Nota do Editor: Em dezembro de 2016, o presidente Barack Obama assinou um decreto anunciando sanções contra cidadãos e organizações russas em resposta a tentativas de interferir nas eleições.
A lista inclui vários hackers conhecidos, bem como o Federal Security Service (FSB) e o Main Intelligence Directorate (GRU). Também na lista estava uma organização menos conhecida que causa perplexidade para muitos: a ZOR Security. A empresa foi fundada por Alisa Shevchenko, que trabalhou como especialista em análise de vírus na Kaspersky Lab por vários anos e era apaixonada por construir uma comunidade para hackers e geeks de computador. O Departamento de Segurança Interna dos EUA também chamou a atenção parapara ajudar a Schneider Electric a encontrar vulnerabilidades de software.
De acordo com o ministério, a empresa de Shevchenko colaborou com o GRU, que supostamente estaria por trás da invasão do Comitê Nacional Democrata e outras organizações políticas. Shevchenko, também conhecida como Alice Esage, disse que as autoridades americanas estavam erradas e que ela já havia fechado sua empresa. Atualmente é pesquisadora independente e fundadora do projeto Zero-Day Engineering , no qual as pessoas compartilham conhecimento técnico e fornecem treinamento em pesquisa de vulnerabilidade de software.
Shevchenko conversou recentemente com o especialista em ameaças cibernéticas da Recorded Future, Dmitry Smilyanets, sobre os eventos de 2016, suas vulnerabilidades favoritas e como é ser um hacker na Rússia. Tiramos o principal da entrevista.
Dmitry Smilyanets: Como você reagiu ao saber que o governo dos Estados Unidos impôs sanções à sua empresa, a ZOR Security?
Alice Esage: Eu tentei ficar calma e não deixar a imprensa me retratar como uma vadia perigosa e malvada que deu início ao surgimento do século. Ao longo do caminho, continuei a trabalhar em meus projetos.
DS: Como esses eventos mudaram sua vida?
AE: Acho que eles me tornaram um especialista em prosperidade sob as sanções dos EUA.
DS: Você disse que as autoridades estavam erradas - de que maneira?
AE: Eu não me importo mais com isso. As pessoas têm o direito de cometer erros. E o governo dos Estados Unidos adora impor sanções a todos para poder fazer valer seu poder onde ele não existe - vamos deixar isso para ele.
DS: Você ainda sente a pressão das sanções?
AE: Algo está claramente acontecendo, mas eu não chamaria de pressão. Se alguém não pode trabalhar comigo ou se beneficiar de meus produtos por medo do governo dos Estados Unidos, o problema é deles.
DS: Como você entrou na segurança cibernética e hacking?
AE:Tudo começou com meu pai, Andrey. Ele era um engenheiro eletrônico talentoso, um dos primeiros na Rússia a começar a montar computadores pessoais com base em peças de reposição e artigos publicados em revistas técnicas estrangeiras como hobby. Naqueles anos, os computadores ainda não estavam amplamente disponíveis. Ele me ensinou a soldar quando eu tinha 5 anos. Comecei a ler livros sobre computadores e programação no início da escola, aprendi a programar em C ++ e linguagem assembly x86 assim que comprei um computador aos 15 anos. De volta à escola, estudei engenharia reversa, resolvi problemas de crackme, hackeei jogos de computador e fiz keygens para me divertir. Também participei de projetos de hackers russos e internacionais - principalmente envolvido em hacking de software de baixo nível. O começo foi assim.
DS: Você acha que fica mais fácil ou mais difícil para as pessoas seguirem seu caminho?
AE:Difícil de dizer. Quando comecei, havia muito poucas informações sobre segurança de computador. A Internet era lenta e apenas algumas publicações poderiam ajudá-lo a descobrir isso, além de livros de programação geral. Lembro que havia um site chamado ... algo sobre hacking ético, parece ter sido administrado por uma mulher. Os artigos publicados nele me inspiraram e me fizeram começar. As coisas são diferentes hoje em dia. Existe muita informação. Existem milhares de recursos disponíveis publicamente sobre todos os tópicos de segurança de computador, desde guias para iniciantes até treinamento técnico profissional em tópicos avançados (como os que eu ensino, minha empresa Zero Day Engineering faz isso). Isso simplifica muito as coisas.
Por outro lado, a tecnologia informática torna-se cada vez mais complexa, o desenvolvimento acelera, as curvas de aprendizagem são mais acentuadas e, por isso, torna-se mais difícil atingir um elevado nível de conhecimento nesta área. Leva mais tempo - anos e décadas. Lembra-se da velha suposição de que "um hacker é um adolescente" e que uma carreira de hacker deve terminar antes de seu 30º aniversário? As coisas estão diferentes agora. A maioria dos melhores hackers que conheço está na casa dos 30 anos e apenas começando. Esses são os requisitos para alcançar o verdadeiro domínio do hackeamento avançado de sistemas de computador modernos: é preciso dedicar uma vida inteira.
Acho que chegar a um nível realmente íngreme ao longo do caminho é mais um destino do que uma escolha. É necessário um modo de pensar muito peculiar, que parece se basear em dados genéticos e também em circunstâncias especiais da vida, para fazer o impossível todos os dias.
Existem muitas maneiras mais fáceis de ter sucesso na sociedade humana de hoje do que jogar seu cérebro em outro sistema. Você entenderá que já está neste ambiente quando sentir que não pode viver sem ele. E quando isso acontecer - parabéns, não há como voltar atrás.
DS: Que conselho você daria para meninas que desejam seguir uma carreira como a sua? Quais são os prós e os contras de hackear?
AE:Encontre o que lhe interessa, escolha um problema específico e resolva até o fim. Reflita e repita. Resolver problemas técnicos e completá-los são necessários para avançar neste caminho, enquanto o consumo passivo de informações obstrui principalmente seu cérebro e interfere em sua criatividade técnica. Dedique-se à prática, lendo principalmente fontes primárias (por exemplo, especificações técnicas, livros clássicos e blogs de alta qualidade de pesquisadores cujo trabalho você gosta). Essa dica funcionará tanto para homens quanto para mulheres.
E principalmente para as mulheres: não dê ouvidos a ninguém e continue fazendo o que você ama. Principalmente se você já sabe que o trabalho técnico é sua paixão. Não deixe ninguém distraí-lo do gerenciamento, palestras, relatórios, marketing ou trabalho em qualquer outra função de apoio na indústria cibernética. Homens e mulheres definitivamente enfrentam desafios diferentes nesta carreira, embora as coisas melhorem com o tempo (embora muito mais lentamente e em menor grau do que normalmente se supõe).
Vantagens e desvantagens? É um trabalho que envolve riscos, mas é divertido.
DS: O que você mais gosta no seu trabalho? E do que você não gosta muito?
AE:Eu amo a incerteza, um ambiente hostil, caça a insetos e resolução de problemas. Adoro o fato de meu trabalho ser altamente valorizado, de modo que posso ganhar um alto salário anual em três dias, com minha mente sozinha sentada na praia de pijama. Não gosto do fato de ter que competir com muitos caras espertos que são a esmagadora maioria nesta área. Homens e mulheres não devem competir uns com os outros.
DS: Qual é a vulnerabilidade mais legal que você já encontrou?
AE: Erro de execução remota de código via DLL no Outlook Express para Windows XP. Isso foi há muito tempo, quando o Windows XP ainda era usado em todos os computadores pessoais, não apenas em caixas eletrônicos e terminais POS, como é agora. No início de minha carreira em pesquisa de vulnerabilidade, desenvolvi minha própria metodologia para detectar erros de dia zero desta classe e descobri muitos problemas, inclusive em OE. Por anos depois de encontrá-lo, verifiquei se ele havia sido consertado - e nada mudou. Este é provavelmente o "dia perpétuo zero" neste momento, pois o XP não é mais compatível. Tais feitos confiáveis e duradouros são sempre agradáveis.
Hoje em dia, os problemas de sequestro de DLL (também conhecido como carregamento de biblioteca inseguro) ainda são muito comuns. Por exemplo, esse tipo de bug foi corrigido recentemente no cliente Zoom do Windows. Esses erros são fáceis de encontrar e explorar. O fato de os principais desenvolvedores de software do mundo continuarem a cometer erros de programação tão triviais indica uma séria falta de consciência da vulnerabilidade na indústria global de software. Esse é um dos motivos pelos quais minha empresa está desenvolvendo canais especializados de análise de vulnerabilidade que (além de nosso treinamento) devem ajudar a preencher essa lacuna de conhecimento e tornar a Internet mais segura para todos.
DS: Qual você acha que é a maneira mais fácil de comprometer uma organização em 2021?
AE:De um modo geral, não existe tal forma. As organizações têm diferentes níveis de segurança. O que é realmente importante entender é que existe uma gama de tecnologias cibernéticas ofensivas que podem ser usadas para comprometer uma organização, desde as mais simples às mais complexas. Os invasores geralmente escolhem o elo mais fraco do sistema que pode ser quebrado usando as tecnologias mais simples do espectro. Eu prefiro me especializar nas mais difíceis delas - vulnerabilidades e explorações de dia zero, especialmente em sistemas seguros. Depois que um problema difícil é resolvido, todo o resto é elementar. Além disso, tudo isso é inevitável. Você pode ensinar seus funcionários a evitar phishing, o que leva ao surgimento de ransomware, pode estabelecer políticas corporativas adequadas para bloquear usuários internos,que sequestram cadeias de suprimentos e vazam seus segredos comerciais, mas você não pode se proteger completamente contra a tecnologia. Erros ocorrem em sistemas tecnológicos que podem ser usados para executar código arbitrário. E o jogo acabou.
Outro ponto importante a entender é que, independentemente do cenário de uma violação de segurança, sua causa raiz é sempre a vulnerabilidade, seja humana ou técnica. Tenho notado que muitas publicações analíticas de trade-off de cibersegurança tendem a ir um pouco mais longe deste fato e não apontam as vulnerabilidades / vulnerabilidades do culpado, ao mesmo tempo que explicam em detalhes os vários métodos periféricos, secundários e finais envolvidos no processo . A tendência geral hoje é eliminar o fator humano das equações de segurança, portanto, erros puramente técnicos se tornarão cada vez mais importantes a longo prazo.
DS: Conte-nos sobre sua nova aventura, Zero Day Engineering.
AE:A engenharia de exploração de dia zero é meu esporte eletrônico favorito. Não posso viver sem ele porque ele dá ao meu cérebro todo o alimento de que ele precisa, que tenho lutado para encontrar em outros campos de atividade. Não tive escolha a não ser criar uma empresa pública com base nessa experiência. Apenas um mês se passou desde que anunciei oficialmente isso, e este já é meu projeto favorito. Acontece que combina de forma eficaz todo o conhecimento e experiência que adquiri ao longo de duas décadas de trabalho, tanto na prática técnica como no empreendedorismo.
De uma perspectiva de negócios, a ideia geral é oferecer análises de ameaças cibernéticas de uma única fonte com um foco muito específico: vulnerabilidades de baixo nível em sistemas de computador para vários públicos-alvo, de técnicos individuais a empresas de segurança cibernética, fornecedores de software e governos. Todas as nossas propostas de análise devem ser baseadas principalmente em pesquisas técnicas profundas originais em laboratório, não na coleta de fontes externas. Por enquanto, ainda estou considerando propostas comerciais e projetos específicos de código aberto que a indústria está pronta para aceitar neste estágio.A ideia geral já provou ser muito lucrativa com investimento de capital zero (por meio de treinamento técnico especializado aprofundado para pessoas físicas) e vejo um grande potencial para desenvolvimento futuro.
A seguir, vou apenas citar o site: “Não importa o quanto a palavra cibernético esteja na moda, existem apenas duas causas possíveis para qualquer violação de segurança: a vulnerabilidade dos sistemas técnicos e a vulnerabilidade dos humanos. À medida que as tendências globais da tecnologia buscam eliminar o fator humano e acelerar o desenvolvimento da tecnologia, a consciência das vulnerabilidades dos sistemas técnicos torna-se crítica em todos os desenvolvimentos tecnológicos. O conhecimento pode ajudar a lidar com isso. Em vez de usar nossa experiência para criar mais um sistema de defesa que sabemos em primeira mão que será atacado e contornado, estamos desenvolvendo produtos que abordam sistematicamente as lacunas de conhecimento que tornam possíveis vulnerabilidades e explorações. "
DS: « , » . ? , , ? Windows.
AE: Em geral, existem muitas vulnerabilidades semelhantes em diferentes sistemas da mesma classe. Não se trata de hipervisores. Por exemplo, os kernels do sistema operacional e os mecanismos Javascript também mostram essa tendência. A principal razão para esse fenômeno é que os sistemas da mesma classe são baseados nos mesmos modelos abstratos ditados pelas funções do sistema, casos de uso e cenários de implantação, mesmo que sejam desenvolvidos de forma independente e em períodos de tempo diferentes. Por sua vez, os mesmos modelos abstratos assumem as mesmas suposições errôneas feitas por designers e programadores de sistema, se eles não tiverem sido especialmente treinados em segurança de código moderna. É aqui que entra a interseção dos padrões de vulnerabilidade.
Quanto à segurança de software, se não for óbvio para alguém, é muito importante. Na verdade, qualquer informação sobre problemas de segurança em qualquer sistema de software está diretamente relacionada a todos os outros sistemas da mesma classe e até mesmo a muitos outros sistemas em geral (embora em menor grau).
Por exemplo, se você é um desenvolvedor de software, examinar bugs de segurança em produtos de software concorrentes é uma maneira poderosa e trivial de proteger sua própria base de código ou, pelo menos, evitar a vergonha pública quando alguém descobrir um bug em seu código - o bug óbvio demonstrado em um produto do concorrente há 10-20 anos (sem brincadeira, meus cursos deram muitos exemplos específicos desta triste situação). Em fluxos de trabalho, examinar bugs em um sistema (geralmente um sistema de código aberto) descobre instantaneamente padrões de vulnerabilidade em outro sistema proprietário, para o qual a modelagem direta de ameaças é difícil. De um modo geral, muitos problemas técnicos de segurança podem ser resolvidos ou otimizados com foco nessas coincidências menos óbvias,se você for capaz de observá-los sistematicamente.
DS: Você disse que ambos os sistemas que raramente mudam a base de código e aqueles que adicionam muito podem ter muitos exploits. Você pode nos contar sobre o equilíbrio relativo entre eles? Do ponto de vista, que para alguns, exploits de longo prazo são escritos, e para outros - causando mais danos.
AE: O post no meu blog que você mencionou tem um significado um pouco diferente: é sobre a importância de aprender sobre os componentes internos dos sistemas, já que eles são fundamentais para a criação de primitivos de exploit avançados reutilizáveis devido à sua relativa estabilidade, uma vez que muitos subsistemas periféricos dependem sobre eles ... Além disso, a data de expiração de uma exploração não está necessariamente em conflito com seu impacto potencial.
Quando se trata da durabilidade do exploit, há apenas um indicador chave: quão difícil é encontrar um bug. Como o setor de detecção de vulnerabilidades é bastante hostil, a competição tem um grande impacto na longevidade do exploit. Menos competição, mais bugs vivem.
Essa métrica pode ser expandida para incluir um sistema de variáveis como a disponibilidade de informações, a quantidade de conhecimento necessária para resolver o problema, as habilidades especializadas necessárias, o equipamento especializado necessário, a disponibilidade de kits de ferramentas, os vários recursos de segurança do alvo fornecedor de software, e assim por diante - todos esses aspectos pertencem a diferentes estágios.
Quando se trata de pensamento estratégico sério no campo de pesquisa e desenvolvimento de vulnerabilidades, as coisas podem ser muito difíceis aqui. No entanto, para os propósitos mais comuns, toda essa complexidade pode ser reduzida a uma regra simples: penetrar o mais profundamente possível no sistema mais incompreensível, mas significativo. Este aspecto se sobrepõe aos componentes internos do sistema profundo, mas não se limita a eles.
Ao contrário de componentes de sistema internos profundos, o código recém-adicionado geralmente contém bugs críticos sutis que são fáceis de encontrar e usar. Devido à natureza adversária da indústria de pesquisa de vulnerabilidade, esses bugs serão detectados e corrigidos de forma relativamente rápida (pelo menos em sistemas populares e críticos), fazendo com que os exploits baseados neles tenham vida curta. O que não é necessariamente uma coisa ruim.
Finalmente, o potencial de dano não tem nada a ver com nenhum dos indicadores técnicos acima. Eu sempre rio da propaganda da mídia que tenta vincular exploits de software a assassinato; Isto é ridículo. Na verdade, nenhuma exploração de computador causará mais danos do que a boa e velha arma física que geralmente substitui. Abstraindo da ética e das emoções, qualquer feito realmente possui um certo "poder", que é inicialmente neutro e depende de muitos fatores. O fator chave aqui é quem controla a exploração, não suas propriedades técnicas.
DS: Como é trabalhar com agências governamentais na Rússia? Eles são profissionais? Existem especialistas fortes? Muita burocracia?
AE:Ouvi dizer que eles são competentes e pagam bem se você estiver disposto a sacrificar uma carreira internacional.
DS: O que você acha de Putin? Como os hackers russos geralmente veem sua política e governo?
AE: Ainda não estou familiarizado com Putin. Eu não penso sobre ele e não me importo com o que os outros pensam. Percebi uma coisa: nenhum dos meus amigos da Rússia hoje em dia tem pressa em fugir para o exterior, embora essa fosse a tendência geral dos anos 2000. Minha irmã até voltou para a Rússia, tendo vivido por algum tempo na Europa. Este é o único indicador que me diz que tudo está em ordem com minha Pátria. Com base nisso, presumo que Putin está fazendo o melhor pela Rússia.
JS: Descubra o segredo, o que aconteceu com o apelido @ badd1e que todos gostaram tanto?
AE:Não é segredo. Não combinava com meus objetivos do Twitter, então mudei para Alisaesage... No entanto, deixei na minha página do GitHub - para história.