Catatan Editor: Pada bulan Desember 2016, Presiden Barack Obama menandatangani dekrit yang mengumumkan sanksi terhadap warga dan organisasi Rusia sebagai tanggapan atas upaya untuk ikut campur dalam pemilihan.
Daftar tersebut mencakup beberapa peretas terkenal, serta Layanan Keamanan Federal (FSB) dan Direktorat Intelijen Utama (GRU). Juga ada dalam daftar adalah organisasi kurang terkenal yang membingungkan banyak orang: Keamanan ZOR. Perusahaan ini didirikan oleh Alisa Shevchenko, yang bekerja sebagai pakar analisis virus di Lab Kaspersky selama beberapa tahun dan bersemangat membangun komunitas untuk peretas dan ahli komputer. Departemen Keamanan Dalam Negeri AS juga menarik perhatianuntuk membantu Schneider Electric menemukan kerentanan perangkat lunak.
Menurut kementerian, perusahaan Shevchenko bekerja sama dengan GRU, yang diduga berada di balik peretasan Komite Nasional Demokrat dan organisasi politik lainnya. Shevchenko, juga dikenal sebagai Alice Esage, mengatakan pihak berwenang AS salah dan bahwa dia telah menutup perusahaannya. Saat ini dia adalah peneliti independen dan pendiri proyek Zero-Day Engineering , di mana orang-orang berbagi pengetahuan teknis dan memberikan pelatihan tentang penelitian kerentanan perangkat lunak.
Shevchenko baru-baru ini berbicara dengan pakar ancaman siber Masa Depan yang Direkam Dmitry Smilyanets tentang peristiwa tahun 2016, kerentanan favoritnya, dan bagaimana rasanya menjadi peretas di Rusia. Kami mengambil hal utama dari wawancara.
Dmitry Smilyanets: Bagaimana reaksi Anda ketika mengetahui bahwa pemerintah AS menjatuhkan sanksi pada perusahaan Anda ZOR Security?
Alice Esage: Saya mencoba untuk tetap tenang dan tidak membiarkan pers menggambarkan saya sebagai pelacur jahat berbahaya yang memulai pembobolan abad ini. Sepanjang jalan, saya terus mengerjakan proyek saya.
DS: Bagaimana peristiwa ini mengubah hidup Anda?
AE: Saya pikir mereka menjadikan saya ahli dalam kemakmuran di bawah sanksi AS.
DS: Tadi Saudara bilang yang berwenang salah - bagaimana?
AE: Saya tidak peduli tentang itu lagi. Orang berhak membuat kesalahan. Dan pemerintah AS suka memberikan sanksi kepada semua orang agar dapat menegaskan kekuatannya di tempat yang tidak ada - kami akan menyerahkannya kepadanya.
DS: Masih merasakan tekanan sanksi?
AE: Sesuatu jelas terjadi, tapi saya tidak akan menyebutnya tekanan. Jika seseorang tidak dapat bekerja dengan saya atau mendapatkan keuntungan dari produk saya karena takut pada pemerintah AS, itu adalah masalah mereka sendiri.
DS: Bagaimana Anda bisa memasuki keamanan siber dan peretasan?
AE:Semuanya dimulai dengan ayah saya Andrey. Dia adalah seorang insinyur elektronik berbakat, salah satu orang pertama di Rusia yang mulai merakit komputer pribadi berdasarkan suku cadang dan artikel yang diterbitkan di jurnal teknis asing sebagai hobi. Pada tahun-tahun tersebut, komputer belum banyak tersedia. Dia mengajari saya cara menyolder ketika saya berusia 5 tahun. Saya mulai membaca buku-buku tentang komputer dan pemrograman di sekolah awal, belajar pemrograman dalam bahasa assembly C ++ dan x86 segera setelah saya mendapatkan komputer pada usia 15 tahun. Kembali ke sekolah, saya belajar teknik terbalik, memecahkan masalah crackme, meretas game komputer, dan membuat keygen untuk bersenang-senang. Saya juga berpartisipasi dalam proyek peretas Rusia dan internasional - terutama saya terlibat dalam peretasan perangkat lunak tingkat rendah. Awalnya seperti ini.
DS: Apakah menurut Anda akan semakin mudah atau lebih sulit bagi orang untuk mengikuti jalan Anda?
AE:Sulit untuk dikatakan. Ketika saya pertama kali memulai, hanya ada sedikit informasi tentang keamanan komputer. Internet lambat, dan hanya sedikit publikasi yang dapat membantu Anda memahami hal ini, selain dari buku pemrograman umum. Saya ingat ada situs web bernama ... sesuatu tentang peretasan etis, tampaknya dijalankan oleh seorang wanita. Artikel-artikel yang diterbitkan di dalamnya menginspirasi saya dan membantu saya memulai. Hal-hal berbeda hari ini. Ada banyak informasi. Ada ribuan sumber daya yang tersedia untuk umum tentang semua topik keamanan komputer, dari panduan pemula hingga pelatihan teknis profesional tentang topik lanjutan (seperti yang saya ajarkan, perusahaan saya Zero Day Engineering melakukannya). Ini sangat menyederhanakan banyak hal.
Di sisi lain, teknologi komputer menjadi semakin kompleks, perkembangan semakin cepat, kurva pembelajaran semakin curam, dan akibatnya, menjadi lebih sulit untuk mencapai tingkat pengetahuan yang tinggi di bidang ini. Ini membutuhkan lebih banyak waktu - bertahun-tahun dan puluhan tahun. Ingat asumsi lama bahwa "peretas adalah remaja" dan bahwa karier peretasan harus berakhir sebelum ulang tahun ke-30 Anda? Segalanya berbeda sekarang. Sebagian besar peretas terbaik yang saya kenal berusia 30-an dan baru saja memulai. Ini adalah persyaratan untuk mencapai penguasaan sejati peretasan canggih sistem komputer modern: dibutuhkan dedikasi seumur hidup.
Saya pikir mencapai tingkat yang sangat curam di sepanjang jalan lebih merupakan takdir daripada pilihan. Dibutuhkan cara berpikir yang sangat aneh, yang tampaknya didasarkan pada data genetik serta keadaan kehidupan khusus, untuk melakukan hal yang mustahil setiap hari.
Ada banyak cara yang lebih mudah untuk berhasil dalam masyarakat manusia saat ini daripada memainkan otak Anda pada sistem lain. Anda akan mengerti bahwa Anda sudah berada di lingkungan ini ketika Anda merasa tidak dapat hidup tanpanya. Dan ketika itu terjadi - selamat, tidak ada jalan untuk kembali.
DS: Nasihat apa yang Anda miliki untuk gadis-gadis muda yang ingin mengejar karir seperti Anda? Apa pro dan kontra peretasan?
AE:Temukan minat Anda, pilih masalah tertentu dan selesaikan sampai akhir. Renungkan dan ulangi. Memecahkan masalah teknis dan menyelesaikannya diperlukan untuk memajukan jalur ini, sementara konsumsi informasi pasif terutama menyumbat otak Anda dan mengganggu kreativitas teknis Anda. Dedikasikan diri Anda untuk berlatih, membaca sebagian besar sumber utama (misalnya, spesifikasi teknis, buku klasik, dan blog berkualitas tinggi dari peneliti yang karyanya Anda sukai). Tip ini akan bekerja untuk pria dan wanita.
Dan terutama untuk wanita: jangan dengarkan siapa pun dan terus lakukan apa yang Anda sukai. Apalagi jika Anda sudah tahu bahwa pekerjaan teknis adalah passion Anda. Jangan biarkan siapa pun mengalihkan perhatian Anda dari manajemen, ceramah, pelaporan, pemasaran, atau bekerja dalam peran pendukung lainnya dalam industri cyber. Pria dan wanita pasti menghadapi tantangan yang berbeda dalam jalur karier ini, meskipun keadaan menjadi lebih baik dari waktu ke waktu (meskipun jauh lebih lambat dan pada tingkat yang lebih rendah daripada yang biasanya diasumsikan).
Keuntungan dan kerugian? Ini pekerjaan yang mengambil risiko, tapi menyenangkan.
DS: Apa yang paling Anda sukai dari pekerjaan Anda? Dan apa yang tidak terlalu kamu sukai?
AE:Saya suka ketidakpastian, lingkungan yang tidak bersahabat, perburuan serangga, dan pemecahan masalah. Saya suka bahwa pekerjaan saya sangat dihargai sehingga saya bisa mendapatkan gaji tahunan yang tinggi dalam tiga hari dengan pikiran saya sendiri duduk di pantai dengan piyama saya. Saya tidak suka kenyataan bahwa saya harus bersaing dengan banyak orang pintar yang merupakan mayoritas di bidang ini. Pria dan wanita tidak dimaksudkan untuk bersaing satu sama lain.
DS: Apa kerentanan paling keren yang pernah Anda temukan?
AE: Kesalahan eksekusi kode jarak jauh melalui DLL di Outlook Express untuk Windows XP. Sudah lama sekali, ketika Windows XP masih digunakan di semua komputer pribadi, tidak hanya terminal ATM dan POS, seperti sekarang. Di awal karir saya dalam penelitian kerentanan, saya mengembangkan metodologi saya sendiri untuk mendeteksi kesalahan zero-day dari kelas ini dan menemukan banyak masalah, termasuk di OE. Selama bertahun-tahun setelah saya menemukannya, saya memeriksa untuk melihat apakah sudah diperbaiki - dan tidak ada yang berubah. Saat ini mungkin "hari nol abadi" karena XP tidak lagi didukung. Prestasi yang berumur panjang dan dapat diandalkan selalu menyenangkan.
Saat ini, masalah pembajakan DLL (juga dikenal sebagai pemuatan perpustakaan yang tidak aman) masih sangat umum. Misalnya, jenis bug ini baru-baru ini diperbaiki di klien Zoom Windows. Kesalahan seperti itu mudah ditemukan dan mudah dieksploitasi. Fakta bahwa pengembang perangkat lunak terkemuka dunia terus melakukan kesalahan pemrograman sepele seperti itu menunjukkan kurangnya kesadaran akan kerentanan dalam industri perangkat lunak global. Inilah salah satu alasan perusahaan saya mengembangkan saluran analitik kerentanan khusus yang (selain pelatihan kami) akan membantu mengisi celah pengetahuan ini dan membuat Internet lebih aman bagi semua orang.
DS: Menurut Anda, apa cara termudah untuk berkompromi dengan organisasi di tahun 2021?
AE:Secara umum, tidak ada cara seperti itu. Organisasi memiliki tingkat keamanan yang berbeda. Yang sangat penting untuk dipahami adalah bahwa ada berbagai teknologi dunia maya ofensif yang dapat digunakan untuk membahayakan organisasi, dari yang sederhana hingga yang kompleks. Penyerang biasanya memilih tautan terlemah dalam sistem yang dapat diputuskan menggunakan teknologi paling sederhana pada spektrum. Saya lebih suka berspesialisasi dalam hal yang paling sulit - kerentanan dan eksploitasi zero-day, terutama pada sistem aman. Begitu masalah yang sulit diselesaikan, yang lainnya adalah yang mendasar. Selain itu, semua ini tidak bisa dihindari. Anda dapat mengajari karyawan Anda untuk menghindari phishing, yang menyebabkan munculnya ransomware, Anda dapat menetapkan kebijakan perusahaan yang tepat untuk memblokir orang dalam,yang membajak rantai pasokan dan membocorkan rahasia bisnis Anda, tetapi Anda tidak dapat sepenuhnya mengasuransikan terhadap teknologi. Kesalahan terjadi dalam sistem teknologi yang dapat digunakan untuk mengeksekusi kode arbitrer. Dan permainan selesai.
Poin penting lainnya untuk dipahami adalah bahwa terlepas dari skenario pelanggaran keamanan, akar penyebabnya selalu merupakan kerentanan, baik manusia maupun teknis. Saya telah memperhatikan bahwa banyak publikasi analitik pertukaran keamanan siber cenderung menjauh dari fakta ini dan tidak menunjukkan kerentanan / kerentanan pelakunya, sambil menjelaskan secara rinci berbagai metode periferal, sekunder dan akhir yang terlibat dalam proses tersebut. . Kecenderungan umum saat ini adalah menghilangkan faktor manusia dari persamaan keselamatan, sehingga kesalahan teknis murni akan menjadi semakin penting dalam jangka panjang.
DS: Ceritakan tentang petualangan baru Anda, Zero Day Engineering.
AE:Teknik eksploitasi zero-day adalah esports favorit saya. Saya tidak bisa hidup tanpanya karena dia memberi otak saya semua makanan yang dibutuhkannya, yang dengan susah payah saya temukan di bidang kegiatan lain. Saya tidak punya pilihan selain membuat perusahaan publik berdasarkan pengalaman ini. Hanya sebulan telah berlalu sejak saya secara resmi mengumumkan ini, dan ini sudah menjadi proyek favorit saya. Ternyata ini secara efektif menggabungkan semua pengetahuan dan pengalaman yang saya peroleh selama dua dekade kerja, baik dalam praktik teknis maupun dalam kewirausahaan.
Dari perspektif bisnis, gagasan umumnya adalah menawarkan analitik ancaman siber dari satu sumber dengan fokus yang sangat spesifik: kerentanan tingkat rendah dalam sistem komputer untuk berbagai target audiens, dari teknisi individu hingga perusahaan keamanan siber, vendor perangkat lunak, dan pemerintah. Semua proposal analitik kami harus didasarkan terutama pada penelitian teknis mendalam asli di laboratorium, bukan pada pengumpulan dari sumber eksternal. Untuk saat ini, saya masih mempertimbangkan proposal dan proyek komersial open source tertentu yang siap diterima industri pada tahap ini.Ide keseluruhan telah terbukti sangat menguntungkan dengan investasi tanpa modal (melalui pelatihan spesialis teknis yang mendalam untuk individu) dan saya melihat potensi besar untuk pengembangan di masa depan.
Selanjutnya, saya hanya akan mengutip situs webnya: βTidak peduli seberapa populernya kata cyber, hanya ada dua kemungkinan akar penyebab untuk setiap pelanggaran keamanan: kerentanan sistem teknis dan kerentanan manusia. Karena tren teknologi global berusaha menghilangkan faktor manusia dan mempercepat perkembangan teknologi, kesadaran akan kerentanan sistem teknis menjadi penting dalam semua perkembangan teknologi. Pengetahuan dapat membantu untuk mengatasi hal ini. Alih-alih menggunakan pengalaman kami untuk menciptakan sistem pertahanan lain yang kami tahu secara langsung akan diserang dan dilewati, kami mengembangkan produk yang secara sistematis mengatasi kesenjangan pengetahuan yang memungkinkan terjadinya kerentanan dan eksploitasi. "
DS: Β« , Β» . ? , , ? Windows.
AE: Secara umum, banyak kerentanan serupa ada pada sistem berbeda dari kelas yang sama. Ini bukan tentang hypervisor. Misalnya, kernel OS dan mesin Javascript juga menunjukkan tren ini. Alasan utama untuk fenomena ini adalah bahwa sistem dari kelas yang sama didasarkan pada model abstrak yang sama seperti yang ditentukan oleh fungsi sistem, kasus penggunaan, dan skenario penerapan, meskipun mereka dikembangkan secara independen dan pada periode waktu yang berbeda. Pada gilirannya, model abstrak yang sama mengasumsikan asumsi keliru yang sama yang dibuat oleh perancang sistem dan pemrogram jika mereka belum dilatih secara khusus dalam keamanan kode modern. Di sinilah perpotongan pola kerentanan masuk.
Adapun keamanan perangkat lunak, jika tidak jelas bagi seseorang, itu sangat penting. Faktanya, setiap informasi tentang masalah keamanan dalam sistem perangkat lunak tertentu secara langsung terkait dengan semua sistem lain dari kelas yang sama dan bahkan dengan banyak sistem lain secara umum (meskipun pada tingkat yang lebih rendah).
Misalnya, jika Anda adalah pengembang perangkat lunak, memeriksa bug keamanan dalam produk perangkat lunak pesaing adalah cara yang ampuh dan sepele untuk memperkuat basis kode Anda sendiri, atau setidaknya menghindari rasa malu publik ketika seseorang menemukan bug dalam kode Anda - bug yang jelas ditunjukkan dalam produk pesaing 10-20 tahun yang lalu (tidak main-main, kursus saya memberikan banyak contoh spesifik dari situasi yang menyedihkan ini). Dalam alur kerja, memeriksa bug pada satu sistem (biasanya sistem open source) secara instan mengungkap pola kerentanan pada sistem berpemilik lain, yang membuat pemodelan ancaman langsung sulit dilakukan. Secara umum, banyak masalah keselamatan teknis dapat diselesaikan atau dioptimalkan dengan berfokus pada kebetulan yang kurang jelas ini,jika Anda mampu mengamatinya secara sistematis.
DS: Anda mengatakan bahwa kedua sistem yang jarang mengubah basis kode dan yang menambahkan banyak dapat memiliki banyak eksploitasi. Bisakah Anda memberi tahu kami tentang keseimbangan relatif di antara mereka? Dari sudut pandang, bahwa untuk beberapa, eksploitasi jangka panjang ditulis, dan untuk orang lain - menyebabkan lebih banyak kerusakan.
AE: Posting di blog saya yang Anda sebutkan memiliki arti yang sedikit berbeda: ini tentang pentingnya mempelajari tentang internal sistem, karena mereka adalah kunci untuk membuat primitif eksploitasi lanjutan yang dapat digunakan kembali karena stabilitas relatifnya, karena banyak subsistem periferal bergantung pada mereka ... Selain itu, tanggal kedaluwarsa eksploitasi tidak selalu bertentangan dengan potensi dampaknya.
Dalam hal daya tahan exploit, hanya ada satu indikator utama: betapa sulitnya menemukan bug. Karena industri pendeteksi kerentanan sangat tidak bersahabat, persaingan berdampak besar pada eksploitasi umur panjang. Kompetisi lebih sedikit, bug lebih lama hidup.
Metrik ini dapat diperluas untuk mencakup sistem variabel seperti ketersediaan informasi, jumlah pengetahuan yang dibutuhkan untuk memecahkan masalah, keterampilan khusus yang dibutuhkan, peralatan khusus yang dibutuhkan, ketersediaan toolkit, berbagai fitur keamanan target. vendor perangkat lunak, dan seterusnya - semua aspek ini berada dalam tahapan yang berbeda.
Ketika sampai pada pemikiran strategis yang serius di bidang penelitian dan pengembangan kerentanan, hal-hal bisa menjadi sangat sulit di sini. Namun, untuk tujuan yang paling umum, semua kerumitan ini dapat direduksi menjadi aturan sederhana: untuk menembus sedalam mungkin ke dalam sistem yang paling tidak dapat dipahami, tetapi bermakna. Aspek ini tumpang tindih dengan, tetapi tidak terbatas pada, komponen internal sistem dalam.
Tidak seperti komponen sistem internal yang dalam, kode yang baru ditambahkan sering kali berisi bug kritis halus yang mudah ditemukan dan digunakan. Karena sifat permusuhan dari industri penelitian kerentanan, bug ini akan terdeteksi dan diperbaiki relatif cepat (setidaknya pada sistem yang populer dan kritis), membuat eksploitasi berdasarkan padanya berumur pendek. Yang tidak selalu berarti buruk.
Terakhir, potensi kerusakan tidak ada hubungannya dengan indikator teknis di atas. Saya selalu menertawakan propaganda media yang mencoba menghubungkan eksploitasi perangkat lunak dengan pembunuhan; Ini konyol. Faktanya, tidak ada eksploitasi komputer yang akan melakukan lebih banyak kerusakan daripada senjata fisik lama yang bagus yang biasanya diganti. Mengabstraksi dari etika dan emosi, setiap prestasi benar-benar memiliki "kekuatan" tertentu, yang pada awalnya netral dan bergantung pada banyak faktor. Faktor kuncinya di sini adalah siapa yang mengontrol eksploitasi, bukan properti teknisnya.
DS: Bagaimana rasanya bekerja dengan instansi pemerintah di Rusia? Apakah mereka profesional? Apakah ada spesialis yang kuat? Banyak birokrasi?
AE:Saya telah mendengar bahwa mereka kompeten dan membayar dengan baik jika Anda bersedia mengorbankan karier internasional.
DS: Apa pendapat Anda tentang Putin? Bagaimana para peretas Rusia umumnya memandang politik dan pemerintahannya?
AE: Saya belum mengenal Putin. Saya tidak memikirkan dia dan saya tidak peduli apa yang orang lain pikirkan. Saya memperhatikan satu hal: tidak ada teman saya dari Rusia akhir-akhir ini yang terburu-buru melarikan diri ke luar negeri, meskipun ini adalah tren umum tahun 2000-an. Kakak perempuan saya bahkan kembali ke Rusia, setelah tinggal beberapa lama di Eropa. Ini adalah satu-satunya indikator yang memberi tahu saya bahwa semuanya beres dengan Tanah Air saya. Berdasarkan ini, saya berasumsi bahwa Putin melakukan yang terbaik untuk Rusia.
JS: Temukan rahasianya, apa yang terjadi dengan nama panggilan @ badd1e yang sangat disukai semua orang?
AE:Ini bukan rahasia. Itu tidak sesuai dengan tujuan Twitter saya, jadi saya mengubahnya menjadi alisaesage... Namun, saya meninggalkannya di halaman GitHub saya - untuk sejarah.