Es gibt nur diesen völlig vertrauten Raum, in dem es keine Überraschungen gibt.
Es ist voll beleuchtet, jeden Zentimeter unter Aufsicht.
Aber jenseits des Umfangs der undurchdringlichen Dunkelheit ist so, dass selbst ein Meter nichts sehen kann.
Und aus dieser Dunkelheit strecken sich die Arme aus. Bewaffnete Hände. Für einen Zweck - die ganze Welt zu zerstören.
Und jetzt kommt eine Waffe aus der Dunkelheit. Es ist bekannt, wie er aussieht und wozu er fähig ist. Wüstenadler.
Aber wie kann man verstehen, wessen Hand es hält?
Ist es ein Söldner, der vor einem Schuss kein Auge blinzelt, oder ein Vorschulkind, der kaum eine Waffe in der Hand hält, und ein Schuss, den er selbst töten wird?
Es scheint, dass die Einführung viel interessanter war als der Artikel selbst.
Lassen Sie es mich noch einmal versuchen, weniger literarisch.
Fehlerbehandlung
Vor fünf Jahren, als ich mein Diplom schrieb, schlug mein Diplom-Supervisor ein Thema zur Klassifizierung von Sicherheitsverletzern vor. In diesem Moment schien es uns, dass das Thema für ein Diplom nicht ausreichte, aber einige der Entwicklungen gingen noch in die Wirtschaft.
Jahre vergingen, aber einige der Fragen, die in meinem Diplom aufgeworfen wurden, beschäftigen mich immer noch.
Ich bin mir mehr als sicher, dass ich bei der Klassifizierung von Verstößen viel versäumt habe und würde gerne Ihre Gedanken dazu in den Kommentaren sehen.
Nun sicher den Start
Ist es möglich, Klassifikationen von Sicherheitsverletzern anders zu verwenden, als ein Modell eines Sicherheitsverletzers zu erstellen?
Mein Diplom war insbesondere, dass es ja möglich ist.
Aber zuerst schauen wir uns die Definitionen an.
Anstelle der langen Phrase "Sicherheitsverletzer" werde ich den "Hacker" verwenden. Letztendlich haben wir keine akademische Zeitschrift, um bürokratisch überprüfte Formulierungen zu verwenden.
Zuerst dachte ich, dass die Klassifizierung nach der „Stärke“ des Hackers erfolgen sollte. Aber dann musste ich definieren, was „Hacker-Power“ ist. Infolgedessen geschah etwas im Sinne von „Stärke ist die Menge an Schaden, die ein Hacker einem System zufügen kann“. Als nächstes müsste ich darüber sprechen, wie wir den Schaden bestimmen: in bar, um die Folgen des Angriffs zu beseitigen, in Ausfallzeiten oder bei der Beseitigung oder in einem anderen Äquivalent.
Aber ich traf eine Entscheidung von Solomon und entfernte mich vollständig von der Macht. Wir klassifizieren Hacker nach der Gefahr für das angegriffene System. Nun, was hier unter Gefahr zu verstehen ist, liegt bei Ihnen.
Wir klassifizieren?
Also kamen wir zur Klassifizierung von Hackern nach Gefahren für das System. Aber wie kann man klassifiziert werden? Ja, Sie können drei Abstufungen vornehmen: "geringe Gefahr", "mittlere Gefahr" und "hohe Gefahr".
Alles herausgefunden. Vielen Dank, dass Sie meinen kurzen Artikel gelesen haben. Ich bin froh, dass Sie Ihre Zeit damit verbracht haben.
Tatsächlich nähern wir uns langsam einem Problem, das mich beunruhigt: Ist es möglich, Hacker automatisch zu klassifizieren?
Also mal sehen, was jetzt ist.
Es gelang mir, zwei Hauptansätze zu finden:
- nach Ressourcen;
- durch Wissen.
Nun wollen wir sehen, was ich an ihnen nicht mag.
Ressourcenklassifizierung
Diese Klassifizierung finden Sie bei FSTEC. Genauer gesagt klassifizieren sie nicht die Übertreter selbst, sondern ihr Potenzial:
- Eindringlinge mit grundlegendem (geringem) Potenzial.
- Eindringlinge mit einem grundsätzlich erhöhten (mittleren) Potenzial.
- Eindringlinge mit hohem Potenzial.
Die Übertreter der dritten Kategorie sind „Sonderdienste ausländischer Staaten (Staatenblöcke)“.
Tatsächlich gibt die Klassifizierung an, wie viele Personen, Zeit und Geld für einen Angriff eines Hackers (naja oder einer Hackergruppe) ausgegeben werden können. Geheimdienste können es sich leisten, nahezu unbegrenzte Geldmittel auszugeben und ganze Forschungsinstitute mit der Entwicklung von Penetrationsmethoden zu beauftragen.
Und hier stellt sich die Frage, wie es möglich ist, Hacker automatisch zu klassifizieren. Und es stellt sich heraus, dass es dafür nur wenige Möglichkeiten gibt, denn Sie können den Hacker nicht fragen: "Wie viel sind Sie bereit, Geld auszugeben, um mich zu knacken?"
Sofern Sie keine Anti-APT-Lösungen verwenden können, können diese etwas analysieren und den aufgezeichneten Angriff als eine Art internationale Hacker-Gruppe einstufen, die als „Regierung“ bezeichnet wird.
Oder bestimmen Sie bei der Untersuchung des Vorfalls mithilfe einer Expertenmethode, wie viel Aufwand und Geld ausgegeben wurden und wie viele Personen daran teilgenommen haben.
Klassifizierung nach Wissen
Eine solche Klassifizierung sieht normalerweise ungefähr so aus:
- Skript Kiddy.
- Hacker.
- Hochrangige Hacker.
Die Abstufung ist fast verständlich, dass Exploit-Skripte selbst keine Exploits schreiben, die von anderen ziehen, Hacker bereits etwas für sich selbst konfigurieren und die Tools für einen Pentest erträglich verwenden können und hochrangige Hacker nach Schwachstellen suchen und Exploits für ihre Bedürfnisse schreiben. Je nach Autor der Klassifizierung können die Definitionen (und Namen) der Kategorien unterschiedlich sein - was ich geschrieben habe, ist eine sehr durchschnittliche und verkürzte Version.
Was ist das Problem?
Das Problem ist, dass Sie keinen Angreifer an den Angreifer schreiben lassen können.
Angesichts der Unsicherheit ist es schwierig, Wissen zu schließen. Selbst unter kontrollierten Prüfungsbedingungen können die Schlussfolgerungen falsch sein.
Instrumentierung erkennen?
Nun, du kannst es versuchen. Es gibt jedoch keine Garantie dafür, dass ein hochrangiger Hacker keine einfacheren Tools verwendet. Vor allem, wenn er mit keiner Technologie vertraut ist. Bei seinen Versuchen kann er sogar auf die Stufe des Script Kiddy fallen, was ihn nicht weniger gefährlich macht, denn nachdem er einen für ihn schwierigen Abschnitt passiert hat, kehrt er wieder in die dritte Stufe der Gefahr zurück. Vergessen Sie auch nicht, dass alle Werkzeuge verkauft oder durchgesickert sind, um den Zugang zu öffnen. Die Verwendung eines hochrangigen Tools kann die Chancen auf „Erfolg“ erhöhen und die Person, die es verwendet, kurzfristig gefährlicher machen, aber im Allgemeinen wird sich nichts ändern.
Das heißt, ich spreche von der Tatsache, dass ein solches System sowohl für Fehler der ersten als auch für die zweite Art anfällig ist (sowohl eine Überbewertung der Gefahr als auch eine Untertreibung).
Vielleicht einfacher?
Es gibt eine andere Methode, die ich in meinem Diplom verwendet habe - CVE, genauer gesagt CVSS.
In der Beschreibung der CVSS-Sicherheitsanfälligkeit gibt es eine Zeile wie "Komplexität der Ausnutzung".
Die Korrelation ist recht einfach: Wenn die Sicherheitsanfälligkeit schwer auszunutzen ist, ist die Person, die sie ausnutzen könnte, gefährlicher.
Es scheint ideal: Wir untersuchen, welche Schwachstellen ein Hacker ausnutzt, suchen sie in der Datenbank und weisen dem Hacker eine Gefahrenbewertung zu. Was mag ich hier nicht?
Die Ausnutzung der Sicherheitsanfälligkeit wird von einem Experten bewertet. Und er kann sich in seiner Einschätzung irren, er kann sein eigenes Interesse haben (die Einschätzung absichtlich unterschätzen oder überschätzen) und sogar alles, weil dies eine Person ist.
Darüber hinaus kann ein Exploit für Sicherheitslücken gekauft werden. Manchmal kann die Implementierung so "auf den Käufer gerichtet" sein, dass nur noch der bedingte "Hack" -Knopf gedrückt werden muss und die Komplexität der Operation für den Hacker auf etwa Null sinkt.
Anstelle von Schlussfolgerungen
Als ich über die Lösung dieses Problems nachdachte, stellte ich fest, dass ich es im Allgemeinen nicht lösen konnte - ich habe nicht das notwendige Wissen.
Vielleicht wird der Habr nach welchen Kriterien es möglich ist, Hacker zu klassifizieren? Vielleicht habe ich den offensichtlichen Ansatz verpasst?
Und vor allem - ist es überhaupt notwendig?
Vielleicht ist dieser Beitrag für Studenten nützlich, die ein Thema für ein Diplom auswählen.
Trotz der äußerst einfachen Aussage der Frage („Wie kann man das Niveau eines Hackers bestimmen?“) Ist es überhaupt nicht offensichtlich, eine Antwort zu geben.
So etwas wie Bildverarbeitung und Mustererkennung.
Nur viel langweiliger.