Hanya ada ruang ini, benar-benar akrab, di mana tidak ada kejutan.
Ini sepenuhnya menyala, setiap sentimeter di bawah pengawasan.
Tetapi di luar batas kegelapan yang tak tertembus sedemikian rupa sehingga bahkan satu meter pun tidak bisa melihat apa-apa.
Dan dari kegelapan ini tangan-tangan menjangkau. Tangan bersenjata. Untuk satu tujuan - untuk menghancurkan seluruh dunia ini.
Dan sekarang sebuah pistol keluar dari kegelapan. Sudah terkenal bagaimana penampilannya dan kemampuannya. Desert Eagle.
Tapi bagaimana memahami tangan siapa yang memegangnya?
Apakah itu tentara bayaran yang tidak akan berkedip mata sebelum ditembak, atau anak prasekolah yang nyaris tidak bisa memegang senjata, dan tembakan yang darinya akan membunuhnya sendiri?
Tampaknya pengantar itu jauh lebih menarik daripada artikel itu sendiri.
Biarkan saya coba lagi, kurang sastra.
Menangani kesalahan
Lima tahun yang lalu, ketika saya sedang menulis diploma, supervisor lulusan saya menyarankan topik untuk mengklasifikasikan pelanggar keamanan. Pada saat itu, tampaknya bagi kami topik itu tidak cukup untuk ijazah, tetapi beberapa perkembangan masih berjalan dalam bisnis.
Tahun-tahun berlalu, tetapi beberapa pertanyaan yang muncul dalam diploma saya masih mengkhawatirkan saya.
Saya lebih dari yakin bahwa saya kehilangan banyak dalam klasifikasi pelanggar dan ingin melihat pendapat Anda tentang ini di komentar.
Sekarang, pasti, mulailah
Apakah mungkin menggunakan klasifikasi pelanggar keamanan selain membuat model pelanggar keamanan?
Diploma saya, khususnya, ya, itu mungkin.
Tapi pertama-tama, mari kita lihat definisi.
Alih-alih kalimat panjang "pelanggar keamanan" saya akan menggunakan "peretas". Pada akhirnya, kami tidak memiliki jurnal akademis untuk menggunakan formulasi yang diverifikasi secara birokratis.
Awalnya saya berpikir bahwa klasifikasi harus dilakukan sesuai dengan "kekuatan" hacker. Tapi kemudian saya harus mendefinisikan apa itu "kekuatan hacker". Akibatnya, sesuatu terjadi dalam semangat "Kekuatan adalah jumlah kerusakan yang dapat ditimbulkan oleh peretas pada suatu sistem". Selanjutnya, saya harus berbicara tentang bagaimana kita menentukan kerusakan: dalam biaya tunai untuk menghilangkan konsekuensi dari serangan itu, dalam downtime atau eliminasi, atau yang setara lainnya.
Tapi saya membuat keputusan Solomon dan pindah dari kekuasaan sama sekali dan kami mengklasifikasikan peretas oleh bahaya untuk sistem yang diserang. Nah, apa yang dimaksud dengan bahaya di sini terserah Anda.
Kami mengklasifikasikan?
Jadi, kami sampai pada klasifikasi peretas oleh bahaya untuk sistem. Tetapi bagaimana seseorang dapat diklasifikasikan? Ya, Anda dapat mengambil tiga gradasi: "bahaya rendah", "bahaya sedang" dan "bahaya tinggi".
Semua tahu. Terima kasih telah membaca artikel pendek saya, saya senang Anda menghabiskan waktu Anda di sana.
Faktanya, kami secara perlahan mendekati masalah yang membuat saya khawatir: apakah mungkin untuk mengklasifikasikan peretas secara otomatis?
Jadi pertama, mari kita lihat apa yang ada sekarang.
Saya berhasil menemukan dua pendekatan utama:
- oleh sumber daya;
- dengan pengetahuan.
Sekarang mari kita lihat apa yang tidak saya sukai dari mereka.
Klasifikasi Sumber Daya
Klasifikasi ini dapat ditemukan di FSTEC. Lebih tepatnya, mereka tidak mengklasifikasikan pelanggar itu sendiri, tetapi potensi mereka:
- Penyusup dengan potensi dasar (rendah).
- Penyusup dengan potensi dasar meningkat (sedang).
- Penyusup Berpotensi Tinggi.
Pelanggar kategori ketiga adalah "Layanan khusus negara asing (blok negara)".
Faktanya, klasifikasi menunjukkan berapa banyak orang, waktu, dan uang yang dapat dihabiskan untuk menyerang oleh peretas (baik, atau kelompok peretas). Badan-badan intelijen mampu menghabiskan sumber daya moneter yang hampir tidak terbatas, dan mempekerjakan seluruh lembaga penelitian untuk mengembangkan metode penetrasi.
Dan di sini muncul pertanyaan tentang bagaimana mungkin untuk mengklasifikasikan hacker secara otomatis. Dan ternyata ada beberapa peluang untuk ini, karena Anda tidak bisa bertanya pada peretas "berapa banyak yang Anda mau habiskan uang untuk memecahkan saya?"
Kecuali Anda dapat menggunakan solusi anti-APT, mereka dapat menganalisis sesuatu dan memberi peringkat serangan yang tercatat sebagai semacam kelompok peretas internasional, yang diberi label "pemerintah".
Atau, ketika menyelidiki insiden itu, menggunakan metode ahli, tentukan berapa banyak usaha dan uang yang dihabiskan dan berapa banyak orang yang berpartisipasi di dalamnya.
Klasifikasi berdasarkan pengetahuan
Klasifikasi seperti itu biasanya terlihat seperti ini:
- Script Kiddy.
- Peretas.
- Peretas tingkat tinggi.
Gradasinya cukup jelas bahwa skrip kiddies sendiri tidak menulis eksploit, menyeret orang lain, peretas sudah dapat menyesuaikan sesuatu dan menggunakan toolkit pentest dengan lumayan, dan peretas tingkat tinggi mencari kerentanan dan menulis eksploit untuk kebutuhan mereka. Bergantung pada pembuat klasifikasi, definisi (dan nama) kategori dapat berbeda - yang saya tulis adalah versi yang sangat rata-rata dan singkat.
Jadi apa masalahnya?
Masalahnya adalah Anda tidak bisa membiarkan penyerang menulis kepada penyerang.
Dalam menghadapi ketidakpastian, sulit untuk menyimpulkan pengetahuan. Bahkan dalam kondisi ujian yang lebih terkontrol, kesimpulannya mungkin salah.
Deteksi instrumentasi?
Nah, Anda bisa mencoba. Tetapi tidak ada jaminan bahwa peretas tingkat tinggi tidak akan menggunakan alat yang lebih sederhana. Apalagi jika dia tidak terbiasa dengan teknologi apa pun. Dalam upayanya, ia bahkan dapat turun ke level script kiddy, yang tidak akan membuatnya kurang berbahaya, karena setelah ia melewati bagian yang sulit baginya, ia akan kembali ke tingkat bahaya ketiga. Juga, jangan lupa bahwa semua alat dijual atau bocor untuk membuka akses. Menggunakan alat tingkat tinggi dapat meningkatkan peluang "sukses" dan membuat dalam perspektif jangka pendek orang yang menggunakannya lebih berbahaya, tetapi secara umum tidak ada yang berubah.
Yaitu, sebenarnya, saya berbicara tentang fakta bahwa sistem seperti itu rentan terhadap kesalahan dari jenis pertama dan kedua (baik pernyataan yang terlalu berlebihan tentang bahaya maupun pernyataan yang kurang).
Mungkin lebih mudah?
Ada metode lain yang saya gunakan dalam diploma saya - menggunakan CVE, atau lebih tepatnya, CVSS.
Dalam deskripsi kerentanan CVSS ada garis seperti "kompleksitas eksploitasi".
Korelasinya cukup sederhana - jika kerentanannya sulit dieksploitasi, maka orang yang bisa mengeksploitasinya lebih berbahaya.
Tampaknya ideal: kita melihat kerentanan apa yang dieksploitasi oleh peretas, mencarinya dalam database dan menetapkan peringkat bahaya bagi peretas. Jadi apa yang saya sukai di sini?
Eksploitasi kerentanan dievaluasi oleh seorang ahli. Dan dia mungkin salah dalam penilaiannya, dia mungkin memiliki minatnya sendiri (sengaja meremehkan atau melebih-lebihkan penilaian), dan bahkan hal lain, karena ini adalah seseorang.
Selain itu, eksploitasi untuk kerentanan dapat dibeli. Kadang-kadang implementasi bisa begitu "ditujukan pada pembeli" sehingga hanya menekan tombol "hack" bersyarat dan kompleksitas operasi untuk peretas turun menjadi sekitar nol.
Alih-alih kesimpulan
Memikirkan solusi untuk masalah ini, saya menyadari bahwa, secara umum, saya tidak bisa menyelesaikannya - saya tidak memiliki pengetahuan yang diperlukan.
Mungkin Habr akan menanyakan kriteria apa yang memungkinkan untuk mengklasifikasikan hacker? Mungkin saya melewatkan pendekatan yang jelas?
Dan yang paling penting - apakah itu perlu sama sekali?
Mungkin posting ini akan bermanfaat bagi siswa yang memilih topik untuk diploma.
Terlepas dari pernyataan pertanyaan yang sangat sederhana ("bagaimana menentukan tingkat peretas?"), Memberi jawaban sama sekali tidak jelas.
Sesuatu seperti visi alat berat dan pengenalan pola.
Hanya jauh lebih membosankan.