Audyt Mózgu Hackera : Wprowadzenie II

Na początku przedstawiliśmy teoretyzację, postulowaliśmy i postawiliśmy hipotezę na temat zachowań cyberprzestępców, ustaliliśmy ramy, które pomogą nam zrozumieć cyberprzestępcę i zbadaliśmy niektóre z kluczowych elementów modelu. , w tym preferencje przeciwnika w stosunku do ryzyka, skojarzenia i motywacje przeciwnika, a także niektóre narzędzia i techniki stosowane przez przeciwników. Teraz, gdy ustaliliśmy niektóre z kluczowych zasad, jesteśmy prawie gotowi do zastosowania tych zasad do jednego z najważniejszych problemów związanych z bezpieczeństwem informacji: scharakteryzowania konkretnych zagrożeń dla określonych kluczowych aktywów. Zanim zaczniemy dogłębnie odpowiadać na to pytanie, w tym rozdziale najpierw rozwiążemy ostatnią część zagadki cyberprzestępcy: właściwość celu (lub zasobu). W nim dwie właściwości związane z przeciwnikiem (środowisko i atakujący) są kompletne, w tym kluczowe relacje między środowiskiem przeciwnika a własnością atakującego oraz związek między właściwościami atakującego a celem. Jak również wspomnieliśmy w rozdziale 2, aby naprawdę zrozumieć i przewidzieć cyberprzestępcę do wykonywania zadań, takich jak charakterystyka zagrożeń związanych z zasobami, musimy w pełni zrozumieć związek między atakującym a docelowymi właściwościami. Aby to zrobić, musimy najpierw zbadać właściwości cel i jak te właściwości wpływają na relację przeciwnik / cel. Rysunek 5.2 przedstawia model przeciwnika wraz z właściwością celu i zawartymi w nim obiektami, które są szczegółowo opisane w następnej sekcji.

Agile Leadership : WYKORZYSTANIE UMIEJĘTNOŚCI: ZWINNY LIDER JAKO ŁĄCZNIK

Umiejętność łączenia i wykorzystywania zasobów jest dla niektórych łatwiejsza niż dla innych – naturalni myśliciele horyzontalni szybko się do tego przystosowują – ale jest to również umiejętność, którą można wzmocnić poprzez praktykę. Na początek możesz zacząć od zidentyfikowania małego zestawu aktywów – być może kilku aktywów w każdej z kategorii z poprzedniego rozdziału. Wybierz losowo od trzech do czterech i zobacz, czy możesz wymyślić sposób, w jaki można by je połączyć – hipotetyczny nowy produkt, usługa, program lub inicjatywa, która może mieć jakąś wartość. Zawieś swoje instynkty oceniające i postaw na ilość, a nie jakość. Kiedy wyczerpiesz możliwości pierwszego zestawu trzech do czterech zasobów, powtórz z innym zestawem. Możesz użyć tej samej techniki „w prawdziwym życiu”. Poświęć trochę czasu na burzę mózgów, aby po prostu przemyśleć nowe możliwości połączenia zasobów, które masz do dyspozycji – jeśli utkniesz, wybierz kilka na chybił trafił i zapytaj: „A co by było, gdybyśmy je połączyli?” “A co z tymi?” Mając nawet kilka atutów, liczba możliwości, jakie możesz stworzyć, zaskoczy Cię

Lean Customer Development : Ograniczone zasoby

Czasami klienci są ograniczani przez środowisko, w którym pracują lub mieszkają. Osoby mieszkające w akademikach lub mieszkaniach lub pracujące w kabinach mogą nie być w stanie skorzystać z rozwiązania, które wymaga od nich wprowadzenia zmian w ich fizycznej przestrzeni. Rodzice małych dzieci mogą nie być w stanie odnieść korzyści z rozwiązania wymagającego dwóch rąk lub pełnej koncentracji. (Projektantka produktu Anne Halsall pisze: „Przez pierwsze trzy tygodnie życia naszego syna nie dotykałam komputera, którego nie mogłam używać jedną ręką… iPad mini natychmiast stał się moim podstawowym komputerem”). Wiele ograniczeń środowiskowych nie dotyczy stały. Weź pod uwagę hałas, złą pogodę, zatłoczoną przestrzeń fizyczną, zawodny dostęp do Internetu lub odległość między punktami A i B. Po prostu dodają niewielką ilość dodatkowego tarcia, które często jest wystarczające, aby zahamować zachowania klientów. Oczywiście większość klientów boryka się z ograniczeniami zasobów. Ważne jest, aby zrozumieć, których zasobów brakuje. Zapracowany pracujący rodzic rzadziej poświęca czas na oszczędzanie pieniędzy; student college’u często ma przeciwne skłonności. W KISSmetrics wielu naszych pierwszych klientów miało ograniczone zasoby inżynieryjne. Oznaczało to, że byli gotowi zamienić krótszy proces instalacji i konfiguracji na dłuższy, który mógłby być wykonany głównie przez osoby nie będące inżynierami.

Ile Google wie o Tobie : Wiele twarzy wyszukiwań

Wyszukiwanie to coś więcej niż zwykły smak, z którym wszyscy się spotykamy. Wiele specjalistycznych wariantów może pomóc w precyzyjnym znalezieniu właściwych informacji. To samo ryzyko ujawnienia informacji dotyczy tych bardziej szczegółowych wyszukiwarek, tylko w węższym zakresie możliwości. Ryzyko kumuluje się, gdy jedna firma oferuje wiele wyspecjalizowanych usług wyszukiwania oprócz wyszukiwania ogólnego, jak to często ma miejsce, gdy duża firma wyszukiwania próbuje wykorzystać swoje podstawowe doświadczenie w zakresie technologii wyszukiwania, aby zaoferować atrakcyjne nowe produkty i usługi. Google powszechnie stosuje to podejście. Niektóre z tych usług są oferowane bezpośrednio z głównej strony Google; inne są zagnieżdżone na kilka poziomów. Po prostu Google łączy większość funkcji wyszukiwania Google na jednej stronie i jest przydatna do szybkiego poznania alternatywnych funkcji wyszukiwania Google w wielu wariantach wyszukiwania Google.

Pole wyszukiwania i powiązane aplikacje

Google oferuje szereg narzędzi, które są dostępne za pośrednictwem pola wyszukiwania Google [30], innych składników interfejsu oraz wyników wyszukiwania. Te narzędzia i funkcje uzupełniające, choć nie są technicznie wyszukiwane, zapewniają użytkownikowi wiele sposobów ujawnienia dodatkowych informacji poza samym zapytaniem podstawowym.

Znaczenie tych aplikacji nie wyszukujących polega na tym, że ujawniają poufne informacje, które w połączeniu ze strumieniem zapytań użytkownika dostarczają dodatkowych informacji, które mogą wzmocnić lub rozszerzyć istniejące profile użytkowników, a także zapewnić kolejny mechanizm jednoznacznej identyfikacji użytkowników.

Uwaga: opcja „Szczęśliwy traf” w interfejsie Google umożliwia szybkie pobieranie odcisków palców od użytkowników, którzy często przechodzą do rzadko odwiedzanych witryn.

Zaufanie w Cyberspace : Zgodność

W praktyce zgodność z przepisami jest ustalonym mechanizmem zapewniającym poziom zaufania do bezpieczeństwa informacji. Zgodność oznacza ustalenie zasad, procedur i kontroli w celu spełnienia wymagań normy dostarczonej przez władze. Istnieją przepisy, które obejmują wiele dziedzin, od zarządzania i własności po bezpieczeństwo i prywatność, na przykład ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) w zakresie danych zdrowotnych, standardy bezpieczeństwa danych w branży kart płatniczych (PCI DSS) dla kart płatniczych oraz Sarbanes-Oxley Act (SOX) do odtwarzania po awarii. Przetwarzanie w chmurze komplikuje jednak sytuację w zakresie zgodności z przepisami. Dane w chmurze są replikowane w różnych miejscach, które mogą być oddalone od siebie geograficznie i fizycznie. To potencjalnie wprowadza bardzo trudną sytuację w których te same dane mogą wymagać zgodności z różnymi przepisami, co w skrajnych przypadkach może się różnić. W związku z tym klient musi upewnić się, że albo dane są zlokalizowane zgodnie z prawem, albo nie ma takiej kolizji przepisów. Przy ocenie zaufania należy wziąć pod uwagę przejrzystość i elastyczność CSP w tym względzie. Dostawca usług kryptograficznych może również wykorzystywać zasoby od innych dostawców usług CSP lub zlecać im podwykonawstwo, na przykład dostawcy SaaS korzystającego z zasobów dostawcy IaaS. W takim przypadku musi być ubezpieczona zgodność wszystkich takich dostawców w łańcuchu. Ciężar zgodności z przepisami, jak stwierdził Arshad ], spoczywa na kliencie, a zatem w obliczeniach zaufania za bardziej odpowiedzialny zostanie uznany CSP, który jest przejrzysty dla klienta w zakresie sposobu postępowania z jego danymi. Niektóre rozwiązania problemu zgodności z przepisami zostały zaproponowane w literaturze, na przykład przetwarzanie w chmurze zgodne z przepisami (RC3) [28]. RC3 proponuje najpierw sklasyfikować dane klienta na dane wrażliwe i niewrażliwe, a następnie dane wrażliwe są przetwarzane i przechowywane w strefach regulowanych, a dane niewrażliwe mogą być przechowywane w innym miejscu. Strefy regulowane mogą znajdować się na granicy klienta (prywatna chmura) lub w zaufanej, zgodnej chmurze publicznej. Szereg innych opracowań proponuje przechowywanie w chmurze tylko zaszyfrowanych danych i pracę nad tymi zaszyfrowanymi danymi w celu rozwiązania problemu zgodności. Szyfrowanie danych przed zapisaniem nie jest dużym problemem; jednak agregowanie, wysyłanie zapytań i stosowanie innych operacji na danych kryptograficznych nie jest łatwe i wiąże się z dużym narzutem.

Ciemna Strona Neta : Myśl, szukaj, kaszl

Za każdym razem, gdy wysyłamy pozdrowienia na ścianie naszego znajomego na Facebooku, wpisujemy w Google imię ulubionej gwiazdy lub zostawiamy komentarz z dezaprobatą w witrynie naszej ulubionej gazety, gdzieś w Internecie zostawiamy publiczny ślad. Wiele z tych śladów, jak na przykład komentarz na stronie gazety, jest widocznych dla wszystkich. Niektóre, jak nasze wyszukiwania w Google, są widoczne tylko dla nas (i oczywiście dla Google). Większość, jak ten dziwny komentarz na ścianie Facebooka, znajduje się gdzieś pośrodku. Na szczęście nie jesteśmy sami w Internecie – co najmniej miliard innych użytkowników również bloguje, Google, Facebook i tweetuje – a większość naszych informacji jest po prostu zagubiona w niekończącym się oceanie cyfrowych efemeryd produkowanych przez innych. To właśnie naukowcy zajmujący się prywatnością nazywają „bezpieczeństwem przez zapomnienie”. W większości przypadków niejasność nadal działa, chociaż wyjątków od tej reguły jest coraz więcej. Zapytaj kogokolwiek, kto ma trudności ze znalezieniem pracy lub wynajmem mieszkania, ponieważ w wyszukiwaniach Google lub na Facebooku pojawia się coś o nim wstydliwego. Niemniej jednak agregowanie tych niewielkich cyfrowych śladów w jeden duży zestaw danych – czasami obejmujący całe populacje – może dostarczyć pouczających informacji na temat ludzkich zachowań, wskazać nowe trendy i pomóc w przewidywaniu reakcji opinii publicznej na określone wydarzenia polityczne lub społeczne. Firmy marketingowe i reklamowe już dawno zrozumiały siłę informacji. Im więcej wiedzą o danych demograficznych, zwyczajach konsumenckich i preferencjach określonych typów klientów, tym bardziej mogą dostosować swoją ofertę produktową, a co za tym idzie, więcej mogą zarobić na sprzedaży. Świat cyfrowy nie jest inny. Historia naszej wyszukiwarki internetowej mówi więcej o naszych nawykach informacyjnych niż nasze akta patronów w lokalnej bibliotece. Zdolność do zidentyfikowania i zebrania „zamiarów” ze zwykłego wyszukiwania w Internecie, dopasowywania reklamodawców do klientów szukających ich ofert, pozwoliła firmie Google postawić na głowie biznes reklamowy. A zatem, oprócz prowadzenia najpopularniejszej agencji reklamowej na świecie, Google prowadzi również najpotężniejszą firmę zajmującą się analizą marketingu. To wynika z tego, że Google wie, jak powiązać wyszukiwania internetowe z danymi demograficznymi i innymi decyzjami dotyczącymi wyszukiwania i zakupów swoich klientów (np. jaki procent nowojorczyków, którzy szukali hasła „aparat cyfrowy” w ciągu ostatnich dwunastu miesięcy, wyszukuje „oferty na iPhone’y”) . Ale nie szukamy tylko lepszych iPodów i nowych ofert na telewizory plazmowe. Szukamy również informacji o ludziach i miejscach w wiadomościach („czy Michael Jackson zmarł?”), O szerszych trendach kulturowych („jakie są najlepsze powieści dekady?”) I oczywiście o rozwiązywaniu problemów – głównie trywialne, ale pewne ważne – które nieustannie pojawiają się w naszym życiu („jak naprawić zepsutą pralkę”). Istnieje wiele sezonowych różnic w częstotliwości wyszukiwania określonych produktów (liczba wyszukiwań hasła „nadziewany indyk” prawdopodobnie wzrośnie przed Świętem Dziękczynienia), ale częstotliwość zapytań dotyczących większości pozycji jest zwykle dość spójna. Zatem ilekroć następuje nagły wzrost liczby zapytań Google dla danego terminu, prawdopodobnie oznacza to, że wydarzyło się coś niezwykłego; prawdopodobieństwo jest jeszcze większe, jeśli gwałtowny wzrost wyszukiwań ogranicza się tylko do określonego obszaru geograficznego. Na przykład, kiedy niezwykle duża liczba internautów w Meksyku zaczęła wpisywać w Google terminy takie jak „grypa” i „przeziębienie” w połowie kwietnia 2009 roku, zasygnalizowało to wybuch świńskiej grypy. W rzeczywistości Google Flu Trends, dedykowana usługa Google stworzona specjalnie w celu śledzenia, jak często ludzie wyszukują elementy związane z grypą, zidentyfikowała wzrost 20 kwietnia, zanim świńska grypa stała się przyczyną wielu w mediach. I chociaż kilka badań naukowych przeprowadzonych przez badaczy zdrowia wykazało, że dane Google nie zawsze są tak dokładne, jak inne sposoby śledzenia rozprzestrzeniania się grypy, nawet oni przyznali, jak tani i szybki jest system Google. Poza tym w dziedzinach, które nie wymagają tak dużej ilości danych, jak zwalczanie chorób, Google radzi sobie znacznie lepiej niż alternatywy – o ile w ogóle istnieją. Wyszukiwarki nieumyślnie stały się niezwykle potężnymi graczami w branży zbierania informacji i przewidywania przyszłości. Pokusa – której dyrektorzy Google, ku swojemu uznaniu, do tej pory opierali się – polega na zarabianiu na ogromnej ilości informacji związanych z trendami, poza samą sprzedażą reklam. Technicznie rzecz biorąc, Google wie, jak często rosyjscy internauci wyszukują słowa „łapówki”, „opozycja” i „korupcja”; wie nawet, w jaki sposób takie zapytania są rozmieszczone geograficznie i czego jeszcze szukają tacy potencjalni awanturnicy. Nie trzeba Nostradamusa, by zinterpretować nagły wzrost wyszukiwań w Internecie słów takich jak „samochody”, „import”, „protesty” i „Władywostok” jako oznakę rosnących napięć społecznych związanych z podwyżkami taryf samochodowych warzących się we Władywostoku, rosyjskim główna placówka na Dalekim Wschodzie. To są dane, za które rosyjskie tajne służby dosłownie zabijałyby. Taka wiedza może oczywiście sprawić, że autorytaryzm będzie lepiej reagował i wnieśli do procesu przynajmniej odrobinę demokracji. Ale jest również możliwe, że rządy wykorzystają tę wiedzę do rozprawienia się z dysydentami w bardziej skuteczny i terminowy sposób. Wyszukiwarki internetowe to doskonały sposób na okiełznanie ciekawości tłumów w celu poinformowania władz o zbliżających się zagrożeniach. Monitorowanie wyszukiwania w Internecie może przynieść nawet cenniejsze informacje niż monitorowanie mowy w Internecie, ponieważ mowa jest zwykle skierowana do kogoś i jest pełna aluzji, podczas gdy wyszukiwanie w Internecie jest prostą i neutralną rozmową między użytkownikiem a wyszukiwarką. Wartość wywiadowcza wyszukiwarek nie jest tracona dla internetowych guru konsultujących się z autorytarnymi rządami. W marcu 2010 roku, mówiąc o ambicjach Kremla, by stworzyć własną wyszukiwarkę, Igor Aszmanow, jeden z pionierów rosyjskiego Internetu i osoba, która konsultowała się z Kremlem w sprawie ich narodowego planu poszukiwań w przeszłości, powiedział wprost: „Kto dominuje rynek wyszukiwania w kraju wie, czego szukają ludzie; znają strumień zapytań. To zupełnie unikalne informacje, których nie można uzyskać nigdzie indziej ”. Jeśli przyjmie się, że autorytarne rządy zwykle są zaskakujące – jeśli nie są zaskoczone, prawdopodobnie popełniają samobójstwo (np. W przypadku Związku Radzieckiego) – to też musimy założyć, że biorąc pod uwagę, ile danych w Internecie może być zbierane, analizowane i badane niespodzianki mogą stać się rzadsze. Ale nawet jeśli próby rządów kontrolowania – bezpośrednio lub pośrednio – świata wyszukiwania w Internecie nie przyniosłyby natychmiastowych rezultatów, Internet mógłby wzmocnić ich aparat wywiadowczy w inny sposób. Pojawienie się mediów społecznościowych sprawiło, że większość użytkowników Internetu coraz bardziej czuje się komfortowo z myślą o dzieleniu się swoimi przemyśleniami i czynami z całym światem. Może nie wydawać się to oczywiste, ale przeglądanie tych wszystkich postów na blogu, aktualizacji na Twitterze, zdjęć i filmów opublikowanych na Facebooku i YouTube może dostarczyć całkiem wielu przydatnych informacji dla służb wywiadowczych – i nie tylko o indywidualnych nawykach, jak w białoruskim KGB przypadku, ale także o ogólnych trendach społecznych i ogólnym nastroju społecznym. Analiza sieci społecznościowych może zapewnić jeszcze lepszy wgląd niż monitorowanie wyszukiwań w Internecie, ponieważ można by skorelować informacje pochodzące od poszczególnych osób (czy to opinii, czy faktów) w świetle tego, co jeszcze można dowiedzieć się o tych osobach z ich profilu podróże, jakiego rodzaju grupy internetowe lub przyczyny się zajmują, jakie filmy lubią, kto jeszcze jest w ich sieci itp.). Na przykład autorytarny rząd może zwracać szczególną uwagę na opinie osób w wieku od dwudziestu do trzydziestu pięciu lat, często podróżujących za granicę i posiadających wyższe wykształcenie. Wystarczy poświęcić trochę czasu na przeglądanie odpowiednich grup na Facebooku (np. „Harvard class of 1998” lub „Uwielbiam podróżować po Bliskim Wschodzie”), aby znaleźć właściwe postacie. W pewnym sensie świat sieci społecznościowych eliminuje potrzebę grup fokusowych; znalezienie inteligentnych sposobów łączenia istniejących grup i opinii online mogłoby być bardziej skuteczne. I nie muszą samodzielnie zbierać tych danych. Wiele prywatnych firm już zbiera dane – głównie do celów marketingowych – które rządy, zarówno autorytarne, jak i demokratyczne, uznałyby za niezwykle przydatne. Tak więc, podczas gdy KGB może już nie istnieć w 2020 r., Jego funkcje mogą nadal być wykonywane przez kilka prywatnych firm specjalizujących się w jednym szczególnym aspekcie pracy informacyjnej. Dzisiaj rządy mogą się sporo dowiedzieć o perspektywach niepokojów politycznych w danym kraju, po prostu zwracając szczególną uwagę na najpopularniejsze przymiotniki używane przez digerati. Czy oni są „Szczęśliwi” czy „zaniepokojeni”? Czy czują się „zagrożeni” lub „upoważnieni”? A jeśli ktoś kontroluje religię? Czy samozwańczy świeccy blogerzy czują się bardziej zadowoleni niż osoby religijne? Wyobraź sobie, jak przydatne może być dla irańskiego rządu śledzenie, jak często Irańczycy używają słowa „demokracja” w swoich publicznych rozmowach online i jak takie wzmianki są rozpowszechniane w całym kraju. (Na przykład, czy są jakieś regiony Iranu, które są bardziej demokratycznie nastawione i niezadowolone z obecnego reżimu niż inne?) Jeśli istnieją odpowiednie kontrole dla stronniczości statystycznych, taka technologia często przewyższa badania opinii publicznej, których rozwój wymaga czasu i , gdy robi się to w krajach autorytarnych, zawsze ryzykuj, że ludzie będą fałszywie przedstawiać swoje poglądy, aby uniknąć kary. Takie zagregowane informacje mogą nie być w pełni reprezentatywne dla całej populacji, ale pomagają zachować kontrolę nad najbardziej kłopotliwymi grupami. Tak więc fakt, że autorytarne rządy mogą teraz dowiedzieć się więcej o nastrojach publicznych w czasie rzeczywistym, może tylko przyczynić się do ich długowieczności. Jest mniej prawdopodobne, że źle ocenią reakcję opinii publicznej. Co gorsza, aktywność w mediach społecznościowych nie zawsze jest złym narzędziem do oceny względnego znaczenia działaczy antyrządowych. Jeśli tweety konkretnego użytkownika są przesyłane dalej niż zwykle, rząd powinien zacząć uważnie obserwować tę osobę i dowiedzieć się więcej o jej sieci społecznościowej. Wirusowa kultura mediów społecznościowych może przynajmniej pośrednio pomóc w rozwiązaniu problemu nadmiaru informacji, który wpłynął również na cenzurę. To „internetowa giełda pomysłów”, która informuje tajną policję, kogo należy obserwować. Z perspektywy tajnej policji niepopularne osoby prawdopodobnie nawet nie zasługują na cenzurę; pozostawieni samym sobie i prawie zerowym czytelnikom, za mniej więcej miesiąc zabraknie im energii do blogowania.

Audyt Umysłu Hakera : Techniki wykorzystywania aplikacji internetowych

Tak jak związane z bezpieczeństwem luki programistyczne istnieją w oprogramowaniu takim jak Microsoft Windows i Linux, aplikacje napisane do obsługi stron internetowych (znane jako aplikacje internetowe) mogą cierpieć z powodu wielu luk w zabezpieczeniach, od tych, które pozwalają zdalnym atakującym na modyfikowanie danych, takich jak ceny produktów sprzedawanych w witrynach internetowych e-biznesowych tym, które, jeśli są prawidłowo wykorzystywane, umożliwiają zdalnym atakującym uzyskanie pełnego dostępu do serwerów obsługujących podatne witryny sieci Web. Ze względu na szeroki zakres technologii wykorzystywanych do tworzenia aplikacji internetowych, istnieje wiele różnic między technikami, w których przeciwnik może wykorzystywać podobne wady w różnych aplikacjach internetowych wykorzystujących różne technologie.

Technika różnicująca

Istnieje wiele czynników różnicujących między sposobami wykorzystania błędów aplikacji sieci Web a poziomem trudności związanym z odpowiednią techniką ataku. Poziomy trudności związane z technikami eksploatacji aplikacji sieci Web odnoszą się do różnych semantyki języka, w którym aplikacja jest napisana, oraz wszelkich innych technologii, takich jak serwery baz danych, z których korzysta aplikacja internetowa. Przykładem tego, jak taki element wyróżniający mógłby istnieć, jest przypadek, w którym w aplikacji sieci Web istnieje błąd typu iniekcyjnego języka SQL (Structured Query Language). Błędy SQL injection pozwalają atakującemu na wykonanie dowolnych zapytań do baz danych na serwerach baz danych, na których działa wiele aplikacji internetowych (takich jak aplikacje elektronicznego koszyka na zakupy). Na potrzeby tego przykładu rozważmy dwa przypadki. W pierwszym, baza danych połączona z podatną na ataki aplikacją internetową jest obsługiwana przez SQL Server 2000 firmy Microsoft, na którym zastosowano wszystkie dostępne aktualizacje zabezpieczeń firmy Microsoft. W drugim przypadku ta sama aplikacja internetowa jest połączona z serwerem bazy danych MySQL, na którym zastosowano również wszystkie najnowsze poprawki zabezpieczeń. W pierwszej kolejności nasz przeciwnik jest w stanie wykorzystać lukę w iniekcji SQL, wykonując polecenia na hoście, na którym działa serwer MS SQL, i ostatecznie uzyskując Telnet (zdalna administracja), jak powłoka w systemie, za pomocą funkcji wbudowanej w Microsoft SQL serwer umożliwiający wykonywanie poleceń systemowych. W drugim przypadku nasz przeciwnik nie może znaleźć żadnej równoważnej funkcji na serwerze MySQL i jest zmuszony zużywać dodatkowe zasoby, aby znaleźć lukę w serwerze MySQL, która umożliwia wykonywanie poleceń systemowych. Ponieważ przeciwnik nie posiada umiejętności wymaganych do znalezienia i wykorzystania w sumie nowej luki w serwerze bazy danych MySQL, kosztuje to przeciwnika pięć dni czasu przyjaciela (któremu jest teraz winien przysługę) i potencjalnie utratę informacje dotyczące wcześniej niepublikowanej luki w MySQL w przypadku wykrycia jego ataku. Ten przykład pokazuje wariantowy poziom umiejętności wymagany do wykorzystania tej samej wady w aplikatorze sieciowym z różnymi technikami wymaganymi ze względu na różne technologie wykorzystywane przez aplikacje internetowe. Tabela  ilustruje, w jaki sposób możemy ocenić poziomy umiejętności wymagane do osiągnięcia celu poprzez wykorzystanie luk w aplikacjach internetowych, które wykorzystują różne technologie.

Wady aplikacji internetowej: publiczne: prywatne

Zastrzeżona penetracja aplikacji: 3 5

Wstrzyknięcie SQL

Penetracja aplikacji typu open source: 3 5

Wstrzyknięcie SQL

Zastrzeżona penetracja aplikacji: 2 4

Wstrzyknięcie dowolnego kodu

Penetracja aplikacji typu open source: 2 4

Wstrzyknięcie dowolnego kodu

Zastrzeżona penetracja aplikacji: 3 5

Wykonywanie poleceń systemu operacyjnego przy użyciu języka SQL

Iniekcja (MS SQL)

Zastrzeżona penetracja aplikacji: 3 5

Wykonywanie poleceń systemu operacyjnego przy użyciu języka SQL

Wstrzyknięcie (Sybase)

Zastrzeżona penetracja aplikacji: 4 6

Tylko wtrysk SQL (MS SQL)

Zastrzeżona penetracja aplikacji: 6 8

Tylko wtrysk SQL (IBM DB2)

Zastrzeżona penetracja aplikacji: 6 8

Tylko wstrzyknięcie SQL (Oracle)

Dodatkowe przykłady punktacji ataku

Poniżej dodatkowo pokazan sposoby oceny ataku na podstawie poziomu umiejętności wymaganego do wykorzystania (aw przypadku kolumny Private, znalezienia) wad, w zależności od używanej technologii i charakteru wady. Pamiętaj, że aby uzyskać wynik, sukces jest zawsze prawdziwy!

Exploity oprogramowania użytkownika Land: publiczne: prywatne

Eskalacja uprawnień lokalnych (Linux 2.4) 3 6

Zdalna eksploatacja demona (Linux 2.4) 4 8

Eksploatacja za pośrednictwem programu Mass Rooter (Linux 2.4) 1 3

Exploity oprogramowania jądra: publicznye:  prywatne

Zdalna masa przepełnienia przestrzeni jądra 1 3

(Linux 2.4)

Zdalne przepełnienie przestrzeni jądra

(Linux 2.4) 5 9

Przepełnienie lokalnego jądra

(Linux 2.4) 3 6

Ostrzeżenia: Maskarada zachowań ataków

Jednym z zastrzeżeń związanych z oceną przeciwnika za pomocą technik i narzędzi używanych w ataku jest to, że bardziej zaawansowany przeciwnik może celowo udawać niewykwalifikowanego przeciwnika w nadziei, że zwabi tych odpowiedzialnych za obronę celu w fałszywe poczucie bezpieczeństwo, wykorzystując dobrze znany fakt, że wśród wielu administratorów systemów istnieje tendencja do oceniania

ich cyberprzestępcy jako niezdolni do włamania się do ich systemów. Drugim powodem, dla którego przeciwnik udaje mniej wprawnego napastnika, jest zakamuflowanie prawdziwego ataku w ramach dużej liczby ataków, rzekomo wykonanego przez wysoce niewykwalifikowanego przeciwnika. Dobra wiadomość jest taka, że ​​w każdym przypadku, nawet jeśli atak jest zamaskowany przez duża liczba ataków „pozorowanych” ze strony rzekomo niewykwalifikowanych przeciwników, użycie kilku dobrze rozmieszczonych IDS powinno zapewnić, że prawdziwy atak ma duże szanse na zarejestrowanie. W przypadku, gdy przeciwnik próbował zamaskować atak innymi działaniami, prawie zawsze tak się dzieje, ponieważ wierzy, że bez tych środków atak zostałby natychmiast zauważony. że takie działanie służy spowolnieniu procesu wykrywania – w końcu przetwarzanie 10 000 wierszy plików dziennika wykrywania włamań zajmuje o wiele więcej czasu niż 10 wierszy.

Podsumowanie

Przedstawiliśmy kilka kluczowych zasad oceniania ataku na podstawie danych, które są powszechnie dostępne po wystąpieniu incydentu. Należy zauważyć, że narzędzia i techniki ataku opisane w tym rozdziale to tylko wierzchołek góry lodowej. Osoby, których zadaniem jest scharakteryzowanie cyberprzestępców na etapie analizy incydentów, są zachęcane do kreatywności, wykorzystując dostępne dane dotyczące ataku, jednocześnie odwołując się do przeszłości. do zasad charakteryzacji przedstawionych w tym rozdziale. W następnym rozdziale zbadamy, w jaki sposób możemy wykorzystać przedstawioną dotychczas teorię do scharakteryzowania tych, którzy stanowią zagrożenie dla naszych najcenniejszych aktywów – zbliżając się o krok do prawdziwego „poznania wroga”.

Agile Leadership : PROWADZENIE GRUPY DO MYŚLENIA POZIOMEGO

Kiedy grupa ludzi zaczyna myśleć horyzontalnie, myślą dosłownie razem – a wspólne myślenie jest fascynującym zjawiskiem. Kiedy myślimy razem horyzontalnie, w rzeczywistości tworzymy rozszerzony umysł. Pomysł ten został po raz pierwszy przedstawiony przez filozofa Andy’ego Clarka i kognitywisty Davida Chalmersa. Według Clarka i Chalmersa umysł i procesy poznawcze człowieka nie ograniczają się do głowy ani nawet do ciała. Rozszerzony umysł rozciąga się na świat osoby, w tym na przedmioty. Na przykład korzystanie z list rzeczy do zrobienia w celu rozszerzenia pamięci jest prostym sposobem na rozszerzenie umysłu. Oczywiście korzystamy również z innych, znacznie bardziej wyrafinowanych urządzeń do przechowywania i wyszukiwania, takich jak komputery i Internet, aby rozszerzyć nasze umysły. W swojej książce The Knowledge Illusion: Why We Never Think Alone, Steven Sloman i Philip Fernbach opierają się na teorii rozszerzonego umysłu, zauważając, że umysł rozciąga się również na ludzi wokół nich. Ponadto nieustannie korzystamy z informacji i wiedzy zgromadzonej poza naszymi głowami: w naszym środowisku, w naszym dobytku i społeczności, z którą mamy do czynienia. To, co moglibyśmy nazwać „aktywami”, jest więc wszędzie. Jak widzieliśmy w rozdziale 4, nasze podejście do projektowania i kierowania złożoną współpracą zaczyna się od zidentyfikowania zasobów, które mogą przyczynić się do powstania potencjalnych rozwiązań – umiejętności, aktywów fizycznych, aktywów kapitałowych, zasobów społecznych. Kiedy robimy to z grupą, zasadniczo mapujemy nasz zbiorowy rozszerzony umysł. Niezmiennie otrzymujemy bogatą kolekcję aktywów. Zespół może następnie wykorzystać te różnorodne zasoby, aby zaprojektować szereg możliwych rozwiązań.

Powiedzmy, że grupa od pięciu do siedmiu osób otrzymała zadanie zaprojektowania strategii rozwiązania złożonego problemu. Jeśli każda osoba zidentyfikuje pięć aktywów, wówczas grupa będzie miała od 25 do 30 aktywów w zbiorczym spisie aktywów. Jak widzieliśmy w rozdziale 1, kiedy przyjrzeliśmy się innowacyjności telefonu, mieszanie i dopasowywanie różnych kombinacji tych zasobów w celu stworzenia potencjalnych rozwiązań daje nam prawie nieskończony zestaw możliwości. Złożone wyzwania będą wymagały od nas rozważenia i eksperymentowania z wieloma różnymi strategiami lub opcjami. Możemy zbudować tę listę, biorąc nasze zasoby i łącząc je na różne sposoby. Takie podejście jest prostym, ale skutecznym sposobem osiągnięcia różnorodnych opcji potrzebnych do radzenia sobie ze złożonymi wyzwaniami. Jeśli zidentyfikujemy nasze aktywa, nawet te ukryte, możemy je połączyć.

Połączenie ich pozwala nam dosłownie razem myśleć horyzontalnie. Łączenie i wykorzystywanie zasobów poprzez myślenie horyzontalne i pomaganie w tym innym to umiejętność, której można się nauczyć. Rozwiązania dzisiejszych złożonych wyzwań nie będą opracowywane hierarchicznie. Zostaną zaprojektowane w sieciach, które łączą i wykorzystują zasoby. Będą projektowane zbiorowo, myśląc horyzontalnie i przy pomocy zwinnych liderów.

Lean Customer Development : Brak świadomości tego, co jest technicznie możliwe

Problemy bez możliwych rozwiązań wydają się bardziej faktami niż problemami. Ludzie mogą nie narzekać na coś, jeśli uważają, że nie ma sposobu, aby temu zaradzić. Proponowane przez nas rozwiązania są zakorzenione w tym, co postrzegamy jako możliwe. Dlatego klienci zwykle sugerują stopniowe ulepszenia, a nie fundamentalne zmiany. Jako ludzie, którzy tworzą produkty, zanurzamy się w naszych światach. Wiemy, jakie możliwości dają technologia, procesy i automatyzacja. Nasi klienci nie są. Pomyśl o rozwiązaniu takim jak Siri. Jeszcze kilka lat temu doświadczenie większości ludzi z rozpoznawaniem głosu ograniczało się do tych koszmarnych automatycznych, interaktywnych systemów odpowiedzi głosowych, w których krzyczysz „1, ANGIELSKI, NIE, 3, ROZMOWA Z OPERATOREM, OPERATOREM, OPERATOREM!” do telefonu, a potem rozłącza się z obrzydzeniem. Jak klient mógł poprosić o coś podobnego do Siri, skoro to było jej jedyne doświadczenie z przetwarzaniem języka naturalnego i rozpoznawaniem głosu? Nawet jeśli klient może wymyślić rozwiązanie, którego dzisiaj nie ma, jest mało prawdopodobne, aby się nim podzielił z obawy, że zabrzmi głupio. Nie chcemy przyznać, że nie potrafimy odróżnić czegoś trudnego od niemożliwego. Kto chce się wstydzić nieumyślnego proszenia o coś śmiesznego? Nie jest łatwo skłonić klientów do myślenia poza sferą tego, co wiedzą, że jest możliwe, ale można to zrobić. Jest pytanie, do którego będę odnosić się w tej książce, a brzmi ono: „Zapomnij o tym, co jest możliwe. Gdybyś mógł pomachać magiczną różdżką i rozwiązać cokolwiek, co byś zrobił? ” Pytanie o magiczną różdżkę zdejmuje ogromny ciężar z barków Twojego klienta. Mówi mu, że nie musi się martwić o to, co jest możliwe. Nie ma złych odpowiedzi. Kiedy oprawiasz wywiad w ten sposób, zwykle słyszysz: „Cóż, to jest śmieszne, ale…”, po którym następują uzasadnione problemy i twórcze pomysły. Pomysły, które proponują klienci, zwykle nie są możliwe lub praktyczne, ale mogą doprowadzić Cię do takich, które są. „Chciałbym móc po prostu usiąść na ramionach ludzi – jak diabeł na ich ramieniu – i zapytać„ Dlaczego? ”W momencie, gdy opuszczają moją witrynę”. Ta odpowiedź na pytanie dotyczące magicznej różdżki pomogła KISSmetrics zaprojektować KISSinsights, narzędzie do przeprowadzania badań na miejscu. Doskonale oddawało frustrację, jaką odczuwali nasi klienci.

Ile Google wie o Tobie : Ponad pół miliona wyszukiwarek

Miliardy zapytań zostały ujawnione dużym i małym wyszukiwarkom. Istnieje mnóstwo wyszukiwarek , zarówno ogólnych, jak i specjalistycznych. Jest ich zbyt wiele, by je tutaj wymienić, ale poniższe są największe:

Google (49,2% ), www.google.com/

Wieśniak! (23,8%), www.yahoo.com/

MSN (9,6%), www.msn.com/

AOL (6,3%), www.aol.com/

Zapytaj (2,6%), www.ask.com/

Inni (8,5%) – ponad 56 innych monitorowanych wyszukiwarek

Każdy rozdział książki poświęcony usługom zawiera podobną listę; im więcej usług oferuje jedna firma, tym większe ryzyko. W niektórych przypadkach być może nie korzystałeś ze wszystkich tych usług, ale jeśli w jakikolwiek sposób byłeś aktywny w sieci, prawdopodobnie używałeś niektórych z tych wyszukiwarek. Każdy silnik jest szeroko ukierunkowany, więc ryzyko opisane w tym rozdziale dotyczy każdego z nich. Istnieje jednak o wiele więcej wyszukiwarek, z których każdy próbuje wykorzystać inny sposób wyszukiwania, ostatecznie usiłując wyrzucić Google. Pani Dewey (www.msdewey.com/) – Szukaj, komunikując się z pseudo-człowiekiem

ChaCha (www.chacha.com/)— Wyszukiwanie wspomagane przez ludzkiego przewodnika

Quintura (www.quintura.com/) i Kartoo (www.kartoo.com/)—

Mechanizmy klastrowania, które przedstawiają wyniki jako połączone klastry

terminy pokrewne

LivePlasma (www.liveplasma.com/)— wyszukiwanie oparte na zaleceniach

silnik, który sugerował powiązane zespoły muzyczne i filmy

DogPile (www.dogpile.com/)— Silnik wyszukiwania Metasearch, który przeszukuje wiele

wyszukiwarki w tym samym czasie

Przeszukaj Wikię (http://alpha.search.wikia.com/)— Wyszukiwanie oparte na wiki to wykorzystanie opinii zaufanych użytkowników od społeczności użytkowników.

Firmy korzystające z wyszukiwarek i ryzyko ujawnienia informacji w Internecie to nie tylko zjawisko amerykańskie. W 2006 roku prezydent Francji Jacques Chirac ogłosił plany stworzenia europejskiej wyszukiwarki, która mogłaby konkurować z Google. Innym jest Accoona www.accoona.com/), wyszukiwarka oparta na sztucznej inteligencji, wspierana przez chiński rząd, skierowana na rynki europejskie i chińskie. Accoona zatrudniła nawet byłego prezydenta Billa Clintona jako rzecznik prasowy. Chociaż Accoona jest ważna, Baidu (www.baidu.com/) jest jeszcze ważniejsza. Opisana przez The New York Times jako „chiński dla Google”  Baidu jest najpopularniejszą wyszukiwarką w Chinach i najsilniejszym tam konkurentem Google. Mozilla Online, chińska spółka zależna Mozilla Corporation, podpisała niedawno umowę z Baidu, aby zapewnić, że chińskie wydania Firefoksa udostępnią Baidu za pośrednictwem wbudowanego interfejsu wyszukiwania Firefoksa. Sojusz ten kontrastuje z układem w Ameryce Północnej, gdzie Google jest domyślną wyszukiwarką Firefox. Chiny mają dwa miliardy ludzi, z których rosnący procent każdego dnia dołącza do sieci. Wszyscy słyszeliśmy historie o wielkiej zaporze ogniowej w Chinach i chińskiej cenzurze; można sobie tylko wyobrazić ryzyko ujawniania informacji przez Internet w takim środowisku, w którym rządowa cenzura i dostęp do dzienników są często kosztem prowadzenia działalności gospodarczej w regionie.