«Информационная безопасность развивает IT-эрудицию»

О «борьбе за флаг» данных

Sussex University/Pixnio/Indicator.Ru

До 9 февраля как студенты первых курсов вузов, так и старшеклассники могут подать заявку на стартующий при поддержке негосударственного института развития «Иннопрактика» на факультете вычислительной математики и кибернетики МГУ имени М. В. Ломоносова второй набор «Кибершколы МГУ». Как и для кого построена ее программа, чем программисты заменили «Зарницу» и есть ли «правила гигиены» для веб-приложений, в интервью Indicator.Ru рассказал руководитель проекта, заведующий лабораторией интеллектуальных систем кибербезопасности ВМК Денис Гамаюнов.

Проект «Кибершкола» запущен сравнительно недавно, осенью прошлого года, а обучение второго потока начинается в текущем феврале. Чем второй семестр будет отличаться от первого?

— Программа «Кибершколы» рассчитана на год, сейчас она проводится сквозным потоком, то есть темы занятий для первого и второго семестра разные. Первый семестр в основном был посвящен вопросам веб-безопасности, в ходе второго мы будем обучать анализу бинарных программ, обратной инженерии и в этом же контексте изучать интернет вещей. По теме интернета вещей в рамках второго семестра планируется сводный курс, в рамках которого участники программы проверят полученные знания и по веб-безопасности, и по бинарной уязвимости, и по криптографии и криптоанализу.

— Получается, что во втором семестре все слушатели школы будут изучать одинаковый набор дисциплин?

— Да, учащиеся второго семестра начнут обучение с новых тем, но предыдущий материал им будет также доступен. При желании в свободное время они могут его изучить. В первый поток был отобран 131 участник. Занятия проводились с октября по январь и были посвящены исследованию безопасности веб-сайтов, мобильных приложений и программных платформ. Это самые актуальные темы, потому что веб-приложения применяются повсеместно: с их помощью в настоящее время обрабатываются и хранятся персональные данные, а также сведения о финансовых операциях, внутреннем и внешнем взаимодействии компаний. Количество поступивших в «Кибершколу» в результате второго набора мы определим по результатам выполнения отборочных заданий.

— Какие знания и навыки кандидатов на обучение в «Кибершколе» вы проверяете?

— Наша задача — сразу же выделить тех, кто уже знаком с темой обратной инженерии. На базовом уровне участники проекта должны уметь программировать более чем на одном языке. Желательно, чтобы это были Python и C. Несмотря на то что вначале мы даем вводный курс языка С, слушателям «Кибершколы» важно уже иметь опыт изучения нескольких языков, это значительно облегчит им освоение программы.

— Расскажите, пожалуйста, об изначальных целях вашего проекта. Ваша задача — найти абитуриентов для профильных программ?

— Мы хотели понять, имеет ли смысл использовать подобные программы для учащихся школ. Очевидно, что студентам первых курсов тема информационной безопасности интересна, но для них уже разработано немало программ в федеральных вузах. А вот интерес к этой теме со стороны школьников мы увидели в ходе соревнований формата CTF, ежегодно проводимых на базе МГУ с 2014 года, и решили проверить, насколько наша программа пригодна для данной аудитории. Подготовка специалистов высокого уровня требует как можно более раннего вовлечения. Поэтому мы предлагаем участие в «Кибершколе» не только студентам, но и школьникам.

— Как родилась идея запустить проект «Кибершкола МГУ»?

— С инициативой создания «Кибершколы МГУ» мы обратились в негосударственный институт развития «Иннопрактика». Наш проект был отобран рабочей группой, затем состоялась очная презентация проекта перед участниками комиссии по проектам развития, за которой последовало решение о поддержке «Кибершколы МГУ». Цели проекта во многом совпадают с миссией «Иннопрактики», среди них — создание кадровой базы специалистов, вовлечение старшеклассников, а в дальнейшем возможное тиражирование опыта образовательной программы в регионы России.

— Какие возможности для развития появятся у выпускников «Кибершколы»?

— Они смогут выбирать соответствующие программы в вузах, например у нас на ВМК. Часть выпускников сможет пройти стажировку в компаниях, выступающих партнерами нашего проекта: ПАО «Сбербанк», «Лаборатория Касперского», «Ростелеком-Солар». При этом у Сбербанка, например, есть своя программа по привлечению школьников на стажировку, «Ростелеком-Солар» проводит для одаренных школьников обучающие программы по кибербезопасности на базе «Сириуса», а в «Лаборатории Касперского» работает программа стажировок SafeBoard — так что тут имеет место синергия «Кибершколы МГУ» и инициатив самих компаний.

— Будет ли полезна «Кибершкола» студентам-программистам, которые не собираются работать в области информационной безопасности?

— Конечно, ведь информационная безопасность развивает IT-эрудицию. Выпускникам «Кибершколы», которые станут, например, разработчиками, будет очень полезно знать типовые ошибки, приводящие к появлению уязвимостей в программах, чтобы не допускать их.

— Вы упомянули соревнования CTF для школьников. Расскажите, пожалуйста, о них поподробнее.

— Это особый формат соревнований, хорошо зарекомендовавший себя именно в области информационной безопасности. CTF — аббревиатура от английского Capture the flag, переводится на русский как «Борьба за флаг». Фактически это игра типа «Зарницы», а суть проекции данного подхода на сферу кибербезопасности состоит в том, что «флагом» становится решение задачи или метка в уязвимой программе соперников.

Есть два варианта таких соревнований. В рамках первого варианта организаторы готовят для команд пул задач. Чтобы стать победителем, нужно набрать наибольшее количество баллов за свои решения. В рамках второго варианта команды соревнуются в защите предоставленных им программ и сервисов, а также в нападении на сервисы соперников.

Баллы начисляются с учетом того, как участники нападают на чужие программы, выстраивают собственную защиту и на протяжении соревнования обеспечивают доступ к своим сервисам. В последние годы наиболее важным становится третий критерий, а именно то, как команды справляются с обеспечением доступности своих сервисов для «пользователей», роль которых на соревнованиях берет на себя проверяющая система.

— Преподавателями «Кибершколы» выступают представители одной из сильнейших мировых команд в области информационной безопасности — CTF Bushwhackers. Как возникла идея создать такую студенческую команду и какой путь она прошла за 10 лет?

— В России первые команды по CTF возникли в 2007–2008 годах, например HackerDom на базе УрГУ, а также команды из Челябинска и Томска. Однажды, находясь на зарубежной конференции, я познакомился с представителями одной из немецких команд. Они рассказали об участии в организованном российскими командами увлекательном онлайн-соревновании (речь идет о соревнованиях RuCTFe 2009 года — Indicator.Ru). Я почитал про это, заинтересовался и решил собрать свою команду. Уже в начале следующего года мы попробовали поучаствовать в первых соревнованиях, и в том же году заняли второе место на конкурсе Deutsche Post Security Cup на взлом их онлайн-сервиса, по которому пользователи могли отслеживать свои физические почтовые отправления. Ребята съездили в Германию на церемонию награждения. Так все и началось. За десять лет через команду прошло около 100 студентов. Сейчас в командных чатах состоит несколько десятков человек, постоянно играют 20–30. Как правило, в одном соревновании очно участвуют три — четыре человека, но когда разрешается прибегнуть к удаленной помощи товарищей по команде, мы пользуемся этим. Вообще, с составом команды нам повезло: удается поддерживать преемственность, капитаны сменяют друг друга редко, «старички» учат новичков, и обновление состава происходит постепенно.

— Как слушатели «Кибершколы» смогут попробовать себя в CTF?

— Некоторые из пришедших на программу уже участвовали в соревнованиях. В течение первого семестра нашего проекта в России проводилось несколько актуальных для школьников состязаний. Например, олимпиада НТИ, олимпиады разных вузов. Команды из «Кибершколы» участвовали в них. Следующие соревнования планируются весной.

— Какую роль играют CTF-соревнования в профессиональном развитии? И где их участники находят себя, всегда ли это сфера информационной безопасности?

— Участники CTF-соревнований действительно чаще всего находят себя именно в этой области. В основном все они работают в России: в «Лаборатории Касперского», Mail.ru, Qiwi, «Яндексе». Некоторые члены команды, например все ее капитаны, остались у нас в аспирантуре и занялись исследовательскими проектами.

— По каким темам ведет исследовательские проекты ваша лаборатория? И какова степень разделения исследований и прикладных проектов в вашей области?

— Разделить их сложно. Кибербезопасность как прикладная наука подразумевает проекты, которые в итоге должны иметь практическое применение. Так что исследовательские проекты все равно прикладные. Мы много лет занимаемся обнаружением компьютерных атак, то есть защитой от них различных систем и приложений. Сейчас одно из наших ключевых направлений — защита веб-приложений. Тут есть два аспекта: обнаружение атак и обнаружение уязвимостей, то есть опасных ошибок. Периодически мы проводим и исследования по обнаружению вредоносных приложений, например для Android, анализ блокчейн-протоколов и вообще криптографических протоколов.

— Быстро ли меняются типы угроз, от которых приходится защищаться, и сфера информационной безопасности в целом?

— Скорость изменений не очень большая. За пять лет работы лаборатории появилось не так уж много новшеств. А вот перемены за десять лет заметны: раньше внешних заказчиков больше интересовали атаки на сети и сетевые приложения вообще, без разделения на типы, а сейчас акцент на веб-приложения. Их много, они всегда связаны с интернетом, и в них больше уязвимостей. На это сильно влияет всеобщая цифровизация, перевод многих процессов в режим онлайн. Фактически все новые онлайн-приложения построены на стеке веб-технологий. Это существенная смена фокуса. Отдельные новшества отражают то, как в целом меняется технологический ландшафт. Например, в последние годы стали чаще появляться блокчейн-стартапы.

— Насколько обоснованной является уверенность в защищенности блокчейн-систем?

— Стоит разделять защищенность системы в целом и защищенность пользователя. Например, в криптовалютной системе или системе платежей подделать транзакции действительно сложно. Всерьез рассматривать сценарий атаки на всю систему не приходится — настолько плохо реализованных систем я видел мало. Но вот что касается пользователя — человека, у которого есть кошелек, доступный через онлайн-сервис, то его защита не так надежна. С этой стороны блокчейн-системы — такие же приложения, как и любые другие. Имеющаяся у нас статистика по их уязвимости существенно не отличается: если приложение реализовано плохо, пользователи уязвимы для хакерских атак. Сама блокчейн-система при этом никак не затронута, а средствами клиента распоряжается кто-то другой.

— Возможна ли стопроцентная защита от кибератак?

— По-видимому, нет. К тому же конечный пользователь никак не может проверить степень безопасности приложения, которым хотел бы воспользоваться. Такая проверка — задача специального тестирования, причем проводимого не одним специалистом, а группой людей, потому что существует слишком много вариантов ошибок и на всех платформах есть свои нюансы. Так что каждый раз приходится проводить анализ заново.

— А как специалисты по информационной безопасности обращаются с собственными гаджетами и приложениями?

— Единого свода правил, соблюдение которого гарантировало бы стопроцентную защиту, нет. Нужно смотреть на рейтинги приложений и не устанавливать сомнительные «мусорные» программы на тот смартфон, на котором вы пользуетесь онлайн-банком. Игры или файловые менеджеры могут нести с собой вредоносную функциональность. Вообще нельзя пренебрегать общей гигиеной работы со всеми устройствами (не только с телефоном) и с информацией. Допустим, человек выкладывает все сведения о себе в социальную сеть. Ни у кого ведь нет обязательств охранять эту информацию, поэтому тут безопасность уже не зависит от уязвимости приложений.

Понравился материал? Добавьте Indicator.Ru в «Мои источники» Яндекс.Новостей и читайте нас чаще.

Подписывайтесь на Indicator.Ru в соцсетях: Facebook, ВКонтакте, Twitter, Telegram, Одноклассники.