Existe apenas esse espaço, completamente familiar, no qual não há surpresas.
Está totalmente iluminado, a cada centímetro sob supervisão.
Mas além do perímetro da escuridão impenetrável é tal que nem um metro pode ver nada.
E fora dessa escuridão os braços se estendem. Mãos armadas. Com um propósito - destruir todo esse mundo.
E agora uma arma sai da escuridão. É sabido como ele se parece e do que é capaz. Águia do deserto.
Mas como entender de quem é a mão que a segura?
É um mercenário que não pisca os olhos antes de um tiro, ou um pré-escolar que mal consegue segurar uma arma, e um tiro do qual o matará?
Parece que a introdução acabou sendo muito mais interessante que o próprio artigo.
Deixe-me tentar novamente, menos literário.
Tratamento de erros
Há cinco anos, quando eu estava escrevendo meu diploma, meu supervisor de pós-graduação sugeriu um tópico para classificar violadores de segurança. Naquele momento, pareceu-nos que o tópico não era suficiente para um diploma, mas alguns dos desenvolvimentos ainda estavam no mercado.
Os anos se passaram, mas algumas das questões levantadas no meu diploma ainda me dizem respeito.
Tenho mais certeza que perdi muito na classificação dos infratores e gostaria de ver sua opinião sobre isso nos comentários.
Agora com certeza o começo
É possível usar classificações de violadores de segurança senão criar um modelo de violador de segurança?
Meu diploma foi, em particular, que sim, é possível.
Mas primeiro, vejamos as definições.
Em vez da frase longa "violador de segurança", usarei o "hacker". No final, não temos uma revista acadêmica para usar formulações burocraticamente verificadas.
No começo, pensei que a classificação deveria ser feita de acordo com a "força" do hacker. Mas então eu tive que definir o que é "poder hacker". Como resultado, algo aconteceu no espírito de "Força é a quantidade de dano que um hacker pode causar em um sistema". Em seguida, eu teria que falar sobre como determinamos o dano: em custos à vista para eliminar as conseqüências do ataque, em tempo de inatividade ou eliminação ou algum outro equivalente.
Mas tomei uma decisão de Salomão e me afastei completamente do poder e classificamos os hackers como perigosos para o sistema atacado. Bem, o que você quer dizer com perigo aqui é com você.
Nós classificamos?
Então, chegamos à classificação de hackers por perigo para o sistema. Mas como alguém pode ser classificado? Sim, você pode fazer três gradações: "baixo risco", "risco médio" e "alto perigo".
Tudo planejado. Obrigado por ler meu pequeno artigo. Fico feliz que você passou seu tempo nele.
De fato, estamos nos aproximando lentamente de um problema que me preocupa: é possível classificar automaticamente os hackers?
Então, primeiro, vamos ver o que é agora.
Consegui encontrar duas abordagens principais:
- por recursos;
- pelo conhecimento.
Agora vamos ver o que eu não gosto neles.
Classificação de Recursos
Esta classificação pode ser encontrada no FSTEC. Para ser mais preciso, eles não classificam os violadores, mas seu potencial:
- Intrusos com potencial básico (baixo).
- Intrusos com um potencial básico (médio) aumentado.
- Intrusos de alto potencial.
Os infratores da terceira categoria são “Serviços especiais de estados estrangeiros (blocos de estados)”.
De fato, a classificação indica quantas pessoas, tempo e dinheiro podem ser gastos em um ataque de um hacker (bem, ou um grupo de hackers). As agências de inteligência podem gastar recursos monetários quase ilimitados e contratar institutos de pesquisa inteiros para desenvolver métodos de penetração.
E aqui surge a questão de como é possível classificar os hackers automaticamente. E acontece que há poucas oportunidades para isso, porque você não pode perguntar ao hacker "quanto você está disposto a gastar dinheiro para me quebrar?"
A menos que você possa usar qualquer solução anti-APT, eles podem analisar algo e classificar o ataque registrado como algum tipo de grupo internacional de hackers, chamado de "governo".
Ou, ao investigar o incidente, usando um método especializado, determine quanto esforço e dinheiro foram gastos e quantas pessoas participaram dele.
Classificação por conhecimento
Essa classificação geralmente se parece com isso:
- Script Kiddy.
- Hackers.
- Hackers de alto nível.
A graduação é bastante clara de que os próprios garotos de script não escrevem explorações, arrastam os de outra pessoa, os hackers já podem personalizar alguma coisa e usam o kit de ferramentas pentest de forma tolerável, e os hackers de alto nível procuram vulnerabilidades e escrevem explorações de acordo com suas necessidades. Dependendo do autor da classificação, as definições (e nomes) das categorias podem ser diferentes - o que escrevi é uma versão muito média e abreviada.
Então qual é o problema?
O problema é que você não pode deixar nenhum invasor gravar no invasor.
Diante da incerteza, é difícil concluir o conhecimento. Mesmo em condições de exame mais controladas, as conclusões podem estar incorretas.
Detectar instrumentação?
Bem, você pode tentar. Mas não há garantia de que um hacker de alto nível não use ferramentas mais simples. Especialmente se ele não estiver familiarizado com nenhuma tecnologia. Em suas tentativas, ele pode até cair no nível de script kiddy, o que não o tornará menos perigoso, porque depois que ele passa por uma seção difícil para ele, ele volta novamente ao terceiro nível de perigo. Além disso, não esqueça que todas as ferramentas são vendidas ou vazaram para abrir o acesso. O uso de uma ferramenta de alto nível pode aumentar as chances de "sucesso" e tornar, em alguma perspectiva de curto prazo, a pessoa que a usa é mais perigosa, mas, em geral, nada muda.
Na verdade, estou falando do fato de que esse sistema é propenso a erros do primeiro e do segundo tipo (tanto um exagero de perigo quanto um eufemismo).
Talvez mais fácil?
Existe outro método que usei no meu diploma - usando o CVE, ou mais precisamente, o CVSS.
Na descrição da vulnerabilidade do CVSS, há uma linha como "complexidade de exploração".
A correlação é bastante simples - se a vulnerabilidade é difícil de explorar, a pessoa que pode explorá-la é mais perigosa.
Parece ideal: examinamos as vulnerabilidades que um hacker explora, procuramos no banco de dados e atribuímos uma classificação de risco ao hacker. Então, o que eu não gosto aqui?
A exploração da vulnerabilidade é avaliada por um especialista. E ele pode estar enganado em sua avaliação, ele pode ter seu próprio interesse (intencionalmente subestimando ou superestimando a avaliação) e até qualquer outra coisa, porque esta é uma pessoa.
Além disso, uma exploração por vulnerabilidade pode ser comprada. Às vezes, a implementação pode ser tão "voltada para o comprador" que resta apenas pressionar o botão condicional "hack" e a complexidade da operação do hacker cai para aproximadamente zero.
Em vez de conclusões
Pensando na solução desse problema, percebi que, em geral, não conseguia resolvê-lo - não tenho o conhecimento necessário.
Talvez o Habr indique por quais critérios é possível classificar hackers? Talvez eu tenha perdido a abordagem óbvia?
E o mais importante - é necessário?
Talvez esta publicação seja útil para estudantes que escolhem um tópico para um diploma.
Apesar da declaração extremamente simples da pergunta ("como determinar o nível de um hacker?"), Dar uma resposta não é de todo óbvio.
Algo como visão de máquina e reconhecimento de padrões.
Apenas muito mais chato.