Cum vede unul dintre cei mai cunoscuți cercetători ai Bitdefender viitorul securității informatice – Despre amenințări ascunse, despre un viitor fără sisteme de operare și de ce soluțiile de securitate cibernetică nu au de ce să dispară
De mai multe ori s-a spus în ultimii 15 ani că soluțiile clasice antivirus vor ”muri” curând, însă ele există fiindcă hackerii sunt tot mai inventivi și este nevoie de companii specializate cu ”armate” de cercetători care să-i contracareze, a spus într-un interviu pentru HotNews.ro Alex Bălan. cercetător-șef pe probleme de securitate la Bitdefender. Rolul sistemelor de operare va fi tot mai redus, iar ”în trei-cinci ani se va ”rupe” complet terminalul local și nu vor mai exista date locale”, a mai spus Bălan. în interviul realizat la evenimentul Black Hat din Las Vegas unde compania a avut și stand în hala de business.
Alex Bălan, zis Jay, este cecetător-șef la capitolul securitate la Bitdefender, companie în care lucrează din 2004, iar pe funcția de acum este din 2015. Alex Bălan a fost speaker la conferințe internaționale IT importante, precum DefCon Las Vegas.
În interviul realizat la conferința Black Hat puteți afla:
- De ce veștile proaste se pot dovedi totuși bune și de ce este mult mai bine să afli de vulnerabilități de la băieții buni
- De ce o promisiune neonorată a Microsoft a creat foarte multe probleme
- De ce companiile de securitate informatică vor exista mult timp de aici înainte, chiar facă multe voci le-au ”cântat prohodul”.
- Cum ar putea arăta viitorul în care sistemele de operare vor avea un rol neînsemnat.
- Cum funcționează o tehnologie care poate fi considerată ca fiind ”ultima linie de apărare”.
Rep: La conferințe precum Black Hat și DefCon sunt prezentate o mulțime de vulnerabilități pentru multe tipuri de gadget-uri. Oferă ele o imagine reală a lumii din jur sau una mult prea pesimistă?
Alex Bălan: Vulnerabilitatea nu apare în momentul în care o găsești, ci ea există deja în locul în care este găsită. Este un lucru bun faptul că este găsită și reparată, pentru că mereu este mai bine să o găsească cineva care are intenții bune și să-ți spună că ai o problemă. Grav este să nu ți se spună, iar vulnerabilitatea să existe acolo, să o descopere cineva care nu îți spune despre ea, dar o exploatează discret luni de zile sau ani de zile.
Acum vreo 20 de ani a fost cazul CVS și niște băieți au exploatat timp de patru ani o vulnerabilitate a sistemului și au ”spart” mii și mii de firme care n-au avut habar. Acei oameni au avut acces discret în infrastructurile a mii și mii de firme și când aveau nevoie de ceva, intrau și își luau orice din rețelele respective.
Rep: Sunt și lucruri pozitive prezentate la aceste conferințe?
Alex Bălan: Un lucru trebuie spus. Acești oameni care fac prezentări depun un efort foarte mare să găseasca aceste vulnerabilități. Și noi avem un program de ”bug bounty” și dăm recompense financiare oamenilor care găsesc vulnerabilități în sistemele noastre, în orice ”asset” Bitdefender. Efortul de a căuta, de a identifica, este deosebit și uneori oamenii stau o săptămână sau o lună pentru o recompensă de 150 de dolari sau se întâmplă să depună un efort de o zi pentru o recompensă de 2.000 de dolari.
Rep: Încă din 2005 erau oameni care spuneau că programele de antivirus sau antimalware vor ”muri” în 2-3 ani. la fel s-a spus în 2010, dar și foarte recent, ideea fiind că sunt atât de multe amenințări și atât de dese, încât programele clasice nu mai fac față. Mai sunt ele de viitor?
Alex Bălan: Te contrazic un pic. Motivul pentru care s-a spus în 2005-06, în 2008-10 și apoi de curând că soluțiile tradiționale de securitate vor muri a fost pentru că Microsoft urma să implementeze niște măsuri de securitate foarte tari. Windows 8 trebuia să fie ”beton armat” în ceea ce privește securitatea, iar cu zece ani înainte Microsoft cumpăra RAV (companie românească n. a.) și ideea era că, dacă Microsoft cumpără o companie de cybersecurity, nu vor mai fi probleme cu securitatea la produsele Microsoft.
Doi ani mai târziu (2005 n. a.) Microsoft cumpăra Sybari și țin minte că eram în birou cu un coleg care îmi spunea, . Eu i-am spus să stea calm, fiindcă cele două companii nu vor reuși niciodată să prindă amenințările pe care le prindem noi și că nu au experiența în cercetare pe care o avem noi la capitolul amenințări cibernetice.
Care este motivul pentru care încă existăm în industrie? Hackerii, cei care fac bani din criminalitate informatică, sunt foarte creativi. Orice oprelișlte le pui în cale, ei vor găsi o metodă să facă bani altfel. De exemplu phishingul sau social engineeringul nu vor dispărea niciodată și mereu se vor găsi tot felul de metode de a exploata vulnerabilități în nivelul de aplicație. OK, securizezi sistemul de operare, dar apoi cineva vine și instalează Office, iar în Word ai funcționalitatea de a pune Visual Basic care poate să execute comenzi pe sistem. Cineva îți trimite un document, de exemplu cu salarii, iar tu îl deschizi, pentru că vine de la o persoană de încredere și acel e-mail conține un document cu un mesaj standard și apoi pot să execut ceva pe calculatorul tău.
Orice măsuri ar adăuga o companie gen Microsoft, sau alte companii care nu fac cybersecurity, este clar că băieții vor găsi o metodă de a trece de ea sau vor găsi altă metodă de a face bani din datele utilizatorilor. Diferența este simplă. Noi, companiile de cybersecurity facem asta ca și business de bază și ”armata” de oameni pe care îi avem fac asta și numai asta. Companii precum Microsoft sunt specializate pe sisteme de operare, iar noi facem soluții de securitate. Oamenii preferă uneori programul de bază Windows Defender, până când însă își iau primul ransomware și se gândesc că n-ar strica un program cu o rată de detecție mai bună.
Tendințe în cybersecurity – Fragment din prezentarea lui Alex Bălan la Black Hat Las Vegas
Rep: Dar între companiile din domeniul vostru, de exemplu între Bitdefender, Symantec, McAfee, există diferențieri clare din punctul de vedere al unui client? De exemplu sunt companii specializate pe detectarea unui anumit tip de amenințări?
Alex Bălan: Există multe diferențe în funcție de profilul utilizatorilor. Probabil că pentru mulți, Windows Defender este foarte bun, dar dacă ne gândim la ce se întâmplă ”in the wild”, în ”sălbăticie”, în zona asta de amernințări, atacuri, viruși, tentative de a fura banii, Windows Defender acoperă cam 80% din tot ce se întâmplă și este un reper la care se raportează toate celelalte soluții.
Dar dacă vrei să vezi cât de bună este o soluție de securitate, trebuie să încerci să o ”înfrângi”, să o ”bați”, să încerci să vezi dacă poți să îi faci ceva. Pentru asta apelezi la teste independente, te duci la o terță parte obiectivă și AV – Test și AV – Comparatives evaluează soluțiile în ceea ce privește performanța, practic impactul pe care soluția îl are în resursele calculatorului, dar și rata de detecție dintre toate amenințările care sunt într-un anumit moment în piață, inclusiv cele mai noi.
Aceste două organizații evaluează diversele soluții, ele au stabilit standardul în industrie și sunt respectate, fiindcă au stabilit testele acestea într-un mod transparent, procedura de testare este transparentă, spun că au luat de exemplu un ”corpus” de 15.000 de fișiere, 24.000 de URL-uri (…) Sunt obiective testele, este transparentă și taxa de participare la aceste teste, toată lumea plătește aceeași sumă, nu există nicio suspiciune de corupție. Sunt peste 100 de firme care sunt testate.
Foto – Bitdefender
Rep: Povesteai îninate de interviu că sistemele de operare ar putea dispărea în viitor. De ce crezi se va întâmpla asta și care legătura directă cu securitatea informatică?
Alex Bălan: Vorbesc doar din punctul meu de vedere. Cred că se vor concentra pe aplicații, pe ce-și dorește utilizatorul să facă, poate vrea să editeze un document sau să joace un joc. Totul va fi integrat și portabil în cloud. În momentul în care accesul la internet nu va mai fi o problemă și va fi peste tot acces la conexiuni de peste 500 mbps, atunci vei avea un terminal care va accesa în cloud toate resursele. Tot ce înseamnă documente, aplicații, design se va face prin cloud, într-un fel de ”remote desktop”. În aceste condiții, securizarea terminalului va fi în continuare necesară, dar nu la același nivel și vor evolua foarte mult soluțiile de securizare în cloud, cele pentru infrastructuri virtuale.
Vor exista în continuare atacuri de tip phishing, scamming, social engineering, se vor încerca și ransomware și estimez că vor mai trece măcar 3-5 ani până când se va ”rupe” complet terminalul local și nu vor mai exista date locale, însă va continua să existe un mini-sistem local de operare, deci și acela va putea fi compromis. Va fi o evoluție interesantă și va trebui să vedem dacă se vor înțelege Google, Microsoft și Apple pentru că și acolo este o luptă de dat. Va trebui să vedem dacă Linux va deveni standardul, sau Apple sau Microsoft sau niciunul. Se pot întâmpla multe în acestă zonă de evoluție a terminalul față de serviciile din cloud.
Rep: Mă gândesc că este greu să se înțelegă companii care se urăsc și care concurează putermic…
Alex Bălan: Este o predicție în care eu cred cât de cât, dar nu știu cum se va materializa în următorii ani.
Rep: Am văzut și la standul Bitdefender, dar șli la alte companii prezentat conceptul de EDR. Ce este și cum poate fi explicat publicului larg?
Alex Bălan: Definiția cea mai simplă este ”ultima linie de apărare”. Avem securitate la nivelul calculatorului local când suntem la birou, o soluție de securitate care inspectează toate datele cu care interacționez eu, se uită la ce fișiere accesez, la ce site-uri deschid și spune dacă sunt sigure sau nu. Nicio soluție de securitate nu este perfectă și nu poate prinde tot. Suntem într-un context complicat Dacă un calculator a fost compromis de un APT, o amenințare care stă discretă pe computerul tău, nu poate fi detectată și peste cinci luni sau cinci ani are o activitate.
Sunt atacuri de genul acesta și cineva uneori este atât de pornit contra unei companii și are răbdarea să proiecteze viruși care să stea ”dormind” într-o infrastructură și să nu fie prinși. În acest context, dacă nu este detectat de soluția ta de end-point, oricât de bună ar fi, o soluție de EDR se va uita la anomalii atât pe calculatorul tău, dar și în rețea. La un moment dat orice atacator, orice virus va vrea să facă ceva. va vrea să extragă informații în rețea și să le trimită și în general atacurile bine țintite pe asta se concentrează, pe furtul de informații, fie că este vorba de atacuri împotriva alegerilor sau de furt de informații comerciale de la companii foarte mari. Nivelul de tehnică necesar pentru a coda un ”sample” ca acesta este foarte mare, costurile sunt foarte mari, poate chiar la două milioane de dolari pentru un virus.
Ei bine, EDR va sta ”rezident” și va învăța care este comportamentul normal, atât al calculatorului, cât și al rețelei din care face parte calculatorul și, când calculatorul va face o conexiune care nu este standard – poate către un IP care nu a mai fost văzut niciodată – EDR va fi capabil să spună ”Stop”, Domnule admin, acel calculator care stătea pe Facebook toată ziua, brusc a făcut o chestie pe care nu a făcut-o niciodată” Ei bine, adminul se va uita, va analiza și tocmai a prevenit o scurgere de date, tocmai a prevenit un virus ce nu a fost detectat de nicio soluție din infrastructură.
EDR reprezintă prezentul, este un must-have, nu te poți baza doar pe detecția soluției de cyber-security