Специалист по информационной безопасности

Специалист по информационной безопасности: мыслить как хакер

Эти парни знают, кто такие хакеры и как с ними бороться. Они умеют взламывать даже самые защищенные системы, но делают это по заказу их создателей.

Реальные герои

Пожелавшие остаться неизвестными
Карим
руководитель группы информационной безопасности Mail.Ru Group
Борис
аналитик центра безопасности Mail.Ru Group
Юрий
аналитик центра безопасности Mail.Ru Group

О профессии

Работа специалиста по информационной безопасности (ИБ) начинается с того, что ему приходит сообщение: «Нужно оценить состояние проекта, который мы планируем выпустить». Тогда специалисты ИБ начинают с разных сторон его исследовать: проверять настройки безопасности, изучать архитектуру, читать документацию, смотреть исходный код и искать уязвимости.

Одним из самых распространенных методов оценки безопасности информационных систем являются тесты на проникновение (penetration testing) — это когда специалист пытается взломать систему, используя все методы и инструменты, которыми обычно пользуются хакеры. По сути, это легальный взлом. Такие тесты позволяют выявить все известные уязвимости, через которые хакер потенциально может взломать систему и нанести ущерб бизнесу. На основании всей полученной информации и проведённого тестирования специалисты ИБ могут сказать, какие решения являются неправильными и что нужно изменить. Например, самое простое правило: нельзя передавать логины и пароли через незашифрованную сеть. К пожеланиям службы ИБ прислушиваются, программисты и администраторы вносят изменения, и в итоге получается крепкий и надежный продукт.

  • Хакерские атаки с целью вывода системы из строя путем отправки большого количества запросов, с которыми эта система в какой-то момент начинает не успевать справляться, и перестаёт выполнять свои штатные функции. Делается это, как правило, для нанесения экономического ущерба конкурентам или политическим противникам. DDoS атака проводятся с помощью заражённых серверов, расположенных в самых разных местах и странах, поэтому отследить её исполнителей или заказчиков практически невозможно. Для защиты от DDoS-атак специалисты по ИБ анализируют трафик, ищут подозрительную активность и, в случае обнаружения, включают специальные фильтры для ограничения такого трафика.
  • Подмена интернет-страниц или отправка электронных писем, которые «маскируются» под реальные сайты или легальные письма с целью сообщить ложную информацию или заставить пользователя отправить злоумышленникам свои персональные данные (такие как e-mail, пароль или данные кредитной карты).
  • Подбор паролей путем перебора всех возможных комбинаций. Такие атаки являются одним из самых простых и эффективных способов взлома компьютерных систем. Защититься от подобных атак также несложно с помощью файрволов и введения более сложных механизмов авторизации (например, после ввода пароля на телефон отправляется СМС с кодом доступа).
  • Вредоносные программы, которые используются для несанкционированного доступа к данным или их полного уничтожения, слежки за действиями пользователей, перехвата управления системой или использование её ресурсов. Как правило, все трояны маскируются под безвредные или полезные программы, которые пользователи добровольно скачивают и устанавлиют, от этого они и получили своё название (миф о Троянском коне).
  • Это способ использования найденных уязвимостей в системе. Обычно это программа или скрипт (но иногда так называют и просто последовательность определенных действий), которые могут привести к нужному злоумышленнику результату. Часто эксплойты выкладываются в интернет, чтобы разработчики могли устранить уязвимость и, тем самым, улучшили свой продукт или просто чтобы получить минуту славы в ИБ-сообществе.
  • Взламывать почту и мессенджеры часто пытается всякая «школота»: они хотят прочитать переписку своих возлюбленных или одноклассников. Набор методик в этом случае достаточно примитивен: фишинг, вирусы-трояны, подбор паролей и т. д.
  • Есть много энтузиастов (bug hunters), которые интересуются информационной безопасностью в самых различных сферах. Они постоянно сканируют и анализируют выбранные сайты, ищут дырки в их защите и обмениваются информацией об обнаруженных уязвимостях в многочисленных сообществах, посвящённых ИБ. В Mail.Ru Group, как и во многих IT-компаниях, действует программа финансового вознаграждения (Bug Bounty) за найденные баги и уязвимости.
  • Профессиональные взломщики, так называемые «чёрные шляпы» (Black Hats). Эти люди пишут «эксплойты», ломают сайты и залезают в корпоративные сети, чтобы воровать оттуда информацию: «исходники» программ, финансовые сведения или базы данных. Часто это высококлассные специалисты, которые хорошо разбираются в предмете, знают нестандартные или недокументированные особенности систем. Такие хакеры уже не афишируют свои «находки» или разработки, но иногда продают их.
  • Это люди и целые компании, которые могут быть технически неграмотными, но сильно заинтересованы в получении определенной информации или технологий и при этом обладают финансовыми ресурсами, чтобы заказывать взломы, покупать «эксплойты» и инвестировать большие деньги в свои атаки.
  • В получении закрытой информации также заинтересованы и спецслужбы разных стран. Если ИТ-компания имеет доступ к большому трафику, информации в социальных сетях, почте и мессенджерах — она неизбежно становится объектом внимания спецслужб. Редкая компания одобрит запрос зарубежной спецслужбы, которой в ходе операции понадобился доступ к почтовому ящику частного лица, поэтому спецслужбам приходится как-то решать эти задачи, прибегая к взлому систем.
  • Отдельно стоит выделить многочисленных хакеров и целые хакерские группировки из Китая, которые занимаются промышленным шпионажем. Их очень много, и они постоянно пытаются всех взломать и всё скопировать.
Когда идет атака, специалисты ИБ не могут точно сказать, кто это: «черные шляпы», китайские хакеры или спецслужбы. Они просто пытаются от этого избавиться. Атаки всегда проводятся через взломанные сети в третьих странах: Индонезии, Малайзии и многих других, так что определить местоположение хакера по его IP, как правило, невозможно.

Знания и навыки

Что должен знать каждый ИБэшник:
TCP/IP
Как устроены сети и интернет
(протоколы TCP/IP)
Операционные системы
Операционные
системы
(Linux, Windows, OSX etc.)
Языки программирования
Языки программирования
(PHP, Python, Ruby, Bash и другие скрипт-языки)

В первую очередь нужно досконально знать, как работают и как устроены сети, протоколы TCP/IP и операционные системы. Языки программирования нужны, чтобы обрабатывать большие массивы данных (например, анализировать лог-файлы) и писать свои утилиты для защиты. Знание низкоуровневых языков, таких как «Си» или «Ассемблер», даёт ощутимые преимущества, так как позволяет понимать, как устроена система на самом низком уровне и, соответственно, выстраивать правильную линию защиты (или взлома). Также необходимо знание целого ряда специфических инструментов и систем обнаружения вторжений, таких как сканеры уязвимостей, сетей и портов (например, nmap). Существуют даже специальные «хакерские» сборки операционных систем, которые включают в себя полный набор инструментов для взлома как «белого», так и «черного».

В работе специалиста ИБ также очень важны опыт, настойчивость, удача и знание о том, как устроена работа той или иной системы изнутри. Человек, у которого есть такая информация, может взломать систему, не имея ни опыта, ни терпения, ни удачи. Либо, наоборот, взломать ее, не имея ничего, кроме терпения. По сути, все эти четыре момента объединяет одно: интерес. Если у вас нет интереса ко взлому и нет желания копаться в сети, вам ничего не поможет.

Образование

В университетах можно получить в основном теоретические знания, поэтому выпускники профильных факультетов часто являются только теоретиками, «бумажными специалистами». Проблема российского образования в сфере ИБ заключается в том, что здесь до сих пор действуют старые программы: студенты изучают, например, «Оранжевую книгу» — американский набор стандартов 1990 года. Преподают здесь зачастую люди старше 50 лет, которые уже «не в теме». Поэтому специалистам в области ИБ приходится постоянно заниматься самообразованием, получать практические навыки и обновлять свои знания.

  • МГУ
    факультет вычислительной математики и кибернетики
  • МГТУ им. Н.Э. Баумана
    факультет «Информатика и системы управления»
  • МФТИ
    факультет радиотехники и кибернетики
  • МИФИ
    факультет кибернетики и информационной безопасности
Web Application Hacker Handbook

Книга немного нудная, но обладающая хорошим системным подходом к тому, как правильно «хакать» веб-приложения с максимальным покрытием, чтобы ничего не забыть. По словам специалистов, максимально полезное издание.

The Tangled Web

Лучшей книгой по веб-безопасности профессионалы также считают The Tangled Web Михаила Залевского. Это настоящая выжимка информации о том, как устроен веб.

  • Полезные анонсы, новости и статьи по теме ИБ.
  • Более популярный ресурс, где материалы хорошо «разжевываются».
  • Ежедневно публикуются всевозможные новости, описания "багов", рецепты того, как их использовать.
  • По хештегу #pentest можно найти много разных ребят, которые публикуют свои находки, новые методики, ссылки на интересные блоги.

В сфере ИБ очень популярны соревнования CTF (Capture the Flag). Они бывают командными и одиночными; организаторы дают игрокам задание: найти в системе уязвимость, через которую они получают доступ к данным и находят «флаг». За каждый захваченный «флаг» игроку дают очки. Профессионалы говорят, что это отличный способ улучшить свои навыки, ведь задания в рамках соревнований CTF бывают очень разными, а это учит искать и решать проблемы и развивает каждого участника как программиста. Школьные CTF, в частности, проводит МГУ.

Хакеры в кино

В некоторых фильмах о хакерах: "Мистер Робот", "Кибер" (Black Hat), - последние показаны весьма реалистично.
«Кибер»
Боевик, где всё происходящее напоминает мир промышленного шпионажа и «черных шляп». Технический уровень и технические навыки там показаны реально, потому всё и выглядит довольно скучно.
«Мистер Робот»
Довольно реалистичный сериал про хакера-социофоба. В кадрах видно, как герой запускает существующие программы и утилиты.
«Хакеры»
С технической точки зрения не слишком точен, но прекрасно передает дух хакерства. В США до сих пор существует целая субкультура хакеров.

Известные хакеры и группировки

Считается, что Кевин Митник «хакал» людей, убеждая выдать ему пароль, но многие профессионалы уверены в том, что Митник был ещё и хорошим программистом. Однажды, в середине 90-х, он взломал программное обеспечение «соты» (вышки мобильного оператора) и видоизменил код таким образом, что когда к ней подъезжали агенты ФБР с определенными телефонными номерами, сота посылала ему сообщение. Сейчас, когда в интернете можно найти практически любую информацию, это не кажется сложной задачей. Но в середине 90-х различия между операционными системами были очень большими, а интернета в нынешнем понимании не было вовсе. До многих вещей приходилось доходить самому, при этом часто не имея документации. Документация к различным системам в то время являлась своеобразной валютой (как сейчас — эксплойты). Имея документацию о какой-либо системе, человек мог поменяться ею с другим хакером.

Многим Джулиан Ассанж известен в связи с крупными политическими скандалами. На рубеже 80-90-х годов Джулиан Ассандж был знаменитым хакером: писал софт, занимался исследованиями и придумал много интересных вещей — например, утилиту strobe для сканирования сетей.

Так называлась группа австралийских хакеров в конце 80-х. Это были три хакера, которые взломали множество разных систем, в том числе ключевые серверы, которые обслуживали интернет в тот момент. У них был доступ к телефонным компаниям всего мира: телефонные сети соединены между собой, чтобы человек из Москвы, например, мог позвонить в США, и эти хакеры могли лишить целую страну международной телефонной связи.

Сегодня самые профессиональные хакеры остаются в тени, а о самых интересных случаях взлома практически никто не знает. Крупным компаниям, банкам и правительственным учреждениям крайне невыгодно распространять информацию о том, что они потеряли деньги клиентов или другую важную информацию, поэтому факты взлома часто просто скрываются.

Известные сегодня хакерские группировки, такие как Lizard Squad и Anonymous, — это в основном достаточно «школьный» уровень: с технической точки зрения эти ребята не очень хорошо подкованы и часто пользуются методами социальной инженерии. Про группу «Шалтай-Болтай», участники которой взломали Twitter-аккаунт Дмитрия Медведева, трудно сказать что-то определенное, но с технической точки зрения эта попытка взлома была не очень сложной: скорее всего, это был троян или вирус, который попал на телефон или компьютер премьер-министра.

Жаргон

Хакать
проникать, взламывать систему.
Дырка
слабое место, уязвимость в системе.
Фишинг
подмена страницы с целью получить пароль или другую информацию.
Эксплойт
вредоносный код, использующий уязвимости в программе.
Джейлбрейк
взлом собственного iPhone, чтобы использовать его не так, как предполагала компания.
Дэдосить
выводить систему из строя большим количеством запросов.

Какой ты герой?

Узнай, какая интернет-специальность подойдёт тебе больше
Пройти тест