Искусство декомпиляции: вчера, сегодня, завтра

Мы все помним, что в то время рынок декомпиляции был очень и очень небольшим, и прогнозы его развития были весьма туманны. За несколько прошедших лет ситуация поменялась. И сегодня мы предлагаем проанализировать, что конкретно изменилось в этой сфере и как обстоят дела сейчас, а также составить прогноз на ближайшее будущее.

От "оживления" АСУ ТП до надежности бизнес-систем

На практике за последние три года число запросов на восстановление алгоритмов работы или кодов унаследованных SCADA-систем сократилось более чем в два раза. Основные причины уменьшения числа кейсов по "реинкарнации" унаследованных систем – экономические и технологические. Большая часть таких систем безнадежно устарела и не соответствует современным требованиям бизнеса и IТ, а потому заменяется более современными продуктами. В результате мы сталкиваемся с такими задачами, к примеру, как восстановление алгоритмов работы устаревших самописных АСУ ТП (очень специфичных и заточенных под конкретного пользователя) для точной конфигурации новых систем.

Что касается поступающих запросов по части поиска закладок, то их количество на протяжении нескольких лет оставалось примерно одинаковым, однако в 2014 г. выросло почти в три раза. Столь взрывной рост обозначился на волне обострения геополитических вопросов, а также в связи с участившимися случаями обнаружения неизвестного трафика от различных информационных систем. При этом нельзя сказать, что большинство реализуемых нами кейсов по поиску закладок касаются именно АСУ ТП, – значительное их число нацелено на поиск закладок в кастомизируемых бизнес-системах. Один из самых ярких примеров – обнаружение функционала скрытой отправки данных о клиентах на внешний сервер, который был оперативно заблокирован при помощи определенных запрещающих настроек межсетевого экрана.

Сегодня: предпосылки для дальнейшего развития

Хотя рынок проверки промышленного софта на наличие "дыр" и закладок с использованием технологии декомпиляции сегодня относительно невелик, он демонстрирует весьма быстрые темпы роста. В числе ключевых причин этого мы видим несколько моментов.

Высокая трудоемкость и стоимость услуг
Эволюция подхода к работам по декомпиляции сравнима с переходом от создания предметов искусства (когда результат полностью зависит от таланта мастера) к конвейерному производству, при котором ключевую роль играет степень зрелости и реализация самой технологии, а также выстроенных вокруг нее производственных процессов. В целом сейчас работы по декомпиляции являются своего рода "искусством", и успех проекта полностью зависит от компетенций и таланта экспертов.

Существенная трудность, с которой сталкиваются эксперты, – обфускация кода (запутывание кода, приведение его к виду, сохраняющему функциональность программы, но затрудняющему анализ, понимание алгоритмов работы и модификацию при декомпиляции). Обфускация может иметь различные уровни сложности, соответственно, эксперты могут потратить на деобфускацию от 1 часа до неопределенного количества времени. При этом чем сложнее обфускация, тем большую роль в успешности проекта играет квалификация эксперта. В общем-то, фактор обфускации можно считать одним из ключевых, так как он может в разы увеличить стоимость работ по декомпиляции, сроки, а в некоторых случаях и вовсе делает проект нецелесообразным по экономическим причинам. Однако дальнейшее развитие технологии, скорее всего, позволит автоматизировать значительную долю операций. Для решения сложных подзадач, не поддающихся автоматизации, появятся более эффективные и менее ресурсоемкие методики. За счет этого можно ожидать ощутимого снижения (в некоторых случаях в разы) трудоемкости и стоимости таких услуг.

Малочисленность "свободных" экспертов на рынке
В настоящее время найти специалистов, имеющих компетенции и опыт в области декомпиляции, можно, как правило, только в антивирусных лабораториях, в закрытых институтах и государственных учреждениях. Их компетенции практически не доступны рынку в формате проектной услуги с понятным и прозрачным механизмом взаимодействия, принятым в секторе B2B. Иными словами – проектно-сервисный формат взаимодействия с такими специалистами практически отсутствует. Но и эту проблему "время лечит". С одной стороны, со временем увеличится количество экспертов, в той или иной степени интересующихся технологией декомпиляции, а с другой – те, кто сейчас трудятся только в закрытых лабораториях и институтах, будут находить себе применение и в коммерческих компаниях, транслирующих подобные услуги на рынок в проектном формате.

Технология декомпиляции малоизвестна в России
Откровенно говоря, с ней знаком очень небольшой процент компаний. Наша статистика показывает, что очень немногие компании из числа наших клиентов имеют общее представление о декомпиляции, и еще меньшее их количество понимает, каким образом данную технологию можно применять на практике для решения своих бизнес-задач. В контексте развития технологии эта тенденция особенно интересна. Чем выше осведомленность о ней, тем выше спрос, а рост спроса в рыночных условиях всегда сопровождается развитием предложения, что, в свою очередь, неизбежно подстегнет конкуренцию и ускорит развитие технологии как таковой.

Что ждет за горизонтом?

Очевидно, что в самой краткосрочной перспективе мы ожидаем популяризации технологии декомпиляции на рынке и ее дальнейшего развития в сторону большей автоматизации. С сохранением при этом ведущих ролей за экспертом, влиянием его компетенций и таланта на эффективность решения задач по декомпиляции. Но, по нашим оценкам, уже в течение трех лет на рынке появятся решения Enterpise-уровня, помимо анализа кода предлагающие и функционал-декомпиляции. Вот ими-то уже смогут пользоваться и специалисты, не имеющие глубокого бэкграунда в сфере разработки и тем более декомпиляции. Это снизит трудоемкость и стоимость работ, позволит большему количеству специалистов выполнять проекты низкой и средней сложности, а также значительно увеличит прикладной спрос на данную технологию.

Что касается АСУ ТП, мы считаем, что актуальность темы восстановления алгоритмов работы (или полностью всего кода) унаследованных SCADA-систем через несколько лет практически сойдет на нет. Это объясняется тем, что с течением времени утрачивается всякий смысл в восстановлении чрезмерно устаревшей системы АСУ ТП – в этом случае оптимальнее внедрить современную систему. В то же время спрос на поиск закладок, в силу повышения уровня осведомленности и внимания к данному вопросу со стороны сотрудников блока ИБ, будет устойчиво расти, особенно в АСУ ТП критически важных объектов.

ИНФОСИСТЕМЫ ДЖЕТ, КОМПАНИЯ
127015 Москва,
ул. Большая Новодмитровская, 14, стр. 1
Тел.: (495) 411-7601, 411-7603
Факс: (495) 411-7602
E-mail: info@jet.msk.su
www.jet.msk.su