♾ 🧛🏾 🌆 ロシアのハッカー：Alice EsageShevchenkoとの会話 ✏️ 👃🏻 🤴🏼

編集者注： 2016年12月、バラクオバマ大統領は、選挙への干渉の試みに応じて、ロシアの市民および組織に対する制裁を発表する法令に署名しました。

このリストには、いくつかの有名なハッカーのほか、連邦保安庁（FSB）とソビエト連邦軍参謀本部（GRU）が含まれています。また、リストには、多くの人を困惑させているあまり知られていない組織、ZORセキュリティも含まれていました。同社は、Kaspersky Labでウイルス分析の専門家として数年間働き、ハッカーやコンピューターオタクのためのコミュニティの構築に情熱を注いだAlisaShevchenkoによって設立されました。米国国土安全保障省も注目を集めましたシュナイダーエレクトリックがソフトウェアの脆弱性を見つけるのを助けるため。

同省によると、シェフチェンコの会社は、民主党全国委員会や他の政治組織のハッキングの背後にあったとされるGRUと協力した。アリス・エサージュとしても知られるシェフチェンコ氏は、米国当局は間違っており、彼女はすでに会社を閉鎖していると述べた。彼女は現在、独立した研究者であり、人々が技術的知識を共有し、ソフトウェアの脆弱性研究に関するトレーニングを提供するゼロデイエンジニアリングプロジェクトの創設者です。

Shevchenkoは最近、RecordedFutureのサイバー脅威の専門家であるDmitrySmilyanetsと、2016年の出来事、彼女のお気に入りの脆弱性、ロシアでのハッカーになることについて話しました。インタビューから主なものを取り上げました。

Dmitry Smilyanets：米国政府があなたの会社のZOR Securityに制裁を課していることを知ったとき、どのように反応しましたか？

アリス・イーセージ：私は落ち着いて、今世紀の侵入を開始した危険な邪悪な雌犬としてマスコミに私を描写させないようにしました。その間、私は自分のプロジェクトに取り組み続けました。

DS：これらの出来事はあなたの人生をどのように変えましたか？

AE：彼らは私を米国の制裁下での繁栄の専門家にしたと思います。

DS：当局が間違っているとおっしゃいましたが、どのようにですか？

AE：もう気にしません。人々には間違いを犯す権利があります。そして、米国政府は、それが存在しないところでその力を主張できるようにするために、すべての人に制裁を課すことを愛しています-私たちはそれを彼に任せます。

DS：あなたはまだ制裁の圧力を感じていますか？

AE：何かが明らかに起こっていますが、私はそれをプレッシャーとは呼びません。米国政府を恐れて誰かが私と一緒に仕事をしたり、私の製品から利益を得たりできない場合、それは彼ら自身の問題です。

DS：どのようにしてサイバーセキュリティとハッキングを始めましたか？

AE：それはすべて私の父アンドレイから始まりました。彼は才能のある電子技術者であり、趣味として外国の技術雑誌に掲載されたスペアパーツや記事に基づいてパソコンを組み立て始めたロシアで最初の一人でした。当時、コンピューターはまだ広く利用可能ではありませんでした。彼は私が5歳のときにはんだ付けの方法を教えてくれました。私は幼い頃からコンピューターとプログラミングに関する本を読み始め、15歳でコンピューターを手に入れるとすぐに、C ++とx86アセンブリ言語でプログラミングすることを学びました。学校に戻って、私はリバースエンジニアリングを学び、クラックミーの問題を解決し、コンピューターゲームをハッキングし、楽しみのためにkeygenを作成しました。また、ロシアおよび国際的なハッカープロジェクトにも参加しました。主に、低レベルのソフトウェアハッキングに従事していました。初めはこんな感じでした。

DS：人々があなたの道をたどるのがより簡単になると思いますか、それとも難しくなると思いますか？

AE：言いにくい。私が最初に始めたとき、コンピュータのセキュリティに関する情報はほとんどありませんでした。インターネットは遅く、一般的なプログラミングの本を除いて、これを理解するのに役立つ出版物はほんのわずかでした。倫理的なハッキングに関する何かというウェブサイトがあったことを思い出します。それは女性によって運営されていたようです。そこに掲載された記事は私にインスピレーションを与え、私を始めさせました。最近は状況が異なります。たくさんの情報があります。初心者向けガイドから高度なトピックに関する専門的な技術トレーニングまで、すべてのコンピュータセキュリティトピックについて公開されているリソースは数千あります（私が教えているような、私の会社のゼロデイエンジニアリングが行っています）。これにより、作業が大幅に簡素化されます。

一方で、コンピュータ技術はますます複雑になり、開発は加速し、学習曲線は急勾配になり、その結果、この分野で高度な知識を獲得することはますます困難になっています。それにはもっと時間がかかります-何年も何十年も。「ハッカーは10代の若者」であり、ハッキングのキャリアは30歳の誕生日の前に終了しなければならないという古い仮定を覚えていますか？今は状況が異なります。私が知っている最高のハッカーのほとんどは30代で、まだ始めたばかりです。これらは、最新のコンピューターシステムの高度なハッキングを真に習得するための要件です。これには一生の献身が必要です。

途中で本当に急なレベルに到達することは、選択というよりは運命だと思います。毎日不可能なことをするためには、遺伝子データや特別な生活環境に基づいているように見える非常に独特な考え方が必要です。

今日の人間社会で成功するには、別のシステムで脳を動かすよりも簡単な方法がたくさんあります。それなしでは生きていけないと感じるとき、あなたはすでにこの環境にいることを理解するでしょう。そしてそれが起こったとき-おめでとう、後戻りはありません。

DS：あなたのようなキャリアを追求したい若い女の子に何かアドバイスはありますか？ハッキングの長所と短所は何ですか？

AE：興味のあるものを見つけ、特定の問題を選択して、最後まで解決します。反映して繰り返します。この道を進むには、技術的な問題を解決して完了する必要がありますが、情報の受動的な消費は主に脳を詰まらせ、技術的な創造性を妨げます。主に一次資料（たとえば、技術仕様、古典的な本、仕事を楽しんでいる研究者からの高品質のブログ）を読んで、練習に専念してください。このヒントは、男性と女性の両方に役立ちます。

そして特に女性のために：誰かに耳を傾けないで、あなたが好きなことをし続けてください。特に、技術的な作業があなたの情熱であることをすでに知っている場合はなおさらです。サイバー業界での管理、講義、報告、マーケティング、またはその他の脇役での作業からあなたの気をそらさせないでください。男性と女性は、このキャリアパスで間違いなく異なる課題に直面していますが、時間の経過とともに状況は良くなります（ただし、通常想定されるよりもはるかに遅く、程度は低くなります）。

長所と短所？リスクを冒す仕事ですが、楽しいです。

DS：あなたの仕事の何が一番好きですか？そして、あなたは何があまり好きではありませんか？

AE：私は不確実性、敵対的な環境、バグハンティング、問題解決が大好きです。パジャマ姿のビーチに一人で座って、3日間で高い年俸を稼ぐことができる仕事が高く評価されているのが大好きです。私はこの分野で圧倒的多数を占める多くの賢い人と競争しなければならないという事実が好きではありません。男性と女性は互いに競争することを意図していません。

DS：これまでに見つけた中で最もクールな脆弱性は何ですか？

AE：Outlook Express for WindowsXPでDLLを介したリモートコード実行のエラー。昔のように、ATMやPOS端末だけでなく、すべてのパソコンでWindowsXPが使われていました。脆弱性研究のキャリアの早い段階で、このクラスのゼロデイエラーを検出するための独自の方法論を開発し、OEを含む多くの問題を発見しました。それを見つけてから何年もの間、私はそれが修正されているかどうかを確認しました-そして何も変わっていません。 XPはサポートされなくなったため、現時点ではおそらく「永続的なゼロ日」です。そのような長命で信頼できる偉業は常に喜ばしいものです。

現在でも、DLLハイジャックの問題（安全でないライブラリの読み込みとも呼ばれます）は非常に一般的です。たとえば、このタイプのバグは最近、ZoomWindowsクライアントで修正されました。このようなエラーは見つけやすく、悪用しやすいものです。世界をリードするソフトウェア開発者がこのような些細なプログラミングミスを犯し続けているという事実は、グローバルなソフトウェア業界における脆弱性の認識が深刻に欠如していることを示しています。これが、私の会社が（トレーニングに加えて）この知識のギャップを埋め、すべての人にとってインターネットをより安全にするのに役立つ特殊な脆弱性分析チャネルを開発している理由の1つです。

DS：2021年に組織を危険にさらす最も簡単な方法は何だと思いますか？

AE：一般的に言って、そのような方法はありません。組織にはさまざまなレベルのセキュリティがあります。理解することが本当に重要なのは、単純なものから複雑なものまで、組織を危険にさらすために使用できる攻撃的なサイバーテクノロジーの範囲があるということです。攻撃者は通常、スペクトル上で最も単純なテクノロジーを使用して破壊される可能性のある、システム内で最も弱いリンクを選択します。私はこれらの中で最も難しいもの、特に安全なシステムでのゼロデイ脆弱性とエクスプロイトに特化することを好みます。難しい問題が解決されると、他のすべては基本的なものになります。その上、これはすべて避けられません。ランサムウェアの出現につながるフィッシングを回避するように従業員に教えることができ、インサイダーをブロックするための適切な企業ポリシーを確立することができます。サプライチェーンを乗っ取ってビジネスの秘密を漏らしますが、テクノロジーに対して完全に保険をかけることはできません。エラーは、任意のコードの実行に使用できる技術システムで発生します。そして、ゲームは終了しました。

理解すべきもう1つの重要なポイントは、セキュリティ違反のシナリオに関係なく、その根本原因は常に人的または技術的な脆弱性であるということです。多くのサイバーセキュリティのトレードオフ分析出版物は、この事実から少し離れる傾向があり、プロセスに含まれるさまざまな周辺、二次、および最終的な方法を詳細に説明しながら、犯人の脆弱性/脆弱性を指摘していないことに気付きました。今日の一般的な傾向は、安全方程式から人的要因を排除することです。そのため、純粋に技術的なエラーが長期的にますます重要になります。

DS：あなたの新しい冒険であるゼロデイエンジニアリングについて教えてください。

AE：ゼロデイエクスプロイトエンジニアリングは私のお気に入りのeスポーツです。彼が私の脳に必要なすべての食物を与えてくれるので、私は彼なしでは生きられません。それは私が他の活動分野で見つけるのに苦労しました。この経験をもとに公営企業を作るしかない。正式に発表してから1ヶ月が経ちましたが、これはもう私のお気に入りのプロジェクトです。それは、技術的実践と起業家精神の両方で、私が20年以上の仕事で得たすべての知識と経験を効果的に組み合わせていることがわかりました。

ビジネスの観点からは、一般的な考え方は、非常に具体的な焦点を当てた単一のソースからサイバー脅威分析を提供することです。個々の技術者からサイバーセキュリティ会社、ソフトウェアベンダー、政府まで、さまざまなターゲットオーディエンスに対するコンピューターシステムの低レベルの脆弱性です。私たちの分析提案はすべて、外部ソースからの収集ではなく、主にラボでの独自の詳細な技術研究に基づいている必要があります。今のところ、業界がこの段階で受け入れる準備ができている特定のオープンソースの商業的提案やプロジェクトをまだ検討しています。全体的なアイデアは、（個人向けの詳細な技術スペシャリストトレーニングを通じて）ゼロの設備投資で非常に有益であることがすでに証明されており、将来の発展に大きな可能性があると思います。

次に、ウェブサイトを引用します。「サイバーという言葉がいかにファッショナブルであっても、セキュリティ違反の根本原因として考えられるのは、技術システムの脆弱性と人間の脆弱性の2つだけです。世界的な技術動向が人的要因を排除し、技術開発を加速しようとするにつれて、技術システムの脆弱性の認識がすべての技術開発において重要になります。知識はこれに対処するのに役立ちます。私たちの経験を利用して、直接攻撃されて迂回されることがわかっているさらに別の防御システムを作成する代わりに、脆弱性とエクスプロイトを可能にする知識のギャップに体系的に対処する製品を開発しています。」

DS: « , » . ? , , ? Windows.

AE: 一般に、同じクラスの異なるシステムには、多くの同様の脆弱性が存在します。ハイパーバイザーについてではありません。たとえば、OSカーネルとJavascriptエンジンもこの傾向を示しています。この現象の主な理由は、同じクラスのシステムが、独立して異なる期間に開発された場合でも、システム機能、ユースケース、および展開シナリオによって決定されるのと同じ抽象モデルに基づいているためです。同様に、同じ抽象モデルは、最新のコードセキュリティの特別なトレーニングを受けていない場合、システム設計者やプログラマーが行ったのと同じ誤った仮定を前提としています。ここで、脆弱性パターンの共通部分が出てきます。

ソフトウェアのセキュリティに関しては、誰かに明らかでない場合、それは非常に重要です。実際、特定のソフトウェアシステムのセキュリティ問題に関する情報は、同じクラスの他のすべてのシステムに直接関連しており、一般に他の多くのシステムにも関連しています（程度は低いですが）。

たとえば、ソフトウェア開発者の場合、競合するソフトウェア製品のセキュリティバグを調べることは、独自のコードベースを強化するための強力で簡単な方法です。少なくとも、誰かがコードのバグを発見したときの公の恥を避けることができます。 10〜20年前の競合他社の製品（冗談ではありません。私のコースでは、この悲しい状況から多くの具体的な例を示しました）。ワークフローでは、あるシステム（通常はオープンソースシステム）のバグを調べると、直接的な脅威のモデリングが難しい別の独自のシステムの脆弱性パターンが即座に明らかになります。一般的に言って、多くの技術的な安全性の問題は、これらのあまり明白でない偶然に焦点を当てることによって解決または最適化することができます。あなたがそれらを体系的に観察することができれば。

DS：コードベースをめったに変更しないシステムと、多くを追加するシステムの両方で、多くのエクスプロイトが発生する可能性があるとおっしゃいました。それらの相対的なバランスについて教えてください。観点からすると、長期的なエクスプロイトが作成されているものもあれば、より多くの損害を引き起こしているものもあります。

AE：あなたが言及した私のブログへの投稿は、少し異なる意味を持っています。多くの周辺サブシステムが依存しているため、システムの内部は比較的安定しているため、再利用可能な高度なエクスプロイトプリミティブを作成するための鍵となるため、システムの内部について学ぶことの重要性についてです。それらに..。また、エクスプロイトの有効期限は、その潜在的な影響と必ずしも矛盾しません。

エクスプロイトの耐久性に関しては、バグを見つけるのがどれほど難しいかという1つの重要な指標しかありません。脆弱性検出業界は非常に敵対的であるため、競争はエクスプロイトの寿命に大きな影響を及ぼします。競争が少なくなり、バグが長くなります。

このメトリックは、情報の可用性、問題を解決するために必要な知識の量、必要な特殊なスキル、必要な特殊な機器、ツールキットの可用性、ターゲットのさまざまなセキュリティ機能などの変数のシステムを含むように拡張できます。ソフトウェアベンダーなど-これらすべての側面は、さまざまな段階に属しています。

脆弱性の研究開発の分野における真剣な戦略的思考となると、ここでは物事が非常に困難になる可能性があります。ただし、最も一般的な目的では、この複雑さをすべて単純なルールに減らすことができます。つまり、最も理解しにくいが意味のあるシステムに可能な限り深く浸透することです。この側面は、ディープシステムの内部コンポーネントと重複しますが、これに限定されません。

深い内部システムコンポーネントとは異なり、新しく追加されたコードには、見つけて使用しやすい微妙な重大なバグが含まれていることがよくあります。脆弱性調査業界の敵対的な性質により、これらのバグは比較的迅速に検出および修正され（少なくとも一般的で重要なシステムでは）、それらに基づくエクスプロイトは短命になります。これは必ずしも悪いことではありません。

最後に、損傷の可能性は、上記のテクニカル指標のいずれとも関係がありません。私はいつも、ソフトウェアのエクスプロイトを殺人に結びつけようとするメディアの宣伝を笑っています。ばかげてる。実際、コンピュータのエクスプロイトは、通常交換される古き良き物理兵器よりも多くのダメージを与えることはありません。倫理と感情から抽象化すると、どんな偉業にも実際には特定の「力」があり、それは最初は中立であり、多くの要因に依存します。ここでの重要な要素は、技術的な特性ではなく、誰がエクスプロイトを制御するかです。

DS：ロシアの政府機関と協力するのはどんな感じですか？彼らはプロですか？強力なスペシャリストはいますか？官僚主義が多い？

AE：あなたが国際的なキャリアを犠牲にすることをいとわないのであれば、彼らは有能であり、十分にお金を払っていると聞いています。

DS：プーチンについてどう思いますか？ロシアのハッカーは一般的に彼の政治と支配をどのように見ていますか？

AE：私はまだプーチンに精通していません。私は彼のことを考えていませんし、他の人の考えも気にしません。私は一つのことに気づきました。これは2000年代の一般的な傾向でしたが、最近のロシアからの私の友人は誰も海外に逃げるのを急いでいません。私の妹は、ヨーロッパにしばらく住んでいたので、ロシアに戻った。これは、すべてが私の祖国に順調であることを私に告げる唯一の指標です。これに基づいて、プーチンはロシアのために最善を尽くしていると思います。

JS：秘密を解き明かしてください、誰もがとても好きだったニックネーム@ badd1eはどうなりましたか？

AE：それは秘密ではありません。Twitterの目標に合わなかったので、次のように変更しました。 alisaesage..。ただし、履歴のために、GitHubページに残しました。

ロシアのハッカー：Alice EsageShevchenkoとの会話

More articles: