Сдача

Хакеры это скучно. Лучше Reamde перечитать.

А, вот, не могли бы вы осветить вторую часть ужастика "Невидимые ультразвуковые цикады-вампиры атакуют американских дипломатов 2". Говорят, в этой части действие происходит не на Кубе, а в Китае. 6а мой взгляд, это наиболее интересная загадка современной политики : )

Как много лет работающий в этой индустрии специалист, могу сказать, что хакером стать очень легко. Достаточно знать несколько сетевых протоколов и выучить настройки по умолчанию для популярных пакетов, включая предустановленные пароли всяких рутов, дба, са и прочей шелупони. Тогда никаких задних калиток - заходи просто так, дорогой, бери что хочешь!

Несмотря на все ужастики, ситуация с безопасностью *везде* аховая. Её нет.

И это хорошо.

>Достаточно знать несколько сетевых протоколов и выучить настройки по умолчанию для популярных пакетов, включая предустановленные пароли всяких рутов, дба, са и прочей шелупони.

Есть путь проще - устанавливаем kali linux и начинаем, пользуясь руководством эксплуатации на пакеты бездумно запускать скрипты (в некоторых пакетах можно кнопочки тыкать!).

Это да. Лучшая защита - это всегда нападение, а как же.

Спасибо за освещение интереснейшей темы. Но сегодня спеллчекер особенно расшалился. Возможно, это результат hack back? :)

В то время, как
При чем -> причём
Картина произвела впечатление, и, от греха подальше, подобные активности
а это, по идее, незаконно
Что делать - не ясно.
Скорее всего, появится
местных Конгресс -> местный Конгресс

По-моему, так.

>1) Предполагается ли публикация всех известных случаев hack-back с их последующим расследованием (мы можем и подождать)?

Скажем так, случаи освещения реального взлома чего-нибудь связаны с неспособностью скрыть случившееся пострадавшим, либо намеренное раскрытие с коммерческими целями (страховка и прочая). Большая часть сведений о хакерской активности - втихую собираемая вендорами телеметрия (Касперский хотя бы утверждает, что собираемая отчётность проходит процедуру обезличивания на стороне пользователя). Есть активисты, которых никто не любит - Shodan, SCADA strangelove, но они больше по уязвимостям.

>Какова формальная процедура верификации угрозы/нанесенного компании ущерба со стороны предполагаемого злоумышленника?

Не знаю, как там на загнивающем западе, но у нас до января 2018 года вопросы кибербезопасности трактовались только с точи зрения информации (её конфиденциальности, целостности, доступности). На эту тему были законы, инструкции, всё довольно устоялось (сунув нос не туда, можно уехать годков эдак на 20). А вот с января 2018 года решили законодательно охватить сюжет "хакеры взрывают электростанцию", в связи с этим нарисовали уже много интересного и вдохновляющего. Самая изюминка - ГОССОПКА. Там, естественно, ничего не готово пока, но начинание мощное.

>Как в неоднозначных ситуациях защищаться от клеветы компаний в поисках страховки и/или промышленного шпионажа?

Если компания проводит компания проводит расследование, то как только в официальной документации всплывает сочетание данных, позволяющих точно идентифицировать конкретного человека, то без волшебного документа "согласие на обработку персональных данных", это уже нарушение закона, и можно жаловаться в Роскомнадзор.

Вообще, складывается впечатление, что у нас как-то даже разумно подошли к вопросу.

Насчёт hack-back выглядит это всё фантастично, вполне возможно туда записаны технологии Honeypot - когда "хакеру" подсовывают ложную цель в сети, с которой он увлечённо ковыряется.

Ну если говорить про РФ, то у нас есть ловкий механизм, попробую объяснить.
У нас существует ФСТЭК, который в числе прочего проводит профильную сертификацию программных и программно-технических комплексов. Операция весьма строгая и серьёзная, мухлёвщикам разве что головы не откусывают.

Сама по себе сертификация строится на ГОСТ 15408 в трёх частях (который есть перевод глубоко буржуазного ISO), в числе прочего ГОСТ содержит функции безопасности.
Фокус в том, что сертификация придаёт легитимность работе этих самых функций безопасности, из чего следует, что, например, "журнал событий безопасности" можно смело нести в суд.

То есть существует легальный механизм, как зафиксировать различные идентификаторы злоумышленника, после чего "пробить по IP".

Остаётся проблема, что функции безопасности действуют только в рамках "контролируемого периметра", но есть плюс, что провайдеров уже прогнули под использование сертифицированных средств.

Далее в дело вступает 187-ФЗ и прочая, и ближайшая перспектива выглядит так, что будет надёжно мониториться весь путь от пользователя до конкретной среды, куда он своими ручонками полез.

Другое дело, что хорошо и профессионально подготовленные атаки даже так не просто будет подловить, но кто говорил, что будет легко.

В США, насколько я знаю, такая же работа ведётся с поправками на местный ландшафт (хотя ISO они и разработали).

>Хочется демонстрации или перечисления.

Сего не буде. Благо, если кто-то по дурости признается, его будут сочно, с оттягом пинать.

>ФСТЭК сертифицирует по достаточно старым правилам.

В отличие от всего остального в кибербезопасности, "старые советские правила" являются хоть каким-то реальным руководством к действию, в отличие от различных нормативов по написанию "руководства по безопасной разработке", выполненных в стиле "ну вы как-нибудь сделайте".

>Проходил эту процедуру дважды и могу сказать, что это вполне "советская" строгость, несмотря на ссылки на ISO.

Конфиденциалка или гостайна?

>Допущение про периметр правильное и полностью отражает ситуацию в целом

Собственно, общемировая идея такова, что нужно сделать систему перекрывающихся периметров, чтобы гасить самодеятельность в зародыше.

>Если говорить о хороших атаках, то о них никто не знает.

Не совсем - о хороших атаках узнают после достижения их целей, и знание это в стиле "а что это было", как с достопримечательным havex.

Предположу ответы с той стороны:

1) Публикация возможна в случае, если она не разгласит государственную или коммерческую тайну.
2) Процедура верификации будет осуществляться страховой в случае ущерба частной компании, или государственным надзорным органом, в случае ущерба государству.
В первом случае, коммерческий интерес страховой компании будет являтся мотиватором расследовать случаи злоупотребления, во втором случае правительством будет создана комиссия, которая будет аудиторовать надзорный орган.
Обождите :)

Хехе, ну государство же не дает гарантий, что закон будет работать. Но ведь они должны попытаться

В этом вашем hack-back участникам процесса должно быть до конца не ясно, кто охотник, а кто жертва. Кто кому honeypot, так сказать. Может это провокация, с целью вышибить любителей ответных ударов со своего рынка. "Вы и взломали". Или даже подставить кого-то третьего под удар "корпорации с недюжинными ресурсами", собственно как в War games чуть не произошло (а в тех же лет и в чем-то похожей канвой Nuclear dawn произошло). Так что логично ввести ограничения на самооборону эскалацию.

very good call. so many idiots, so little time.