Перейти к содержимому
>_ITDITDПлатформа веб-безопасности
timeline

История безопасности

С 1970-х годов до наших дней — крупнейшие инциденты, уязвимости, вредоносные программы и защитные технологии, сформировавшие безопасность, на единой временной шкале. Каждый пункт ведёт к подробному разбору на этом сайте.

История безопасности — это летопись противостояния новых атак и технологий, созданных, чтобы их остановить. Если посмотреть на неё целиком, становится ясно, что именно стоит защищать в первую очередь сегодня. Цвет обозначает категорию.

  • Взлом / атака
  • Уязвимость
  • Вредоносное ПО
  • Защитная технология
  • Стандарт / закон

Истоки

1970s–1980s
  1. 1976Криптография с открытым ключом

    Diffie–Hellman опубликовали идею обмена открытыми ключами — фундамент, на котором держатся TLS, цифровые подписи и сегодняшние passkeys.

  2. 1988Червь Морриса

    Первый крупномасштабный интернет-червь — он поразил множество машин и подтолкнул к созданию CERT. Он показал миру, что запущенный код распространяется.

    Читать далее
  3. 1988Основание CERT/CC

    Возник после червя как первый центр координации реагирования на уязвимости — зерно скоординированного раскрытия.

Эпоха веба

1990s
  1. 1995SSL / TLS

    Появляется шифрование веб-трафика (позже стандартизированное как TLS) — ядро HTTPS, останавливающее прослушивание и подмену.

  2. 1998SQL-инъекция

    Уязвимость, при которой ввод перехватывает запрос к базе данных, получает широкую известность — до сих пор риск высшего уровня. Защита: параметризованные запросы.

    Читать далее
  3. 1999Программа CVE

    Начинается присвоение общего идентификатора каждой уязвимости — чтобы весь мир мог называть одну и ту же брешь одинаково.

    Читать далее
  4. 2000ILOVEYOU

    Червь, взрывообразно распространившийся через вложения в электронной почте — ранний образец заражения через социальную инженерию.

Черви и массовые заражения

2000s
  1. 2003SQL Slammer

    Червь, за считанные минуты насытивший интернет — доказательство того, что неисправленная известная ошибка может обернуться глобальным сбоем.

  2. 2003OWASP Top 10

    Список, сведший риски веб-приложений к десяти пунктам — с тех пор общий язык для разработчиков.

  3. 2005XSS (червь Samy)

    XSS-червь, за день охвативший около 1 млн профилей — наглядный урок о том, почему вывод нужно экранировать.

    Читать далее
  4. 2006PCI DSS

    Общий стандарт безопасности для всех, кто работает с данными карт — начало безопасности, движимой соответствием требованиям.

  5. 2008Conficker

    Ботнет, охвативший миллионы машин — ещё одно напоминание о том, насколько опасно медленное обновление.

Эпоха крупных утечек

2010–2016
  1. 2010Stuxnet

    Атака государственного уровня на промышленные системы управления — доказательство того, что кибератака способна вывести из строя физическое оборудование.

  2. 2014Heartbleed

    Уязвимость в OpenSSL, способная выдать закрытые ключи и сессии из памяти сервера — символ рисков зависимостей.

    Читать далее
  3. 2014Shellshock

    Уязвимость в Bash, допускавшая удалённое выполнение кода — брешь в повсеместно используемом компоненте имеет огромный охват.

    Читать далее
  4. 2014Аппаратные ключи FIDO / U2F

    Появляется устойчивый к фишингу стандарт второго фактора — путь, ведущий к passkeys.

    Читать далее
  5. 2015Let's Encrypt

    Бесплатные автоматические TLS-сертификаты — переломный момент, сделавший HTTPS нормой, а не роскошью.

    Читать далее
  6. 2016Mirai (IoT-ботнет)

    Захватил IoT-устройства со стандартными паролями в огромный DDoS — опасность стандартных и слабых учётных данных.

    Читать далее

Программы-вымогатели и цепочка поставок

2017–2021
  1. 2017WannaCry / NotPetya

    Ущерб от программ-вымогателей по всему миру — необновлённые системы вместе с быстрым распространением способны остановить целые организации.

    Читать далее
  2. 2017Утечка Equifax

    Около 147 млн записей потеряно из-за неисправленной уязвимости Apache Struts — худшая цена игнорирования CVE в зависимости.

    Читать далее
  3. 2018Вступление в силу GDPR

    Всеобъемлющий закон ЕС о защите данных — теперь утечки влекут крупные штрафы и обязанность уведомления.

  4. 2019Capital One (SSRF)

    SSRF вместе с ошибкой облачной конфигурации раскрыл более 100 млн записей — типичная ошибка проектирования облачной эпохи.

    Читать далее
  5. 2020SolarWinds

    Атака на цепочку поставок, спрятанная внутри легитимного обновления ПО — само доверенное русло распространения превращено в оружие.

    Читать далее
  6. 2021Codecov

    Подмена CI-инструмента привела к утечке множества секретов — распространяя понимание, что конвейер сборки тоже мишень.

    Читать далее
  7. 2021Log4Shell

    Уязвимость в Log4j, при которой простое логирование строки могло выполнить код — суровый урок о необходимости быстро обновлять зависимости.

    Читать далее

Современность (passkeys и ИИ)

2022–
  1. 2022Passkeys

    Устойчивая к фишингу замена паролей появляется в основных ОС и браузерах.

    Читать далее
  2. 2023MOVEit / Cl0p

    Массовая эксплуатация уязвимости продукта для передачи файлов — брешь в одном компоненте каскадом задела тысячи организаций.

    Читать далее
  3. 2024Бэкдор в xz-utils

    Бэкдор едва не проник в повсеместно используемую библиотеку сжатия — его перехватили в последний момент; атаки на цепочку поставок становятся всё изощрённее.

    Читать далее
  4. 2024Эпоха ИИ

    Генеративный ИИ ускоряет и атаку, и защиту — с новыми ловушками, такими как утечка ключей и внедрение в промпт.

    Читать далее