Note de l'éditeur: En décembre 2016, le président Barack Obama a signé un décret annonçant des sanctions contre les citoyens et organisations russes en réponse aux tentatives d'ingérence dans les élections.
La liste comprend plusieurs pirates informatiques bien connus, ainsi que le Service fédéral de sécurité (FSB) et la Direction générale du renseignement (GRU). Une organisation moins connue qui laisse perplexe pour beaucoup figurait également sur la liste: ZOR Security. La société a été fondée par Alisa Shevchenko, qui a travaillé en tant qu'expert en analyse de virus chez Kaspersky Lab pendant plusieurs années et était passionnée par la création d'une communauté pour les pirates informatiques et les geeks informatiques. Le département américain de la Sécurité intérieure a également attiré l'attention surpour aider Schneider Electric à détecter les vulnérabilités logicielles.
Selon le ministère, la société de Shevchenko a collaboré avec le GRU, qui aurait été à l'origine du piratage du Comité national démocrate et d'autres organisations politiques. Shevchenko, également connue sous le nom d'Alice Esage, a déclaré que les autorités américaines avaient tort et qu'elle avait déjà fermé son entreprise. Elle est actuellement chercheuse indépendante et fondatrice du projet Zero-Day Engineering , dans lequel les gens partagent des connaissances techniques et dispensent une formation sur la recherche sur la vulnérabilité des logiciels.
Shevchenko s'est récemment entretenue avec l'expert en cybermenaces de Recorded Future Dmitry Smilyanets au sujet des événements de 2016, de ses vulnérabilités préférées et de ce que c'est que d'être un pirate informatique en Russie. Nous avons pris l'essentiel de l'interview.
Dmitry Smilyanets: Comment avez-vous réagi lorsque vous avez appris que le gouvernement américain avait imposé des sanctions à votre entreprise ZOR Security?
Alice Esage: J'ai essayé de rester calme et de ne pas laisser la presse me dépeindre comme une salope maléfique dangereuse qui a initié le cambriolage du siècle. En cours de route, j'ai continué à travailler sur mes projets.
DS: Comment ces événements ont-ils changé votre vie?
AE: Je pense qu'ils ont fait de moi un expert de la prospérité sous les sanctions américaines.
DS: Vous avez dit que les autorités avaient tort - de quelle manière?
AE: Je m'en fiche plus. Les gens ont le droit de faire des erreurs. Et le gouvernement américain aime imposer des sanctions à tout le monde pour pouvoir affirmer son pouvoir là où il n'existe pas - nous le lui laisserons.
DS: Ressentez-vous toujours la pression des sanctions?
AE: Il se passe clairement quelque chose, mais je n'appellerais pas cela de la pression. Si quelqu'un ne peut pas travailler avec moi ou profiter de mes produits par crainte du gouvernement américain, c'est son propre problème.
DS: Comment êtes-vous entré dans la cybersécurité et le piratage?
AE:Tout a commencé avec mon père Andrey. C'était un ingénieur électronique talentueux, l'un des premiers en Russie à commencer à assembler des ordinateurs personnels à partir de pièces de rechange et d'articles publiés dans des revues techniques étrangères comme passe-temps. Au cours de ces années, les ordinateurs n'étaient pas encore largement disponibles. Il m'a appris à souder à l'âge de 5 ans. J'ai commencé à lire des livres sur l'informatique et la programmation au début de l'école, j'ai appris à programmer en langage d'assemblage C ++ et x86 dès que j'ai eu un ordinateur à 15 ans. De retour à l'école, j'ai étudié l'ingénierie inverse, résolu des problèmes de crackme, piraté des jeux informatiques et créé des keygens pour le plaisir. J'ai également participé à des projets de hackers russes et internationaux - principalement j'étais engagé dans le piratage de logiciels de bas niveau. Le début était comme ça.
DS: Pensez-vous qu'il devient plus facile ou plus difficile pour les gens de suivre votre chemin?
AE:Dur à dire. Quand j'ai commencé, il y avait très peu d'informations sur la sécurité informatique. Internet était lent, et seules quelques publications pouvaient vous aider à comprendre cela, mis à part les livres de programmation générale. Je me souviens qu'il y avait un site Web appelé ... quelque chose sur le piratage éthique, il semble avoir été dirigé par une femme. Les articles publiés dessus m'ont inspiré et m'ont lancé. Les choses sont différentes ces jours-ci. Il y a beaucoup d'informations. Il existe des milliers de ressources accessibles au public sur tous les sujets de sécurité informatique, des guides pour débutants à la formation technique professionnelle sur des sujets avancés (comme ceux que j'enseigne, mon entreprise Zero Day Engineering le fait). Cela simplifie beaucoup les choses.
En revanche, l'informatique devient de plus en plus complexe, le développement s'accélère, les courbes d'apprentissage sont plus raides et, par conséquent, il devient plus difficile d'atteindre un niveau élevé de connaissances dans ce domaine. Cela prend plus de temps - des années et des décennies. Rappelez-vous la vieille hypothèse selon laquelle "un hacker est un adolescent" et qu'une carrière de hacker doit se terminer avant votre 30e anniversaire? Les choses sont différentes maintenant. La plupart des meilleurs hackers que je connais sont dans la trentaine et ne font que commencer. Telles sont les conditions pour parvenir à une véritable maîtrise du piratage avancé des systèmes informatiques modernes: il faut toute une vie de dévouement.
Je pense qu'atteindre un niveau vraiment raide en cours de route est plus un destin qu'un choix. Il faut une façon de penser très particulière, qui semble être basée sur des données génétiques ainsi que sur des circonstances particulières de la vie, pour faire l'impossible chaque jour.
Il existe de nombreuses façons plus faciles de réussir dans la société humaine d'aujourd'hui que de jouer son cerveau sur un autre système. Vous comprendrez que vous êtes déjà dans cet environnement lorsque vous sentez que vous ne pouvez pas vivre sans lui. Et quand cela se produit - félicitations, il n'y a pas de retour en arrière.
DS: Quels conseils donneriez-vous aux jeunes filles qui souhaitent poursuivre une carrière comme la vôtre? Quels sont les avantages et les inconvénients du piratage?
AE:Trouvez ce qui vous intéresse, choisissez un problème spécifique et résolvez-le jusqu'au bout. Réfléchissez et répétez. Résoudre les problèmes techniques et les compléter sont nécessaires pour avancer dans cette voie, tandis que la consommation passive d'informations obstrue principalement votre cerveau et interfère avec votre créativité technique. Consacrez-vous à la pratique, en lisant principalement des sources primaires (par exemple, des spécifications techniques, des livres classiques et des blogs de haute qualité de chercheurs dont vous appréciez le travail). Cette astuce fonctionnera aussi bien pour les hommes que pour les femmes.
Et surtout pour les femmes: n'écoutez personne et continuez à faire ce que vous aimez. Surtout si vous savez déjà que le travail technique est votre passion. Ne laissez personne vous distraire de la gestion, des conférences, des rapports, du marketing ou de tout autre rôle de soutien dans le cyber-secteur. Les hommes et les femmes sont définitivement confrontés à des défis différents sur ce cheminement de carrière, même si les choses s'améliorent avec le temps (bien que beaucoup plus lentement et dans une moindre mesure qu'on ne le suppose habituellement).
Avantages et inconvénients? C'est un travail prenant des risques, mais c'est amusant.
DS: Qu'est-ce que vous aimez le plus dans votre travail? Et qu'est-ce que tu n'aimes pas beaucoup?
AE:J'adore l'incertitude, un environnement hostile, la chasse aux insectes et la résolution de problèmes. J'adore le fait que mon travail soit très valorisé pour que je puisse gagner un salaire annuel élevé en trois jours avec mon esprit seul assis sur la plage en pyjama. Je n'aime pas le fait que je doive rivaliser avec beaucoup de gars intelligents qui sont l'écrasante majorité dans ce domaine. Les hommes et les femmes ne sont pas censés se concurrencer.
DS: Quelle est la vulnérabilité la plus cool que vous ayez jamais trouvée?
AE: Erreur d'exécution de code à distance via DLL dans Outlook Express pour Windows XP. C'était il y a longtemps, lorsque Windows XP était encore utilisé sur tous les ordinateurs personnels, pas seulement sur les guichets automatiques et les terminaux de point de vente, comme c'est le cas aujourd'hui. Au début de ma carrière dans la recherche sur les vulnérabilités, j'ai développé ma propre méthodologie pour détecter les erreurs zero-day de cette classe et découvert de nombreux problèmes, y compris en OE. Pendant des années après l'avoir trouvé, j'ai vérifié s'il avait été corrigé - et rien n'a changé. Il s'agit probablement du «jour zéro perpétuel» pour le moment, car XP n'est plus pris en charge. Ces exploits durables et fiables sont toujours agréables.
De nos jours, les problèmes de détournement de DLL (également connus sous le nom de chargement de bibliothèque non sécurisé) sont encore très courants. Par exemple, ce type de bogue a été récemment corrigé dans le client Zoom Windows. Ces erreurs sont faciles à trouver et à exploiter. Le fait que les principaux développeurs de logiciels du monde continuent de commettre de telles erreurs de programmation insignifiantes indique un sérieux manque de sensibilisation aux vulnérabilités dans l'industrie mondiale du logiciel. C'est l'une des raisons pour lesquelles mon entreprise développe des canaux d'analyse de vulnérabilité spécialisés qui (en plus de notre formation) devraient contribuer à combler ce manque de connaissances et à rendre Internet plus sûr pour tous.
DS: Selon vous, quel est le moyen le plus simple de compromettre une organisation en 2021?
AE:D'une manière générale, il n'y a pas de tel moyen. Les organisations ont différents niveaux de sécurité. Ce qu'il est vraiment important de comprendre, c'est qu'il existe une gamme de cyber-technologies offensives qui peuvent être utilisées pour compromettre une organisation, des plus simples aux plus complexes. Les attaquants choisissent généralement le maillon le plus faible du système qui peut être rompu en utilisant les technologies les plus simples du spectre. Je préfère me spécialiser dans les plus difficiles d'entre eux - les vulnérabilités et les exploits zero-day, en particulier sur les systèmes sécurisés. Une fois qu'un problème difficile est résolu, tout le reste est élémentaire. D'ailleurs, tout cela est inévitable. Vous pouvez apprendre à vos employés à éviter le phishing, qui conduit à l'émergence de ransomwares, vous pouvez établir des politiques d'entreprise appropriées pour bloquer les initiés,qui détournent les chaînes d'approvisionnement et divulguent vos secrets d'affaires, mais vous ne pouvez pas vous assurer complètement contre la technologie. Des erreurs se produisent dans les systèmes technologiques qui peuvent être utilisés pour exécuter du code arbitraire. Et le jeu est terminé.
Un autre point clé à comprendre est que quel que soit le scénario d'une faille de sécurité, sa cause première est toujours la vulnérabilité, qu'elle soit humaine ou technique. J'ai remarqué que de nombreuses publications analytiques de compromis cybersécurité ont tendance à s'éloigner un peu plus de ce fait et à ne pas signaler les vulnérabilités / vulnérabilités du coupable, tout en expliquant en détail les différentes méthodes périphériques, secondaires et finales impliquées dans le processus. . La tendance générale actuelle est d'éliminer le facteur humain des équations de sécurité, de sorte que les erreurs purement techniques deviendront de plus en plus importantes à long terme.
DS: Parlez-nous de votre nouvelle aventure, Zero Day Engineering.
AE:L'ingénierie des exploits zero-day est mon e-sport préféré. Je ne peux pas vivre sans lui car il donne à mon cerveau toute la nourriture dont il a besoin, que j'ai eu du mal à trouver dans d'autres domaines d'activité. Je n'avais pas d'autre choix que de créer une entreprise publique sur la base de cette expérience. Un mois seulement s'est écoulé depuis que j'ai officiellement annoncé cela, et c'est déjà mon projet préféré. Il s'avère qu'il combine efficacement toutes les connaissances et l'expérience que j'ai acquises au cours de deux décennies de travail, à la fois dans la pratique technique et dans l'entrepreneuriat.
D'un point de vue commercial, l'idée générale est de proposer une analyse des cybermenaces à partir d'une source unique avec un objectif très spécifique: les vulnérabilités de bas niveau dans les systèmes informatiques pour divers publics cibles, des techniciens individuels aux entreprises de cybersécurité, aux éditeurs de logiciels et aux gouvernements. Toutes nos propositions d'analyse doivent être basées principalement sur une recherche technique approfondie originale en laboratoire, et non sur une collecte auprès de sources externes. Pour l'instant, j'examine encore des propositions commerciales et des projets open source spécifiques que l'industrie est prête à accepter à ce stade.L'idée générale s'est déjà avérée très rentable à zéro investissement en capital (grâce à une formation technique approfondie pour les particuliers) et je vois un grand potentiel de développement futur.
Ensuite, je citerai simplement le site Web: «Peu importe à quel point le mot cyber est à la mode, il n'y a que deux causes profondes possibles de toute faille de sécurité: la vulnérabilité des systèmes techniques et la vulnérabilité des humains. Alors que les tendances technologiques mondiales cherchent à éliminer le facteur humain et à accélérer le développement de la technologie, la prise de conscience des vulnérabilités des systèmes techniques devient critique dans tous les développements technologiques. La connaissance peut aider à faire face à cela. Au lieu d'utiliser notre expérience pour créer un autre système de défense dont nous savons de première main qu'il sera attaqué et contourné, nous développons des produits qui comblent systématiquement les lacunes dans les connaissances qui rendent les vulnérabilités et les exploits possibles. "
DS: « , » . ? , , ? Windows.
AE: En général, de nombreuses vulnérabilités similaires existent sur différents systèmes de la même classe. Il ne s'agit pas d'hyperviseurs. Par exemple, les noyaux OS et les moteurs Javascript montrent également cette tendance. La raison principale de ce phénomène est que les systèmes d'une même classe sont basés sur les mêmes modèles abstraits que ceux dictés par les fonctions système, les cas d'utilisation et les scénarios de déploiement, même s'ils sont développés indépendamment et à des périodes de temps différentes. À leur tour, les mêmes modèles abstraits supposent les mêmes hypothèses erronées faites par les concepteurs de systèmes et les programmeurs s'ils n'ont pas été spécialement formés à la sécurité du code moderne. C'est là qu'intervient l'intersection des modèles de vulnérabilité.
Quant à la sécurité logicielle, si elle n'est pas évidente pour quelqu'un, elle est très importante. En fait, toute information sur les problèmes de sécurité dans un système logiciel donné est directement liée à tous les autres systèmes de la même classe et même à de nombreux autres systèmes en général (quoique dans une moindre mesure).
Par exemple, si vous êtes un développeur de logiciels, l'examen des bogues de sécurité dans les produits logiciels concurrents est un moyen puissant et simple de renforcer votre propre base de code, ou du moins d'éviter la honte publique lorsque quelqu'un découvre un bogue dans votre code - le bogue évident démontré dans un produit du concurrent il y a 10-20 ans (sans blague, mes cours ont donné de nombreux exemples concrets de cette triste situation). Dans les workflows, l'examen des bogues sur un système (généralement un système open source) découvre instantanément des modèles de vulnérabilité sur un autre système propriétaire, pour lequel la modélisation directe des menaces est difficile. De manière générale, de nombreux problèmes techniques de sécurité peuvent être résolus ou optimisés en se concentrant sur ces coïncidences moins évidentes,si vous êtes en mesure de les observer systématiquement.
DS: Vous avez dit que les systèmes qui modifient rarement la base de code et ceux qui en ajoutent beaucoup peuvent avoir de nombreux exploits. Pouvez-vous nous parler de l'équilibre relatif entre eux? Du point de vue, que pour certains, des exploits à long terme sont écrits, et pour d'autres - causant plus de dégâts.
AE: Le post sur mon blog que vous avez mentionné a une signification légèrement différente: il s'agit de l'importance de se renseigner sur les composants internes des systèmes, car ils sont essentiels pour créer des primitives d'exploitation avancées réutilisables en raison de leur stabilité relative, car de nombreux sous-systèmes périphériques dépendent sur eux ... De plus, la date d'expiration d'un exploit n'entre pas nécessairement en conflit avec son impact potentiel.
En ce qui concerne la durabilité de l'exploit, il n'y a qu'un seul indicateur clé: la difficulté à trouver un bogue. Le secteur de la détection des vulnérabilités étant assez hostile, la concurrence a un impact majeur sur la longévité des exploits. Moins de concurrence, plus de bogues vivent.
Cette métrique peut être étendue pour inclure un système de variables telles que la disponibilité des informations, la quantité de connaissances nécessaires pour résoudre le problème, les compétences spécialisées requises, l'équipement spécialisé requis, la disponibilité des boîtes à outils, les différentes fonctionnalités de sécurité de la cible éditeur de logiciels, etc. - tous ces aspects appartiennent à des étapes différentes.
Lorsqu'il s'agit d'une réflexion stratégique sérieuse dans le domaine de la recherche et du développement des vulnérabilités, les choses peuvent être très difficiles ici. Cependant, aux fins les plus courantes, toute cette complexité peut être réduite à une règle simple: pénétrer le plus profondément possible dans le système le plus incompréhensible, mais le plus significatif. Cet aspect chevauche, mais n'est pas limité à, les composants internes du système profond.
Contrairement aux composants système internes profonds, le code nouvellement ajouté contient souvent des bogues critiques subtils qui sont faciles à trouver et à utiliser. En raison de la nature contradictoire de l'industrie de la recherche sur la vulnérabilité, ces bogues seront détectés et corrigés relativement rapidement (au moins sur les systèmes populaires et critiques), ce qui rendra les exploits basés sur eux de courte durée. Ce n'est pas nécessairement une mauvaise chose.
Enfin, le potentiel de dommages n'a rien à voir avec l'un des indicateurs techniques ci-dessus. Je ris toujours de la propagande médiatique qui tente de lier les exploits logiciels au meurtre; C'est ridicule. En fait, aucun exploit informatique ne fera plus de dégâts que la bonne vieille arme physique qu'il remplace habituellement. Abstraction faite de l'éthique et des émotions, tout exploit a vraiment un certain «pouvoir», qui est initialement neutre et dépend de nombreux facteurs. Le facteur clé ici est de savoir qui contrôle l'exploit, pas ses propriétés techniques.
DS: Qu'est-ce que ça fait de travailler avec des agences gouvernementales en Russie? Sont-ils professionnels? Y a-t-il de bons spécialistes? Beaucoup de bureaucratie?
AE:J'ai entendu dire qu'ils sont compétents et paient bien si vous êtes prêt à sacrifier une carrière internationale.
DS: Que pensez-vous de Poutine? Comment les hackers russes voient-ils généralement sa politique et son règne?
AE: Je ne connais pas encore Poutine. Je ne pense pas à lui et je me fiche de ce que les autres pensent. J'ai remarqué une chose: aucun de mes amis russes ces jours-ci n'est pressé de fuir à l'étranger, même si c'était la tendance générale des années 2000. Ma sœur est même retournée en Russie, après avoir vécu quelque temps en Europe. C'est le seul indicateur qui me dit que tout est en ordre avec ma patrie. Sur cette base, je suppose que Poutine fait de son mieux pour la Russie.
JS: Découvrez le secret, qu'est-il arrivé au surnom @ badd1e que tout le monde aimait tant?
AE:Ce n'est pas un secret. Cela ne correspondait pas à mes objectifs Twitter, alors je l'ai changé en alisaesage... Cependant, je l'ai laissé sur ma page GitHub - pour l'histoire.