Пока не проверял.
Я этой статьёй занимался довольно долго и нужно немного передохнуть, а то глаза слишком замылились.
Вообще, да, может быть и снова "медуза".
А может быть "взор" в таблице, а "тень" ключевое слово.
А может быть это все мистификация и ничего за этими опечатками не стоит и это единственная ловушка в этой работе — заставить искать смысл там, где его нет.
Ох, вы правы. Перезалью таблицу при первой же возможности.
Кажется, эта ошибка не оказывает существенного влияния на остальную статью, но не хорошо, да.
Если бы метод был идеальным, то и статью писать не было бы повода.
Вообще, я бы хотел ещё раз в ближайшее время испытать терпение хабражителей и рассказать про свой диплом. Потому что я одно время думал его реализовать хоть в какой-то степени, но я совсем не разработчик. И по сути я защищал концепт. Да и потом стало приходить осознание почему предложенные методы и идеи не сработают. И получается такой чемодан без ручки — я починить не могу, но вдруг кому на запчасти пригодится?
Диплом был основан на утверждении производителя SIEM OSSIM, что они могут детектировать атаки, а также объединять их в цепочки, причём звеньями этой цепи выступают CVE, которые использовались в ходе атаки.
Относительно классификации планировалось брать векторы по доступности, целостности и конфиденциальности и присуждать роль разведчика, разрушителя или захватчика (да, именно в таких формулировках). И также по сложности эксплуатации дополнительно присуждалась «сила»: слабый, средний или сильный (использовалась вторая версия CVSS).
В зависимости от полученной характеристики, например, «средний захватчик» выставлялась возможная цель.
Если цель не достигалась (или навыков не хватило, или просто атака в процессе), то все равно информация в системе фиксировалась и её можно было использовать.
К сожалению, отслеживать такие моменты в, так скажем, автоматическом режиме, не представляется возможным. По крайней мере мне не хватает фантазии на то, чтобы представить как это можно реализовать. Придётся работать именно с таким допущением. И постоянно помнить, что «опасность хакера не ниже, чем...».
Примерно как с экзаменами — можешь знать все билеты, кроме одного, но если именно он тебе попался и ты не смог ответить, то будет считаться, что ты не знаешь предмет целиком. Или же наоборот, если вытащил один «счастливый билет», то и предмет знаешь. По одному единственному билету (да, есть допвопросы и прочее, но всё же) делается вывод о знании предмета.
Тут получается классификация по идеологии и по этике.
Ни то, ни другое невозможно измерить объективно. Да и субъективно не так-то просто.
А идея, в общем-то, состоит в том, чтобы автоматизировать и максимально удалить из процесса классификации различных экспертов.
Соглашусь, что да, корреляция между хакером и атакой прослеживается, причём весьма явная.
Я захотел зайти со стороны хакера.
Хорошо, могу согласиться, что подход может быть ошибочен.
Давайте попробуем классифицировать атаки. Но в данном случае предложенные категории не подойдут (по моему мнению).
Масштабность.
Предположим, я нахожу уязвимость в какой-нибудь IoT-штуке. Допустим, в прошивке жёстко прописан админский пароль. Я пишу скрипт и получаю доступ ко всем устройствам, до которых смог дотянуться. И по итогу больше миллиона устройств сходят с ума. Масштабно? Да, вроде бы да. Говорит ли это о моих способностях? Да нет, я просто был первым, кто в прошивку залез.
Или про другую масштабность идёт речь?
О количестве привлеченных ресурсов? Тогда там может оказаться совсем не один хакер, как вычленить из группы уровень конкретного хакера? Или нам необходимо рассматривать хакерскую группировку как единую сущность по аналогии с физическими и юридическими лицами?
Агрессивность.
Тут немного теряюсь. Могу предложить, наверное, скорость атаки. Но если я много месяцев буду готовить атаку, а потом запишу всё по скриптам и триггерам, из-за чего атака займёт пару минут, то это агрессивно или нет?
Или, так скажем, «причинённые разрушения». Но кто опаснее: тот, кто как Мамай прошёл и всё разнёс, или тот, кто терпеливо и годами сидит в системе. Неоднозначно.
Изящность в принципе субъективная вещь.
Я не очень большой профессионал в игре в шахматы. Это связано с тем, что мне тяжело в шахматах просчитывать больше, чем на два хода вперед, но дело, скорее всего, в недостатке практики.
Мой любимый приём в игре за чёрных — зеркально повторять шаги белых. Естественно, до тех пор, пока это не опасно. А потом уже действовать по ситуации.
Такой подход в большинстве случаев назывался «тупостью», «отсутствием фантазии» и т.д. Но не так давно услышал такое мнение, что это довольно забавный ход игры, который выводит противника из себя, заставляет нервничать. Игра на нервах, в общем.
В зависимости от эксперта оценка конкретного случая будет меняться.
Для каждой атаки придётся собирать экспертов, которые будут высказывать своё мнение.
Обожаю копание. В ходе «раскопок» можно найти столько интересных камней, о которые ты даже и не планировал спотыкаться.
В моём понимании название «Проблема классификации хакеров по силе» было бы ещё хуже. Было бы куда больше вопросов.
Захотел их избежать… в итоге и так плохо, и так плохо.
Воооот… согласен.
Знал, что место скользкое и всё равно подскользнулся.
Какой критерий может быть у опасности? Конечно же, ущерб, который может быть системе нанесён.
А в чём измерить ущерб? Вариантов немного — в деньгах. Либо упущенную прибыль считать от простоя, нарушения функционирования бизнес-процессов и т.д. Либо считать средства, которые нужно потратить на восстановление системы.
Но почему я не захотел говорить именно об ущербе — он будет меняться от системы к системе, на каждой нужно будет менять «ползунки» ущерба для каждой градации.
Кто-то может и не заметить лишнего миллиона на вызов специалиста, который поднимет сервер из бекапа, а для кого-то это означает конец бизнеса.
И вот тогда получается, что человек с одним и тем же набором знаний и навыков для одной системы будет лохом, а для другой кем-то богоподобным.
Хочется чего-то более глобального, применимого для каждой системы без дополнительных настроек.
Это планировалось как дополнительный инструмент.
Т.е. условно система могла бы в какой-то момент сказать, что «слушай, я тут атаки начала фиксировать от „серьёзных ребят“, а потом резко прекратила, ты бы аудит провёл, может они уже внутри, а мы не в курсе?». Или «там к атаке готовятся DDOSеры, но они чё-т слабенькие, не парься».
Вообще, диплом у меня был по теме «проектирование системы динамического определения потенциальной цели нарушителя безопасности компьютерной сети». Там было две классификации и обе основанные на CVSS. По вектору используемых уязвимостей и по сложности эксплуатации. Они были вспомогательные — для работы алгоритма.
Т.е. если ваш генератор сгенерировал число, которое после перекодирования стало копией фильма аватар, то вы не имеете права его (число) распространять.
Ну, там как обычно всё несколько мутно…
Буквально сегодня делали доклад на тему цифровой стеганографии.
У вас получается эффект «25-го кадра». Им вы не сможете скрыть что-то из-за «инертности зрения» — глаз всё равно будет замечать, что что-то произошло.
А так — плюс вашего метода в том, что им в принципе можно передавать информацию в поток (сейчас потоковая стеганография активно развивается, но найти сведения о существующих и доступных для простого пользователя программах достаточно сложно — в основном программы предлагают стеганографировать в фиксированные контейнеры), а также то, что ваш метод устойчив к изменениям файла, как, например, перекодирование и сжатие.
Пока не проверял.
Я этой статьёй занимался довольно долго и нужно немного передохнуть, а то глаза слишком замылились.
Вообще, да, может быть и снова "медуза".
А может быть "взор" в таблице, а "тень" ключевое слово.
А может быть это все мистификация и ничего за этими опечатками не стоит и это единственная ловушка в этой работе — заставить искать смысл там, где его нет.
Я пробовал, но ничего путного не получилось.
Как вариант, что «взор» вместо «тень», но какое ключевое слово?
Кажется, эта ошибка не оказывает существенного влияния на остальную статью, но не хорошо, да.
Даже не могу найти оправдания почему эта разница осталась для меня не такой важной, чтобы её запомнить.
Цели разные. Модель нарушителя создаётся для разработки мер защиты. Моя система нужна для реагирования на эксплуатацию уязвимостей.
Вообще, я бы хотел ещё раз в ближайшее время испытать терпение хабражителей и рассказать про свой диплом. Потому что я одно время думал его реализовать хоть в какой-то степени, но я совсем не разработчик. И по сути я защищал концепт. Да и потом стало приходить осознание почему предложенные методы и идеи не сработают. И получается такой чемодан без ручки — я починить не могу, но вдруг кому на запчасти пригодится?
Диплом был основан на утверждении производителя SIEM OSSIM, что они могут детектировать атаки, а также объединять их в цепочки, причём звеньями этой цепи выступают CVE, которые использовались в ходе атаки.
Относительно классификации планировалось брать векторы по доступности, целостности и конфиденциальности и присуждать роль разведчика, разрушителя или захватчика (да, именно в таких формулировках). И также по сложности эксплуатации дополнительно присуждалась «сила»: слабый, средний или сильный (использовалась вторая версия CVSS).
В зависимости от полученной характеристики, например, «средний захватчик» выставлялась возможная цель.
Если цель не достигалась (или навыков не хватило, или просто атака в процессе), то все равно информация в системе фиксировалась и её можно было использовать.
Примерно как с экзаменами — можешь знать все билеты, кроме одного, но если именно он тебе попался и ты не смог ответить, то будет считаться, что ты не знаешь предмет целиком. Или же наоборот, если вытащил один «счастливый билет», то и предмет знаешь. По одному единственному билету (да, есть допвопросы и прочее, но всё же) делается вывод о знании предмета.
Ни то, ни другое невозможно измерить объективно. Да и субъективно не так-то просто.
А идея, в общем-то, состоит в том, чтобы автоматизировать и максимально удалить из процесса классификации различных экспертов.
Я захотел зайти со стороны хакера.
Хорошо, могу согласиться, что подход может быть ошибочен.
Давайте попробуем классифицировать атаки. Но в данном случае предложенные категории не подойдут (по моему мнению).
Масштабность.
Предположим, я нахожу уязвимость в какой-нибудь IoT-штуке. Допустим, в прошивке жёстко прописан админский пароль. Я пишу скрипт и получаю доступ ко всем устройствам, до которых смог дотянуться. И по итогу больше миллиона устройств сходят с ума. Масштабно? Да, вроде бы да. Говорит ли это о моих способностях? Да нет, я просто был первым, кто в прошивку залез.
Или про другую масштабность идёт речь?
О количестве привлеченных ресурсов? Тогда там может оказаться совсем не один хакер, как вычленить из группы уровень конкретного хакера? Или нам необходимо рассматривать хакерскую группировку как единую сущность по аналогии с физическими и юридическими лицами?
Агрессивность.
Тут немного теряюсь. Могу предложить, наверное, скорость атаки. Но если я много месяцев буду готовить атаку, а потом запишу всё по скриптам и триггерам, из-за чего атака займёт пару минут, то это агрессивно или нет?
Или, так скажем, «причинённые разрушения». Но кто опаснее: тот, кто как Мамай прошёл и всё разнёс, или тот, кто терпеливо и годами сидит в системе. Неоднозначно.
Изящность в принципе субъективная вещь.
Я не очень большой профессионал в игре в шахматы. Это связано с тем, что мне тяжело в шахматах просчитывать больше, чем на два хода вперед, но дело, скорее всего, в недостатке практики.
Мой любимый приём в игре за чёрных — зеркально повторять шаги белых. Естественно, до тех пор, пока это не опасно. А потом уже действовать по ситуации.
Такой подход в большинстве случаев назывался «тупостью», «отсутствием фантазии» и т.д. Но не так давно услышал такое мнение, что это довольно забавный ход игры, который выводит противника из себя, заставляет нервничать. Игра на нервах, в общем.
В зависимости от эксперта оценка конкретного случая будет меняться.
Для каждой атаки придётся собирать экспертов, которые будут высказывать своё мнение.
Тогда можно было бы делить на «сильных» и на «умных».
В моём понимании название «Проблема классификации хакеров по силе» было бы ещё хуже. Было бы куда больше вопросов.
Захотел их избежать… в итоге и так плохо, и так плохо.
Знал, что место скользкое и всё равно подскользнулся.
Какой критерий может быть у опасности? Конечно же, ущерб, который может быть системе нанесён.
А в чём измерить ущерб? Вариантов немного — в деньгах. Либо упущенную прибыль считать от простоя, нарушения функционирования бизнес-процессов и т.д. Либо считать средства, которые нужно потратить на восстановление системы.
Но почему я не захотел говорить именно об ущербе — он будет меняться от системы к системе, на каждой нужно будет менять «ползунки» ущерба для каждой градации.
Кто-то может и не заметить лишнего миллиона на вызов специалиста, который поднимет сервер из бекапа, а для кого-то это означает конец бизнеса.
И вот тогда получается, что человек с одним и тем же набором знаний и навыков для одной системы будет лохом, а для другой кем-то богоподобным.
Хочется чего-то более глобального, применимого для каждой системы без дополнительных настроек.
Т.е. условно система могла бы в какой-то момент сказать, что «слушай, я тут атаки начала фиксировать от „серьёзных ребят“, а потом резко прекратила, ты бы аудит провёл, может они уже внутри, а мы не в курсе?». Или «там к атаке готовятся DDOSеры, но они чё-т слабенькие, не парься».
Вообще, диплом у меня был по теме «проектирование системы динамического определения потенциальной цели нарушителя безопасности компьютерной сети». Там было две классификации и обе основанные на CVSS. По вектору используемых уязвимостей и по сложности эксплуатации. Они были вспомогательные — для работы алгоритма.
А технический писатель это ещё ИТ или уже нет?
Вопрос без иронии, просто интересно отношение к таким специалистам (я один из них).
ru.wikipedia.org/wiki/Незаконное_число
Т.е. если ваш генератор сгенерировал число, которое после перекодирования стало копией фильма аватар, то вы не имеете права его (число) распространять.
Ну, там как обычно всё несколько мутно…
У вас получается эффект «25-го кадра». Им вы не сможете скрыть что-то из-за «инертности зрения» — глаз всё равно будет замечать, что что-то произошло.
А так — плюс вашего метода в том, что им в принципе можно передавать информацию в поток (сейчас потоковая стеганография активно развивается, но найти сведения о существующих и доступных для простого пользователя программах достаточно сложно — в основном программы предлагают стеганографировать в фиксированные контейнеры), а также то, что ваш метод устойчив к изменениям файла, как, например, перекодирование и сжатие.
В планах было лето 2012, а теперь…
blog.ascian.me/2011/12/leaked-screenshots-concept-art-and.html
Есть фейки, но концепты персонажей вроде действительно из С-2.