Читаем Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности полностью

Я спросил Адама о приходе в сферу ИБ. Он рассказал: «Я работал системным администратором в медицинской исследовательской лаборатории, и безопасность была частью моих обязанностей. Это было в 1993–1994 годах. Я начал читать несколько ранних рассылок в Интернете, например про оригинальные брандмауэры и рассылки киберпанков. Среди них были разные интересные люди, которые говорили любопытные вещи. Я начал участвовать в этом и узнал, что могу внести свой вклад в обсуждение. Моя следующая работа была больше ориентирована на безопасность. Я стал консультантом в Бостоне. Это случилось в то время, когда произошел взлет Интернета. Таким образом, знания в области безопасности и возможность внести свой вклад в развитие интернет-безопасности действительно помогли. Я смог найти недостатки в нескольких продуктах, и это повысило мою репутацию».

Я попросил его рассказать об этом подробнее. «Я нашел уязвимость в ключе. Это был предшественник RSA Secure ID, прежде чем он был куплен RSA. Недостаток был в том, что информация из предыдущего сообщения использовалась для защиты следующего, что делало ключ, который связывал их, предсказуемым и легко подделываемым».

Я спросил, как он занялся общими уязвимостями и воздействием (CVE), словарем общеизвестных уязвимостей и воздействий информационной безопасности. Он ответил: «Одним из моих клиентов была компания Fidelity Investments. Их код безопасности был таким, как в Microsoft 15 лет назад. Я все еще принимал активное участие в составлении интернет-рассылок, делился идеями и получал обратную связь. Я всегда буду благодарен, что руководители позволили мне это сделать, потому что не все начальники и компании разрешают своим сотрудникам использовать такой тип обмена информацией. В Fidelity я столкнулся с венчурным капиталистом, который владел частью компании по сканированию уязвимостей, и подумал, что это интересно, поэтому перешел туда. Мы были очень конкурентоспособны с тем, сколько уязвимостей могли обнаружить. Я работал над новой уязвимостью fingerd и не мог сказать, обнаружил ли один из продуктов нашего конкурента ту же уязвимость или нечто другое. В то время информация об уязвимостях была недоступна, как и поисковые системы. Найти информацию было не так легко, как сегодня. Я начал задаваться вопросом, как можно поговорить с другими пользователями ПО о том, какие уязвимости мы нашли или упустили, и эти размышления привели меня к мысли о том, как общаться с системными администраторами, чтобы они могли идентифицировать различные уязвимости и выяснить, исправили их или нет. Нам нужна была система, помогающая объединять разные типы людей, чтобы говорить об одних и тех же вещах на одном языке и понимать друг друга. Решением стал CVE».

Я спросил Шостака, чем он, в частности, способствовал моделированию угроз. Он немного поколебался, а затем ответил: «Я слушал людей, которые говорили мне, что что-то не работает. Некоторые пытаются объяснить, почему это не работает, но я считаю, что такие неполадки нужно менять. Например, если кто-то открывает электронное письмо и постоянно заражается, даже если вы просите не открывать ненадежные послания, проблема заключается в системе, а не в пользователе. Мы должны разработать системы, которые учитывают то, что делают люди, потому что они делают это правильно. Я читаю о системах безопасности самолетов, потому что в этой сфере, в отличие от ИБ, подробно анализируют неудачи. Даже если все, что у них есть, это инцидент с близким промахом, есть форма, которую любой пилот может заполнить и отправить в главный офис. Там их собирают и изучают. Управление может увидеть распространенные ошибки, даже если сначала те выглядят как человеческие оплошности. Они могут отправить рекомендацию производителю радио и рассказать, как исправить проблему, добавив, например, освещение, или поведать конкретному аэропорту (или группе аэропортов), как избежать проблемы с освещением взлетно-посадочной полосы. Это безупречный анализ первопричин. Поле ИБ не анализирует причины так же хорошо, поэтому мы в итоге повторяем одни и те же ошибки снова и снова, и для разработки лучших систем требуется больше времени».