Работа специалиста по информационной безопасности (ИБ) начинается с того, что ему приходит сообщение: «Нужно оценить состояние проекта, который мы планируем выпустить». Тогда специалисты ИБ начинают с разных сторон его исследовать: проверять настройки безопасности, изучать архитектуру, читать документацию, смотреть исходный код и искать уязвимости.
Одним из самых распространенных методов оценки безопасности информационных систем являются тесты на проникновение (penetration testing) — это когда специалист пытается взломать систему, используя все методы и инструменты, которыми обычно пользуются хакеры. По сути, это легальный взлом. Такие тесты позволяют выявить все известные уязвимости, через которые хакер потенциально может взломать систему и нанести ущерб бизнесу. На основании всей полученной информации и проведённого тестирования специалисты ИБ могут сказать, какие решения являются неправильными и что нужно изменить. Например, самое простое правило: нельзя передавать логины и пароли через незашифрованную сеть. К пожеланиям службы ИБ прислушиваются, программисты и администраторы вносят изменения, и в итоге получается крепкий и надежный продукт.
В первую очередь нужно досконально знать, как работают и как устроены сети, протоколы TCP/IP и операционные системы. Языки программирования нужны, чтобы обрабатывать большие массивы данных (например, анализировать лог-файлы) и писать свои утилиты для защиты. Знание низкоуровневых языков, таких как «Си» или «Ассемблер», даёт ощутимые преимущества, так как позволяет понимать, как устроена система на самом низком уровне и, соответственно, выстраивать правильную линию защиты (или взлома). Также необходимо знание целого ряда специфических инструментов и систем обнаружения вторжений, таких как сканеры уязвимостей, сетей и портов (например, nmap). Существуют даже специальные «хакерские» сборки операционных систем, которые включают в себя полный набор инструментов для взлома как «белого», так и «черного».
В работе специалиста ИБ также очень важны опыт, настойчивость, удача и знание о том, как устроена работа той или иной системы изнутри. Человек, у которого есть такая информация, может взломать систему, не имея ни опыта, ни терпения, ни удачи. Либо, наоборот, взломать ее, не имея ничего, кроме терпения. По сути, все эти четыре момента объединяет одно: интерес. Если у вас нет интереса ко взлому и нет желания копаться в сети, вам ничего не поможет.
В университетах можно получить в основном теоретические знания, поэтому выпускники профильных факультетов часто являются только теоретиками, «бумажными специалистами». Проблема российского образования в сфере ИБ заключается в том, что здесь до сих пор действуют старые программы: студенты изучают, например, «Оранжевую книгу» — американский набор стандартов 1990 года. Преподают здесь зачастую люди старше 50 лет, которые уже «не в теме». Поэтому специалистам в области ИБ приходится постоянно заниматься самообразованием, получать практические навыки и обновлять свои знания.
Книга немного нудная, но обладающая хорошим системным подходом к тому, как правильно «хакать» веб-приложения с максимальным покрытием, чтобы ничего не забыть. По словам специалистов, максимально полезное издание.
Лучшей книгой по веб-безопасности профессионалы также считают The Tangled Web Михаила Залевского. Это настоящая выжимка информации о том, как устроен веб.
В сфере ИБ очень популярны соревнования CTF (Capture the Flag). Они бывают командными и одиночными; организаторы дают игрокам задание: найти в системе уязвимость, через которую они получают доступ к данным и находят «флаг». За каждый захваченный «флаг» игроку дают очки. Профессионалы говорят, что это отличный способ улучшить свои навыки, ведь задания в рамках соревнований CTF бывают очень разными, а это учит искать и решать проблемы и развивает каждого участника как программиста. Школьные CTF, в частности, проводит МГУ.
Считается, что Кевин Митник «хакал» людей, убеждая выдать ему пароль, но многие профессионалы уверены в том, что Митник был ещё и хорошим программистом. Однажды, в середине 90-х, он взломал программное обеспечение «соты» (вышки мобильного оператора) и видоизменил код таким образом, что когда к ней подъезжали агенты ФБР с определенными телефонными номерами, сота посылала ему сообщение. Сейчас, когда в интернете можно найти практически любую информацию, это не кажется сложной задачей. Но в середине 90-х различия между операционными системами были очень большими, а интернета в нынешнем понимании не было вовсе. До многих вещей приходилось доходить самому, при этом часто не имея документации. Документация к различным системам в то время являлась своеобразной валютой (как сейчас — эксплойты). Имея документацию о какой-либо системе, человек мог поменяться ею с другим хакером.
Многим Джулиан Ассанж известен в связи с крупными политическими скандалами. На рубеже 80-90-х годов Джулиан Ассандж был знаменитым хакером: писал софт, занимался исследованиями и придумал много интересных вещей — например, утилиту strobe для сканирования сетей.
Так называлась группа австралийских хакеров в конце 80-х. Это были три хакера, которые взломали множество разных систем, в том числе ключевые серверы, которые обслуживали интернет в тот момент. У них был доступ к телефонным компаниям всего мира: телефонные сети соединены между собой, чтобы человек из Москвы, например, мог позвонить в США, и эти хакеры могли лишить целую страну международной телефонной связи.
Сегодня самые профессиональные хакеры остаются в тени, а о самых интересных случаях взлома практически никто не знает. Крупным компаниям, банкам и правительственным учреждениям крайне невыгодно распространять информацию о том, что они потеряли деньги клиентов или другую важную информацию, поэтому факты взлома часто просто скрываются.
Известные сегодня хакерские группировки, такие как Lizard Squad и Anonymous, — это в основном достаточно «школьный» уровень: с технической точки зрения эти ребята не очень хорошо подкованы и часто пользуются методами социальной инженерии. Про группу «Шалтай-Болтай», участники которой взломали Twitter-аккаунт Дмитрия Медведева, трудно сказать что-то определенное, но с технической точки зрения эта попытка взлома была не очень сложной: скорее всего, это был троян или вирус, который попал на телефон или компьютер премьер-министра.