Nie udawaj Greka! Skandal i dramat: Alcybiades

Gdy ateńska flota miała wyjechać na Sycylię, w mieście wybuchł skandal. Najpierw ludzie wyrządzali szkody niektórym hermai, które były małymi posągami boga Hermesa, które kojarzyły się z przynoszeniem szczęścia podróżnikom. Te hermy były wyrzeźbione z penisami w stanie erekcji, a wandale oderwali je wszystkie – au! Związek między posągami a nadchodzącą ekspedycją sycylijską musiał być oczywisty dla Greków, którzy zinterpretowali to jako próbę przeklęcia misji poprzez zbezczeszczenie wizerunków boga podróży. Było to zarówno świętokradcze, jak i uważane za zły omen dla tych, którzy wybierali się na Sycylię, jak się okazało. Niemal w tym samym czasie w ekklezji Alcybiades został oskarżony o zbrodnię drwiny z Misteriów. Wydaje się, że działania Alcybiadesa były jedynie wynikiem życia bogatych, młodych arystokratów, ale konsekwencje były bardzo poważne. Zanim flota ateńska dotarła do Sycylii, dogonił ich posłaniec, aby ogłosić, że Alcybiades został wezwany, by stanąć w obliczu oskarżenia. Jego reakcją było opuszczenie floty i popłynięcie do Sparty, gdzie został doradcą swoich byłych wrogów!

Zaufanie w Cyberspace : Podejścia, metodologie i techniki

Ataki sieciowe zawsze stanowiły zagrożenie dla technologii internetowej. Ostatnie badania dostarczają dowodów na to, że większość narzędzi i technik antykryminalistycznych była stosowana w normalnych atakach w celu ukrycia tożsamości i źródła atakującego. Techniki te były wcześniej stosowane w tradycyjnej medycynie sądowej. Wraz z rozwojem technologii odkrywane są nowe sposoby ataków przy pomocy technik antyforenistycznych, takich jak ukrywanie danych, zaciemnianie i niszczenie. Ataki sieciowe zawsze stanowiły wyzwanie dla branży bezpieczeństwa i śledczych zajmujących się kryminalistyką cyfrową. Proces ataku sieciowego jest podzielony na pięć etapów w taksonomii Howarda ataków komputerowych i sieciowych. Są to napastnicy, narzędzia wykorzystywane przez atakujących, dostęp za pomocą luk i nieautoryzowani użytkownicy, wyniki ataków i cele. Innym wspomnianym podejściem jest taksonomia Lougha zwana taksonomią walidacji ekspozycji losowości transakcji lokalizacji niewłaściwego warunku (VERDICT), która opiera się na charakterystyce ataków . Wielowymiarowa klasyfikacja z podpoziomami różnych ataków zapewnia dobry przegląd ścieżek ataków i scenariuszy ataków. Większość ataków wykorzystuje luki w zabezpieczeniach infrastruktury sieciowej, systemu lub oprogramowania. Typowe luki w zabezpieczeniach i narażenia (CVE), baza danych luk w zabezpieczeniach (VDB) z punktu widzenia bezpieczeństwa, baza danych luk w zabezpieczeniach typu open source (OSVDB)  i krajowa baza danych luk w zabezpieczeniach (NVD) to repozytoria luk w zabezpieczeniach, które zapewniają szeroki zakres opisów luk w zabezpieczeniach wykorzystywanych do celów dochodzeniowych. . Język luk w zabezpieczeniach i język oceny typu open source (OVAL) oraz wspólny system oceny luk w zabezpieczeniach (CVSS) to dwie standardowe ramy oceny luk w zabezpieczeniach w branży IT . Tradycyjna antykryminalistyka zajmuje się ukrywaniem danych na dysku i wolnej przestrzeni oraz niszczeniem danych i zaciemnianiem danych poprzez modyfikację MACE. Techniki antyforensyczne zostały rozszerzone na infrastrukturę sieciową, taką jak ukrywanie adresu IP przez proxy szyfrowanie pakietów, usuwanie dzienników, steganografia i ukryte tunelowanie. Ze względu na integrację technik antykryminalistycznych w atakach sieciowych ścieżka ataku zidentyfikowana na podstawie analizy kryminalistycznej będzie inna niż pierwotna i będzie trudna do zdobycia. Pierwszym krokiem jest rozróżnienie między atakiem antykryminalistycznym a normalnym atakiem. Normalne ataki można łatwo zidentyfikować, ponieważ nie będzie żadnych niejasności w procesie analizy dowodów i ścieżek ataków. Istnieje wiele metodologii  i podejść sugerowanych w różnych badaniach w celu identyfikacji ataku antysądowego. Wykresy ataków sieciowych Badanie tego rodzaju ataków jest trudne i należy zastosować nowe podejścia, takie jak wykresy ataków. Wykresy ataku można zdefiniować jako narzędzie do obliczania hierarchicznych etapów scenariusza ataku przy pomocy znanych luk w zabezpieczeniach i konfiguracji. Są używane przez administratorów systemów i badaczy do analizowania rodzajów ataków, różnych sposobów ataków oraz środków ostrożności i środków zapobiegawczych stosowanych w przeciwdziałać tym atakom . Proces śledzenia adresu IP nie jest prostym procesem z powodu fałszowania adresu IP i przejętego hosta pośredniego . Zautomatyzowana analiza kryminalistyczna ataków sieciowych z wykorzystaniem wykresów ataków koncentruje się na lepszej analizie dowodów w celu wykrycia ataków . Włączenie węzłów antyforensycznych do wykresów ataku może dostarczyć wystarczających informacji w odniesieniu do zamiaru atakującego ograniczenia generowania dowodów  i daje dwie możliwości śledzenia ścieżki, jeden z normalnymi węzłami ataku, a drugi z węzłami antyforensycznymi. Przedstawiono trzy różne podejścia. Pierwszą jest agregacja ostrzeżeń o ataku, która wykorzystuje korelację alertów opartą na podobieństwie lidera i zwolenników [80], drugą do tworzenia wykresu dowodowego , a trzecią do rozszerzania wykresu ataku w celu zebrania ukrytych członków grupy atakującej. Zautomatyzowana analiza wykresu dowodowego jest wykorzystywana przy użyciu rozmytej mapy poznawczej (FCM). Minimalizacja wykresów ataków przy użyciu różnych algorytmów zapewnia precyzyjną identyfikację ścieżki ataków . Korzystając z wykresów dowodów ataków, śledczy mogą określić istnienie ataków antyforensycznych oraz zidentyfikować narzędzia i techniki stosowane przez atakującego. W ten sposób mogą zrekonstruować scenariusz ataku przy minimalnej ilości dowodów, jakie posiadają. Narzędzia do generowania wykresów ataku

  1. Topologiczna analiza podatności na ataki sieciowe (TVA). Generuje wykresy ataków za pomocą algorytmu przeszukiwania grafów. Wykorzystuje grafy zależności do tworzenia warunków wstępnych i końcowych.
  2. Architektura planowania bezpieczeństwa sieci (NETSPA). Jest to framework do generowania modeli sieciowych przy użyciu znanych luk w zabezpieczeniach i regułach zapory. Działa to jako źródło generowania wykresów ataków w celu zidentyfikowania potencjalnych ataków i wytyczenia ścieżek.
  3. Multihost, wielostopniowa analiza podatności (MULVAL) . Jest to framework do integracji podatności i konfiguracji sieci, który używa Datalog jako swojego języka. Składa się ze skanera i analizatora. Mechanizm wnioskowania, który ma reguły dziennika danych, przechwytuje zachowanie systemu.

Integracja przepływu pracy z wykresami ataków z zarządzaniem IDS przy użyciu VDB i narzędzia do generowania wykresów ataków jest skutecznym środkiem kryminalistycznym . Algorytm analizy zamiarów ataku  zapewnia nową metodę dla kryminalistyki sieci, która pomaga w identyfikacji podobnych ataków do analizy dowodów przy użyciu korelacji alertów i miary podobieństwa na podstawie odległości w celu określenia siły związku między dowodami ataku. Można zasugerować, że integracja analizy intencji ataku z IDS może zapewnić precyzyjne alerty o atakach i identyfikacja dokładnych ścieżek ataków.

Nie udawaj Greka! Próba – znowu! – wziąć Sycylię

Wkrótce po brutalnym oblężeniu Melos Ateńczycy ponieśli jedną z najbardziej upokarzających porażek w historii w ramach nieudanej ekspedycji sycylijskiej. Co zaskakujące, pomimo swojej roli w polityce, która zakończyła się porażką w Mantineii, Alcybiades nadal był niezwykle wpływowy w ateńskiej polityce. Kiedy sycylijskie miasto Egesta poprosiło o pomoc w lokalnej wojnie z sąsiadami Selinous zimą 416r. p.n.e., Alcybiades entuzjastycznie poparł sprawę. Starszy mąż stanu Nikiasz był bardziej ostrożny, ale ponieważ wojna ze Spartą osłabła od czasu Mantinei, ekklesia z radością głosowała za Egestą. Ateńczycy głosowali również, że generałami odpowiedzialnymi za flotę będą sam Nikias, Lamakhos i Alkibiades.

Zaufanie w Cyberspace : Stan techniki

Infrastruktury sieciowe w każdej organizacji wymagają 100% bezpieczeństwa, aby ich zasoby były zabezpieczone przed zagrożeniami. W ten sposób bezpieczeństwo sieci staje się kluczowym elementem środowiska korporacyjnego. Dzisiejsza technologia zapewnia szeroką gamę funkcji bezpieczeństwa, takich jak system wykrywania włamań i system zapobiegania włamaniom (IDS / IPS), zapory ogniowe, zabezpieczenia antywirusowe, honeypoty i komputerowe narzędzia kryminalistyczne]. Nawet jeśli te narzędzia zapewniają wystarczający mechanizm obronny, atakujący są w stanie przeniknąć do sieci. Badanie ataków sieciowych stało się trudne, ponieważ osoby atakujące wykorzystują niedawno opracowane niezawodne narzędzia i techniki antykryminalistyczne, aby ukryć swoją tożsamość i ścieżki ataków  Spoofing IP, śledzenie przeszkód, ukryte kanały, tunelowanie, technologia antyhoneypot i steganografia sieci to tylko niektóre z technik wykorzystywanych przez atakujących w strategii obrony. W ciągu ostatnich 3 do 5 lat techniki antykryminalistyczne były wykorzystywane przez osoby atakujące za niszczenie, ukrywanie i zaciemnianie danych w tradycyjnych systemach komputerowych i urządzeniach pamięci masowej. Zaawansowana technologia pomogła im w rozszerzeniu zastosowania technik antyforensycznych na sieci komputerowe i infrastrukturę sieciową. To sprawia, że ​​proces dochodzeniowy obejmuje gromadzenie dowodów, ich przetwarzanie i analizę bardzo trudne. Aby zapobiegać różnym zagrożeniom i atakom, w różnych węzłach sieci można wdrożyć różne narzędzia do zabezpieczania i monitorowania sieci. Podobnie sieciowe narzędzia śledcze wspierają badanie i analizę ataków oraz pomagają odkryć źródło ataku, analizę dowodów i przedstawić raport dowodowy. Różne sieciowe ramy kryminalistyczne zaproponowane przez Digital Forensics Research Workshop (DFRWS) i innych badaczy, takie jak ramy dla rozproszonej medycyny sądowej, ramy oparte na miękkich komputerach , ramy oparte na honeypot  i wykresy ataków, stanowią wystarczający dowód badań w tym zakresie. obszar . Kluczowym celem jest całościowa analiza narzędzi i technik wykorzystywanych w antyforenyce, kryminalistyce sieci oraz narzędziach do monitorowania i zabezpieczania sieci. Ta ankieta pomoże zbadać szeroką gamę narzędzi stosowanych w kryminalistyce w sieciach komputerowych i antykryminalistyce. Zrozumienie technik i algorytmów wykorzystywanych przez atakujących pomaga w lepszym i właściwym środowisku bezpieczeństwa sieci . W celu pomyślnego wdrożenia solidnej infrastruktury obronnej może to być skuteczny środek. Ankieta jest podstawą do praktycznego eksperymentowania z narzędziami i technikami. Najpopularniejszym frameworkiem antyforensycznym są narzędzia ramowe Metasploit, takie jak Timestomp i Slacker. Techniki antykryminalistyczne, takie jak ukrywanie danych, szyfrowanie, niszczenie, zaciemnianie i wymazywanie danych mogą być testowane w sieciach. . Głównymi platformami używanymi do implementacji powyższych technik są Windows 7 i Linux Back Track 5 R2. Większość narzędzi można uruchomić na wielu platformach, nawet w najnowszym systemie Windows 8. Analiza technik jest przeprowadzana za pomocą narzędzi kryminalistycznych, takich jak Encase, Access-Data Forensic Tool Kit (FTK) i Internet Evidence Finder. Identyfikacja technik antyforensycznych i ich wpływu na dowody sieciowe jest kluczową częścią analizy eksperymentalnej, a tym samym pozwala wydedukować skuteczne środki zaradcze w celu poprawy bezpieczeństwa sieci. W tym rozdziale omówiono główne metodologie, algorytmy i techniki stosowane przez śledczych zajmujących się kryminalistyką cyfrową.

Nie udawaj Greka! Po oblężeniu

Po wybuchu oblężenia i w posiadaniu miasta przez wroga, to co nastąpiło często było straszne. Masakra wszystkich więźniów stawała się coraz bardziej powszechna podczas wojny peloponeskiej, ponieważ sama wojna stawała się coraz bardziej brutalna. Te zabójstwa były często powodowane brakiem żywności; ograniczone zasoby uniemożliwiały przetrzymywanie więźniów. W innych przypadkach zabójstwa miały uniemożliwić zaangażowanemu miastu szukanie zemsty. Jeśli można było zawrzeć umowę między napastnikiem a oblężonymi obywatelami, to często tak było. Na przykład spartańscy więźniowie zabrani w Sphacteria przez Kleona i Demostenesa  zostali zabrani tylko dlatego, że byli naprawdę użytecznym narzędziem negocjacyjnym. Czasem oczywiście wygrywało broniące się miasto. Oblężenie było długim, żmudnym procesem i czasami atakującym najpierw kończyły się zapasy (i energia). Jednak najczęściej to atakujący wygrywali, a obrońcy ponieśli konsekwencje. Wojna, podobnie jak samo życie w starożytnym świecie, była okrutną i brutalną sprawą. Ateńska zaraza z 430 r. p.n.e. jest dobrym wskaźnikiem tego, jak śmierć była zawsze możliwą dla starożytnych Greków. Podczas gdy trudności związane z pozostaniem przy życiu w żaden sposób nie usprawiedliwiają morderstw z zimną krwią, które często miały miejsce, biorąc pod uwagę trudne codzienne życie starożytnych Greków pomaga rzucić światło na rodzaj sposobu myślenia, który ukształtował życie lub… decyzje śmierci na polu bitwy.

Zaufanie w Cyberspace : Maskowanie danych / śladów

Główną funkcją tej techniki jest przekierowanie cyfrowego procesu kryminalistycznego. Można to z powodzeniem osiągnąć poprzez modyfikację metadanych, techniki anonimowości, takie jak spoofing IP, MAC spoofing, VPN, proxy i zasłanianie śladów dowodów. Cyfrowcy śledczy mogą zostać wprowadzeni w błąd przez atakującego poprzez generowanie fałszywych nagłówków wiadomości e-mail, zmianę dziennika i serwery proxy SMTP. Innym przykładem jest zmiana sygnatury czasowej i modyfikacja nagłówków jako forma zaciemniania szlaku. Główne techniki implementujące zaciemnianie danych / śladów są następujące:

  1. Oczyszczacze dzienników
  2. Podszywanie się
  3. Dezinformacja
  4. Konta zombie
  5. Komendy trojańskie

Maskowanie treści ruchu jest pomyślnie wdrażane przy użyciu wirtualnych sieci prywatnych (VPN) i tunelowania SSH. Atak na narzędzia kryminalistyczne Atakujący wprowadza modyfikacje do maszyny docelowej Badacza, tak aby dostarczały one niewłaściwych dowodów. Obejmuje to ataki typu rootkit, zmianę sygnatur plików i wykorzystywanie luk w algorytmach haszujących do tworzenia kolizji hash. Czas i koszt analizy i cyfrowego dochodzenia to kluczowe cechy organizacji. Jeśli atakujący jest w stanie kontrolować te ograniczenia, śledczy będą zmuszeni przerwać procedury kryminalistyczne. Wykorzystanie przez atakującego systemu pośredniczącego utrudnia dochodzenie, ponieważ wymaga współpracy różnych administratorów systemu, jest przykładem tej techniki ataku antykryminalistycznego. Rozwój narzędzi unikania dysku uniemożliwia narzędziom śledczym wykrycie działań napastnika poprzez bezpośredni dostęp do pamięci

Nie udawaj Greka! Opracowywanie nowych taktyk

Do czasu wojny peloponeskiej Grecy opracowali nową taktykę, aby przejść do ofensywy. Oto pięć popularnych opcji:

* Kopce: To podejście było naprawdę bardzo proste. Napastnicy zbudowali bardzo duży kopiec ziemny z konstrukcją z drewna pod murem miasta. Drewno zapewniało, że kopiec nie zostanie zmielony tysiącami stóp walących w niego. Atakujący wykorzystali następnie kopiec jako rampę do montażu ładunków piechoty, zbliżania łuczników do swoich celów i manewrowania taranami. Ściany mogły mieć wysokość od 25 do 30 stóp, więc często łatwiej było wybić w nich dziurę niż wspiąć się na nie!

* Wieże: Atakujący zbudowali wieże oblężnicze, które były dużymi drewnianymi konstrukcjami, z których łucznicy zapewniali osłonowy ogień oddziałom atakującym mury. Wieże byłyby zwykle nieco wyższe niż mury, aby łucznicy mogli strzelać do obrońców (chociaż wysokość zależałaby od ilości dostępnego drewna). Zapoznaj się z rozdziałem 12, gdzie znajdziesz najlepszą wieżę oblężniczą — „Heliopolis” Demetriusa.

* Kopalnie: W przypadku tej taktyki atakujący dosłownie kopali pod ścianami ochronnymi drugiej strony, czasami głębokimi na 10 lub 15 stóp. Kopanie min było niezwykle niebezpieczną pracą, ponieważ ci, którzy to robili, mogli zostać zmiażdżeni przez zawalenie się kopalni lub spadające na nie ściany. Obrońcy często wlewali wodę do kopalń, zalewając je i topiąc napastników.

* Tarany: Ta taktyka była używana głównie w połączeniu z kopcami. Drużyny mężczyzn nieustannie nacierały na mur, uderzając go baranem z drewna, aż do upadku muru. Wieże oblężnicze i łucznicy często zapewniali osłonę drużynom taranów.

* Zdrada: Zdecydowanie najprostszym sposobem na zwycięstwo atakującego było przesłanie wiadomości do zdrajcy w mieście, który następnie otworzył bramy. Często te zdradzieckie działania były w zamian za pieniądze lub po prostu obietnicę, że zdrajca i jego rodzina zostaną oszczędzeni, gdy miasto zostanie zdobyte. Oczywiście często obietnica

Zaufanie w Cyberspace : Steganografia

Steganografię można zdefiniować jako ukrywanie informacji w wiadomościach, obrazach i plikach. Sztuka steganografii sięga wieków wstecz, w których wiadomości wysyłane są ukryte w obrazach . Istnieje kilka metod i algorytmów ukrywania danych w różnych plikach. W steganografii tylko nadawca i odbiorca są świadomi informacji ukrytych w plikach. Wykrywanie plików steganograficznych jest wyzwaniem dla śledczych. Steganografia w komunikacji sieciowej wykorzystuje ukryte kanały do ​​ukrywania tajnych danych w normalnej transmisji danych użytkownika, których nie mogą zobaczyć osoby trzecie. Steganografia zapewnia nie tylko bezpieczeństwo, ale także anonimowość i prywatność. Ponieważ Internet zapewnia tajną komunikację kanałową, steganografia sieciowa obecnie rośnie i stanowi zagrożenie dla bezpieczeństwa sieci. Steganografia sieciowa wykorzystuje elementy sterujące protokołem komunikacyjnym, które utrudniają wykrycie i zniszczenie. Może używać większej liczby protokołów w warstwie OSI, takich jak manipulacja nagłówkiem HTTP w warstwie aplikacji i modyfikacja LSB próbki głosu dla VoIP. Steganografię sieciową można również sklasyfikować według modyfikacji jednostki danych protokołu, takiej jak modyfikacja jednostek danych usługowych (SDU), modyfikacja informacji sterujących protokołem (PCI) oraz relacja czasowa między PDU. Ukryty system komunikacji dla uszkodzonych sieci (HICCUPS) to kolejna technika steganografii do komunikacji bezprzewodowej, szczególnie w przypadku danych głosowych.

Nie udawaj Greka! Oblężenie: gra w oczekiwanie

Mówiliśmy o bitwach piechoty, kawalerii i wojnie morskiej starożytnych Greków. Inną ważną formą zaangażowania militarnego w tym czasie było oblężenie. Wiele wojen oblężniczych miało miejsce podczas wojny peloponeskiej, a Aleksander Wielki był diabłem podczas oblężenia. W istocie, atakowane miasto miało dwie możliwości: wyjść i walczyć lub zamknąć bramy i spróbować przeczekać. W konsekwencji oblężenia zdarzały się bardzo często. Ogólnie rzecz biorąc, oblężenie było długim procesem. Atakująca armia zablokowała wrogie miasto, a potem właściwie siedziała tam i czekała. Oblężenie zakończyło się, gdy atakującym udało się dostać do środka, albo któraś ze stron się poddała. W każdym oblężeniu strona atakująca musiała być pewna, że ​​jest w stanie zagłodzić tych w mieście. Dlatego linie zaopatrzenia atakującego musiały być doskonałe. Musieli mieć wystarczającą liczbę żołnierzy, aby otoczyć miasto i zapobiec dostawaniu się zaopatrzenia. Podczas oblężenia portów, ta blokada, znana jako omijanie, była często wykonywana przy użyciu floty do przechwytywania statków zaopatrzeniowych i ochrony portu. Oblężenia były bardzo czasochłonne i nigdy nie gwarantowały sukcesu. Atakujący mógł zmarnować miesiące na oblężenie, które potem musiało się skończyć, ponieważ wojska były potrzebne gdzie indziej. Proces był również ponury, nudny dla napastników, a armie często stawały się niezdyscyplinowane.

Zaufanie w Cyberspace : Szyfrowanie

Pliki dowodowe można znaleźć metodami wyszukiwania. Wykryty dowód nie jest dostępny, jeśli jest zaszyfrowany . W ten sposób szyfrowanie staje się kolejnym rodzajem techniki antyforenologicznej. Opracowano narzędzie antyforensyczne wykorzystujące metodologię szyfrowania . Istnieje wiele algorytmów szyfrowania, takich jak XOR, Blowfish, AES i RSA. Silne i dobre algorytmy szyfrowania są łatwe do nadużycia i utrudniają analizę kryminalistyczną ze względu na zarządzanie kluczami. Szyfrowanie może być stosowane w komunikacji sieciowej, co utrudnia analizę sieci. Na przykład zaszyfrowane pakiety są trudne do przeanalizowania przez sieciowe narzędzia kryminalistyczne.