История безопасности
С 1970-х годов до наших дней — крупнейшие инциденты, уязвимости, вредоносные программы и защитные технологии, сформировавшие безопасность, на единой временной шкале. Каждый пункт ведёт к подробному разбору на этом сайте.
История безопасности — это летопись противостояния новых атак и технологий, созданных, чтобы их остановить. Если посмотреть на неё целиком, становится ясно, что именно стоит защищать в первую очередь сегодня. Цвет обозначает категорию.
- Взлом / атака
- Уязвимость
- Вредоносное ПО
- Защитная технология
- Стандарт / закон
Истоки
1970s–1980s- 1976Криптография с открытым ключом
Diffie–Hellman опубликовали идею обмена открытыми ключами — фундамент, на котором держатся TLS, цифровые подписи и сегодняшние passkeys.
- 1988Червь Морриса
Первый крупномасштабный интернет-червь — он поразил множество машин и подтолкнул к созданию CERT. Он показал миру, что запущенный код распространяется.
Читать далее - 1988Основание CERT/CC
Возник после червя как первый центр координации реагирования на уязвимости — зерно скоординированного раскрытия.
Эпоха веба
1990s- 1995SSL / TLS
Появляется шифрование веб-трафика (позже стандартизированное как TLS) — ядро HTTPS, останавливающее прослушивание и подмену.
- 1998SQL-инъекция
Уязвимость, при которой ввод перехватывает запрос к базе данных, получает широкую известность — до сих пор риск высшего уровня. Защита: параметризованные запросы.
Читать далее - 1999Программа CVE
Начинается присвоение общего идентификатора каждой уязвимости — чтобы весь мир мог называть одну и ту же брешь одинаково.
Читать далее - 2000ILOVEYOU
Червь, взрывообразно распространившийся через вложения в электронной почте — ранний образец заражения через социальную инженерию.
Черви и массовые заражения
2000s- 2003SQL Slammer
Червь, за считанные минуты насытивший интернет — доказательство того, что неисправленная известная ошибка может обернуться глобальным сбоем.
- 2003OWASP Top 10
Список, сведший риски веб-приложений к десяти пунктам — с тех пор общий язык для разработчиков.
- 2005XSS (червь Samy)
XSS-червь, за день охвативший около 1 млн профилей — наглядный урок о том, почему вывод нужно экранировать.
Читать далее - 2006PCI DSS
Общий стандарт безопасности для всех, кто работает с данными карт — начало безопасности, движимой соответствием требованиям.
- 2008Conficker
Ботнет, охвативший миллионы машин — ещё одно напоминание о том, насколько опасно медленное обновление.
Эпоха крупных утечек
2010–2016- 2010Stuxnet
Атака государственного уровня на промышленные системы управления — доказательство того, что кибератака способна вывести из строя физическое оборудование.
- 2014Heartbleed
Уязвимость в OpenSSL, способная выдать закрытые ключи и сессии из памяти сервера — символ рисков зависимостей.
Читать далее - 2014Shellshock
Уязвимость в Bash, допускавшая удалённое выполнение кода — брешь в повсеместно используемом компоненте имеет огромный охват.
Читать далее - 2014Аппаратные ключи FIDO / U2F
Появляется устойчивый к фишингу стандарт второго фактора — путь, ведущий к passkeys.
Читать далее - 2015Let's Encrypt
Бесплатные автоматические TLS-сертификаты — переломный момент, сделавший HTTPS нормой, а не роскошью.
Читать далее - 2016Mirai (IoT-ботнет)
Захватил IoT-устройства со стандартными паролями в огромный DDoS — опасность стандартных и слабых учётных данных.
Читать далее
Программы-вымогатели и цепочка поставок
2017–2021- 2017WannaCry / NotPetya
Ущерб от программ-вымогателей по всему миру — необновлённые системы вместе с быстрым распространением способны остановить целые организации.
Читать далее - 2017Утечка Equifax
Около 147 млн записей потеряно из-за неисправленной уязвимости Apache Struts — худшая цена игнорирования CVE в зависимости.
Читать далее - 2018Вступление в силу GDPR
Всеобъемлющий закон ЕС о защите данных — теперь утечки влекут крупные штрафы и обязанность уведомления.
- 2019Capital One (SSRF)
SSRF вместе с ошибкой облачной конфигурации раскрыл более 100 млн записей — типичная ошибка проектирования облачной эпохи.
Читать далее - 2020SolarWinds
Атака на цепочку поставок, спрятанная внутри легитимного обновления ПО — само доверенное русло распространения превращено в оружие.
Читать далее - 2021Codecov
Подмена CI-инструмента привела к утечке множества секретов — распространяя понимание, что конвейер сборки тоже мишень.
Читать далее - 2021Log4Shell
Уязвимость в Log4j, при которой простое логирование строки могло выполнить код — суровый урок о необходимости быстро обновлять зависимости.
Читать далее
Современность (passkeys и ИИ)
2022–- 2022Passkeys
Устойчивая к фишингу замена паролей появляется в основных ОС и браузерах.
Читать далее - 2023MOVEit / Cl0p
Массовая эксплуатация уязвимости продукта для передачи файлов — брешь в одном компоненте каскадом задела тысячи организаций.
Читать далее - 2024Бэкдор в xz-utils
Бэкдор едва не проник в повсеместно используемую библиотеку сжатия — его перехватили в последний момент; атаки на цепочку поставок становятся всё изощрённее.
Читать далее - 2024Эпоха ИИ
Генеративный ИИ ускоряет и атаку, и защиту — с новыми ловушками, такими как утечка ключей и внедрение в промпт.
Читать далее