Comments 37
"по каким критериям можно классифицировать хакеров?"
По любым. По возрасту, образованию, месту жительства, росту… Статье УК, по которой обвиняется… Смотря для чего нужна классификация — этого я не понял.
+1. Для чего и зачем их нужно классифицировать?
А самое главное — нужно ли это вообще?
Этот вопрос должен был встать в первую очередь.
Плюс ваши варианты классификации актуальны на очень непродолжительное время. скрипт-кидди может вырасти до профессионала… а может просто бросить это дело. Крутой специалист может переодеть шляпу и стать добропорядочным ИБ-специалистом с женой и детишками.
С точки зрения иб гораздо важнее классифицировать угрозы и подверженные им объекты по степени риска.
Т.е. условно система могла бы в какой-то момент сказать, что «слушай, я тут атаки начала фиксировать от „серьёзных ребят“, а потом резко прекратила, ты бы аудит провёл, может они уже внутри, а мы не в курсе?». Или «там к атаке готовятся DDOSеры, но они чё-т слабенькие, не парься».
Вообще, диплом у меня был по теме «проектирование системы динамического определения потенциальной цели нарушителя безопасности компьютерной сети». Там было две классификации и обе основанные на CVSS. По вектору используемых уязвимостей и по сложности эксплуатации. Они были вспомогательные — для работы алгоритма.
ну тогда это не хакров надо классифицировать, а масштабность, агрессивность и изощренность атаки
Я захотел зайти со стороны хакера.
Хорошо, могу согласиться, что подход может быть ошибочен.
Давайте попробуем классифицировать атаки. Но в данном случае предложенные категории не подойдут (по моему мнению).
Масштабность.
Предположим, я нахожу уязвимость в какой-нибудь IoT-штуке. Допустим, в прошивке жёстко прописан админский пароль. Я пишу скрипт и получаю доступ ко всем устройствам, до которых смог дотянуться. И по итогу больше миллиона устройств сходят с ума. Масштабно? Да, вроде бы да. Говорит ли это о моих способностях? Да нет, я просто был первым, кто в прошивку залез.
Или про другую масштабность идёт речь?
О количестве привлеченных ресурсов? Тогда там может оказаться совсем не один хакер, как вычленить из группы уровень конкретного хакера? Или нам необходимо рассматривать хакерскую группировку как единую сущность по аналогии с физическими и юридическими лицами?
Агрессивность.
Тут немного теряюсь. Могу предложить, наверное, скорость атаки. Но если я много месяцев буду готовить атаку, а потом запишу всё по скриптам и триггерам, из-за чего атака займёт пару минут, то это агрессивно или нет?
Или, так скажем, «причинённые разрушения». Но кто опаснее: тот, кто как Мамай прошёл и всё разнёс, или тот, кто терпеливо и годами сидит в системе. Неоднозначно.
Изящность в принципе субъективная вещь.
Я не очень большой профессионал в игре в шахматы. Это связано с тем, что мне тяжело в шахматах просчитывать больше, чем на два хода вперед, но дело, скорее всего, в недостатке практики.
Мой любимый приём в игре за чёрных — зеркально повторять шаги белых. Естественно, до тех пор, пока это не опасно. А потом уже действовать по ситуации.
Такой подход в большинстве случаев назывался «тупостью», «отсутствием фантазии» и т.д. Но не так давно услышал такое мнение, что это довольно забавный ход игры, который выводит противника из себя, заставляет нервничать. Игра на нервах, в общем.
В зависимости от эксперта оценка конкретного случая будет меняться.
Для каждой атаки придётся собирать экспертов, которые будут высказывать своё мнение.
Вы рассматриваете все вышеупомянутые критерии со стороны стороннего наблюдателя. А я со стороны уязвимого объекта, атакуемой инфраструктуры и бизнеса.Были ли это разовые инциденты — типа условной кавычки в запросе. Или За какой-то период времени проехались парой сканнеров, зафиксированы нестандартные запросы к адресам, особенно к адресам к которым вообще не должно быть запросов и т.п. Значит можно предполагать что взялись целенаправлено, и нужно предпринимать дополнительные меры — доп. бекапы/резервные ноды/бан за нестандартные паттерны/сотруднико предупредить, так как при комплексной атаке могу идти не только через инфраструктуру но и соц.инженерией. И в целом не так важно кто там на другой стороне — профессионал или команда лошков но с инструментами, один человек или группа и сколько они готовили эту атаку. Вам не переговоры с ними вести.
Масштабность — количество объектов атаки за срез времени. Аггресивность — частота (как минимум отражает использование автоматизации или ручные действия), изощренность — количество и сложность различных техник за срез времени. Начинают обычно с самых простых способов и самых очевидных endpoint. Если не прошли, то — либо останавливаются, либо усложняют техники, пробуют другие объекты.
Для чего и зачемДля рыночных предложений? )))
«Услуги потомственного хакера 30 lvl, недорого»
или
«Защита от хакеров до 40 lvl, фирма AVP, тел. +7-XXX-XXXX-XX-XX спросить Евгения».
Тогда и в даркнете будут объявления — удаляю защиты до 68 lvl.
Инструменты — микроволновая печь с бензогенератором (работающая с открытой дверкой) и сверхмощный генератор ЭМ импульсов с радиусом действия 500 м.
https://vrtp.ru/index.php?act=categories&CODE=article&article=3198
Все программисты делятся на завершающих программы по Alt-x, F10 и ESC. Другие критерии деления ошибочны.
Знал, что место скользкое и всё равно подскользнулся.
Какой критерий может быть у опасности? Конечно же, ущерб, который может быть системе нанесён.
А в чём измерить ущерб? Вариантов немного — в деньгах. Либо упущенную прибыль считать от простоя, нарушения функционирования бизнес-процессов и т.д. Либо считать средства, которые нужно потратить на восстановление системы.
Но почему я не захотел говорить именно об ущербе — он будет меняться от системы к системе, на каждой нужно будет менять «ползунки» ущерба для каждой градации.
Кто-то может и не заметить лишнего миллиона на вызов специалиста, который поднимет сервер из бекапа, а для кого-то это означает конец бизнеса.
И вот тогда получается, что человек с одним и тем же набором знаний и навыков для одной системы будет лохом, а для другой кем-то богоподобным.
Хочется чего-то более глобального, применимого для каждой системы без дополнительных настроек.
И вот тогда получается, что человек с одним и тем же набором знаний и навыков для одной системы будет лохом, а для другой кем-то богоподобным.
Более того, даже для одной и той же системы, один и тот же человек может быть как совершенно безопасен, так и серьезной угрозой.
Если в первом случае он массово сканирует сайты, чтобы поживиться аккаунтами, во втором случае целенаправленно атакует именно эту систему.
Хакер — он или опасный, или безопасный.
Лучше градации ещё никто не придумал.
Ведь исторически это слово использовалось для много чего.
С одной стороны это хитроумные решения в коде, с другой это «взлом» систем из RL (те же голубые коробки и не только), и только в последнюю (исторически) очередь, это люди занимающиеся атаками на информационные системы.
И даже тут нельзя говорить только о black hat не упомянув wait hat.
В итоге наверное правильно прозвучала выше — возможно не стоит классифицировать хакеров, а стоит классифицировать атаки на информационные системы. Потому как вы именно об этой узкой задаче говорите на самом деле.
Ни то, ни другое невозможно измерить объективно. Да и субъективно не так-то просто.
А идея, в общем-то, состоит в том, чтобы автоматизировать и максимально удалить из процесса классификации различных экспертов.
wait hat
— Ты почему ничего не ломаешь?
— А я wait hat )))
Корреляция довольно простая — если уязвимость сложно эксплуатировать, то и человек, который смог её эксплуатировать, более опасен.
Тут ошибка. Зачем эксплуатировать сложную уязвимость, если рядом есть более простая? Сложная начинает представлять интерес если она более опасная или нет простых или (ещё масса вариантов) — сначала требуется выполнить эти условия.
Примерно как с экзаменами — можешь знать все билеты, кроме одного, но если именно он тебе попался и ты не смог ответить, то будет считаться, что ты не знаешь предмет целиком. Или же наоборот, если вытащил один «счастливый билет», то и предмет знаешь. По одному единственному билету (да, есть допвопросы и прочее, но всё же) делается вывод о знании предмета.
По преследуемым целям:
1. Собственно поиск уязвимостей.
1а. Из любви к искусству (без дальнейших последствий).
1б. С целью информирования уязвимой строны (в т.ч. пейнтест по контракту, либо без контракта с расчетом на благодарность).
1в. Для продажи найденных уязвимостей и эксплойтов третьим лицам.
2. Непосредственно для кражи.
2а. Средств из банковского сектора.
2б. Информации с целью продажи (в т.ч. ПД).
3. Диверсионная работа по уничтожению и искажению информации (ну, тут уже, скорее, в составе правительственных или аналогичных служб).
4. Как-то дальше…
Т.е. по тому признаку, какие кунштюки собирается получать хакер и от кого.
Есть ещё метод, который я использовал в своём дипломе — использование CVE, а если быть точнее, то CVSS.
…
Кажется, идеально: смотрим какие уязвимости эксплуатирует хакер, ищем их в базе и присваиваем хакеру оценку опасности. Так что же мне и тут не нравится?
А расскажите, пожалуйста, как вы видели этот метод, когда писали диплом?
Потому что сейчас я не нахожу метод идеальным. Вижу два варианта его применения:
1. Чистый post-mortem: нас поломали через 0-day, потом, когда уязвимость была исследована, мы смотрим, насколько крут был хакер. Это может быть вполне полезно в контексте оценки рисков, чтобы понять на будущее, нарушителям какого уровня наша организация может быть интересна, но не очень полезно для заявленной вами цели автоматизированной классификации нарушителя в реальном времени.
2. Мы держим зоопарк ханипотов с уязвимостями разного уровня сложности и даём нарушителям без регистрации и смс поиграть в ctf в обмен на сбор данных об их опасности. Дорого и малоприменимо в большей части ситуаций.
Тема параметризации атак (частным случаем которой является классификация нарушителя) вообще классная и перспективная, но, имхо, чтобы ей всерьёз заниматься, нужно сидеть на огромной куче биг даты. Т.е. если вы не работаете в mandiant или cisco talos, то максимально можно получить разве что диссертацию, которую после защиты положат на полку и забудут.
Вообще, я бы хотел ещё раз в ближайшее время испытать терпение хабражителей и рассказать про свой диплом. Потому что я одно время думал его реализовать хоть в какой-то степени, но я совсем не разработчик. И по сути я защищал концепт. Да и потом стало приходить осознание почему предложенные методы и идеи не сработают. И получается такой чемодан без ручки — я починить не могу, но вдруг кому на запчасти пригодится?
Диплом был основан на утверждении производителя SIEM OSSIM, что они могут детектировать атаки, а также объединять их в цепочки, причём звеньями этой цепи выступают CVE, которые использовались в ходе атаки.
Относительно классификации планировалось брать векторы по доступности, целостности и конфиденциальности и присуждать роль разведчика, разрушителя или захватчика (да, именно в таких формулировках). И также по сложности эксплуатации дополнительно присуждалась «сила»: слабый, средний или сильный (использовалась вторая версия CVSS).
В зависимости от полученной характеристики, например, «средний захватчик» выставлялась возможная цель.
Если цель не достигалась (или навыков не хватило, или просто атака в процессе), то все равно информация в системе фиксировалась и её можно было использовать.
На мой взгляд очень напрасно откидываются деньги как универсальный измеритель. В них можно померить практически все. Схема простая: причиненный ущерб (включая не полученную прибыль и репутационые потери)/затраты на ит-безопасность в разрезе времени — один коэффициент. Полученная от атаки прибыль/затраты на подготовку атаки в разрезе времени — второй коэффициент. Количество использованных уязвимостей с градацией по сложности использования — ещё кучка коэффициентов. База — к примеру 100. И получаем что атака крупным бот-нетом, социалка, копание в мусорных вёдрах и физическое проникновение в купе ради 100 баксов за пол года совсем не ровняется покупке ноута и 3 часов времени в интернет-кафе ради n-цати миллионов.
Проблема классификации хакеров по опасности