Solo existe este espacio, completamente familiar, en el que no hay sorpresas.
Está completamente iluminado, cada centímetro bajo supervisión.
Pero más allá del perímetro de la oscuridad impenetrable es tal que incluso un metro no puede ver nada.
Y de esta oscuridad se extienden los brazos. Manos armadas Para un propósito: destruir todo este mundo.
Y ahora sale un arma de la oscuridad. Es bien sabido cómo se ve y de lo que es capaz. Desert Eagle.
Pero, ¿cómo entender de quién es la mano?
¿Es un mercenario que no parpadea antes de un disparo, o un niño en edad preescolar que apenas sostiene un arma y un disparo del que él mismo matará?
Parece que la introducción resultó ser mucho más interesante que el artículo en sí.
Déjame intentarlo de nuevo, menos literario.
Manejo de errores
Hace cinco años, cuando estaba escribiendo mi diploma, mi supervisor graduado sugirió un tema para clasificar a los infractores de seguridad. En ese momento, nos pareció que el tema no era suficiente para un diploma, pero algunos de los desarrollos todavía entraron en el negocio.
Pasaron los años, pero algunas de las preguntas que surgieron en mi diploma todavía me preocupan.
Estoy más que seguro de que me perdí mucho en la clasificación de los infractores y me gustaría ver su opinión al respecto en los comentarios.
Ahora seguro el comienzo
¿Es posible usar clasificaciones de infractores de seguridad de otra manera que crear un modelo de infractor de seguridad?
Mi diploma fue, en particular, que sí, es posible.
Pero primero, veamos las definiciones.
En lugar de la larga frase "infractor de seguridad", usaré el "hacker". Al final, no tenemos una revista académica para usar formulaciones verificadas burocráticamente.
Al principio pensé que la clasificación debería hacerse de acuerdo con la "fuerza" del hacker. Pero luego tuve que definir qué es el "poder de los hackers". Como resultado, algo sucedió en el espíritu de "La fuerza es la cantidad de daño que un hacker puede infligir en un sistema". Entonces tendríamos que hablar sobre cómo determinamos el daño: en costos en efectivo para eliminar las consecuencias del ataque, en el tiempo de inactividad o eliminación, o algún otro equivalente.
Pero tomé una decisión de Salomón y me alejé del poder por completo y clasificamos a los piratas informáticos por peligro para el sistema atacado. Bueno, qué quieres decir con peligro aquí depende de ti.
Clasificamos?
Entonces, llegamos a la clasificación de piratas informáticos por peligro para el sistema. Pero, ¿cómo se puede clasificar? Sí, puede tomar tres gradaciones: "peligro bajo", "peligro medio" y "peligro alto".
Todo resuelto. Gracias por leer mi breve artículo, me alegra que hayas dedicado tu tiempo a ello.
De hecho, nos estamos acercando lentamente a un problema que me preocupa: ¿es posible clasificar automáticamente a los hackers?
Primero, veamos qué es ahora.
Logré encontrar dos enfoques principales:
- por recursos;
- por el conocimiento
Ahora veamos lo que no me gusta de ellos.
Clasificación de recursos
Esta clasificación se puede encontrar en FSTEC. Para ser más precisos, no clasifican a los infractores en sí, sino a su potencial:
- Intrusos con potencial básico (bajo).
- Intrusos con un potencial básico (medio) aumentado.
- Intrusos de alto potencial.
Los infractores de la tercera categoría son "Servicios especiales de estados extranjeros (bloques de estados)".
De hecho, la clasificación indica cuántas personas, tiempo y dinero puede gastar en un ataque de un hacker (bueno, o un grupo de hackers). Las agencias de inteligencia pueden permitirse gastar recursos monetarios casi ilimitados y contratar institutos de investigación completos para desarrollar métodos de penetración.
Y aquí surge la pregunta de cómo es posible clasificar a los hackers automáticamente. Y resulta que hay pocas oportunidades para esto, porque no puedes preguntarle al hacker "¿cuánto estás dispuesto a gastar dinero para quebrarme?"
A menos que pueda usar cualquier solución anti-APT, pueden analizar algo y clasificar el ataque registrado como algún tipo de grupo internacional de hackers, que se denomina "gobierno".
O, al investigar el incidente, utilizando un método experto, determine cuánto esfuerzo y dinero se gastó y cuántas personas participaron en él.
Clasificación por conocimiento
Tal clasificación generalmente se parece a esto:
- Script Kiddy.
- Hackers
- Hackers de alto nivel.
La gradación es casi comprensible de que los scripts de exploits en sí mismos no escriban exploits, arrastren a los demás, los hackers ya pueden configurar algo por sí mismos y usan tolerablemente las herramientas para un pentest, y los hackers de alto nivel buscan vulnerabilidades y escriben exploits según sus necesidades. Dependiendo del autor de la clasificación, las definiciones (y los nombres) de las categorías pueden ser diferentes; lo que escribí es una versión muy promedio y abreviada.
Entonces, ¿cuál es el problema?
El problema es que no puedes permitir que ningún atacante escriba al atacante.
Ante la incertidumbre, es difícil concluir el conocimiento. Incluso en condiciones de examen más controladas, las conclusiones pueden ser incorrectas.
Detectar instrumentación?
Bueno, puedes intentarlo. Pero no hay garantía de que un hacker de alto nivel no use herramientas más simples. Especialmente si no está familiarizado con ninguna tecnología. En sus intentos, incluso puede caer al nivel de script kiddy, lo que no lo hará menos peligroso, porque después de pasar una sección difícil para él, volverá nuevamente al tercer nivel de peligro. Además, no olvide que todas las herramientas se venden o filtran para abrir el acceso. El uso de una herramienta de alto nivel puede aumentar las posibilidades de "éxito" y hacer que la persona que la usa sea más peligrosa en una perspectiva a corto plazo, pero en general, nada cambiará.
Es decir, de hecho, estoy hablando del hecho de que dicho sistema es propenso a errores tanto del primer como del segundo tipo (tanto una exageración del peligro como una subestimación).
¿Quizás más fácil?
Hay otro método que utilicé en mi diploma: usar CVE, o más precisamente, CVSS.
En la descripción de la vulnerabilidad CVSS existe una línea como "complejidad de explotación".
La correlación es bastante simple: si la vulnerabilidad es difícil de explotar, entonces la persona que podría explotarla es más peligrosa.
Parece ideal: observamos qué vulnerabilidades explota un pirata informático, las buscamos en la base de datos y asignamos una clasificación de riesgo al pirata informático. Entonces, ¿qué no me gusta aquí?
La explotación de la vulnerabilidad es evaluada por un experto. Y puede estar equivocado en su evaluación, puede tener su propio interés (subestimar o sobreestimar intencionalmente la evaluación), e incluso cualquier otra cosa, porque se trata de una persona.
Además, se puede comprar un exploit para la vulnerabilidad. A veces, la implementación puede ser tan "dirigida al comprador" que solo queda presionar el botón de "pirateo" condicional y la complejidad de la operación para el pirata informático cae a aproximadamente cero.
En lugar de conclusiones
Pensando en la solución a este problema, me di cuenta de que, en general, no podía resolverlo, no tengo el conocimiento necesario.
¿Quizás el Habr incitará con qué criterios es posible clasificar a los hackers? Tal vez me perdí el enfoque obvio?
Y lo más importante: ¿es necesario en absoluto?
Quizás esta publicación sea útil para los estudiantes que eligen un tema para un diploma.
A pesar de la declaración extremadamente simple de la pregunta ("¿cómo determinar el nivel de un hacker?"), Dar una respuesta no es completamente obvio.
Algo como visión artificial y reconocimiento de patrones.
Solo que mucho más aburrido.