Что такое информационная безопасность
Узнать больше про отрасль корреспонденту портала Om1.ru помогли аспирант факультета информационных технологий НГУ Роман Лебедев и выпускник бакалавриата и магистратуры Александр Ткачёв. Парни увлекаются этой сферой давно. В сентябре 2022 года они выступили в составе команды НГУ Zorro.PAS и выиграли престижные международные открытые соревнования в области информационной безопасности VolgaCTF 2022 FINAL.
Чем вы занимаетесь? Работаете ли по специальности?
Роман: Я предприниматель, но ещё параллельно преподаю годовой курс на факультете информационных технологий. Он называется «Практическая информационная безопасность» и ориентирован на студентов, которым интересна эта сфера и подготовка к соревнованиям по кибербезопасности.
Александр: Я работаю программистом в игровой индустрии. Мне всегда нравились игры, но в какой-то момент захотелось делать их самому. Меня также интересуют различные технологии. И разработка игр как раз где-то на пересечении этих интересов и находится.
Расскажите, что вообще такое информационная безопасность?
Роман: Это комплекс мер, который позволяет не допустить ошибок в программном обеспечении и в различных системах, защищает от атак и взломов хакеров.
Популярна ли сейчас эта сфера и развивается ли она?
Александр: Лично мне работать в этой отрасли не очень интересно, в том числе из-за бюрократической её стороны. Слышал мнение, что платят не очень хорошо. Речь в основном шла о компаниях, которые специализируются на информационной безопасности — разрабатывают системы защиты, проводят аудит.
Но вопрос безопасности актуальный, поэтому во всех крупных IT-компаниях есть свой специализированный отдел. Думаю, в таких фирмах эти должности довольно высокооплачиваемые. Однако спектр задач там несколько иной — нужно следить за данными бизнеса и эффективно применять существующие решения, нежели исследовать, как устроен какой-то новый вирус.
С каждым годом всё больше людей пользуются интернетом, растёт и число мошенников. Вопрос становится более насущным. Но развивает ли это саму сферу? Наверное, только косвенно: больше людей начинают этим интересоваться, и потому исследуют новые направления атаки или защиты. Но поскольку сфера специфичная, мне кажется, специалистов в ней всегда будет меньше, чем нужно для по-настоящему интенсивного развития.
Роман: Судя по тому, сколько обычно платят в отрасли, скорее всего, пик её развития ещё далеко впереди. Зарплатное предложение пока хромает. Начинающий веб-программист получает в среднем столько же, сколько уже нормальный специалист-безопасник. При этом сроки обучения несопоставимы.
Но в целом в России эта сфера развивается. У нас есть такие мощные компании как Positive Technologies, BI.ZONE, «Лаборатория Касперского». У них есть всякие комплексы для предотвращения вторжений, которые могут составить конкуренцию иностранным. В этом плане в нашей стране всё неплохо, как по мне.
Кибербезопасность пригождается в обыденной жизни? Что-то становится проще?
Роман: Могу вспомнить случай. Microsoft Windows часто делает много обновлений, и некоторые из них очень масштабные. В одной из версий сломали переключение клавиш для смены языка. При нажатии раскладки на экране обычно ничего не появляется, а вот после одного из обновлений стало всплывать окошко со списком языков. Оно меня дико раздражало каждый раз. Я использовал свой навык: в системной библиотеке убрал эту функцию. Такие фокусы помогают чинить криво разработанный софт.
Александр: В обыденной жизни, скорее, случается небольшая профдеформация и, может быть, такая лёгкая паранойя: тут сайт какой-то подозрительный, тут телефон зачем-то просят, тут я лучше не буду лишние данные о себе писать. Но и проще тоже становится: не попадаешься на какие-то мошеннические схемы. Если что-то не работает на сайте или в программе ошибка, то можешь легко догадаться, почему это происходит и что нужно сделать. Для тебя это может быть очевидно, а другой человек в этом месте застрял бы.
Хакер не всегда плохой
Хакеры тоже развиваются вслед за IT?
Роман: Всё идёт своим чередом. Всякие меры защиты совершенствуются, но и хакеры придумывают что-то новое. Насколько мне известно, сейчас китайские хакеры более успешны. Для такого дела требуется изрядная доля трудолюбия, а не просто красивые решения.
Какова основная цель хакеров? Они создают компьютерные вирусы?
Роман: Из самого популярного — уточнить данные и зашифровать их, а затем грозить опубликовать или удалить, вымогая деньги. Кто-то, конечно, любит видеть мир в огне и просто публикует базы в общественный доступ или продаёт их. Взламывают аккаунты, чтобы рассылать друзьям просьбы скинуть деньги. Раньше это была частая схема. Кто-то создаёт вирусы, но это не так популярно. Из самых классических — майнер (программа для скрытого майнинга, которая использует вычислительные мощности устройства пользователя с целью добычи криптовалюты, — прим. Om1.ru).
Правда, что хакер — не всегда злостный мошенник?
Александр: Под словом «хакер» люди обычно имеют в виду злоумышленников, однако на самом деле оно означает примерно то же, что и «гик». Хакер — это человек, которому интересно разобраться, как что-то устроено, и придумать какой-то хитрый способ с этим взаимодействовать. На сленге информационной безопасности злоумышленников обычно называют black hat. Тех, кто занимается исследованием в своё удовольствие или работает в компаниях, — white hat.
Я думаю, этим и привлекает CTF — это такие «соревнования хакеров», где нужно разбираться в реальных технологиях, искать в них неочевидные места, лазейки, уязвимости, и делать это быстрее соперников.
CTF-соревнования напрямую связаны с информационной безопасностью. Многие компании ищут себе новых сотрудников среди участников, но всё же эта игра. Участвовать в CTF интересно, а вот работать в информационной безопасности — не очень.
Как проходят соревнования по кибербезопасности
Почему участвуете в соревнованиях именно в этой сфере, а не в киберспорте, к примеру?
Александр: В школе я участвовал в олимпиадах по программированию, и на первом курсе НГУ также пошёл в кружок, где ребята тренируются и участвуют в разных олимпиадах. Там я познакомился с капитаном нашей команды Романом Лебедевым, который уже знал о CTF-соревнованиях. Он рассказывал интересные истории, и в какой-то момент позвал меня поучаствовать с ними.
Что такое CTF-соревнования? Как они проходят?
Роман: Начались они с американской конференции по кибербезопасности DEF CON в 1993 году, там провели первые CTF-соревнования. Расшифровка аббревиатуры — Сapture the Flag или, по-русски, «Захват флага». Это понятие пошло от детских игр, когда нужно физически забрать флаг у команды-соперника. Здесь аналогично, но по сети.
Александр: Каждая команда зарабатывает баллы, и побеждает та, которая набрала больше всех к концу соревнования. Иногда победа даже награждается — денежным или материальным призом или, например, возможностью поучаствовать в финале. Но для многих участников интересен и сам процесс. В CTF поощряется поиск нестандартных решений.
Роман: Первые соревнования принадлежали жанру Attack-Defense (атака-защита). У вас в наличии локальная сеть, в которой состоят компьютеры участников. Всем раздают одинаковый набор сервисов, какую-то программу или сайт. Например, вам дадут профиль «ВКонтакте». Он у вас развёрнут, и вы следите, чтобы система работала корректно. При этом есть проверяющая система, которая имитирует пользователей. Они высылают друг другу что-то ценное.
Предполагается, что в диалог людей никто не должен подглядывать. А в этих сообщениях, например, содержатся те самые флаги. Они выглядят как уникальные сообщения, которые можно сразу узнать. Например, слово DEF CON, фигурные скобки, случайные буквы. Сразу понятно, что это оно самое.
В этих сервисах есть уязвимости, и команды могут их находить, взламывать, атаковать, чтобы забрать данные и сдать их проверяющей системе. За это как раз начисляют баллы. Если никто не утащил за какое-то время флаг, то считается, что сервис безопасен, за это тоже начисляют баллы.
Есть ещё жанр Jeopardy. Это вроде «Своей игры». Например, есть сервер, и нужно взломать сайт или собрать данные. Множество команд заходят, выполняют задания и после получают баллы. Мне нравится такой формат, потому что он прост в проведении, задачи нужно решать с умом. Также встречаются новые уязвимости, поэтому всегда интересно участвовать в таких соревнованиях. Там можно многому обучиться.
Есть ли какая-то зрелищность у CTF-соревнований? Походят ли они в этом плане на киберспорт, или это больше интеллектуальная штука?
Александр: Зрелищность, на самом деле, довольно низкая. Жанр Attack-Defence проходит более динамично. Если соревнования проходят офлайн, а команды равны по умениям, то место адреналину и нервозности обязательно находится! На киберспорт не похоже, в том смысле что стороннему наблюдателю вряд ли будет интересно за соревнованиями наблюдать. В реальности просто сидят команды, уткнувшись в мониторы, в «виртуальности» существует только табличка да визуализация. Транслировать экраны участников не принято, да и там обычно нет ничего такого интересного. То есть сложно сделать это интересным для зрителей.
Роман: Из зрелищности традиционным можно назвать крик на тиммейта (член той же команды — прим. Om1.ru). А так согласен, не особо зрелищно. Для участников есть, конечно, моменты напряжённые. Всегда интересно, как новая атака зайдёт. Есть приятные ощущения при решении задач, как от разгаданной загадки.
Важен ли командный дух в CTF?
Александр: Да, потому что без него ребята могут сдаться раньше времени и просто перестать активно участвовать в соревновании, где было ещё не всё потеряно.
Какие навыки развивает участие в соревнованиях?
Роман: Быстрое обучение. Задачи на соревнованиях могут написать на странном языке программирования, с которым участники в жизни не встречались. Вы должны быстро найти информацию и научиться основам этого языка или базы данных. Рассмотреть, какие атаки бывают, всё на время. Это развивает быстрое обучение.
CTF могут как-то помочь в профессиональном плане?
Роман: Участвуя в CTF, ты обучаешься сразу многим вещам и становишься более востребованным специалистом. Это один из больших плюсов. Команда приобретает таким образом репутацию либо зарабатывает её для университета. Чаще это студенческие соревнования, после которых можно подавать ходатайства на стипендии. Победа в таких вещах помогает. Если вас угораздит устроиться на работу безопасником, то победы на CTF тоже котируются.
Существуют индивидуальные соревнования, где можно получить значимые денежные призы. Недавно подобные проводил Яндекс, где я занял второе место. Там приз был 50 тысяч рублей. Есть ещё олимпиада «Я — профессионал», там призы просто огромные — 300 тысяч за первое место. Так что есть и финансовая мотивация.
Александр: участников CTF-соревнований могут заметить компании-спонсоры и пригласить на работу. Дипломы призёра соревнований могут в какой-то мере помочь при трудоустройстве. Ну и соревнования в целом развивают соответствующие умения. Плюсов, конечно, очень много. Поэтому не советую упускать такую возможность новичкам.
Читайте нас «ВКонтакте»!
Фото: Катерина Винокурова