Специалист в информационной безопасности Филипп Охонько рассказал об основных современных киберугрозах и дал несколько практических советов, с чего начать и где получить нужные навыки по кибербезопасности.
В эпоху стремительного развития информационных технологий и непростой геополитической ситуации киберугрозы превратились в оружие массового поражения. Масштабная кибератака на крупнейшего украинского оператора мобильной связи "Киевстар", оставившая без связи и доступа к интернету миллионы граждан, в очередной раз продемонстрировала, насколько уязвима критическая инфраструктура в условиях гибридной войны. Эта атака и многие другие примеры мошеннических действий хакеров показывают, что современные угрозы требуют не только оперативного реагирования, но и постоянного совершенствования мер защиты.
Филипп Охонько — высококвалифицированный специалист в области информационной безопасности. Среди его достижений — обнаружение серьезной уязвимости в одном из самых популярных браузеров в мире Firefox, презентация новой методики обнаружения уязвимостей в веб-приложениях, а также множество других значимых исследований и разработок. В интервью мы обсудили его уникальный опыт работы в кибербезопасности, участие в международных конференциях, и перспективы развития ключевых направлений в этой сфере на ближайшие годы.
— Филипп, кибербезопасность остается одной из самых динамично развивающихся сфер IT-индустрии. Как эксперт по кибербезопасности с богатым опытом разработки защитных методик и сотрудничества с крупнейшими компаниями, расскажите, как изменились основные угрозы и вызовы для компаний в последние годы?
— В последние годы основные угрозы в сфере кибербезопасности стали более сложными и целенаправленными. Мы наблюдаем рост атак, которые ориентированы на критически важные инфраструктуры и крупные организации. Основной целью этих атак является остановка работы и кража данных. Злоумышленники становятся более изощренными, используя передовые методы, такие как социальная инженерия, атаки на цепочки поставок и на облачные сервисы. Также увеличивается количество атак, связанных ransomware (прим.ред. Программами-вымогателями). С их помощью мошенники полностью парализуют бизнес и требуют выкуп за разблокировку данных.
Так как все больше компаний стали использовать облачные технологии, одним из ключевых моментов стал сдвиг в сторону обеспечения безопасности в облаке. Этот процесс требует внедрения новых подходов к защите данных и предотвращению утечек, особенно в условиях распределенных команд и удаленной работы. Помимо этого, появление ИИ открывает новые возможности для обеспечения безопасности, но в то же время создает дополнительные риски, так как злоумышленники могут использовать эти технологии в своих интересах.
— Вас включили в Hall of Fame Mozilla. Каков был процесс поиска этой уязвимости, и какие основные риски она несла для пользователей? Почему вы считаете уязвимости в браузерах одними из самых опасных для глобальной интернет-безопасности?
— Браузеры — это довольно сложный софт, который должен быть одновременно функциональными и безопасными. Браузерами ежедневно пользуются миллионы людей. Именно поэтому уязвимости в браузерах я считаю одними из самых опасных как для пользователей, так и для крупных компаний. Найти уязвимость в таком популярном софте — задача не из легких, потому что для обеспечения безопасности продуктов прилагаются огромные усилия как со стороны разработчиков, так и security-исследователей со всего мира. Процесс поиска уязвимости в браузере Firefox был весьма сложным и кропотливым. Я сосредоточился на глубоком исследовании различных компонентов браузера.
Я обнаружил уязвимость, которая была связана с неверной обработкой буфера обмена. Она могла позволить злоумышленнику внедрить вредоносный код. Достаточно было просто открыть вредоносную ссылку в браузере, и при худшем сценарии компьютер мог быть "заражен". Если такой код разместить на популярном сайте, миллионы пользователей могли бы стать жертвами атаки, даже не подозревая об этом. Браузер — это основное приложение, благодаря которому люди взаимодействуют с интернетом. Так называемый проводник в мир интернета. Если он скомпрометирован, это открывает злоумышленникам доступ к огромному количеству конфиденциальной информации: от паролей до финансовых данных. В отличие от других типов программного обеспечения, браузеры являются основным инструментом для доступа в интернет, поэтому их безопасность и защита критически важны как отдельных пользователей, так и целых компаний. Поэтому злоумышленники активно ищут уязвимости в браузерах, чтобы в дальнейшем использовать их в своих преступных целях.
— На международной конференции вы представили исследование, связанное с обходом Content Security Policy — популярного защитного механизма, который предотвращает внедрение вредоносного кода (XSS) на веб-страницах. Расскажите подробнее об этом механизме защиты и его значении.
— В веб-приложениях существуют уязвимости, называемые XSS (Cross Site Scripting или межсайтовый скриптинг). По данным лидирующей экспертной организации Open Web Application Security Project, уже много лет XSS уязвимости входят в ТОП-3 самых распространенных уязвимостей в веб-приложениях. Чтобы не вдаваться в технические подробности, лучше привести пример чем это может грозить рядовому пользователю. Возьмем стандартное начало рабочего дня сотрудника в какой-нибудь компании, который в нашем примере будет выступать в качестве жертвы. Сотрудник открывает браузер, заходит в свой почтовый ящик и видит там новое письмо от потенциального клиента. Как только сотрудник откроет письмо — к его почтовому ящику получает доступ злоумышленник, при этом жертва не переходила по ссылкам. Жертва в этом случае соблюдает все меры предосторожности и не ходит по вредоносным ссылкам, а просто открывает письмо. Именно XSS уязвимость позволяет внедрить на страницу вредоносный код. Браузер его исполнит и передаст контроль над вашим почтовым ящиком злоумышленнику. Это вполне реальный пример, так как такие уязвимости находили в Gmail, Microsoft Outlook или Yahoo Mail.
Одним из основных методов борьбы с такими уязвимостями считается внедрение защитного механизма Content Security Policy (CSP). Мое исследование показывало, что CSP, ранее считавшаяся достаточной для защиты от XSS атак, может быть неэффективной. В связи с этим я сосредоточил свои усилия на разработке новых методов обхода этого защитного механизма. В результате я создал новую методику, которая позволяет эксплуатировать XSS-уязвимости в обход CSP, а также представил инструмент CSPStealer, успешно работающий по этой методике. Его уникальность заключается в том, что на сегодняшний день другие open-source и коммерческие решения не имеют такого функционала, а все попытки поиска XSS уязвимостей будут отражены с помощью CSP.
Для меня было важно внести реальный вклад в повышение уровня безопасности веб-приложений. Также с этим исследованием я стал победителем международного в США "Cases&Faces" 2024. Инструмент "CSPStealer" активно используется специалистами в области информационной безопасности, как с атакующей стороны — профессиональными пентестерами, так и с обороняющийся стороны — сотрудниками отдела информационной безопасности.
- Ваша уникальная методика выявления Blind Stored XSS уязвимостей получила признание на международном уровне, в частности, победу на премии "Cases&Faces" 2024 в номинации "Достижение в инженерии". Расскажите, что для вас значит эта победа и как она повлияла на ваше дальнейшее развитие в сфере кибербезопасности?
- Победа на премии "Cases&Faces" 2024 стала для меня значимым событием как в профессиональном, так и личном плане. Я рад, что моя разработка была по достоинству оценена жюри. Признание моего вклада в индустрию говорит о том, что мой труд действительно имеет влияние и практическое применение для развития IT-отрасли. Это вдохновляет меня работать еще усерднее, чтобы покорять новые высоты. С уверенностью могу сказать, что подобные мероприятия помогают проверить свои силы в этой сфере и добиться успеха.
Также это мероприятие стало отличной платформой для знакомств и обмена знаниями, а победа в нем повысила мой авторитет в сообществе security-специалистов. Это очень важно, потому что это не только возможность развиваться и завоевывать награды, но и желание помогать другим расти и достигать своих целей. Я поделился своим опытом и знаниями с другими специалистами. Что самое интересное, мой опыт оказался полезным как для профессиональных пентестеров, так и для сотрудников отделов безопасности, которым важно знать о новых подходах и методах защиты. Это говорит о том, что моя разработка будет полезна большому кругу специалистов. Победа в этой премии дала мне стимул дальше двигаться вперед — не только ради себя, но и ради других.
— Вы затронули интересный момент, что специалисты в сфере кибербезопасности могут быть по разные стороны баррикад. Расскажите, как найти свое направление и с чего нужно начать путь в информационной безопасности?
— Безусловно, для начала важно освоить базовые знания в области информационных технологий. Прежде чем переходить к информационной безопасности, необходимо понимать как устроены компьютеры, как они взаимодействуют между собой и знать основные сетевые протоколы.
Далее перед вами стоит выбор, чем именно вы хотите заниматься, поскольку информационная безопасность понятие довольно широкое. Сфера информационной безопасности делится на две основных категории: наступательную и оборонительную. Например, должность Penetration Tester подразумевает наступательную деятельность, при которой вы имитируете действия злоумышленников, атакуете компанию-клиента и затем предоставляете отчет обо всех выявленных уязвимостях. С другой стороны, есть Security Engineer. Он сосредоточен на проектировании и внедрении защитных мер чтобы обеспечить безопасность компании. Но даже если ваша должность относится к оборонительной стороне, вы должны хорошо знать все методы, которыми пользуются хакеры, чтобы выстроить эффективную защиту.
Практический опыт имеет ключевое значение. Важна не только постоянная практика на разных кейсах, но и участие в профессиональных соревнованиях, конференциях. Отличной школой кибербезопасности являются соревнования Capture the Flag (CTF). Сертификации, признанные индустрией, например, такие как Offensive Security Certified Professional (OSCP), также являются хорошим источником знаний и дадут вам конкурентное преимущество при поиске работы.
Самое интересное, что практикуясь, вы уже можете зарабатывать деньги. В рамках программы вознаграждения за найденные уязвимости Bug Bounty вы можете легально применить свои навыки, искать уязвимости в различных компаниях. Существуют большое количество публичных Bug Bounty программ в различных компаниях и организациях. Компании платят специалистам за обнаружение и описание уязвимостей в их приложениях, таким образом улучшая безопасность. Я считаю это отличным способом попробовать свои силы, получить практический опыт и продемонстрировать свои достижения потенциальному работодателю.
Какие еще направления вы считаете перспективными для исследований в ближайшие годы?
Одним из ключевых направлений будет безопасность облачных технологий и контейнеров, таких как Docker и Kubernetes. С ростом их популярности увеличиваются и риски атак. Еще одно перспективное направление — защита систем, основанных на искусственном интеллекте. Злоумышленники могут пытаться манипулировать ИИ-моделями, что создаст новые угрозы.
Также актуальными остаются исследования в области блокчейна и защиты критически важных инфраструктур. Эти сферы требуют усиленной защиты, и я уверен, что в ближайшие годы они будут в центре внимания кибербезопасности.
— Какие ошибки может совершить начинающий специалист?
— Информационная безопасность — это сфера с довольно высоким порогом входа для новичков. Важно не пытаться освоить все сразу, а подходить к обучению последовательно и систематически. В противном случае можно столкнуться с выгоранием. Также стоит учитывать, что профессия требует нестандартного мышления для решения нетривиальных задач, поэтому нужно иметь большой кругозор, уметь подстраиваться под реалии и оперативно на них реагировать.
Другая популярная ошибка с возможными серьезными последствиями связана с нарушением правил Bug Bounty программы. Прежде чем приступать к поиску уязвимости, важно внимательно изучить правила конкретной компании. Например, если в процессе тестирования уязвимости вы получите доступ к чьим-то персональным данным, это может быть расценено, как нарушение закона и повлечь за собой юридическую ответственность. К сожалению, подобные случаи известны на практике. Это грозит серьезными проблемами с правоохранительными органами.
Кроме того, неопытные специалисты при тестировании могут использовать агрессивные методы, что может привести к сбоям в работе приложения. Всегда нужно отдавать отчет своим действиям и помнить, что от вашего решения может зависеть безопасность не только одного отдельного пользователя, но и крупной корпорации. Информационная безопасность — широкая сфера, в которой можно найти свое место. Главное — постоянно совершенствовать свои знания, навыки и уметь быстро реагировать на постоянно меняющиеся реалии.