С 2006 года эксперты компании WhiteHat Security ежегодно составляют рейтинг, который содержит десять новых, наиболее интересных и креативных атак на веб-приложения. В этом году в рейтинг вошла работа «Скрытые каналы по времени на основе заголовков кэширования HTTP», авторами которой являются доцент кафедры защиты информации и криптографии факультета прикладной математики и кибернетики ТГУ Денис Колегов и его студенты – Олег Брославский и Никита Олексов.
Рейтинг организовал Джереми Гроссман - в прошлом известный хакер по кличке MafiaBoy, а ныне - основатель и технический директор компании WhiteHat Security. Отбор лучших исследований проходит в три этапа. На первом этапе любой желающий может прислать ссылку на свою работу, затем проводится открытое интернет-голосование, а на завершающем этапе в выборе самых лучших работ участвуют известные эксперты в области безопасности.
- Российские исследователи нечасто участвуют в этом конкурсе и тем более попадают в топ-10, - рассказывает доцент кафедры защиты информации и криптографии ТГУ Денис Колегов. – За время существования конкурса в десятку лучших попали всего три отечественных работы. А мы, когда отправляли работу, написали в заявке, что рассматриваем участие как способ распространения результатов нашего исследования среди хакерского сообщества и получения обратной связи. О попадании в топ-10 даже не думали.
По словам Дениса Колегова, он предложил своим студентам Олегу и Никите проверить на практике возможность реализации скрытых каналов на основе заголовков кэширования протокола HTTP. Оказалось, что раньше этим никто не занимался, и молодые ученые получили новые и интересные результаты, которые впоследствии были представлены на научной конференции SibeCrypt (Екатеринбург) и хакерской конференции ZeroNights (Москва).
- В работе исследуется возможность скрытой передачи данных между веб-браузером пользователя и веб-сервером, - рассказывает Денис Николаевич. - Когда вы заходите на Facebook или Google, то для передачи данных используется специальный протокол обмена данными - HTTP. В результате веб-сервер передает картинки, текст, анимацию, а веб-браузер их отображает. Проблема заключается в том, что веб-браузеры могут быть заражены или захвачены вредоносными сценариями и использованы для атак на пользователя, веб-приложения или компьютерные сети. Для этого злоумышленнику, в том числе, необходимо уметь передавать и получать данные с компьютера (браузера) пользователя и, желательно, скрытым образом. Вот здесь и появляются задачи, связанные с исследованием скрытых каналов.
Денис Колегов подчеркнул, что в рейтинг хакерских атак они попали исключительно как «Whitehat» - то есть как специалисты, которые изучают способы нападения, чтобы научиться эффективнее от них защищаться. По другую сторону баррикад работают «Blackhat» - хакеры, которые, как правило, связаны с криминалом или организованной преступностью. Они разрабатывают вирусы, продают на черном рынке «эксплоиты» (программы, использующие уязвимости в программном обеспечении), создают программы для проведения атак на банковские системы, отказа в обслуживании и т.д.
- Чтобы стать специалистом в компьютерной безопасности, нужно уметь не только защищаться, но и нападать, - поясняет доцент кафедры защиты информации и криптографии ТГУ. - отметилДенис Колегов. - В современной практической компьютерной безопасности в связи с этим выделяют offensive skills и defencive skills. Эти компетенции очень тесно связаны между собой: если вы умеете нападать, то можете предложить эффективные методы защиты, а если вы умеете защищать, то можете предложить эффективные методы нападения.
Отметим, Денис Колегов и его студенты Олег Брославский и Никита Олексов также являются активными участниками программ по поиску уязвимостей (Bug Bounty) крупных интернет-сервисов (например, Yandex, MailRu, SoundCloud, Qiwi, EverNote и др.), а также контрибьюторами таких известных проектов в области безопасности, как Metasploit Framework и Browser Exploitation Framework. Оба проекта представляют собой программные платформы для сканирования уязвимостей, анализа защищенности и тестирования на проникновение информационных систем.