Евангелие от Мыщъха. Часть 1
За свою жизнь на три страны я видел вживую множество гуру из мира большого ИТ — les monstres sacres («священных монстров»). Крис Касперски, также известный как «мыщъх», стоит особняком от остальных. Известный российский хакер, кстати, не признающий себя программистом и хакером, один из самых популярных авторов российский компьютерной литературы (для статистики — он «заточил» около 500 статей и больше 20 книг). Всё — с приставкой «бывший».
Сказать, что теперь у него сложно взять интервью — не сказать ничего. Моя первая попытка два года тому назад оборвалась на полуслове. На этот раз, когда все «эксепшены» были аккуратно расставлены, Крис закурил любимые гаванские сигары, и мы начали этот длинный разговор об ИТ, Америке и жизни.
В первой части мы обсуждаем его текущую работу, тренды в области информационной безопасности, его обыск со стороны ФБР, говорим о космическом софте и распознавании порно, а также о современных полиморфических вирусах.
# Рестон У каждой профессии, как и у человека, — свой рай обетованный. Для актёров, это, безусловно, Голливуд. Для компьютерщиков подобным вожделённым пристанищем стала Кремниевая долина. Сразу оговорюсь: предлагаю отойти от более традиционного русского написания «Силиконовая долина», которая в самом США ассоциируется с «порнографически раем» в Сан-Фернандо. Впрочем, кроме раскрученной в медиа Кремниевой долины, в США есть ещё одно место, не менее известное у бывалых айтишников в теме — это Рестон (штат Виргиния). Об этом небольшом городке не принято рассказывать взахлёб, а толпы программистов, работающие там, не любят бахвалиться своим местом работы.
Рестон — небольшой городок, типичное захолустье. Высокая трава по колено, всего одна дорога во внешний мир, несколько провинциальных магазинов натыканы прямо среди поля. За чертой города — тайга из леса. На фоне типичной деревенско-лесистой местности можно заметить необычные вывески — тут представлены все без исключения американские ИТ-гиганты: Intel, Microsoft, Google, Symantec, PayPal, IBM, Dell, Juniper, Citrix и т.д. Oracle здесь вообще градообразующее предприятие со своей собственной центральной улицей — Oracle way.
Рестон, Виржиния (США) ака «хутор»
Чем же так примечательна эта деревня? В 20 минутах езды от неё — Вашингтон, политическая столица США. Там обитают основные заказчики и кураторы многочисленных местных ИТ-проектов, которых, чаще всего, не принято обсуждать в прессе. Здесь каждый стремится урвать свой кусок от бездонного федерального пирога — и именитые ИТ-компании, и, тем более, их многочисленные рабочие лошадки — программисты.
Уже более шести лет Крис Касперски — один из колоритных обитателей Рестона. Несмотря на то, что знакомые, встречая его на улице, панибратски приветствуют «Привет, Иисус!», от былой публичности не осталось ни следа. После последнего развёрнутого интервью пять лет назад у него были проблемы с работой и «плохие парни» грозились депортировать его из США.
# Про работу — Что ты сам можешь рассказать о своей работе? Надеюсь, это не ЦРУ?
— Мы, конечно, не ЦРУ, но уровень секретности у нас ничуть не хуже. Не люблю секретность. Не выдержал и написал на стене маркером в знак протеста:
«Everything is a secret. Everybody is an enemy. A cold war inside [censored]».
Насчёт врагов, я, конечно, погорячился, но перед отбытием на «Блакхат» (в качестве зрителя) со мной провели инструктаж, потому как там шпион на шпионе. Здесь мы подходим к той грани, где мне приходится взвешивать каждое слово, поскольку оно идёт в печать. А потому давайте сойдёмся на формулировке: «На данный момент работаю в крупной американской компании на должности рядового инженера, занимаясь выполнением задач, поставленных руководством».
— Какая у тебя специализация?
— Поскольку в физическом труде меня заподозрить сложно, то, вероятнее всего, основной доход дают мозги на плодородной ниве информационной безопасности (ИБ).
— Поковыряем немного в плотной завесе секретности. Пару лет назад было много шума, типа ты там какой-то космический софт написал?
— Ох уж этот пытливый русский народ, блин. Там всё засекречено. Но из того, что можно рассказывать (и что уже засветилось на конференциях), так это проекты для US FAA и US Air-Force.
Писал модули детекции (HIPS) для обнаружения вторжений и атак как second in charge, т.е. вся ответственность на мне. Эти модули работают в закрытой сети указанных организаций, физически отрубленных от интернета, и там даже нормальных rfc«шных протоколов нет — всё какой-то левый самопал, с которым приходится работать. Это, конечно, не совсем космос, но очень-очень близко к нему. Любые атаки (инсайдеров) тут — это очень критично.
Касательно космоса — писал софт для одной организации для распознавания спутниковых фотографий. Но это скучно и к космосу имеет только опосредственное отношение. Применил уже давно разрабатываемую мной идею.
— Какова история этой идеи распознавания?
— Вся история развивалась примерно так.
Специализируюсь в секьюрити, и вот мне предлагают принять участие в американской государственной программе (т.е. практически бесплатно) по охоте на сайты с детской порнографией. Но ловить сайты по косвенным признакам (локациям доменных имен и прочим) уже пробовали — не эффективно. И тут меня осеняет, что «распознавание образов» как общая задача, действительно, требует ИИ и многих лет упорной работы. А вот данную частную задачу можно решить на коленке буквально в сотне строк кода, анализируя видеопоток — порно или не порно (даже если видеопоток сильно пережат). Попробовали — получилось! Очень высокая точность!
В распознавании «малвари» (а это моя основная узкая специальность) и изображений на первый взгляд мало общего, но существующие антивирусы работают по тому же принципу, который может быть адаптирован и для распознавания изображений, если не спускаться на уровень алгоритмов, а мыслить абстрактными категориями. Именно за счёт этого достигается возможность распознавания новой «малвари» моим методом.
Другая госпрограмма США работала со спутниками, меня спросили:, а нельзя ли адаптировать твою порно-технологию для наших целей на спутники (автоматическое распознавание заданных объектов на поверхности)? Решили попробовать. Получилось.
Главное требование у всех — скорость. Большого ума от распознавалки не требовали, но она должна была работать так быстро, как это только возможно. Вот три этапа эволюции одной идеи. Кстати, сейчас на эту мою технологию начал поглядывать Google.
— Что такого принципиально нового ты смог предложить, если этим занимаются тысячи человек по всему миру?
— Цвет кожи (особенно детская) имеет достаточно специфичный оттенок, который предсказуемо «корёжится» при пережатии в разные цветовые пространства. Сочетание цветов половых органов так же специфично. Но это мы пока говорим про то, что есть на порно. А вот то, чего на нём гарантированно нет, позволяет однозначно отсеять кучу другого контента. Обычно в качестве критерия для поиска с переменным успехом искали лишь первую часть условия. У меня же эффективность значительно увеличивается использованием второй «исключающей» составляющей. Но даже в первой составляющей у меня есть определённые ноу-хау.
А вообще, основные алгоритмы были лицензированы у Кэннона и только допилены под моё видение задачи. К примеру, мой вклад — там распознаётся не только свет, но ещё и постановка освещения. В дешёвом порно она очень характерна. Например, повсеместное мигание вспышек. Кстати, в момент вспышки мы получаем истинный цвет, решая проблему баланса.
Короче, это как бы не распознавание изображения в классическом понимании, а распознавание конкретного вида контента. Скорость получилась офигительная, так как выполняются тривиальные операции, которые ещё и легко параллелятся. Число ложно-позитивных и ложно-негативных срабатываний получилось даже лучше, чем изначально требовал заказчик.
Да, кстати, вирусы у меня распознаются примерно так же. Тот же самый принцип в точности. Ищем в вирусах нечто такое, что встречается в них, но гарантированно отсутствует в остальных программах.
— Как я понял, твой успех был отчасти в том, что все пытались найти общее универсальное решение и впоследствии увязали в нарастающей сложности. Ты же решил узкоспециализированную задачу, зато смог это сделать эффективно и быстро. Немного отвлекаясь от основной темы, здесь мы снова возвращаемся к любимому тобой спору вокруг назначения языков C и C++.
— Каждый конкретный язык определяет мышление, хотим мы того или нет. Так вот, постоянно сталкиваюсь, что «плюсовики» тяготеют к решениям в общем виде, в то время как «сишники» решают задачу в частном виде, что в разы быстрее.
Одну текущую задачу сначала показали «плюсовику», спросив, сколько займёт её решение. Он сказал: «Здесь нужно писать могучий движок. Короче говоря, это проект на полгода». Его коллега-«сишник» поинтересовался: «А зачем?» Ведь поставленная задача укладывается в сотню строк кода! Ответ был ошеломляющим:
«Ну и что, мы так и будем по сотне строк кода писать для решения частных задач, каждый раз, как они возникают? Нетушки, задачи надо решать раз и навсегда!».
По моему глубокому личному убеждению, проблемы нужно решать по мере их возникновения. Писать программы на вырост с избыточным универсализмом нужно лишь очень хорошо предварительно подумав, ибо это из серии «Почему сегодня не делают корабли, летающие к звёздам?» Ответ прост: потому что корабль, построенный завтра, прибудет быстрее, а корабль, построенный послезавтра, еще быстрее. И их обоих обгонит корабль, построенный лет через пятьдесят, но когда он вернётся обратно, то обнаружит, что у человечества совсем другие проблемы».
— Ты упомянул, что этот твой «принцип распознавания» впоследствии применялся к разным темам, но впервые ты использовал его в анализе «малвари» и даже оформил патент на его основе. Можешь рассказать подробнее?
— Как-то в бытность свою работал я удалённо. Ну, как работал, анализировал огромное количество сплоитов. Причём делал всё медленно, потому что навыка не было. Порядочно устав, я написал программу, которая автоматически сгенерировала другую программу. И вот эта другая программа анализировала сплоиты со скоростью один гигабайт в секунду. Запустил её и улетел в Берген (Норвегия) на встречу со знакомой немкой. И вот пока я гулял по сказочно красивой Норвегии, наслаждаясь золотой осенью и местным колоритом старинных замков и фортификационных сооружений, мой компьютер всё это время стоял включенным «под нагрузкой».
И когда дней через десять вернулся, программа уже завершала анализ, но у меня хватило ума никому об этом не говорить и до конца года получать «убитых енотов» автоматом. А за пунктуальность и следования намеченным планам мне ещё бонусы платили на работе. В конце концов, меня заела совесть, и я выслал результаты машинного анализа одним и очень большим куском. В результате эта фирма надолго встала, и теперь мне же пришлось писать ещё одну программу, чтобы автоматизировать труд тех, кто разгребал эти результаты, писал к ним тесты и заносил в базу.
Собственно, так я и получил свой первый (и пока единственный) софтверный патент.
— Не удивлен, что без женщин не обошлось. Как я понимаю, на основе развития этого принципа впоследствии ты написал модуль, благодаря которому был признан лучшим сотрудником года в McAfee. Что он делал?
— Если помнишь, была такая нашумевшая китайская атака против Google — «Operation Aurora». Вот за неё и наградили. Фокус в том, что я её чистой эвристикой распознал, модулем, который собрал ещё за полгода до самой атаки. Конечно, мне просто повезло, как везёт немногим…
Но в итоге оказалось, что передо мной в США открылись такие перспективы, о которых я вообще мечтать не мог. Даже в принципе. В самом смелом сне.
— В который раз убеждаюсь, что пророка не бывает в своем отечестве, и это притом, что ты не мог найти работу в РФ.
— У меня репутация в РФ была не очень. А в USA я вообще под колпаком у спецслужб, о чем узнал случайно, через пару лет получив допуск к закрытым материалам и с большим удивлением обнаружив в них свою рожу, датированную августом прошлого года. т.е. за минувший год с материалов сняли гриф «особо секретно» и теперь это просто «секретно».
Так что я не просто похабник и скандалист. Я — гораздо хуже.
— Тем не менее, есть чем гордиться, ты — хакер мирового калибра.
— Чем гордиться-то? Вот по соседству со мной в «картотеке» один африканский «принц», а точнее его «адвокат», рассылающий всем нигирийские письма. Вот и представьте в какой я компании. А хакером меня считать — упорно отказываются.
Вот подломал я однажды бритишей из-за дурацкого и очевидного бага в их системе бронирования. И полетел первым классом с бизнес билетом. По прилету баг честно зарепотил. А они мне говорят — это не взлом. И вообще моя система «работает» только при наличии свободных мест в последний момент перед вылетом, т.е. компании такой «взлом» абсолютно не в убыток. Ещё много чего было. Но… не хотят упорно признавать меня хакером.
«Не судьба» ©.
— И все-таки, Крис, сочетание женщин с профессией в области интернет-секьюрити — это не к добру. Джулиан Ассанж тот тоже вон…
— … да ладно, я не Ассанж. И к секретам у меня доступ ограничен. Я даже не имею права находиться в здании компании, где сам же и работаю, если рядом со мной нет хотя бы одного гражданина США с нужным «клирансем».
«мыщъх (слева) и ключевой архитектор HIPS«ов (справа) — очень умный пацак с громким титулом»
# Про ФБР и тренды ИБ — Не знаю ничего про твою текущую работу, но вот, что интересно. Я лично не знаком с рядовыми айтишниками, которые являются долларовыми миллионерами. Насколько я в теме, ты — один из них. Даёт ли это какие-то особые ощущения?
— Теперь долларовых миллионеров столько, что их никто не считает. Даже миллиардеров и то не считают, ибо слишком много. Долларовых миллионеров только среди моих очень близких друзей я могу перечислить несколько, и никакой элитарности в них не наблюдается.
До сих пор ношу майку, купленную больше пяти лет назад. Всю в дырках и заплатах. В тире надо мной смеются. Спрашивают: «Это дырки от пуль?»
Так что миллион — это очень мало на самом деле. Это верхне-средний класс. С другой стороны, одни интересные люди предлагали мне два «лимона». Я спросил у них, что можно сегодня купить на эти деньги. Интересные люди неправильно меня поняли и, не торгуясь, предложили сразу двадцать, но были посланы, потому что на текущие расходы я и сам заработаю, а большего мне не надо.
— Давай ещё немного погутарим про интересных людей, так и шарящихся вокруг тебя. Слышал из новостей, что в США у тебя было неприятное приключение — однажды к тебе с обыском нагрянуло ФБР…
— Очевидно, меня подозревали и что-то искали, а потому изъяли всё, что могли. Никаких обвинений не предъявляли. Так что по существу мне рассказать нечего.
— Чем всё закончилось?
— История имела приятное продолжение и закончилась внесудебным урегулированием с выплатой мне отступных в размере зарплаты сферического программиста из РФ за несколько лет, так что никакие это не потери, а сплошные приобретения. Выводы? Всё, что не убивает, делает нас сильнее. Хотя кастрированный кот с этим может быть не согласен.
— Подобные бодрящие дух инциденты регулярно случаются с известными специалистами по ИБ и «полевыми хакерами». Пройдя через это лично, что посоветуешь своим коллегам?
— С тех пор, когда внезапно ФБР постучалось в дверь и изъяло всё железо, флешки и всё-всё-всё, у меня появился ценный жизненный опыт. Теперь время от времени самые важные для меня данные я сбрасываю на «винт» и кладу в банковскую ячейку. Это — мои личные файлы (не для чужих глаз). А всё, что не представляет секрета, я активно раздаю народу. В тот раз мне пришлось собирать себя по кусочкам, качая файлы взад у тех, кому я их давал ранее. Месяца за три я собрал себя процентов на девяносто, кое-что оказалось утеряно безвозвратно, ну и фиг с ним.
— Переходя к твоей специализации — реверсинг любого кода, анализ вирусов и самого разного malware. Расскажи про их эволюцию — вначале были стелз-вирусы, затем пришла эпоха полиморфов, а что было потом?
— …а потом «замысловатые слова» посыпались как из рога изобилия. Advanced persistent threat (или, сокращенно APT) обычно включает в себя сокрытие факта своего присутствия в системе (он же Stealth, он же Root-Kit), активное/пассивное противодействие обнаружению и удалению и т.п.
Полиморфизм — это частный случай метапрограммирования. В computer science под метапрограммированием обычно подразумевают программу, результатом работы которой является другая программа. Пассивные детекторы сканируют файлы в поисках уникальных последовательностей символов. Активные (или как их принято называть про-активные) детекторы работают по принципу поведенческого анализа. Грубо говоря, последовательность вызова API функций — это метрика. Поведенческий анализ распознает определенные сценарии (например, инъекцию кода в доверенный процесс) безотносительно того как именно они реализованы, и последние несколько лет идут кровопролитные бои за видоизменение поведенческих сценариев до состояния, когда они становятся практически неотличимы от легитимных сценариев популярных программ.
Изменились и угрозы. Если во времена MS-DOS вирусы были «проблемой грязных рук» и не затрагивали тех, кто пользовался лицензионным программным обеспечением, то сейчас основная масса вредоносных программ распространяется через документы, эксплуатируя ошибки проектирования. Дороже всего приходится расплачиваться за ошибки в сетевом стеке — чтобы подхватить заразу достаточно всего лишь Интернет-подключения, даже браузер запускать необязательно, хотя ошибки в сетевом стеке — большая редкость и гораздо чаще хакеры проникают через святую троицу — pdf, jar, swf. По умолчанию браузер загружает их автоматически, и если не установлены обновления — ждите проблем.
— Вообще, полиморфическим технологиям сейчас переломили хребет?
Отнюдь. Во времена MS-DOS вирусы включали в себя генератор кода, доступный для анализа. Сейчас же код генерируется удаленно на хакерском сервере и отдается по http-запросу. Или… не отдается. Сервер проверяет IP-источник запроса, и в случае каких-либо подозрений последующие ответы возвращают 404 или чистую страницу. К тому же, хакеры обязательно проверяют IP на принадлежность к антивирусным компаниям и разным правительственным лабораториям. Да и сам генератор в любом случае остаётся недоступен. В самом лучшем случае вы можете его купить на черном рынке за наличные деньги, но чаще всего такая возможность недоступна, а потому в распоряжении аналитиков есть лишь отдельные экземпляры работы генератора, в которых необходимо выделить неизменную часть, что существенно затрудняет разработку детектора.
К тому же централизованный генератор хакеры могут обновлять так часто, как им вздумается. Прошли времена, когда вирусы работали только под MS-DOS и только под Intel x86. Сейчас необходимо распознавать не только машинный код x86, ARM, PowerPC, не только байт код (Java, Flash), но и бесчисленное множество скриптовых языков (JavaScript, VBScript, Python). Например, на Маках Python идет предустановленным, что открывает для хакеров новые перспективы. Кстати, Python замечательно распространяется не только в виде скриптов, но и байт-кода.
— На фоне всего сказанного, что можно сказать про перспективы традиционного автоматического лечения вирусов?
Автоматическое лечение (удаление троянцев) неуклонно сдает свои позиции и зачастую «лечение» сводится к переустановке системы. Кроме того, лечение возможно только на end-points. Типичный IPS в лучшем случае предотвращает атаку, но не в состоянии обезвредить уже атакованные системы, поскольку IPS находится между атакуемым и атакующим.
Вообще сейчас перед хакером стоит другой приоритет — любой ценой передать управление на свой код, например, расположенный в файле документа и не рассчитанный на исполнение. Эта новая доминанта содействовала развитию веера новых технологий от NOP Slides до Heap-Spay и Return oriented programming (оно же ROP).
— Крис, как человек изнутри этой темы, поясни, как антивирусная индустрия вообще справляется с таким огромным потоком новых зловредов? Сколько «дохлых тушек» положенных реверсеру на стол, он способен физически обработать в сутки?
Этим занимаются специально обученные люди и машины, причем машины всё более активно вытесняют людей. Все, что можно автоматизировать — давно автоматизировано. Сейчас этих тушек столько, что никаких человеческих ресурсов на них не хватит. В качестве примера устройства этого процесса могу посоветовать интересную презентацию, ищите её по ключевым словам: Adobe Malware Classifier.
Вообще, дизассемблировать каждую тушку зловреда — это все равно, что хватать вражеских солдат по одному и допрашивать. Оно, конечно, полезно. Добыть языка. Одного. А лучше двух. Но что они могут рассказать? Стратегические планы верховного командования им все равно не известны.
Сегодня зловреды — они уже не сами по себе. Они — пушечное мясо на поле кибер-войн, сегодня от них зависит чуть больше чем ничего. Сейчас важно суметь понять устройство хакерской эко-системы — круговорота машинного кода и наличных денег.
— Вообще, каковы сейчас самые общие тренды в области ИБ?
— Отвечая коротко, основные «тренды» уже сидят, причём сидеть им еще долго — лет двадцать, а то и больше. На помощь антивирусам пришло FBI, CIA, US Secret Service и другие страшные слова. Поэтому сейчас маржа везде падает, а посадки растут.
Самый последний писк моды — в прицел атаки попали встраиваемые устройства. В первую очередь это, конечно, роутеры. Зловредный код в роутере очень сложно обнаружить. А тем временем хакеры наши способ проникнуть внутрь камер наблюдения, подключенных к Ethernet, например, используя процессорные мощности для майнинга биткоинов. На очереди умная бытовая техника (например, холодильники), а также атаки на бортовой компьютер автомобиля — это фантастика новой реальности.
— Куда растет современный рынок коммерческих решений в области ИБ? Насколько я знаю, это одно из самых быстрорастущих и популярных направлений вообще ИТ?
— У меня лет двадцать опыта работы в индустрии безопасности, в том числе и на позиции архитектора. Я хорошо знаю рынок и видел множество примеров успешных начинаний, впрочем, неуспешных примеров было еще больше. Рынок систем безопасности действительно очень быстро растет. И растет он потому, что совсем недавно вирусами занимались школьники, «падонки» и прочие «креативные» личности. Затем ПК подключили к банкам, и тут оказалось, что на троянах можно делать деньги.
Рекорд в этом деле — двадцать лет отсидки за шесть доказанных нулей. Накинем еще один нуль за счет недоказанных, но… когда к интернету подключили гос.учреждения, когда спецслужбы полностью компьютеризировались — внезапно выяснилось, что хакеры — это не просто «оболтусы с дерибасовской», а угроза национальной безопасности. Уже несколько лет как действия в кибер-пространстве США могут официально расцениваться как объявление войны и быть достаточным основанием для введения реальных войск на территорию противника.
Поэтому, как только государство появилось на рынке ИБ, домашние пользователи перестали быть в центре внимания, просто потому, что у них нет пары десятков миллионов, с которыми они готовы расстаться (и еще столько же заплатить за поддержку). Причем, государства всех стран крайне смутно понимают, что им нужно покупать для своей безопасности, посему покупают они много лишнего.
Сейчас все крупные игроки, ну то есть абсолютно все, купили огромное количество решений безопасности, и на гребне следующей волны пришли системные интеграторы, пытающиеся собрать эту груду разрозненного г@вна воедино. Но и этот гребень уже пошел на спад, а на горизонте маячит новый третий. В практическом плане это означает — скоро предстоят сделки на миллионы и миллиарды долларов, но «повезет» здесь только тем, кто к этому уже готов и у кого уже есть готовые решения.
Напомню, что в свое время антивиурсы для ПК дали рождение многим нынешним компаниям-миллиардерам, возникших буквально на пустом месте без каких либо инвестиций. Но это было относительно давно, в девяностых. Впрочем, суть осталась неизменной — большие деньги зарабатывает тот, кто первым предлагает «спасительную» услугу, когда еще никто толком не осознал своих потребностей и необходимостей.
— Развивая эту тему, можно ли поговорить о третьем гребне волны? Среди наших читателей-айтишников многие неравнодушны к большим деньгам — можно ли привести примеры пока не заполненных ниш, чтобы молодые и амбициозные специалисты по ИБ, с твоей помощью могли бы разглядеть, где же лежит этот новый и такой вожделенный для многих Клондайк?
— Чего только не ломают хакеры сегодня. И если на POS-терминале «антивирус» еще можно представить (хотя с большим трудом), то, например, на surveillance camera антивирус тупо не встанет потому, что это конструктивно не предусмотрено. Хотя де-факто там, скорее всего, ARM и портированный Linux. Такая камера вещает потоковое видео и там хакеры уже нашли дыры, позволяющие заливать шелл-коды со всеми вытекающими отсюда последствиями.
Вот мой личный пример из этой оперы. Недавно я прикупил пару Ethernet-камер для своего дома. С камерами идут аккаунты на сервере их производителя с персональным доменом третьего уровня — заходи себе через браузер, введи пароль и смотри удаленно, что там дома у тебя происходит. Два сервомотора обеспечивают свободу наведения, а ИК подсветка видит даже в темноте — все было бы хорошо, если бы не было так плохо.
Жизнь показала, что эти камеры оказались дырявые, и в них уже поселился ботнет. Сетевым червям даже мозги напрягать не нужно — ваш домен третьего уровня (точка входа в контрольную панель камеры), это, грубо говоря, число (в данном случае) очень короткое, а потому все камеры сканируются перебором влет, и тут же автоматически взламываются. А вот обнаружить такую атаку — затруднительно. Ну, то есть не то, чтобы совсем затруднительно… например, если в камере не включен https, то шелл-коды ловятся сниффером, а если включен? Мне повезло, что в моем случае производитель сделал фейковый https (ну, практически фейковый — у моей камеры нет ресурсов для шифрования видео, и потому по https она только пароль с логином передает, а все остальное — гонит через http).
Поэтому мне пришлось после работы самолично поковырять такую камеру из-за её заражения, и я обнаружил, что ботнет откликается на определенные http-запросы к камере. Детектор зараженности, быстро написанный мною на «питоне» укладывается меньше чем в сотню строк. Если накинуть еще пару сотен, то можно на Squid proxy через icap-фильтры давить попытки таких червей проникнуть в камеру тупо заворачивая их «на юг».
Ещё личный пример. Видел в местном магазине микроволновку с Ethernet. По сети она сама выкачивает из интернета время и режимы приготовления тех или иных блюд, используя сканер штрих-кода с упаковки товара. От наших электронщиков слышал, что там при старте прошивка грузится в ПЗУ, распаковываясь в память, и что холодный рестарт, возможно, спасет домохозяек. Но что такое холодный рестарт для микроволновки, особенно в США? Если черви будут атаковать потоково, просто устанешь перезагружаться.
Подводя итог — через несколько лет на рынке бытовой электроники будут миллиарды (!) подобных «умных» устройств, подключенных к интернету. Многие из которых — на самом деле не умные, а очень даже глупые (потому как дырявые и уязвимые). Особенно, если они подключены к ПК. Тогда тот, кто заразил ПК, может контролировать весь «умный» дом удаленно.
Но известные мировые производители бытовой электроники разбираются в безопасности как «тузик в апельсинах» (смотрите два моих личных примера выше). И потому они будут вынуждены выкупать сторонние решения. Всё это — огромный, только зарождающийся рынок. И он просто гигантский! Поверьте, что рынок ПК в сравнении с ним — «нервно курит в сторонке». Сюда уже устремились первые и пока «совсем зеленые» поставщики решений ИБ.
В первую очередь это стартапы, один из которых недавно приобрел очень известный бренд бытовой электроники за деньги, которые лично мне даже не снились. А в том стартапе — работает всего несколько человек, и они, между нами говоря, ничего нового почти и не сделали (слегка пропатченная OpenBSD, чуть переделанная OpenJava, а также расширения для отражения атак типа «use after free» и подобных).
Жесткий постфэбээрный синдром: дверь в рестонскую квартиру Криса — вид изнутри. Составляющие охранной системы: нож, химические вещества, компьютер и смартфон, датчик движения. Мыщъх сам говорит, что если бы он не стал хакером в этой жизни, то, скорее всего, занимался бы «химией взрыва».
Читайте продолжение (вторую часть) этого интервью вот здесь.
© dev.by & «Системный Администратор», 2014
