЫХ уязвимостей (я тут не говорю о Core-SDI, eEye, NGSoftware). Respect! Хотя справедливости ради замечу, что 0-day рынок рано или поздно приобретет реальную (eq адекватную) финансовую основу, и тогда прощай независимые ресирчеры, здравствуйте 10k$ exploits для коммерческого мира :). 99% рынка ИБ занимается всего лишь разработкой и продажей специализированных средств вроде "еще-один-файроволл", "еще-одна-VPN-система" и тд, в удручющих странах вроде России добавляется префикс "сертифицированная" (читай "разработчики забашляли еще 50 000 $ на сертификат"). Вообще сертификаты - это замкнутый круг, чиновники дают их только за деньги (не надо ля-ля по поводу free сертифика на хороший продукт, это миф), а большие бюрократические компании без этого серта не покупают продукт. Большие дяди договорились между собой =). Это всеобщее "make money", которое к безопасности не имеет никакое отношение. Million Dollarzz Certified FIrewall's rockkzzz =)))).
Такие услуги вроде тестов на проникновение уходят в прошлое по многим причинам. Во первых компании не могут собрать квалифицированную команду, во вторых польза остается очень сомнительной. Все постепенно сводится в разработки очередных файрволлов, фильтров и пр мешуры от которого скоро взорвется рынок (хотя есть тенденция разработки интересных продуктов вроде eEye BLink, Cisco Security Agent etc.). Российская реальность удручает - уровень образования по информационной безопасности в ВУЗах бывшего СССР мягко говоря находится на низком уровне (давайте говорить откровенно, положение катастрофическое..). Организации очень часто не представлют себе реальность обеспечение ИБ, сводя все на кипу бумаг и регламентов под управлением бывшего сотрудника МВД или ФСБ. В итоге как обычно реальная безопасность зависит от уровня системного/сетевого администратора. BugTraq, full-disclosure, vuln-dev и пр. рассылки позваляют тысячам script kiddies компроментировать сервера по всему миру, создавая и повышая при этом спорос на it-security услуги. IT-Security Компаниям нужны стабильные эпидемии, повышающиеся угрозы и риски, а также огромные убытки (в том числе и на бумаге).. Да, мы должны купить аппаратный файрволл и сниффер за 1 млн $. :). ОБЯЗАНЫ! =). 95% продуктов, предлагаемых различными "security-компаниями" не имеет никакой реальной пользы для клиента: лично я не вижу смысла в тиражировании еще одного файрволла, системы шифрования или сканнера безопасности. Выходит, что обеспечение безопасности в наше время - это просто бизнес по выкачиванию денег. Если отстреливать сайты, распостраняющие эксплоиты и прочее подобное ПО, а также сайты по распостранению всякие мануалов и пр документации - то да, мы естественно мы не искореним проблему, НО это сведет и без того глубоко выдуманные риски к минимуму. да-да-да. задумайтесь над этим. И от этого было бы больше пользы.
Только вот так никогда никто не сделает. И понятно почему. Задумайтесь над этим.
Я думаю тенденции в данном секторе предельно ясны - постепенно все исследования уходят в андеграунд. Модель "информация должна быть доступна каждому" не только устарела, но и показала свою несостоятельность в реальном мире. На мой взгляд не очень этично использовать исследования и разработки различных индивидуумов по всему миру в своих коммерческих целях, более того часто выставляя последних не в лучшем свете. Security-компании корые проводят реальные исследования в области безопасности можно пересчитать по пальцем. А вот сколько поддерживают свои "security-vulnerabilitys-databases-for-COOLEST-scanner-ever-for-big$$$" сотни.. Сколько компаний в наше время серьезно занимаются безопасностью? Кто может похвастаться действительно интересными исследованиями в данной области? Ну.. мягко говоря не многие. 95% всех security-исследований были сделаны blackhat's (или журналом phrack :)), а сейчас тенденция ухода в undeground. Большинство компаний (99.999%) просто продают ПО, а также консультируют "какое ПО действительно вам понадобится для защиты" :). И естественно такую совершенно "бесполезную" кормушку никто прикрыть НЕ ПОЗВОЛИТ. Трудно в это поверить )? Возможно.. А нужна ли БЕЗОПАСНОСТЬ it-security компаниям? Нет, Вдумайтесь в эти слова. Кому реально нужна безопасность? "Хакерам"? Не думаю.. Security-компаниям? ХеХе, Тоже нет.. ЭТО ИХ ХЛЕБ! Ну тут статья заканчивается, сразу хочу сказать что все это - мои личные взгляды на индустрию и рынок вообще. Я всегда рад получить от вас комментарии к моей "статье".
Вот и все что я хотел сказать. То, что много компаний и так называемых специалистов по безопасности очень далеко оторваны от реального положения дел и уж слишком ушли в анализы рисков и составления политик безопасности - это факт. Падение качества безопасников на лицо - здесь и скудность образования в области ИБ в нашей стране, да и часто довольно смутные (а порой даже смешные) представления работодателя о обязанностях данного сотрудника.
Задача индустрии безопасности - создавать панику по любому поводу, повышая при этом спрос и соответственно свои доходы. Промывка мозгов при помощи СМИ (бумажной и сетевой) и прочей массмедии. Подумайте над этим. Упорно создаваемый образ кибертеррориста, врага государства и вообще чуть ли не главной угрозой вселенной и ИМЕРИИ ВЕЙДЕРА ). Удивительно что на это покупается не только простой народ.. Вайтхеты и индустрия безопасности - это наглая ложь, нагнетание угроз и рисков, продажа (посредством корпоративных связей и договоренностей наверху, сертификатов, откатов и всего прочего) довольно посредственных продуктов. Они заставляют людей бояться. А страх порождает непродуманные решения, к примеру покупку VPN Застава +) гыгы. Разве никто из безопасников не знаком с выражениями типа "Нам приходится это использовать.. сертифицированный продукт и тд, такие дела".. это все печально, господа.
Уж кого-кого, а индустрию и безопасников уж точно не волнует эта самая безопасность ). угрозы и последствия для них - лишь расширение рынка и зарабатывание денег. А самый любимый и почитаемый Миф - миф о том что хакеры могут проникнуть на любую машину=) (ну практически.. существует условие подключения к сети :), хотя.. вирусная атака из розеток вполне реальна в наше время, касперский уже исследует данную проблему и скоро представит соответствующий продукт). Нет не поймите меня не правильно, тут я имею ввиду не вайтхетов в принципе, и не безопасниках вообще, а о тех, кто стоит у руля индустрии. Тех, кто принимает решения. Безопасность - это зло. IT-Security компании - это еще большее зло. Индустрия и рынок безопасности - это одно большое зло. И еще, хотел бы под шумок предложить свою модель безопасности - а точнее пару простых решений, хотя нет, советов :).
Безопасность - это не сертифицированные эксперты, которые запустят очередной сканнер безопасности в соответствии с какими-то стандартами. Безопасность - это прежде всего хорошее управление своими сетевыми ресурсами. Стандартая вакцина "устанавливайте только то что необходимо/своевременно ставьте патчи/правильно и безопасно настраивайте демоны/используйте стойкие пароли и тд и тп" не потеряет своей актуальности. С учетом развития рынка 0-day стоит еще дополнить этот список установкой IDS для перехвата части шеллкодов, а также небольшой security-тюнинг системы типа неисполняемый stack/heap, перехват потенциально опасных функций, рандомизация адресов и пр. Это очень сильно осложнит жизнь атакующим. При правильном сложение других мер безопасности сделает систему неприступной (в реальности. а так потенциальная возможность компроментации естественно всегда существует, кроме того не забывайте о неуловимых ч0рных хэкеров из страниц СМИ, которым подвластна любая система с tcp/ip стеком :)). Правда никого не интересует. Просто расслабьтесь и делайте деньги....
Welcome to security world, neo. :)
--
А теперь я пишу в настоящий момент. Прочитал я сейчас свой вышенаписанный материал и вот думаю. Неужели кто-то сейчас серьезно верит в разрушительную силу хакеров? и вообще какую бы то ни было силу? Лично я - нет. есть группы людей, которые пишут-обмениваются зеро дэйем, но их цели уж точно не точечны - порутал по диапазону и хорошо (никто голову особо не ломает).. людей которые вращаются в данном круге - человек 100-200 от силы по всему миру.
умеющих писать что-то посерьезнее простых local bof намного меньше.
есть другой тип - в стиле nmap banner grabbing потом packetstorm sploit archive :), таких 99.9%..?
От чего тут защищать то, я вот не понимаю? От первых индустрия вообще и не думает, а от вторых админ очень спокойно защитит. скажете все админы бездельники? да так и есть, поэтому кидисам время от времени везет, а иногда даже эксплоиты заводятся, благо наверное научились реты свои вбивать хехе :)). выходит что индустрия безопасности от глупости админов защищает :)? :( Куда уходят миллиарды, вращяющиеся в индустрии безопасности, я честно не понимаю ), наверное на рекламу всего этого безопасного бреда.
Помню вот недавно выступал заместитель гендира МИКРОСТЕСТА на РБК, с фамилией Анисимов (
случаем не брат того кто первым дыру в xp sp2 нашел heap protection, который из позитива :)), ну вообщем что-то он там рассказывает, естественно хвалит подходы интеграторов к ИБ, и говорит (дословно не помню): "чтобы создавать защиту от постоянно совершенствующегося аа.. сообщества хакеров".. На последней фразе он сильно улыбнулся..
а я засмеялся :). Долго нас хакерами-то будут еще пугать?
p.s. ах да, на последок. сейчас наверное на форуме появятся много воплей безопасников, мол не понимает человек рынка, реальных угроз, и вообще это просто смещно.
Так вот замечу, что безопасники защищают в лучшем случае от скрипт-кидди (это если еще повезет), они не имеют понятия не о "сцене", от которой (как они говорят) исходит главная угроза, не о РЕАЛЬНОМ поиске уязвимостей и создании эксплоитов, которые и представляют единственную похоже вменяемую угрозу. ведь таких слова как gobbles, lsd.pl, pax team и пр - пустой звук, а вот ISO 17799/ISO 27001 и ГОСТы, вместе с nmap gui - это r0x :)). good luck, люди..
(да, не хотел никого обидеть, сам использую nmap гуи и в сырцы сплоитов особо не лезу, работаю спецом по безопасности, гыыгыгы (и вообще, нах безопасность )) :)).