Nota del editor: En diciembre de 2016, el presidente Barack Obama firmó un decreto anunciando sanciones contra ciudadanos y organizaciones rusos en respuesta a los intentos de interferir en las elecciones.
La lista incluye varios piratas informáticos conocidos, así como el Servicio Federal de Seguridad (FSB) y la Dirección Principal de Inteligencia (GRU). También en la lista estaba una organización menos conocida que es desconcertante para muchos: ZOR Security. La empresa fue fundada por Alisa Shevchenko, quien trabajó como experta en análisis de virus en Kaspersky Lab durante varios años y era una apasionada de la construcción de una comunidad para piratas informáticos y expertos en informática. El Departamento de Seguridad Nacional de EE. UU. También llamó la atención sobrepara ayudar a Schneider Electric a encontrar vulnerabilidades de software.
Según el ministerio, la empresa de Shevchenko colaboró con el GRU, que supuestamente estaba detrás del pirateo del Comité Nacional Demócrata y otras organizaciones políticas. Shevchenko, también conocida como Alice Esage, dijo que las autoridades estadounidenses estaban equivocadas y que ella ya había cerrado su empresa. Actualmente es investigadora independiente y es fundadora del proyecto Zero-Day Engineering , en el que las personas comparten conocimientos técnicos y brindan capacitación en investigación de vulnerabilidades de software.
Shevchenko habló recientemente con el experto en ciberamenazas Recorded Future, Dmitry Smilyanets, sobre los eventos de 2016, sus vulnerabilidades favoritas y lo que es ser un hacker en Rusia. Tomamos lo principal de la entrevista.
Dmitry Smilyanets: ¿Cómo reaccionó cuando se enteró de que el gobierno de Estados Unidos impuso sanciones a su empresa ZOR Security?
Alice Esage: Traté de mantener la calma y no dejar que la prensa me retratara como una perra malvada peligrosa que inició el allanamiento del siglo. En el camino, continué trabajando en mis proyectos.
DS: ¿Cómo cambiaron su vida estos hechos?
AE: Creo que me convirtieron en un experto en prosperidad bajo las sanciones de Estados Unidos.
DS: Dijiste que las autoridades estaban equivocadas, ¿de qué manera?
AE: Eso ya no me importa. La gente tiene derecho a cometer errores. Y al gobierno de EE. UU. Le encanta imponer sanciones a todos para poder hacer valer su poder donde no existe; se lo dejamos a él.
DS: ¿Sigues sintiendo la presión de las sanciones?
AE: Claramente está sucediendo algo, pero no lo llamaría presión. Si alguien no puede trabajar conmigo o beneficiarse de mis productos por temor al gobierno de los EE. UU., Ese es su propio problema.
DS: ¿Cómo se metió en la ciberseguridad y la piratería?
AE:Todo empezó con mi padre Andrey. Era un ingeniero electrónico talentoso, uno de los primeros en Rusia en comenzar a ensamblar computadoras personales a partir de repuestos y artículos publicados en revistas técnicas extranjeras como pasatiempo. En esos años, las computadoras aún no estaban ampliamente disponibles. Me enseñó a soldar cuando tenía 5 años. Empecé a leer libros sobre computadoras y programación en la escuela temprana, aprendí a programar en C ++ y lenguaje ensamblador x86 tan pronto como obtuve una computadora a los 15 años. De regreso a la escuela, estudié ingeniería inversa, resolví problemas de crackme, pirateé juegos de computadora e hice keygen para divertirme. También participé en proyectos de piratas informáticos rusos e internacionales, principalmente me dediqué a piratería informática de bajo nivel. El comienzo fue así.
DS: ¿Crees que a la gente le resulta más fácil o más difícil seguir tu camino?
AE:Difícil de decir. Cuando comencé, había muy poca información sobre seguridad informática. Internet era lento y solo unas pocas publicaciones podían ayudarlo a resolverlo todo, aparte de los libros de programación general. Recuerdo que había un sitio web llamado ... algo sobre piratería ética, parece haber sido dirigido por una mujer. Los artículos publicados sobre él me inspiraron y me ayudaron a empezar. Las cosas son diferentes en estos días. Hay mucha información. Hay miles de recursos disponibles públicamente sobre todos los temas de seguridad informática, desde guías para principiantes hasta capacitación técnica profesional en temas avanzados (como los que enseño, mi empresa Zero Day Engineering lo hace). Esto simplifica mucho las cosas.
Por otro lado, la tecnología informática se vuelve cada vez más compleja, el desarrollo se acelera, las curvas de aprendizaje son más pronunciadas y, como resultado, se hace más difícil alcanzar un alto nivel de conocimiento en esta área. Se necesita más tiempo, años y décadas. ¿Recuerda la vieja suposición de que "un hacker es un adolescente" y que la carrera de hacker debe terminar antes de cumplir 30 años? Ahora las cosas son diferentes. La mayoría de los mejores hackers que conozco tienen más de 30 años y recién comienzan. Estos son los requisitos para lograr un verdadero dominio de la piratería avanzada de los sistemas informáticos modernos: se necesita toda una vida de dedicación.
Creo que alcanzar un nivel realmente empinado en el camino es más un destino que una elección. Se necesita una forma de pensar muy peculiar, que parece basarse en datos genéticos, así como en circunstancias especiales de la vida, para hacer lo imposible todos los días.
Hay muchas formas más fáciles de tener éxito en la sociedad humana moderna que jugar con tu cerebro en otro sistema. Comprenderás que ya estás en este entorno cuando sientas que no puedes vivir sin él. Y cuando eso suceda, felicitaciones, no hay vuelta atrás.
DS: ¿Qué consejo le daría a las jóvenes que quieran seguir una carrera como la suya? ¿Cuáles son los pros y los contras de la piratería?
AE:Encuentra lo que te interesa, elige un problema específico y resuélvelo hasta el final. Reflexiona y repite. Resolver problemas técnicos y completarlos es necesario para avanzar en este camino, mientras que el consumo pasivo de información obstruye principalmente su cerebro e interfiere con su creatividad técnica. Dedíquese a la práctica, leyendo principalmente fuentes primarias (por ejemplo, especificaciones técnicas, libros clásicos y blogs de alta calidad de investigadores cuyo trabajo disfruta). Este consejo funcionará tanto para hombres como para mujeres.
Y especialmente para las mujeres: no escuches a nadie y sigue haciendo lo que amas. Sobre todo si ya sabes que el trabajo técnico es tu pasión. No permita que nadie lo distraiga de la administración, las conferencias, los informes, el marketing o el trabajo en cualquier otro rol de apoyo en la industria cibernética. Los hombres y las mujeres definitivamente enfrentan diferentes desafíos en esta trayectoria profesional, aunque las cosas mejoran con el tiempo (aunque mucho más lentamente y en menor medida de lo que generalmente se supone).
¿Ventajas y desventajas? Es un trabajo arriesgado, pero divertido.
DS: ¿Qué es lo que más le gusta de su trabajo? ¿Y qué es lo que no te gusta mucho?
AE:Me encanta la incertidumbre, un entorno hostil, la búsqueda de errores y la resolución de problemas. Me encanta que mi trabajo sea atesorado para poder ganar un salario anual alto en tres días con mi mente sola sentada en la playa en pijama. No me gusta el hecho de tener que competir con muchos tipos inteligentes que son la abrumadora mayoría en esta área. Los hombres y las mujeres no están destinados a competir entre sí.
DS: ¿Cuál es la vulnerabilidad más genial que has encontrado?
AE: Error de ejecución remota de código a través de DLL en Outlook Express para Windows XP. Fue hace mucho tiempo, cuando Windows XP todavía se usaba en todas las computadoras personales, no solo en cajeros automáticos y terminales POS, como lo es ahora. Al principio de mi carrera en la investigación de vulnerabilidades, desarrollé mi propia metodología para detectar errores de día cero de esta clase y descubrí muchos problemas, incluso en OE. Durante años después de encontrarlo, verifiqué si lo habían arreglado, y nada cambió. Probablemente sea el "día cero perpetuo" en este momento, ya que XP ya no es compatible. Hazañas tan duraderas y fiables siempre son agradables.
Hoy en día, los problemas de secuestro de DLL (también conocidos como carga de biblioteca insegura) siguen siendo muy comunes. Por ejemplo, este tipo de error se corrigió recientemente en el cliente Zoom de Windows. Estos errores son fáciles de encontrar y fáciles de explotar. El hecho de que los principales desarrolladores de software del mundo sigan cometiendo errores de programación tan triviales indica una grave falta de conciencia sobre las vulnerabilidades en la industria global del software. Esta es una de las razones por las que mi empresa está desarrollando canales de análisis de vulnerabilidades especializados que (además de nuestra capacitación) deberían ayudar a llenar este vacío de conocimiento y hacer que Internet sea más seguro para todos.
DS: ¿Cuál cree que es la forma más fácil de comprometer a una organización en 2021?
AE:En términos generales, no existe tal forma. Las organizaciones tienen diferentes niveles de seguridad. Lo que es realmente importante comprender es que existe una variedad de tecnologías cibernéticas ofensivas que pueden usarse para comprometer una organización, desde simples hasta complejas. Los atacantes suelen elegir el eslabón más débil del sistema que se puede romper utilizando las tecnologías más simples del espectro. Prefiero especializarme en los más difíciles: vulnerabilidades y exploits de día cero, especialmente en sistemas seguros. Una vez que se resuelve un problema difícil, todo lo demás es elemental. Además, todo esto es inevitable. Puede enseñar a sus empleados a evitar el phishing, que conduce a la aparición de ransomware, puede establecer políticas corporativas adecuadas para bloquear a los iniciados,que secuestran las cadenas de suministro y filtran sus secretos comerciales, pero no puede asegurarse completamente contra la tecnología. Los errores ocurren en los sistemas tecnológicos que pueden usarse para ejecutar código arbitrario. Y el juego se acabó.
Otro punto clave a entender es que, independientemente del escenario de una brecha de seguridad, su causa raíz siempre es la vulnerabilidad, ya sea humana o técnica. He notado que muchas publicaciones analíticas de compensación de ciberseguridad tienden a alejarse un poco más de este hecho y no señalan las vulnerabilidades / vulnerabilidades del culpable, al tiempo que explican en detalle los diversos métodos periféricos, secundarios y finales involucrados en el proceso. . La tendencia general en la actualidad es eliminar el factor humano de las ecuaciones de seguridad, por lo que los errores puramente técnicos serán cada vez más importantes a largo plazo.
DS: Cuéntenos sobre su nueva aventura, Zero Day Engineering.
AE:La ingeniería de exploits de día cero es mi deporte electrónico favorito. No puedo vivir sin él porque le da a mi cerebro toda la comida que necesita, que me ha costado encontrar en otros campos de actividad. No tuve más remedio que crear una empresa pública basada en esta experiencia. Solo ha pasado un mes desde que anuncié esto oficialmente, y este ya es mi proyecto favorito. Resulta que combina eficazmente todo el conocimiento y la experiencia que he adquirido a lo largo de dos décadas de trabajo, tanto en la práctica técnica como en el emprendimiento.
Desde una perspectiva empresarial, la idea general es ofrecer análisis de amenazas cibernéticas desde una única fuente con un enfoque muy específico: vulnerabilidades de bajo nivel en sistemas informáticos para diversas audiencias objetivo, desde técnicos individuales hasta empresas de ciberseguridad, proveedores de software y gobiernos. Todas nuestras propuestas de análisis deben basarse principalmente en una investigación técnica profunda original en el laboratorio, no en la recopilación de fuentes externas. Por ahora, todavía estoy considerando propuestas y proyectos comerciales específicos de código abierto que la industria está lista para aceptar en esta etapa.La idea general ya ha demostrado ser muy rentable con una inversión de capital cero (a través de una capacitación técnica especializada en profundidad para las personas) y veo un gran potencial para el desarrollo futuro.
A continuación, citaré el sitio web: “No importa lo de moda que esté la palabra cibernético, solo hay dos posibles causas fundamentales para cualquier brecha de seguridad: la vulnerabilidad de los sistemas técnicos y la vulnerabilidad de los humanos. A medida que las tendencias tecnológicas mundiales buscan eliminar el factor humano y acelerar el desarrollo de la tecnología, la conciencia de las vulnerabilidades de los sistemas técnicos se vuelve fundamental en todos los desarrollos tecnológicos. El conocimiento puede ayudar a hacer frente a esto. En lugar de utilizar nuestra experiencia para crear otro sistema de defensa que sabemos de primera mano será atacado y eludido, estamos desarrollando productos que abordan sistemáticamente las brechas de conocimiento que hacen posibles las vulnerabilidades y los exploits ".
DS: « , » . ? , , ? Windows.
AE: En general, existen muchas vulnerabilidades similares en diferentes sistemas de la misma clase. No se trata de hipervisores. Por ejemplo, los núcleos del sistema operativo y los motores Javascript también muestran esta tendencia. La razón principal de este fenómeno es que los sistemas de la misma clase se basan en los mismos modelos abstractos dictados por las funciones del sistema, los casos de uso y los escenarios de implementación, incluso si se desarrollan de forma independiente y en diferentes períodos de tiempo. A su vez, los mismos modelos abstractos asumen las mismas suposiciones erróneas hechas por diseñadores de sistemas y programadores si no han sido entrenados especialmente en seguridad de código moderno. Aquí es donde entra la intersección de los patrones de vulnerabilidad.
En cuanto a la seguridad del software, si no es obvio para alguien, es muy importante. De hecho, cualquier información sobre problemas de seguridad en cualquier sistema de software está directamente relacionada con todos los demás sistemas de la misma clase e incluso con muchos otros sistemas en general (aunque en menor medida).
Por ejemplo, si usted es un desarrollador de software, examinar errores de seguridad en productos de software de la competencia es una forma poderosa y trivial de fortalecer su propia base de código, o al menos evitar la vergüenza pública cuando alguien descubre un error en su código, el error obvio demostrado en un producto de la competencia hace 10-20 años (no es broma, mis cursos dieron muchos ejemplos específicos de esta triste situación). En los flujos de trabajo, el examen de errores en un sistema (generalmente un sistema de código abierto) descubre instantáneamente patrones de vulnerabilidad en otro sistema propietario, para el cual el modelado de amenazas directas es difícil. En términos generales, muchos problemas técnicos de seguridad pueden resolverse u optimizarse centrándose en estas coincidencias menos obvias,si puede observarlos sistemáticamente.
DS: Dijiste que tanto los sistemas que rara vez cambian el código base como los que agregan mucho pueden tener muchos exploits. ¿Puede hablarnos del relativo equilibrio entre ellos? Desde el punto de vista, que para algunos, los exploits a largo plazo están escritos, y para otros, causan más daño.
AE: La publicación en mi blog que mencionaste tiene un significado ligeramente diferente: se trata de la importancia de aprender sobre los aspectos internos de los sistemas, ya que son clave para crear primitivas de exploits avanzadas reutilizables debido a su relativa estabilidad, ya que muchos subsistemas periféricos dependen de ellos. ... Además, la fecha de vencimiento de un exploit no necesariamente entra en conflicto con su impacto potencial.
Cuando se trata de la longevidad del exploit, solo hay un indicador clave: lo difícil que es encontrar un error. Dado que la industria de detección de vulnerabilidades es bastante hostil, la competencia tiene un impacto importante en la longevidad de las vulnerabilidades. Menos competencia, más insectos viven.
Esta métrica se puede ampliar para incluir un sistema de variables como la disponibilidad de información, la cantidad de conocimiento requerido para resolver el problema, las habilidades especializadas requeridas, el equipo especializado requerido, la disponibilidad de cajas de herramientas, las diversas características de seguridad del objetivo. proveedor de software, etc., todos estos aspectos pertenecen a diferentes etapas.
Cuando se trata de un pensamiento estratégico serio en el campo de la investigación y el desarrollo de vulnerabilidades, las cosas pueden ser muy difíciles aquí. Sin embargo, para los propósitos más comunes, toda esta complejidad se puede reducir a una simple regla: penetrar lo más profundamente posible en el sistema más incomprensible, pero significativo. Este aspecto se superpone, pero no se limita a, los componentes internos del sistema profundo.
A diferencia de los componentes internos profundos del sistema, el código recién agregado a menudo contiene errores críticos sutiles que son fáciles de encontrar y usar. Debido a la naturaleza contradictoria de la industria de la investigación de vulnerabilidades, estos errores se detectarán y corregirán con relativa rapidez (al menos en sistemas populares y críticos), lo que hará que los exploits basados en ellos sean de corta duración. Lo cual no es necesariamente algo malo.
Finalmente, el potencial de daño no tiene nada que ver con ninguno de los indicadores técnicos anteriores. Siempre me río de la propaganda de los medios de comunicación que intenta vincular los ataques de software con el asesinato; Esto es ridículo. De hecho, ningún exploit informático hará más daño que el viejo arma física que normalmente reemplaza. Al abstraerse de la ética y las emociones, toda hazaña tiene realmente un cierto "poder", que en un principio es neutral y depende de muchos factores. El factor clave aquí es quién controla el exploit, no sus propiedades técnicas.
DS: ¿Cómo es trabajar con agencias gubernamentales en Rusia? ¿Son profesionales? ¿Hay especialistas fuertes? ¿Mucha burocracia?
AE:He oído que son competentes y pagan bien si estás dispuesto a sacrificar una carrera internacional.
DS: ¿Qué opinas de Putin? ¿Cómo ven los hackers rusos en general su política y su gobierno?
AE: Todavía no estoy familiarizado con Putin. No pienso en él y no me importa lo que piensen los demás. Noté una cosa: ninguno de mis amigos de Rusia en estos días tiene prisa por huir al extranjero, aunque esta fue la tendencia general de la década de 2000. Mi hermana incluso regresó a Rusia, después de haber vivido durante algún tiempo en Europa. Este es el único indicador que me dice que todo está en orden con mi Patria. Basado en esto, supongo que Putin está haciendo todo lo posible por Rusia.
JS: ¿Qué pasó con el apodo de @ badd1e que todos amaban tanto?
AE:No es un secreto No se ajustaba a mis objetivos de Twitter, así que lo cambié a alisaesage... Sin embargo, lo dejé en mi página de GitHub, para el historial.