Рустэм Хайретдинов: Закладки есть практически в любом заказном ПО

Рустэм Хайретдинов: Закладки есть практически в любом заказном ПО

Рустэм Хайретдинов: Закладки есть практически в любом заказном ПО

Рустэм Хайретдинов

Закончил механико-математический факультет МГУ им. Ломоносова и аспирантуру Института механики многофазных систем РАН. Одновременно с профессиональной деятельностью активно расширял образовательную базу, закончив курсы по продажам, маркетингу, финансам и технологиям в компаниях IBM, Dell, Hewlett-Packard и других.

В 2010 году основал компанию Appercut Security, ныне входящую в состав InfoWatch Group, которая занимается разработкой продуктов и сервисов для автоматического аудита исходного кода технологических- и бизнес-приложений на предмет ошибок, которые могут привести к неправильной работе приложения или быть использованы злоумышленниками для внедрения в информационную систему корпорации.

В 2012 компания Appercut Security представила на российском рынке «облачный» сервис для анализа исходного кода бизнес-приложений.

...

 На вопросы Anti-Malware.ru любезно согласился ответить Рустэм Хайретдинов, основатель компании Appercut Security. Это интервью продолжает цикл публикаций "Индустрия в лицах".

Основанную вами компанию Appercut однозначно можно назвать успешным стартапом последней волны на рынке ИБ в России. С точки зрения эффективности вложений и потенциальной успешности нового дела, есть ли разница между рынком информационных технологий в целом и сектором информационной безопасности – в частности?

Честно говоря, я никогда не находился в ситуации, которая бы требовала от меня сравнения эффективности вложений – я не инвестор и выбор идей у меня не так велик. Мне кажется, что в B2B-security полно не только незанятых, но и даже не открытых ниш, особенно для противодействия внутренним угрозам, а, как говорится «продавать обувь босым много проще, чем обутым». Поэтому вложения в проекты в рамках B2B-security кажутся мне достаточно эффективными, чтобы в них вкладываться. 

Какие ошибки чаще всего допускают предприниматели, запускающие новый проект в области ИБ? Как их избежать?

У ИБ-предпринимательства в сфере B2B есть достаточно специфический риск. Например, для того, чтобы продавать средства ИБ крупным компаниям, надо иметь сертификаты различного уровня. Чтобы их получить, нужно подать заявку от производителя, имеющую лицензию уровня не ниже запрашиваемого. Поскольку у стартапа никаких лицензий обычно нет, заявка подается от другой компании, которая и считается производителем после выдачи лицензии. То есть, если у настоящего производителя к моменту подачи нет патентов, то появляется риск своими руками передать права авторства на свой продукт компании, связанной со спецслужбами. Чем это грозит в российских реалиях, можно додумать самостоятельно.

Остальные риски мало отличаются от ИТ-предпринимательства и предпринимательства вообще.

Какая правовая среда благоприятнее для новых начинаний – российская, европейская, американская? Какие законы стоило бы принять или обновить?

Американская правовая система больше подходит для инноваций, ее оттачивали десятилетиями. Российская для инноваций не подходит совсем, в ней невозможно несколько лет подряд иметь отрицательный поток наличности (нормальное состояние для стратапа), нет возможности выдать опцион ключевому сотруднику (а много платить ему на старте нечем), нет простой возможности завести деньги в виде инвестиций. Поэтому практически все российские стартапы имеют зарубежные юрисдикции, решающие эти проблемы. Произвол чиновников, бюрократия и незащищенность интеллектуальной собственности тоже не добавляют оптимизма. Есть проблемы с ввозом технических образцов, поэтому в России так мало разработчиков программ для новых гаджетов.

Абсолютно понятно, что надо менять, но любой проект закона в России интерпретируется не как возможность для развития новая бизнеса в среднесрочной перспективе, а как возможность крупных компаний не платить налоги в ближайший год, поэтому блокируется органами, отвечающими за наполнение текущего бюджета.

На ваш взгляд, что сейчас оказывает наибольшее влияние на развитие рынка ИБ?

Регуляторы и технологическое отставание.

Есть мнение, что наиболее динамично развивающийся сектор в пределах рынка ИБ – это DLP. Согласны ли вы с такой позицией?

DLP действительно растет очень быстро, я это вижу по росту InfoWatch. Потенциал роста не исчерпан, поскольку наполовину это еще «рынок босых», и он развивается экстенсивно. Также быстро развивается рынок SIEM и рынок anti-fraud – большинство из сделок совершаются в первый раз. Совсем в зародыше, а, значит, имеет большой потенциал роста рынок ИБ-продуктов/сервисов B2B и B2C – продажа бизнес-клиентам продуктов/сервисов, которые они распространяют (платно или бесплатно) среди своих корпоративных и частных клиентов.

Насколько востребованы сейчас услуги по анализу исходных кодов программных продуктов на предмет вредоносных закладок? Часто ли встречаются таковые закладки?

Если речь идет об услугах по анализу кодов «самописного софта», то спрос есть, он пока в основном формируется «пионерскими пользователями». Однако уже появляются пользователи, которыми движет не любопытство и жажда быть первым, а желание снизить количество инцидентов в проприетарных приложениях, особенно это заметно в финансовой отрасли.

«Закладки», если этим словом называть недекларированные возможности, есть практически в любом заказном ПО. Намеренные они или случайные – сказать только по коду практически невозможно.

Некоторые программисты говорят, что оставляют закладки в коде с одной целью: повлиять на заказчика в случае, если он решит воздержаться от оплаты их работы. Насколько, на ваш взгляд, оправданна такая «страховка»?

Ни законодательство, ни деловая этика не позволяет таких «страховок». Вам бы хотелось купить за свои деньги автомобиль с заложенной «для страховки продавца» миной? Где гарантия, что она не взорвется случайно или ее взрыватель не найдет другой человек? Как вы обеспечите то, что после оплаты мина исчезнет?

Если говорить наиболее обобщенно, что выдает вредоносную закладку в коде приложения?

Хорошую закладку ничего не выдает, она выглядит как штатная функция. Поскольку никто из заказных разработчиков не документирует бизнес-функциональность на уровне операторов и переменных, поэтому поиск недекларированных возможностей с приемлемой полнотой с ограниченными ресурсами практически не возможен.

Большинство же уязвимостей, которые мы находим в автоматическом режиме – это не написанные суперпрофессионалами «бэкдоры» и «часовые бомбы». Чаще всего это нарушения правил авторизации, незадокументированные каналы передачи информации, оставшиеся от отладочных процедур, а также ошибки при обработке вводимых данных. После дополнительной настройки сервиса и подготовки заказных образцов уязвимостей можно находить и application-specific уязвимости – нарушение каких-то процессов, характерных для конкретной бизнес-задачи, реализованной в коде. 

Как бы вы оценили перспективы создания средств эвристического поиска вредоносных закладок в исходных кодах приложений?

В общем случае задача решения не имеет, как и в других задачах эвристики (антивирусы, антиспам, DLP, анти-плагиат). Частные случаи же имеют эффективные и надежные решения. Простые закладки, сделанные неквалифицированными программистами, найти можно и с помощью регулярных выражений, а сложные –  даже теоретически невозможно. Приемлемая полнота поиска и уровень ложных срабатываний для некоторых моделей угроз и классов уязвимостей вполне достижима.

Есть ли у вас намерение расширять линейку продуктов Appercut? Если да, то в каком направлении?

Пока мы будем развиваться в основном направлении – наращивать количество аудируемых языков (их уже более 20, будет около 40), совершенствовать алгоритмы поиска,  расширять возможности самообучения поисковика, упрощать интерпретацию результатов пользователями. Уже сейчас мы предлагаем отдельный продукт, позволяющий пользователю самому создавать образцы application-specific уязвимостей и планируем его совершенствовать. Работы хватает и на основном фронте. Поэтому на пару лет мы загружены текущими задачами и в среднесрочной перспективе планов расширять линейку продуктов нет.

Спасибо за интервью и успехов в бизнесе!