mikaprok (mikaprok) wrote,
mikaprok
mikaprok

Categories:

Сдача




Неопознанные ломающие объекты

В то время, как в американской прессе не стихают разговоры о «Russian hackers», на повестку дня поднялась, на мой взгляд, куда более увлекательная тема.

Это пресловутый hack-back. Вопрос имеет богатую историю, начавшуюся еще в 80-х.

Вообще-то, осознанное проникновение в сеть или не авторизованный доступ к компьютерной технике является криминальным преступлением на федеральном уровне страны свободы.

Причем, речь идет об одной из самых старых законодательных норм в мире: базовая регуляция была принята еще в 1986 году. Шутки ради говорят, что Рональд Рейган посмотрел известный художественный фильм «War Games» 1983 года, в котором главный герой получает доступ к системам Пентагона и едва не начинает Третью мировую войну.

Картина произвела впечатление, и, от греха подальше, подобные активности решено было мониторить в повышенном режиме (что представляет собой примерно такой же литературный вымысел).

За прошедшие 30 лет накопилась официальная статистика. Исходя из нее 90% компаний (и частных и государственных) на территории США хотя бы один раз подвергались хакерской атаке.

С конца 80-х годов существуют системы «ответного удара», распространяемые бизнесами, тесно ассоциируемыми со спецслужбами.

У обиженных в момент атаки есть теоретический шанс отплатить (а это, по идее, незаконно) нападающему той же монетой.




Как становится понятно из экспонируемых NSA цифр, так или иначе оправдываясь за свое незавидное положение, шансом ответить воспользовалось достаточно большое количество организаций.

Причем зачастую компаний частных, проникающих вопреки и местному и международному праву в сети, находящиеся на территории других государств.

Вот такая вот петрушка, понимаешь.

Другими словами, крупные холдинги с монструозными ресурсами под предлогом угрозы собственным системам безопасности могут (порой безнаказанно) заниматься незаконной деятельностью по всему миру.

Сейчас всерьез спрашивают, а нужно ли это запрещать подобную деятельность с условием обязательной передачи всех улик в руки секретных служб или же узаконить практику активной обороны (!)

Из одного протокола в другой таскают два случая начала 2000-х с Lockheed Martin и Honeywell.

Якобы и та и другая организация (лишь в определенной степени частная, кстати) после долгих раздумий решили выследить и обезвредить обидчика, каковая активность привела их в Китай и далее со всеми остановками. Москву и «фабрику троллей» в этот раз удалось объехать.





С другой стороны, передавать в руки правосудия преступников необходимо оперативно, а никакой тесной координации между частным сектором экономики и государством формально не существует.

Что делать -- не ясно.

Скорее всего, появится скорая помощь для оказавшихся в беде на базе Defense Cyber Crime Center (DC3).




В связи с этой новой инициативой у меня возникло ровно два комментария-вопроса:

1) Предполагается ли публикация всех известных случаев hack-back с их последующим расследованием (мы можем и подождать)?
2) Какова формальная процедура верификации угрозы/нанесенного компании ущерба со стороны предполагаемого злоумышленника? Как в неоднозначных ситуациях защищаться от клеветы компаний в поисках страховки и/или промышленного шпионажа?

Через знакомого гражданина США переправил их в местный Конгресс (не шутка).

Жду ответа, как соловей лета :-)




https://telegram.me/mikaprok


Tags: #бизнес, #политика, #сша, #хакеры, business, hack-back, hackers, it, politics, usa
4

Хакеры это скучно. Лучше Reamde перечитать.


А, вот, не могли бы вы осветить вторую часть ужастика "Невидимые ультразвуковые цикады-вампиры атакуют американских дипломатов 2". Говорят, в этой части действие происходит не на Кубе, а в Китае. 6а мой взгляд, это наиболее интересная загадка современной политики : )

Как много лет работающий в этой индустрии специалист, могу сказать, что хакером стать очень легко. Достаточно знать несколько сетевых протоколов и выучить настройки по умолчанию для популярных пакетов, включая предустановленные пароли всяких рутов, дба, са и прочей шелупони. Тогда никаких задних калиток - заходи просто так, дорогой, бери что хочешь!

Несмотря на все ужастики, ситуация с безопасностью *везде* аховая. Её нет.

И это хорошо.
>Достаточно знать несколько сетевых протоколов и выучить настройки по умолчанию для популярных пакетов, включая предустановленные пароли всяких рутов, дба, са и прочей шелупони.

Есть путь проще - устанавливаем kali linux и начинаем, пользуясь руководством эксплуатации на пакеты бездумно запускать скрипты (в некоторых пакетах можно кнопочки тыкать!).
Да дело-то не в технике, она в ряде случаев тривиальна, а в трактовке правил.
Это да. Лучшая защита - это всегда нападение, а как же.
Понятно, особенно, когда защищаешься от выдуманного противника.
Спасибо за освещение интереснейшей темы. Но сегодня спеллчекер особенно расшалился. Возможно, это результат hack back? :)

В то время, как
При чем -> причём
Картина произвела впечатление, и, от греха подальше, подобные активности
а это, по идее, незаконно
Что делать - не ясно.
Скорее всего, появится
местных Конгресс -> местный Конгресс

По-моему, так.
Спасибо! Сломали мне грамматику окончательно.

le_irp

June 9 2018, 05:41:41 UTC 1 year ago Edited:  June 9 2018, 06:16:28 UTC

>1) Предполагается ли публикация всех известных случаев hack-back с их последующим расследованием (мы можем и подождать)?

Скажем так, случаи освещения реального взлома чего-нибудь связаны с неспособностью скрыть случившееся пострадавшим, либо намеренное раскрытие с коммерческими целями (страховка и прочая). Большая часть сведений о хакерской активности - втихую собираемая вендорами телеметрия (Касперский хотя бы утверждает, что собираемая отчётность проходит процедуру обезличивания на стороне пользователя). Есть активисты, которых никто не любит - Shodan, SCADA strangelove, но они больше по уязвимостям.

>Какова формальная процедура верификации угрозы/нанесенного компании ущерба со стороны предполагаемого злоумышленника?

Не знаю, как там на загнивающем западе, но у нас до января 2018 года вопросы кибербезопасности трактовались только с точи зрения информации (её конфиденциальности, целостности, доступности). На эту тему были законы, инструкции, всё довольно устоялось (сунув нос не туда, можно уехать годков эдак на 20). А вот с января 2018 года решили законодательно охватить сюжет "хакеры взрывают электростанцию", в связи с этим нарисовали уже много интересного и вдохновляющего. Самая изюминка - ГОССОПКА. Там, естественно, ничего не готово пока, но начинание мощное.

>Как в неоднозначных ситуациях защищаться от клеветы компаний в поисках страховки и/или промышленного шпионажа?

Если компания проводит компания проводит расследование, то как только в официальной документации всплывает сочетание данных, позволяющих точно идентифицировать конкретного человека, то без волшебного документа "согласие на обработку персональных данных", это уже нарушение закона, и можно жаловаться в Роскомнадзор.

Вообще, складывается впечатление, что у нас как-то даже разумно подошли к вопросу.

Так вот перечисляется около 2000 случаев hack-back, доказанных и запротоколированных. Где можно посмотреть эту информацию?

Персданные и все танцы вокруг них -- отдельная песня. То же самое касается верификации похищенных данных. Здесь более-менее все понятно.

Вопрос, как именно доказать проникновение в закрытую частную сеть (преступление); просмотр конфиденциальных, но не персональных данных (преступление); уничтожение или подделка данных (преступление). Что и как предлагается здесь доказывать предметно, по шагам. Мне интересно :-)

le_irp

June 9 2018, 11:16:46 UTC 1 year ago Edited:  June 9 2018, 11:20:47 UTC

Насчёт hack-back выглядит это всё фантастично, вполне возможно туда записаны технологии Honeypot - когда "хакеру" подсовывают ложную цель в сети, с которой он увлечённо ковыряется.

Ну если говорить про РФ, то у нас есть ловкий механизм, попробую объяснить.
У нас существует ФСТЭК, который в числе прочего проводит профильную сертификацию программных и программно-технических комплексов. Операция весьма строгая и серьёзная, мухлёвщикам разве что головы не откусывают.

Сама по себе сертификация строится на ГОСТ 15408 в трёх частях (который есть перевод глубоко буржуазного ISO), в числе прочего ГОСТ содержит функции безопасности.
Фокус в том, что сертификация придаёт легитимность работе этих самых функций безопасности, из чего следует, что, например, "журнал событий безопасности" можно смело нести в суд.

То есть существует легальный механизм, как зафиксировать различные идентификаторы злоумышленника, после чего "пробить по IP".

Остаётся проблема, что функции безопасности действуют только в рамках "контролируемого периметра", но есть плюс, что провайдеров уже прогнули под использование сертифицированных средств.

Далее в дело вступает 187-ФЗ и прочая, и ближайшая перспектива выглядит так, что будет надёжно мониториться весь путь от пользователя до конкретной среды, куда он своими ручонками полез.

Другое дело, что хорошо и профессионально подготовленные атаки даже так не просто будет подловить, но кто говорил, что будет легко.

В США, насколько я знаю, такая же работа ведётся с поправками на местный ландшафт (хотя ISO они и разработали).
Да туда можно записать все, что угодно. Хочется демонстрации или перечисления.

ФСТЭК сертифицирует по достаточно старым правилам. Проходил эту процедуру дважды и могу сказать, что это вполне "советская" строгость, несмотря на ссылки на ISO.

Допущение про периметр правильное и полностью отражает ситуацию в целом: если из 3 квадратных километров площади защищены надежно 3 квадратных метра, то можно быть уверенным -- нести журналы в суд не придется :-) Так и происходит сплошь и рядом по всему миру. Дело же не в системах, а в людях.

Если говорить о хороших атаках, то о них никто не знает. Тут всё просто.
>Хочется демонстрации или перечисления.

Сего не буде. Благо, если кто-то по дурости признается, его будут сочно, с оттягом пинать.

>ФСТЭК сертифицирует по достаточно старым правилам.

В отличие от всего остального в кибербезопасности, "старые советские правила" являются хоть каким-то реальным руководством к действию, в отличие от различных нормативов по написанию "руководства по безопасной разработке", выполненных в стиле "ну вы как-нибудь сделайте".

>Проходил эту процедуру дважды и могу сказать, что это вполне "советская" строгость, несмотря на ссылки на ISO.

Конфиденциалка или гостайна?

>Допущение про периметр правильное и полностью отражает ситуацию в целом

Собственно, общемировая идея такова, что нужно сделать систему перекрывающихся периметров, чтобы гасить самодеятельность в зародыше.

>Если говорить о хороших атаках, то о них никто не знает.

Не совсем - о хороших атаках узнают после достижения их целей, и знание это в стиле "а что это было", как с достопримечательным havex.
А если не будет, то это, простите-извините, фантазии. Без публичности в это невозможно поверить.

Советские правила несовременны.

Конфиденциальность, да.

Самодеятельность погасить нельзя, слабое звено -- наблюдатель.

Думаю, что хорошая (Хорошая) атака не дает жертве вообще никаких намеков. Если они есть -- значит что-то было не продумано.

Потом серьезные кибернаступления готовят несколько лет, а осуществляют за время от нескольких секунд до нескольких минут. Дальше еще могут около года отвлекать внимание. Если информация стоит того :-)
Предположу ответы с той стороны:

1) Публикация возможна в случае, если она не разгласит государственную или коммерческую тайну.
2) Процедура верификации будет осуществляться страховой в случае ущерба частной компании, или государственным надзорным органом, в случае ущерба государству.
В первом случае, коммерческий интерес страховой компании будет являтся мотиватором расследовать случаи злоупотребления, во втором случае правительством будет создана комиссия, которая будет аудиторовать надзорный орган.
Обождите :)
Всё, как всегда :-)

1) нужны не коммерческие детали, а перечень пострадавших хотя бы с техническими характеристиками средств, от которых они пострадали. Пусть и 20-летней давности, по истечении любых протокольных блокировок. А то всё выглядит, как легализация корпоративного и государственного шпионажа с помощью беззастенчивой лжи.

2) огонь! Страховая, как я понимаю, должна и предотвратить утечку информации, как нам обещает DC3. В любой страховой же работают 24/7 эксперты по кибербезопасности, готовые откликнуться на зов помощи от любого бизнеса на территории страны. Бизнесов 16 миллионов :-)

Я никуда не тороплюсь.
Хехе, ну государство же не дает гарантий, что закон будет работать. Но ведь они должны попытаться
В жизни вообще мало кто дает гарантии :-(

Хочу узнать, как попытаются.

Anonymous

June 9 2018, 13:15:16 UTC 1 year ago

В этом вашем hack-back участникам процесса должно быть до конца не ясно, кто охотник, а кто жертва. Кто кому honeypot, так сказать. Может это провокация, с целью вышибить любителей ответных ударов со своего рынка. "Вы и взломали". Или даже подставить кого-то третьего под удар "корпорации с недюжинными ресурсами", собственно как в War games чуть не произошло (а в тех же лет и в чем-то похожей канвой Nuclear dawn произошло). Так что логично ввести ограничения на самооборону эскалацию.
Что вы, какой он мой :-)

Участникам процесса может быть не ясно, а госрегулятор должен решить.

Anonymous

June 10 2018, 00:43:27 UTC 1 year ago

very good call. so many idiots, so little time.