Интервью с Александром Антиповым

АНДРЕЙ КАРОЛИК

Хакер, номер #075, стр. 068

(ANDRUSHA@REAL.XAKEP.RU)

АЛЕКСАНДР АНТИПОВ — В НАСТОЯЩИЙ МОМЕНТ СОТРУДНИК КОМПАНИИ POSITIVE TECHNOLOGIES, ЗАНИМАЕТСЯ РАЗРАБОТКОЙ САЙТА SECURITYLAB.RU. ИМЕЕТ МАССУ ПРОФЕССИОНАЛЬНЫХ НАВЫКОВ ПО ЗАЩИТЕ ИНФОРМАЦИИ, А КОЛИЧЕСТВО РАЗНЫХ ПРОСЛУШАННЫХ КУРСОВ И ПОЛУЧЕННЫХ СЕРТИФИКАТОВ ИСЧИСЛЯЕТСЯ НЕСКОЛЬКИМИ ДЕСЯТКАМИ. ИЗ УВЛЕЧЕНИЙ В ПОСЛЕДНЕЕ ВРЕМЯ — РАЗВЕ ЧТО ШАХМАТЫ, ДА И ТО, ПОТОМУ ЧТО СЫН СТАЛ ПРОФЕССИОНАЛЬНО ИМИ ЗАНИМАТЬСЯ (HTTP://MICHAEL.ANTIPOV.NAME), И ПОСТОЯННО ПРИХОДИТСЯ ЕГО ТРЕНИРОВАТЬ

СПЕЦ:

Практически у всех крупных разработчиков есть собственные проекты по безопасности, на которых они публикуют информацию о найденных уязвимостях и выкладывают обновления. Некоторые обрастают новостными лентами и собственными статьями. Какой тогда смысл в проектах типа SecurityLab.ru? Или же это что-то особенное?

Александр Антипов:

Ничего такого особенного, чего нельзя было бы найти или прочитать в других местах. В общем-то, правильно, SecurityLab — это некий клуб по интересам, в котором собирается информация о безопасности, полученная из множества источников. Это позволяет посетителям значительно экономить время в поисках необходимой информации.

СПЕЦ:

То есть это, по сути, агрегатор информации или все-таки есть отличия? Сбор, анализ и обработка материалов идет вручную?

Александр Антипов:

Конечно, как и другой новостной ресурс, чаще всего мы сообщаем чужую информацию, а не создаем свою. Однако за последний год появилось множество уникальных аналитических материалов. Это совместные исследования с Юнеско по вопросам права в России, исследования по различным проблемам информационной безопасности с компанией Infowatch и другие.

СПЕЦ:

Любой проект, посвященный безопасности, по идее надо расценивать как кладезь информации для защиты от хакеров. Но, как показывает практика, очень часто информацию об уязвимостях используют сами хакеры. Получается, что проект порождает не безопасность, а взлом?

Александр Антипов:

Где получить нужную информацию, хакеры всегда найдут и без SecurityLab. Поэтому стоит задача более актуальная именно для специалистов по защите информации — не пропустить важные новости в мире обеспечения безопасеости. С другой стороны, бывают и ленивые «хакеры», которым подай все на блюдечке, откомпилируй нужный эксплойт, да и еще объясни, как с ним работать :). А если серьезно, грань между безопасностью и взломом расплывчата: даже web-браузер в умелых руках может превратиться в инструмент взлома, но это же не означает, что его нужно запрещать или ограничивать распространение.

СПЕЦ:

Насколько новостной и аналитический контент в рамках сайтов по безопасности близок к реальности? Обычно все новости, и тем более статьи, выкладываются постфактум. И это тоже несколько парадоксально — наиболее свежую информацию куда быстрее можно найти на сайтах различных хак-групп, которые ковыряют софт сами, не дожидаясь публичного признания разработчиков в дырявости тех или иных ресурсов.

Александр Антипов:

Конечно, самые интересные и востребованные материалы мы стараемся опубликовать сразу после их появления. В большинстве случаев небольшая задержка получения информации не критична для читателя сайта. По поводу хак-групп ты перегнул, так как большинство исследователей тесно сотрудничают с разработчиками и никогда не опубликуют информацию до выхода соответствующего исправления. Вообще в последнее время практически не осталось хакеров-энтузиастов. Уязвимости ищут либо сотрудники security-фирм, для которых поиск — это часть работы, либо криминал, который пишет эксплойты для получения прибыли.

СПЕЦ:

Кстати, а зачем подробно описывать уязвимости? Куда логичнее молча делать регулярные обновления к той или иной программе. Меньше знаешь — крепче спишь. Реальные хакеры все равно в курсе дела, а информационный вакуум не даст шансов на взлом тем, кто сам в этом никогда не разберется.

Александр Антипов:

В целом ты прав. Конечному потребителю не нужны подробности уязвимости, ему важно знать, что она устранена. Когда сообщается, что закрыта критическая уязвимость, то легче сразу установить соответствующее исправление, чем каждый раз после выхода новой версии обновлять ПО. Поэтому разработчики сами заинтересованы в разглашении факта наличия уязвимости только после ее закрытия (но они не заинтересованы в раскрытии способа эксплуатации). Подробная информация о дыре нужна, к примеру, разработчикам сканеров безопасности (чтобы вставить соответствующие проверки), IDS-систем (для написания сигнатур атак) и производителям аналогичных программных продуктов, чтобы не допускать в своих программах подобных ошибок. Тем более если кто-либо подробно описал уязвимость или опубликовал эксплойт, об этом должны знать все, так как в этом случае легче оценить возможные угрозы и предотвратить их.

СПЕЦ:

В принципе, никто не мешает мудрому хакеру совершить атаку под видом очередного обновления, пустив в Сеть информацию о псевдоуязвимости. А сайты по безопасности оперативно растащат эту «дезу», так как вряд ли тщательно проверяют ее содержание. Такое возможно?

Александр Антипов:

Да, такие случаи возникают довольно часто. Конечно, сайты по безопасности не изучают правдивость информации об уязвимости. Однако если такое произошло, все равно через некоторое время станет известно о подлоге. Опять же, тут оперативность только во вред, иногда стоит подождать пару дней и не публиковать неподтвержденную или подозрительную информацию.

СПЕЦ:

Другая полярная проблема — в Сети и на твоем проекте в частности иногда невозможно найти информацию об уязвимостях слабо распространенных программ. Получается четкий уклон на массовость?

Александр Антипов:

Не так. Мы публикуем информацию обо всех уязвимостях, о которых было сообщено публично. Конечно, информация об уязвимостях в малораспространенных программах появляется не так оперативно, как в широко используемом ПО. Также на сайте содержится полная база данных обо всех уязвимостях на английском языке: http://en.securitylab.ru/nvd/. На сегодняшний день — 21260, обнаруженных с 1 октября 1988 года.

СПЕЦ:

Каким проектам доверяешь сам и откуда берешь основную массу новостной информации и аналитику? Как стимулируешь авторов на подвиг написания статей? По-моему, получить качественный материал — это проблема всех подобных проектов. Чаще либо банальщина и плагиат, либо поверхностные и непрактичные материалы.

Александр Антипов:

Авторов можно стимулировать только деньгами. Чаще это выливается в конкурсы статей, и авторы лучших из них получают неплохие призы в денежном исчислении. Ну, и перевод. Качество переводимых материалов очень часто на порядок выше качества того, что могут написать собственные аналитики. Источников информации слишком много, сложно выделить какой-либо из них. В любом случае, каждый опубликованный материал перепроверяется на уникальность и достоверность по мере возможности.

СПЕЦ:

Рассчитывал ли на такую популярность проекта, когда все только начиналось? Ты уже реализовал в рамках него то, что хотел, или есть еще задумки? Какая главная цель на сегодняшний день?

Александр Антипов:

Не могу сказать, что я на что-то рассчитывал. Начиналось все как хобби, потом, когда стали сотрудничать с компанией Positive Technologies, появилась возможность уделять больше времени созданию сайта и предоставлению нужной информации. Сейчас не реализовано и четверти того, что я планирую. Но чтобы все это сделать, нужен еще не один год работы. Да к тому же, думаю, что потом появятся новые цели, о которых я не знаю сейчас. Главная же цель — максимально удовлетворить потребности пользователей, интересующихся информационной безопасностью и смежными областями.