Алиса Шевченко, Zero Day Engineering: В будущем у этичных хакеров будет важная миссия – защитить мир от восстания умных роботов

Алиса Esage Шевченко, владелица международного проекта Zero Day Engineering, первая женщина-победительница элитных хакерских соревнований Pwn2Own Vancouver, исследовательница уязвимостей безопасности и участница программ Security Bounty от ведущих производителей мирового ПО, рассказала порталу Cyber Media об основных трендах развития offsec-направления, хакерских соревнованиях и своем видении будущего этичного хакинга.

Cyber Media: Рынок наступательной кибербезопасности активно развивается во всем мире. Какие особенности, на Ваш взгляд, характерны для российского сектора, чем он отличается от других стран?

Алиса Шевченко: Сложно сказать. Проект, которым я занимаюсь уже много лет (Zero Day Engineering), глобальный по своей природе и успешно работает на зарубежных рынках. К Российской специфике я уже давно не присматривалась. По косвенным признакам могу предположить, что разница, по большому счёту, только в уровнях цен на продукты и услуги. Заказчиков из России у меня нет, потому что для них мои продукты слишком дорого стоят.

Нередки случаи, когда программист-фрилансер из Европы покупает мой учебный курс, заплатив несколько тысяч евро из своего кармана – это никого не удивляет, хотя и не является статистической нормой. В России такие бюджеты на 2-дневный тренинг не нормализованы даже на уровне корпораций. По крайней мере, не на свободном рынке – в коррумпированных процессах я стараюсь не участвовать.

Cyber Media: Многие белые хакеры стремятся пополнить свое портфолио уязвимостями 0-day. При этом, «качество» найденной уязвимости нулевого дня может вызывать сомнения. Например, если условия ее эксплуатации практически невозможны «в дикой природе». Насколько распространены подобные случаи и в чем ценность найденной 0-day для пентестера?

Алиса Шевченко: Корневая причина в том, что искать уязвимости 0-day интересно и прибыльно. Данная деятельность резонирует с первобытным инстинктом охотника, в силу чего она мощно вовлекает биохимию достижения успеха в теле исследователя: дофамин, эндорфины, адреналин – чем вызывает эффект зависимости. При этом механика и экономика процесса в целом свободны от авторитетов, статусов, обязательств, офисов, юрисдикций и дислокаций. Для определённой категории людей это очень привлекательные параметры, с деньгами или без. Из этих корней вырос большой тренд, который как-то сам себя поддерживает и развивает, даже если не все уязвимости безопасности одинаково критичны.

Говоря о прибыли, у большинства лидирующих производителей популярного мирового ПО и оборудования есть программы Security Bounty, которые неплохо платят свободным исследователям за найденные уязвимости 0-day. Я сейчас говорю о вендорах уровня Microsoft/Google/Apple, не о площадках наподобие Hacker1 и Bugcrowd, для которых характерна более массовая специфика и более мелкий прайс. Например, за одну уязвимость в браузере Chrome (моя исследовательская тема сейчас), корпорация Google платит несколько десятков тысяч долларов. При этом сама программа Security Bounty похожа на меню, где есть из чего повыбирать. Всё это реально работает – личный опыт; хотя не скрою, что в этих программах множество подводных камней, равно как и досадных нюансов организационного характера; а уровень сложности задач легко недооценить при оценке необходимых трудозатрат.

Критичность уязвимости относительно «дикой природы» – вопрос политического характера до того момента, пока не разработан Proof-of-concept эксплойт атаки. После того, как PoC показан, уязвимость считается подтвержденной, и преуменьшать ее какими-то логическими спекуляциями с целью сэкономить на вознаграждении исследователю – это подло и неэтично. Есть несколько уровней демонстрационного кода: proof of concept testcase, proof of concept exploit, full exploit, weaponized exploit, fullchain – продуманные программы Security Bounty это учитывают при расчете вознаграждения.

На практике все серьезные программы вознаграждения за уязвимости строго требуют proof of concept, и оценивают риски уязвимости на основании оного. Уровень атаки, продемонстрированный кодом PoC, не строго эквивалентен эффекту от потенциального эксплойта в «дикой природе», но достаточно близко его проецирует. Золотой стандарт при отсутствии PoC – принцип консервативной оценки: лучше преувеличить критичность уязвимости и ошибиться, чем приуменьшить и подставить своих пользователей под атаку, когда какой-нибудь заскучавший исследователь безопасности не поленится написать эксплойт для «неэксплуатируемой» уязвимости. В англоязычном комьюнити информационной безопасности подобные драматические истории очень любят, и охотно поддерживают виральностью в соцсетях.

Cyber Media: Среди Ваших достижений есть победа в соревнованиях Pwn2Own. Что отличает этот формат от CTF и других форматов «спортивного хакинга»?

Алиса Шевченко: Ключевое отличие – в уровне сложности задач и, как следствие, в размере вознаграждения. Призовой фонд соревнований Pwn2Own – порядка нескольких миллионов долларов, а количество участников – порядка десяти. Для сравнения, в соревнованиях CTF призовой фонд – ноль, а участников сотни или тысячи. Это не потому, что участников Pwn2Own как-то специально отбирают или фильтруют: вход открыт для всех, просто уровень сложности призовых мишеней создает естественный эффект отсева большинства. В частности, в соревнованиях Pwn2Own в качестве мишеней представлены популярные программные системы с максимальным уровнем обновлений безопасности, в силу чего победа в целом эквивалентна способности получить произвольный удалённый доступ к огромному количеству нормально защищенных компьютеров. Задачи CTF же тренируют и валидируют атомарные навыки, которые хороши для формирования наёмной рабочей силы. Это две очень разные культуры, и культовый статус соревнований Pwn2Own вполне оправдан реальными основаниями.

Говоря лично, мне очень близко, что Pwn2Own – максимально демократичный и космополитичный эвент, насколько это вообще возможно в современном мире. В правилах и культуре Pwn2Own нет вообще никакой дискриминации, ни по национальному признаку, ни по гендерному, ни открытой, ни подспудной. Технические условия правил максимально приближены к законам реального мира, мишени полностью реальные. Пример: за 16 лет существования конкурса в нём не было зарегистрировано ни одной участницы женского пола (до меня :) ), и у стороннего наблюдателя могло создаться впечатление, что женщин каким-то образом не допускают к участию, но это не так. Пускают всех, были бы знания и умения, чтобы захватить флаг. А когда моей атаке снизили баллы за то, что сотрудники производителя был внутренне осведомлены о показанной мной уязвимости в системе (но почему-то не закрыли её!), данный пункт правил подвергся публичному осуждению со стороны лидеров мирового сообщества компьютерной безопасности, так как был сочтен несправедливым относительно законов реального мира, в котором подобная осведомленность не снижает потенциал атаки, а напротив, в чём-то его повышает. Всё это отражает здоровое ДНК системы и позитивную динамику развития, даже если формальные правила на сегодняшний день в чём-то не идеальны.

Кстати, участников из России в соревнованиях Pwn2Pwn, по-моему, тоже до меня не было. Я могу ошибаться в исторической перспективе, но год от года я не вижу в списке участников русских имён или своих знакомых никнеймов.

Cyber Media: Одна из характерных черт пентестинга – это потребность в постоянной актуализации знаний. Те техники и подходы, которые работают сегодня – могут стать не актуальны уже со следующим патчем безопасности. Исходя из Вашего опыта, как offsec-специалисту стабильно оставаться на высоком уровне?

Алиса Шевченко: Для того, чтобы оставаться в тренде и в топе, нужно систематически отслеживать новости, в широком смысле этого слова, из широкого спектра источников и категорий в пределах и за пределами индустрии, а также практиковать новые навыки, тестировать новые инструменты и оперативно брать их на вооружение для собственных задач. У меня есть система фидов, которые присылают уведомления, когда вышел новый патч безопасности, исследовательская публикация или технологическая новость от производителя.

Необходимый, но недостаточный минимум – подписаться на все аккаунты исследователей, компаний и конференций по информационной безопасности на площадке X, и выделить время в рабочем графике, чтобы регулярно разбираться с новым кодом. При этом нужно понимать, что большинство "новостей" в информационном пространстве – маркетинговые пустышки или просто мусор, а большинство сигналов в соцсетях имеют своей целью (сознательно или нет) DDoS-атаку сознания потенциальных конкурентов, и фильтровать это.

Информационный контекст, который формирует экономические и исследовательские процессы, сейчас меняется в динамике геометрической прогрессии, и конкурентоспособность теряется очень быстро, если его не отслеживать.

Cyber Media: Если говорить о будущем этичного хакинга, чего, на Ваш взгляд, стоит ожидать? Станет ли в обозримом будущем профессия пентестера распространенной?

Алиса Шевченко: В будущем у этичных хакеров важная миссия: защитить мир от восстания умных роботов. Сейчас системы искусственного интеллекта уже доминируют в бизнес-процессах большинства индустрий, вытесняя живых людей, управляя принятием решений на всех уровнях социальной системы, при этом никто толком не понимает, как это работает.

Я в свободное время читаю научно-исследовательские публикации по теме и везде вижу один и тот же тренд: все исследования нацелены на повышение мощностей и способностей этих систем путем итеративных оптимизаций на основании сигналов обратной связи, а тот факт, что внутренняя механика системы при этом остаётся туманной, обходится стороной. Уже несколько лет существует тренд наступательных атак на системы ИИ – Adversarial Examples, но это цветочки.

Ситуация, в которой непонятная система наделяется неограниченной силой, всегда рано или поздно выходит из-под контроля и оборачивается против нас. В какой-то момент хакеры окажутся единственными, кто сможет разобраться в том, что происходит и обуздать неконтролируемую динамику.