Il n'y a que cet espace, complètement familier, dans lequel il n'y a pas de surprise.
Il est entièrement éclairé, chaque centimètre sous surveillance.
Mais au-delà du périmètre de l'obscurité impénétrable est tel que même un mètre ne peut rien voir.
Et hors de cette obscurité, les bras se tendent. Mains armées. Dans un seul but - détruire tout ce monde.
Et maintenant, un pistolet sort de l'obscurité. On sait à quoi il ressemble et de quoi il est capable. Desert Eagle.
Mais comment comprendre qui tient la main?
Est-ce un mercenaire qui ne clignote pas des yeux devant un coup de feu, ou un enfant d'âge préscolaire qui tient à peine une arme à feu, et un coup de feu qu'il tuera lui-même?
Il semble que l'introduction se soit révélée beaucoup plus intéressante que l'article lui-même.
Laissez-moi réessayer, moins littéraire.
Gestion des erreurs
Il y a cinq ans, lorsque j'écrivais mon diplôme, mon superviseur diplômé a suggéré un sujet pour classer les contrevenants à la sécurité. À ce moment-là, il nous a semblé que le sujet n'était pas suffisant pour un diplôme, mais certains développements se sont quand même poursuivis.
Des années ont passé, mais certaines des questions soulevées dans mon diplôme me préoccupent toujours.
Je suis plus que sûr que j'ai raté beaucoup de choses dans la classification des contrevenants et j'aimerais avoir votre opinion à ce sujet dans les commentaires.
Maintenant c'est sûr le début
Est-il possible d'utiliser des classifications de contrevenants à la sécurité autrement que de créer un modèle de contrevenant à la sécurité?
Mon diplôme était, en particulier, que oui, c'est possible.
Mais d'abord, regardons les définitions.
Au lieu de la longue phrase «violateur de sécurité», j'utiliserai le «pirate». Au final, nous n'avons pas de revue académique pour utiliser des formulations vérifiées bureaucratiquement.
Au début, je pensais que le classement devait se faire en fonction de la «force» du hacker. Mais ensuite, j'ai dû définir ce qu'est le «pouvoir des hackers». En conséquence, quelque chose s'est produit dans l'esprit de "La force est la quantité de dégâts qu'un pirate peut infliger à un système". Ensuite, nous devrons parler de la façon dont nous déterminons les dommages: en coûts décaissés pour éliminer les conséquences de l'attaque, en temps d'arrêt ou en élimination, ou tout autre équivalent.
Mais j'ai pris une décision Salomon et je me suis complètement éloigné du pouvoir et nous classons les pirates par danger pour le système attaqué. Eh bien, ce que vous entendez par danger ici dépend de vous.
Nous classons?
Nous sommes donc arrivés au classement des pirates par danger pour le système. Mais comment peut-on être classé? Oui, vous pouvez prendre trois degrés: "danger faible", "danger moyen" et "danger élevé".
Tout compris. Merci d'avoir lu mon court article, je suis content que vous y ayez consacré votre temps.
En fait, nous abordons lentement un problème qui m'inquiète: est-il possible de classer automatiquement les pirates?
Alors d'abord, voyons ce qui est maintenant.
J'ai réussi à trouver deux approches principales:
- par les ressources;
- par la connaissance.
Voyons maintenant ce que je n'aime pas chez eux.
Classification des ressources
Cette classification peut être consultée au FSTEC. Pour être plus précis, ils ne classent pas les contrevenants eux-mêmes, mais leur potentiel:
- Intrus à potentiel de base (faible).
- Intrus à potentiel de base (moyen) accru.
- Intrus à fort potentiel.
Les contrevenants de la troisième catégorie sont les «Services spéciaux d'États étrangers (blocs d'États)».
En fait, la classification indique combien de personnes, de temps et d'argent peuvent être dépensés pour une attaque par un pirate (enfin, ou un groupe de pirates). Les agences de renseignement peuvent se permettre de dépenser des ressources monétaires presque illimitées et d'engager des instituts de recherche entiers pour développer des méthodes de pénétration.
Et ici, la question se pose de savoir comment il est possible de classer automatiquement les pirates. Et il s'avère qu'il y a peu d'opportunités pour cela, car vous ne pouvez pas demander au pirate informatique "combien êtes-vous prêt à dépenser de l'argent pour me casser?"
À moins que vous ne puissiez utiliser des solutions anti-APT, ils peuvent analyser quelque chose et classer l'attaque enregistrée comme une sorte de groupe de hackers international, qui est étiqueté «gouvernement».
Ou, lors de l'enquête sur l'incident, en utilisant une méthode experte, déterminez combien d'efforts et d'argent ont été dépensés et combien de personnes y ont participé.
Classification par connaissance
Une telle classification ressemble généralement à ceci:
- Script Kiddy.
- Les pirates.
- Pirates de haut niveau.
La gradation est à peu près claire que les script kiddies eux-mêmes n'écrivent pas d'exploits, ne font pas glisser quelqu'un d'autre, les pirates peuvent déjà personnaliser quelque chose et utiliser la boîte à outils pentest de manière acceptable, et les pirates de haut niveau recherchent des vulnérabilités et écrivent des exploits à leurs besoins. Selon l'auteur de la classification, les définitions (et noms) des catégories peuvent être différentes - ce que j'ai écrit est une version très moyenne et raccourcie.
Alors quel est le problème?
Le problème est que vous ne pouvez laisser aucun attaquant écrire à l'attaquant.
Face à l'incertitude, il est difficile de conclure des connaissances. Même dans des conditions d'examen plus contrôlées, les conclusions peuvent être incorrectes.
Détecter l'instrumentation?
Eh bien, vous pouvez essayer. Mais rien ne garantit qu'un pirate informatique de haut niveau n'utilisera pas d'outils plus simples. Surtout s'il ne connaît aucune technologie. Dans ses tentatives, il peut même tomber au niveau de script kiddy, ce qui ne le rendra pas moins dangereux, car après avoir passé une section difficile pour lui, il reviendra à nouveau au troisième niveau de danger. N'oubliez pas non plus que tous les outils sont vendus ou divulgués pour un accès ouvert. L'utilisation d'un outil de haut niveau peut augmenter les chances de «succès» et rendre la personne qui l'utilise plus dangereuse dans une perspective à court terme, mais en général, rien ne changera.
C'est-à-dire, en fait, je parle du fait qu'un tel système est sujet à des erreurs du premier et du deuxième type (à la fois une surestimation du danger et un euphémisme).
Peut-être plus facile?
Il y a une autre méthode que j'ai utilisée dans mon diplôme - en utilisant CVE, ou plus précisément, CVSS.
Dans la description de la vulnérabilité CVSS, il existe une ligne telle que «complexité d'exploitation».
La corrélation est assez simple - si la vulnérabilité est difficile à exploiter, alors la personne qui pourrait l'exploiter est plus dangereuse.
Cela semble idéal: nous examinons quelles vulnérabilités un pirate exploite, les recherchons dans la base de données et attribuons une cote de danger au pirate. Alors qu'est-ce que je n'aime pas ici?
L'exploitation de la vulnérabilité est évaluée par un expert. Et il peut se tromper dans son évaluation, il peut avoir son propre intérêt (sous-estimer ou surestimer intentionnellement l'évaluation), et même n'importe quoi, parce que c'est une personne.
De plus, un exploit pour la vulnérabilité peut être acheté. Parfois, la mise en œuvre peut être si «destinée à l'acheteur» qu'il ne reste plus qu'à appuyer sur le bouton conditionnel de «piratage» et la complexité de l'opération pour le pirate tombe à peu près à zéro.
Au lieu de conclusions
En réfléchissant à la solution à ce problème, j'ai réalisé qu'en général, je ne pouvais pas le résoudre - je n'ai pas les connaissances nécessaires.
Peut-être que le Habr demandera par quels critères il est possible de classer les pirates? Peut-être que j'ai raté l'approche évidente?
Et surtout - est-ce nécessaire du tout?
Peut-être que ce message sera utile aux étudiants qui choisissent un sujet pour un diplôme.
Malgré l'énoncé extrêmement simple de la question («comment déterminer le niveau d'un pirate informatique?»), Donner une réponse n'est pas du tout évident.
Quelque chose comme la vision industrielle et la reconnaissance des formes.
Seulement beaucoup plus ennuyeux.