«Информационная безопасность развивает IT-эрудицию»
— Проект «Кибершкола» запущен сравнительно недавно, осенью прошлого года, а обучение второго потока начинается в текущем феврале. Чем второй семестр будет отличаться от первого?
— Программа «Кибершколы» рассчитана на год, сейчас она проводится сквозным потоком, то есть темы занятий для первого и второго семестра разные. Первый семестр в основном был посвящен вопросам веб-безопасности, в ходе второго мы будем обучать анализу бинарных программ, обратной инженерии и в этом же контексте изучать интернет вещей. По теме интернета вещей в рамках второго семестра планируется сводный курс, в рамках которого участники программы проверят полученные знания и по веб-безопасности, и по бинарной уязвимости, и по криптографии и криптоанализу.
— Получается, что во втором семестре все слушатели школы будут изучать одинаковый набор дисциплин?
— Да, учащиеся второго семестра начнут обучение с новых тем, но предыдущий материал им будет также доступен. При желании в свободное время они могут его изучить. В первый поток был отобран 131 участник. Занятия проводились с октября по январь и были посвящены исследованию безопасности веб-сайтов, мобильных приложений и программных платформ. Это самые актуальные темы, потому что веб-приложения применяются повсеместно: с их помощью в настоящее время обрабатываются и хранятся персональные данные, а также сведения о финансовых операциях, внутреннем и внешнем взаимодействии компаний. Количество поступивших в «Кибершколу» в результате второго набора мы определим по результатам выполнения отборочных заданий.
— Какие знания и навыки кандидатов на обучение в «Кибершколе» вы проверяете?
— Наша задача — сразу же выделить тех, кто уже знаком с темой обратной инженерии. На базовом уровне участники проекта должны уметь программировать более чем на одном языке. Желательно, чтобы это были Python и C. Несмотря на то что вначале мы даем вводный курс языка С, слушателям «Кибершколы» важно уже иметь опыт изучения нескольких языков, это значительно облегчит им освоение программы.
— Расскажите, пожалуйста, об изначальных целях вашего проекта. Ваша задача — найти абитуриентов для профильных программ?
— Мы хотели понять, имеет ли смысл использовать подобные программы для учащихся школ. Очевидно, что студентам первых курсов тема информационной безопасности интересна, но для них уже разработано немало программ в федеральных вузах. А вот интерес к этой теме со стороны школьников мы увидели в ходе соревнований формата CTF, ежегодно проводимых на базе МГУ с 2014 года, и решили проверить, насколько наша программа пригодна для данной аудитории. Подготовка специалистов высокого уровня требует как можно более раннего вовлечения. Поэтому мы предлагаем участие в «Кибершколе» не только студентам, но и школьникам.
— Как родилась идея запустить проект «Кибершкола МГУ»?
— С инициативой создания «Кибершколы МГУ» мы обратились в негосударственный институт развития «Иннопрактика». Наш проект был отобран рабочей группой, затем состоялась очная презентация проекта перед участниками комиссии по проектам развития, за которой последовало решение о поддержке «Кибершколы МГУ». Цели проекта во многом совпадают с миссией «Иннопрактики», среди них — создание кадровой базы специалистов, вовлечение старшеклассников, а в дальнейшем возможное тиражирование опыта образовательной программы в регионы России.
— Какие возможности для развития появятся у выпускников «Кибершколы»?
— Они смогут выбирать соответствующие программы в вузах, например у нас на ВМК. Часть выпускников сможет пройти стажировку в компаниях, выступающих партнерами нашего проекта: ПАО «Сбербанк», «Лаборатория Касперского», «Ростелеком-Солар». При этом у Сбербанка, например, есть своя программа по привлечению школьников на стажировку, «Ростелеком-Солар» проводит для одаренных школьников обучающие программы по кибербезопасности на базе «Сириуса», а в «Лаборатории Касперского» работает программа стажировок SafeBoard — так что тут имеет место синергия «Кибершколы МГУ» и инициатив самих компаний.
— Будет ли полезна «Кибершкола» студентам-программистам, которые не собираются работать в области информационной безопасности?
— Конечно, ведь информационная безопасность развивает IT-эрудицию. Выпускникам «Кибершколы», которые станут, например, разработчиками, будет очень полезно знать типовые ошибки, приводящие к появлению уязвимостей в программах, чтобы не допускать их.
— Вы упомянули соревнования CTF для школьников. Расскажите, пожалуйста, о них поподробнее.
— Это особый формат соревнований, хорошо зарекомендовавший себя именно в области информационной безопасности. CTF — аббревиатура от английского Capture the flag, переводится на русский как «Борьба за флаг». Фактически это игра типа «Зарницы», а суть проекции данного подхода на сферу кибербезопасности состоит в том, что «флагом» становится решение задачи или метка в уязвимой программе соперников.
Есть два варианта таких соревнований. В рамках первого варианта организаторы готовят для команд пул задач. Чтобы стать победителем, нужно набрать наибольшее количество баллов за свои решения. В рамках второго варианта команды соревнуются в защите предоставленных им программ и сервисов, а также в нападении на сервисы соперников.
Баллы начисляются с учетом того, как участники нападают на чужие программы, выстраивают собственную защиту и на протяжении соревнования обеспечивают доступ к своим сервисам. В последние годы наиболее важным становится третий критерий, а именно то, как команды справляются с обеспечением доступности своих сервисов для «пользователей», роль которых на соревнованиях берет на себя проверяющая система.
— Преподавателями «Кибершколы» выступают представители одной из сильнейших мировых команд в области информационной безопасности — CTF Bushwhackers. Как возникла идея создать такую студенческую команду и какой путь она прошла за 10 лет?
— В России первые команды по CTF возникли в 2007–2008 годах, например HackerDom на базе УрГУ, а также команды из Челябинска и Томска. Однажды, находясь на зарубежной конференции, я познакомился с представителями одной из немецких команд. Они рассказали об участии в организованном российскими командами увлекательном онлайн-соревновании (речь идет о соревнованиях RuCTFe 2009 года — Indicator.Ru). Я почитал про это, заинтересовался и решил собрать свою команду. Уже в начале следующего года мы попробовали поучаствовать в первых соревнованиях, и в том же году заняли второе место на конкурсе Deutsche Post Security Cup на взлом их онлайн-сервиса, по которому пользователи могли отслеживать свои физические почтовые отправления. Ребята съездили в Германию на церемонию награждения. Так все и началось. За десять лет через команду прошло около 100 студентов. Сейчас в командных чатах состоит несколько десятков человек, постоянно играют 20–30. Как правило, в одном соревновании очно участвуют три — четыре человека, но когда разрешается прибегнуть к удаленной помощи товарищей по команде, мы пользуемся этим. Вообще, с составом команды нам повезло: удается поддерживать преемственность, капитаны сменяют друг друга редко, «старички» учат новичков, и обновление состава происходит постепенно.
— Как слушатели «Кибершколы» смогут попробовать себя в CTF?
— Некоторые из пришедших на программу уже участвовали в соревнованиях. В течение первого семестра нашего проекта в России проводилось несколько актуальных для школьников состязаний. Например, олимпиада НТИ, олимпиады разных вузов. Команды из «Кибершколы» участвовали в них. Следующие соревнования планируются весной.
— Какую роль играют CTF-соревнования в профессиональном развитии? И где их участники находят себя, всегда ли это сфера информационной безопасности?
— Участники CTF-соревнований действительно чаще всего находят себя именно в этой области. В основном все они работают в России: в «Лаборатории Касперского», Mail.ru, Qiwi, «Яндексе». Некоторые члены команды, например все ее капитаны, остались у нас в аспирантуре и занялись исследовательскими проектами.
— По каким темам ведет исследовательские проекты ваша лаборатория? И какова степень разделения исследований и прикладных проектов в вашей области?
— Разделить их сложно. Кибербезопасность как прикладная наука подразумевает проекты, которые в итоге должны иметь практическое применение. Так что исследовательские проекты все равно прикладные. Мы много лет занимаемся обнаружением компьютерных атак, то есть защитой от них различных систем и приложений. Сейчас одно из наших ключевых направлений — защита веб-приложений. Тут есть два аспекта: обнаружение атак и обнаружение уязвимостей, то есть опасных ошибок. Периодически мы проводим и исследования по обнаружению вредоносных приложений, например для Android, анализ блокчейн-протоколов и вообще криптографических протоколов.
— Быстро ли меняются типы угроз, от которых приходится защищаться, и сфера информационной безопасности в целом?
— Скорость изменений не очень большая. За пять лет работы лаборатории появилось не так уж много новшеств. А вот перемены за десять лет заметны: раньше внешних заказчиков больше интересовали атаки на сети и сетевые приложения вообще, без разделения на типы, а сейчас акцент на веб-приложения. Их много, они всегда связаны с интернетом, и в них больше уязвимостей. На это сильно влияет всеобщая цифровизация, перевод многих процессов в режим онлайн. Фактически все новые онлайн-приложения построены на стеке веб-технологий. Это существенная смена фокуса. Отдельные новшества отражают то, как в целом меняется технологический ландшафт. Например, в последние годы стали чаще появляться блокчейн-стартапы.
— Насколько обоснованной является уверенность в защищенности блокчейн-систем?
— Стоит разделять защищенность системы в целом и защищенность пользователя. Например, в криптовалютной системе или системе платежей подделать транзакции действительно сложно. Всерьез рассматривать сценарий атаки на всю систему не приходится — настолько плохо реализованных систем я видел мало. Но вот что касается пользователя — человека, у которого есть кошелек, доступный через онлайн-сервис, то его защита не так надежна. С этой стороны блокчейн-системы — такие же приложения, как и любые другие. Имеющаяся у нас статистика по их уязвимости существенно не отличается: если приложение реализовано плохо, пользователи уязвимы для хакерских атак. Сама блокчейн-система при этом никак не затронута, а средствами клиента распоряжается кто-то другой.
— Возможна ли стопроцентная защита от кибератак?
— По-видимому, нет. К тому же конечный пользователь никак не может проверить степень безопасности приложения, которым хотел бы воспользоваться. Такая проверка — задача специального тестирования, причем проводимого не одним специалистом, а группой людей, потому что существует слишком много вариантов ошибок и на всех платформах есть свои нюансы. Так что каждый раз приходится проводить анализ заново.
— А как специалисты по информационной безопасности обращаются с собственными гаджетами и приложениями?
— Единого свода правил, соблюдение которого гарантировало бы стопроцентную защиту, нет. Нужно смотреть на рейтинги приложений и не устанавливать сомнительные «мусорные» программы на тот смартфон, на котором вы пользуетесь онлайн-банком. Игры или файловые менеджеры могут нести с собой вредоносную функциональность. Вообще нельзя пренебрегать общей гигиеной работы со всеми устройствами (не только с телефоном) и с информацией. Допустим, человек выкладывает все сведения о себе в социальную сеть. Ни у кого ведь нет обязательств охранять эту информацию, поэтому тут безопасность уже не зависит от уязвимости приложений.
Понравился материал? Добавьте Indicator.Ru в «Мои источники» Яндекс.Новостей и читайте нас чаще.
Подписывайтесь на Indicator.Ru в соцсетях: Facebook, ВКонтакте, Twitter, Telegram, Одноклассники.