IT UNDERGROUND!: Интервью с Дмитрием Евтеевым. (Positive Technologies)

Интервью с Дмитрием Евтеевым. (Positive Technologies)

Posted in | la 8:08:00 p.m.

Дмитрий Евтеев - эксперт по информационной безопасности отдела консалтинга и аудита компании Positive Technologies.

1. Дмитрий, начнём с вашей биографии. Расскажите немного о себе - всё, что сочтёте нужным сообщить читателю.

Я родился 19 июня 1984 года в городе Москва. Отучившись в самой обычной московской средней школе, пытался своими силами поступить в Московский технический университет связи и информатики (МТУСИ), но безрезультатно. В полной мере заинтересовался сферой IT, оказавшись в другом институте (МГУС), куда поступил в результате на факультет прикладной информатики. С этого момента стал активно развиваться по всем направлениям, которые только попадали в поле зрения: «железо», сети, ОСи, программирование и самое манящее направление - хакерство:) и защита информации как его противоположность. На втором курсе института я устроился на постоянную подработку в качестве системного администратора вместе с двумя сокурсниками по институту, которые разделяли мою страсть ко всему компьютерному. И с 1 сентября 2003 года очень удачно устроился на должность инженера отдела информационной безопасности в ГК АйТи. Работа в системном интеграторе дала поистине потрясающие возможности для саморазвития! Но ничто не длится вечно... и через какое-то время, «проболтавшись» еще годик рядом с Газпромом, я оказался в очень интересном месте, в команде высококвалифицированных профессионалов компании Positive Technologies.

2. Вот Вы отметили такое направление как хакерство. Можно подробнее раскрыть это понятие, в чём оно, по-вашему, состоит? И кто такие хакеры? Потому что каждый имеет на это свою точку зрения и нам бы хотелось узнать Ваше личное мнение.

При слове «хакер» у меня возникает ассоциация с исследователем, со взломщиком компьютерных систем, но прежде всего - с профессионалом в области высоких технологий, а также с неординарной и увлеченной личностью. В моем понимании «хакерство» - это образ жизни, мышления, сплошная романтика и непрерывный процесс саморазвития.

3. Когда и как произошло Ваше первое знакомство с компьютерами?

Первое знакомство с компьютером произошло во времена шествия по миру популярной когда-то игры Digger. Ну а первая домашняя 386 игрушка досталась мне на растерзание где-то лет в 12.

4. Расскажите о компании, в которой Вы работаете. Какие планы предстоят на будущий год?

Positive Technologies - это компания, объединяющая коллектив позитивных и талантливых людей. А планов, как это обычно бывает, у талантливых людей, гораздо больше, чем возможностей или доступных ресурсов:) Не стану раскрывать тайны, спрятанные за семью печатями, а поделюсь лишь тем, что по тем или иным причинам попадало в паблик.

Основные наши планы, и не только на следующий год, – это совершенствование системы контроля защищенности и соответствия стандартам MaxPatrol, развитие компетенций в области анализа защищенности, повышение качества оказываемых услуг при проведении тестирований на проникновение.

Достаточно долгосрочный план следующего года - это совершенствование движки анализа защищенности web-приложений. Будет реализован новый подход к анализу web-приложений методом «серого ящика», новый уровень оценки (compliance) web-приложений в соответствии с заданными критериями, а также новый режим расширенного фазинга методом «черного ящика».

Много планов по повышению эффективности оценки защищенности, в том числе и по анализу эффективности средств защиты. Например, на следующий год запланировано проведение тестирования множества разнообразных WAF. Подобное направление было намечено после успешно выполненного в этом году совместного проекта с компанией 1С-Битрикс в контексте тестирования разработанного ими проактивного фильтра защиты. Результаты тестирования будут опубликованы и доступны для широкой Интернет-аудитории. Вероятно, также будет разработана методика проведения такого тестирования, и, возможно, это выльется в новый виток проектов на Web Application Security Consortium (в проектах которого участвует наша компания .

В параллельных планах присутствует много мыслей про другие смежные проекты, но пока озвучивать их несколько преждевременно.

5. Среди услуг, предоставляемых компанией Positive Technologies ,указаны Тесты на проникновение. Не могли бы Вы рассказать в двух словах об этом читателям? Как много компаний заказывают эти услуги, и какие результаты получают?

Тестирование на проникновение - это демонстрация возможности реализации различного рода угроз по причине наличия в исследуемой системе уязвимостей, а также по причине отсутствия/неэффективности применяемых механизмов защиты. Говоря простым языком, тест на проникновение - это попытка легальным способом проверить текущую эффективность комплекса мер, направленных на обеспечение информационной безопасности чего-либо. Это может быть как информационная система в целом (корпоративная сеть), так и отдельно выделенный ее участок: процессинговый центр, web-приложение и т.п.

Заказов на подобные работы много:) Кто-то заказывает разовые пентесты, кто-то использует подобные услуги для постоянного самоконтроля, например, проводя их раз в год и используя полученные метрики для управления информационными рисками. Говоря о результатах тестирований на проникновение, хочется обратить внимание на то, что истинным «положительным» результатом пентеста, вопреки распространенному заблуждению, является не осуществление взлома, а эффективное использование результатов подобных работ для совершенствования системы управления информационной безопасностью (СУИБ). И в этом контексте нам действительно есть чем похвастаться. Например, в одной финансовой организации (без имен), которая в течение четырех лет работает с нами в этом направлении, за время совместной работы уровень СУИБ настолько вырос, что вероятность реализации большинства угроз ИБ в их информационной системе достигла минимального значения и продолжает стремиться к нулю.

К слову о пентестах:) В этом году мы практически стихийно начали оправдывать слова наших «доброжелателей» о том, что тестирование на проникновение от Positive Technologies - это сканирование XSpider/MaxPatrol. В нескольких серьезных проектах львиная доля работ была выполнена именно с использованием MaxPatrol. Правда, перед этим приходилось «пробить» внешний периметр и получить максимальные привилегии в атакуемой сети. Но зато потом, после развертывания сканирующего ядра MaxPatrol во «взломанных» сетях, мы могли провести полноценные технологические аудиты, и как бонус - проверку на соответствие промышленным критериям по ИБ-стандартам CIS. Учитывая, что параллельно выполнялось несколько очень крупных и достаточно сложных тестирований на проникновение, такой подход позволил в значительной степени сократить наши ресурсозатраты и «выжать» максимум пользы для наших клиентов от подобного рода работ.

6. Хотелось бы узнать о MaxPatrol и XSpider, готовятся ли какие-либо изменения и дополнения для этих продуктов?

Без преувеличения можно сказать, что система контроля защищенности и соответствия стандартам MaxPatrol является лучшим продуктом в своем сегменте рынка. Для того чтобы не терять позиций лидерства, несомненно, требуется постоянное движение вперед. Потому, конечно, совершенствования в продукте запланированы. Нет предела совершенству... :)

Что же касается XSpider, то грядет время, когда он прекратит свое существование… Но «король умер – да здравствует король», вместо него будет доступен XSpider 8.0, продукт, основанный на ядре MaxPatrol.

7. Не секрет, что многие используют XSpider как сканер для поиска уязвимостей в совершенно сторонних ресурсах с целью их последующего взлома. Существует ли такой закон, на основании которого можно привлечь к уголовной ответственности злоумышленника только за одно сканирование, или что может грозить злоумышленнику в случае обнаружения подобных действий администратором ресурса?

Не стоит наивно полагать, что за «смелые поступки» может наступить лишь уголовная ответственность... Что же касается рамок закона, то если владелец ресурса напишет заявление (а они это периодически делают) и управление «К» постучится к Вам в дверь с предъявлением ст. 272 УК РФ (не стоит надеяться на фразу «охраняемой законом информации»; коммерческая тайна, кстати, тоже охраняется тем же законом), то тут же появится «букет» прочих «неожиданностей» из нашего могучего законодательства.

«Сегодня ты гордо считаешь себя честным, а завтра оказался внеудачном месте в неудачное время и огрёб 146-ю статью УК за триальную версиюФотошопа (было такое), 273-ю за снифер (тоже было) или 282-ю за анекдот (небыло, но долго ли?).»

8. Расскажите немного о MaxPatrol. Есть ли у него конкуренты среди продуктов других компаний, и какие преимущества по сравнению с ними он имеет?

MaxPatrol, конечно уникальное творение, но не одинокое по своим характеристикам и возможностям. Основное преимущество перед «собратьями» - это, прежде всего, база знаний, которая намного превосходит доступные аналоги. Это и уникальные возможности продукта, как, например, анализ защищенности широкого спектра сетевых устройств (Cisco, Juniper, Huawei, Norterl), ERP-систем (SAP/R3) и интеграция всех технологий сетевого сканирования в одном продукте. Это и эффективный web-анализатор, не уступающий конкурентам, а в светлом будущем во многом их превосходящий. Да много еще чего… Не хочу скатываться в рекламу :)

9. Возьмём недавние новости о серьёзных уязвимостях на порталах Лаборатории Касперского в разных странах, да и не только это. Какова Ваша точка зрения на эту ситуацию? Публикация подобных данных людьми, которые проводили исследования, - чем это может грозить им и может ли? И какой вред это может принести компаниям, в порталах которых были найдены данные уязвимости?

Моя точка зрения - баловство все это:) Другое дело в тихом режиме «зарядить» страницы портала с хорошим трафиком 0day паком сплоитов под распространенные браузеры и собрать несколько ботнетов... (само собой, шутка;))

По поводу public disclosure, то тут я больше «за», нежели «против». Потому как, если бы уязвимость вовремя не была обнаружена бескорыстным white-hat'ом, то ей бы мог воспользоваться очень даже мотивированный к получению прибыли black-hat. Но больше «за» - только после исполнения всего «ритуального танца» в рамках политики «ответственного разглашения». Опыт нашей лаборатории показывает, что всегда есть способы «донести» до владельца системы информацию о найденных рисках и помочь ему исправить проблему. Те же, кто говорят, что «это слишком сложно», в большинстве своем движимы жаждой саморекламы, а не желанием помочь в устранении уязвимости.

Относительно вреда для компании в подобном случае – чаще всего это незначительные репутационные риски, но бывают и исключения (примеры есть). Для «исследователя» подобные публикации также могут оказаться отнюдь не безопасны в контексте судебного преследования, да и не только.

10. Какие Вы видите основные проблемы в России, связанные с компьютерной и информационной безопасностью?

Первая проблема - это очень низкий уровень осведомленности населения в вопросах информационной безопасности. Другая проблема - это ярко выраженное непонимание, зачем вообще нужно защищать свой персональный компьютер или не нарушать требования политик ИБ на своей работе. Часто можно слышать фразу: «у меня нет ничего ценного на компьютере, поэтому мне незачем его защищать». Уже только это открывает привлекательные перспективы для злоумышленника.

И, безусловно, культура пользования Интернетом у российского населения еще далека от совершенства.

11. Насколько соответствуют друг другу западные и российские стандарты ИБ?

Они идентичны:) ISO/IEC 2700x & ГОСТ Р ИСО/МЭК 2700x

12. Каковы тенденции развития современных технологий сетевого взлома?

Наблюдается переориентация атакующих с сетевого уровня на уровень приложений. Сейчас гораздо проще пройтись по слабым паролям к интерфейсам удаленного администрирования, получить возможность выполнения команд на сервере путем проведения атаки на web-приложение, чем, например, провести удаленную атаку на пограничный маршрутизатор.

Также наблюдается развитие такого направления, как «взломы», поставленные на поток. И на этом злоумышленники зарабатывают хорошие деньги. Проводя параллель с недавним прошлым, можно сказать, что появился новый тип атакующих – это tools kiddies, особо не разбирающиеся, как работает применяемый ими инструментарий, но умело использующие возможности его графического интерфейса. Подобным людям важно не столько получить максимальные привилегии в системе на низком уровне, сколько получить доступ к защищаемым данным и монетизировать свои действия.

С другой стороны, постепенно уходят в прошлое атаки удаленной эксплуатации уязвимостей в службах, такие как переполнение буфера и иже с ними. Наблюдается повышенное внимание нарушителей к атакам типа client-side, и, как следствие этого, к уязвимостям, направленным на локальное повышение привилегий.

13. Как сделать корпоративную сеть безопасной?

Наверное, тут я должен сказать что-то вроде: «Внедряйте MaxPatrol и Ваша корпоративная сеть станет полностью безопасной» )) Отчасти это, конечно, так, но только лишь отчасти... нужно не только взять в руки «лопату», но и понять где, что и как ей «копать», а главное - зачем?

Информационная безопасность - это сложный, непрерывный процесс, в который вовлечена вся компания (люди, технологии, информационные активы, помещения и т.д.). Для одних «безопасная сеть» - это защита от вредоносного кода, для других - это обеспечение непрерывности бизнес-процессов. Универсальной безопасности не существует. Вероятность реализации некоторой угрозы существует всегда. Но выполняя различного рода действия (например, обеспечивая антивирусную защиту, реализуя процесс управления уязвимостями и пр.), можно снижать вероятность наступления нехорошего события. Следовательно, безопасная корпоративная сеть начинается с момента организации эффективного процесса управления информационными рисками.

14. Во многих изданиях давно говорится о возможной кибер-войне между странами. Как Вы смотрите на такого рода заявления?

Искренне верю, что это правда... Вполне себе правдоподобное продолжение холодной войны в эру глобальной информатизации. Да и к лучшему это! Пусть уж они пингами рубятся, меряясь своими ботнетами, чем живыми человеками в камуфляже и с совсем не виртуальным оружием.

15. В последнее время американцы много говорят о построении своей кибер-армии, которая, с их слов, возможно, будет иметь большое преимущество перед другими. Что Вы думаете об этом? Какие шаги делаются в нашей стране для развития наших сил?

Я думаю, что прежде, чем строить мифические «кибер-армии», стоит навести порядок в своем «огороде». И само собой, если создаешь подразделение стратегического назначения для страны, не стоит этим хвастаться во всеуслышание. Полагаю, ответил и про великую Россию:)

16. Каким Вам видится будущее IT-технологий?

Таким же светлым и красочным, каким его видит компания Microsoft...))

17. Вы написали интересный доклад "SQL Injection от А до Я", какие новые приятные сюрпризы Вы готовите для читателей? Над чем сейчас работаете?

В планах сделать максимально качественный cheat sheet по SQL-инъекциям, объединяющий в себе наработки множества независимых исследователей и покрывающий большинство современных СУБД. Продолжение собственных раскопок в этом направлении и поддержка «шпаргалки» по SQL-инъекциям в актуальном состоянии.

18. Спасибо большое, Дмитрий, за интервью! Что бы Вы хотели пожелать нашим читателям?

Чаще замечать, что помимо мира информационного, доступен еще и вполне себе реальный мир, с не менее симпатичным дизайном и графикой. Верить в себя, никогда не отчаиваться, заниматься полезной деятельностью, находить и развивать все новые и новые направления в мире информационной безопасности, да и не только.