Zaufanie w Cyberspace : Audyt

Audyt umożliwia audytorowi i stronie, w imieniu której audytor pracuje, upewnienie się, że CSP postępuje zgodnie z procesami i standardami oraz posiada mechanizmy kontroli bezpieczeństwa, które zostały uzgodnione w umowie SLA. Z punktu widzenia zabezpieczania informacji pojęcie cloud computing jest podobne do outsourcingu IT. Jednak przetwarzanie w chmurze ma takie funkcje, jak wielodostępność, skalowanie i skalowanie w poziomie, co wprowadza szereg komplikacji, dla których nie istnieją żadne wcześniejsze mechanizmy zabezpieczeń. Istnieje wiele standardów dotyczących bezpieczeństwa i prywatności procesów, danych i infrastruktury w zakresie bezpieczeństwa informacji, które można również rozszerzyć na przetwarzanie w chmurze. CloudCommons SMI definiuje miernik zwany audytowalnością w ramach kategorii odpowiedzialności, która jest zdolnością klienta do sprawdzenia, czy usługodawca przestrzega standardów, procedur i zasad, które zostały uzgodnione w umowie SLA. Oczywiście CSP przestrzegający powszechnie znanych i akceptowanych standardów oraz bardziej otwarty na audyty ze strony klienta może być bardziej zaufany niż innym.

Ciemna Strona Neta : Jak stracić twarz na Facebooku

Pewnego ponurego dnia 2009 roku młody białoruski aktywista Paweł Laszkowicz na własnej skórze poznał niebezpieczeństwa związane z nadmiernym tworzeniem sieci społecznościowych. Będąc studentem pierwszego roku publicznego uniwersytetu w Mińsku, niespodziewanie wezwano go do dziekanatu, gdzie spotkało go dwóch podejrzliwie wyglądających mężczyzn, którzy powiedzieli mu, że pracują dla KGB, jednej organizacji publicznej, której białoruskie władze postanowiły nie zmieniać nazwy nawet po jesieni komunizmu (to grupa świadoma marki). Funkcjonariusze KGB zadawali Pawłowi różnego rodzaju szczegółowe pytania dotyczące jego podróży do Polski i Ukrainy, a także jego przynależności do różnych ruchów antyrządowych. Ich rozległa wiedza o wewnętrznych sprawach białoruskiej opozycji – a zwłaszcza o własnym zaangażowaniu Pawła w nią, o czym uważał, że nie jest powszechnie znana – bardzo go zaskoczyła. Ale potem wszystko stało się jasne, kiedy duet KGB załadował swoją stronę na vkontakte.ru, popularnym rosyjskim portalu społecznościowym, wskazując, że został wymieniony jako „przyjaciel” przez wielu znanych działaczy opozycyjnych. Wkrótce potem goście zaproponowali Laszkowiczowi podpisanie nieformalnej „umowy o współpracy” z ich organizacją. Odmówił – co w końcu może go drogo kosztować, ponieważ wielu studentów sympatyzujących z opozycją i niechętnych do współpracy z władzami zostało w przeszłości wyrzuconych z uniwersytetów. Nigdy nie dowiemy się, ilu innych nowych podejrzanych KGB dodało do swojej listy, przeglądając profil Lyashkovicha. Białoruś nie jest odosobnionym przypadkiem, a inne rządy szybko zaczynają rozumieć ogromną wartość wywiadowczą informacji umieszczanych na portalach społecznościowych. Niektórzy chcą nawet prowadzić własne witryny, być może po to, by zaoszczędzić na kosztach nadzoru. W maju 2010 roku, po zablokowaniu Facebooka i wyczuwając niezaspokojony i rosnący popyt na usługi sieci społecznościowych wśród swojej ludności, Wietnamskie Ministerstwo Informacji i Komuikaji przeniosło się, aby otworzyć własny serwis społecznościowy, w którym pracuje trzystu programistów komputerowych, grafików, techników i redaktorów. Trudno powiedzieć, czy stanie się popularna – z nazwą taką jak GoOnline wydaje się to długa perspektywa – ale z punktu widzenia rządu szpiegowanie członków sieci społecznościowej, gdy zna wszystkie ich hasła, jest jeszcze łatwiejsze. Demokratyczne rządy również uległy takim praktykom. Na przykład indyjska policja na spornym terytorium Kaszmiru bacznie śledzi wszelkie publikacje na Facebooku dotyczące Kaszmiru. Po znalezieniu czegoś podejrzanego dzwonią do użytkowników, pytają o ich działania i nakazują im zgłoszenie się na posterunki policji. (To skłoniło wielu aktywistów w Kaszmirze do rozpoczęcia rejestracji pod fałszywymi nazwiskami, co jest praktyką, którą Facebook, chcąc nie osłabić jakości swojej znakomitej bazy użytkowników fałszywymi wpisami, zdecydowanie odradza). Oczywiście nie wszystkie sieci społecznościowe są szkodliwe. Bycie częścią sieci ma wiele zalet. Na przykład znacznie łatwiej i taniej jest dotrzeć do innych członków, gdy zajdzie taka potrzeba (np. Przed zbliżającym się protestem). Ale członkostwo w sieci jest czymś w rodzaju miecza obosiecznego: jego użyteczność może z łatwością przynieść odwrotny skutek, jeśli niektóre segmenty zostaną naruszone, a ich relacje z innymi członkami staną się powszechnie znane. Przed pojawieniem się mediów społecznościowych, represyjne rządy wymagały wiele wysiłku, aby dowiedzieć się o ludziach, z którymi dysydenci są związani. Tajna policja mogła wyśledzić jeden lub dwa kluczowe kontakty, ale utworzenie obszernej listy – z nazwiskami, zdjęciami i danymi kontaktowymi – było niezwykle kosztowne. W przeszłości KGB uciekało się do tortur, aby dowiedzieć się o powiązaniach między aktywistami; dziś po prostu muszą wejść na Facebooka. Niestety, nadal istnieje powszechne przekonanie, że autorytarne rządy i ich służby bezpieczeństwa są zbyt głupie i technofobiczne, aby szukać takich danych na portalach społecznościowych. W swojej książce Children of Jihad z 2007 roku Jared Cohen z Departamentu Stanu USA pisze, że „Internet jest miejscem, w którym irańska młodzież może swobodnie działać, wyrażać siebie i uzyskiwać informacje na swoich własnych warunkach. [Oni] mogą być kimkolwiek i mówić, co tylko zechcą, ponieważ działają wolni od aparatu policyjnego państwa. . . . Prawdą jest, że rząd próbuje monitorować ich dyskusje i interakcje online, ale jest to praktycznie niemożliwe przedsięwzięcie ”. Jest to po prostu nieprawdziwe, czego dowodzą następstwa protestów z 2009 roku; dla osoby, której powierzono opracowanie skutecznej polityki internetowej wobec Iranu, Cohen jest narażony na niebezpiecznie przesadny cyberutopizm. (Można tylko mieć nadzieję, że to nie panglossowski optymizm Cohena, który Condoleezza Rice, która zatrudniła go do pracy w dziale planowania polityki Departamentu Stanu, chwaliła, mówiąc, że „Jared miał wgląd w Iran, którego my [w rządzie USA] nie nie mam ”) Jak się okazuje, władze irańskie poświęciły dużo czasu na analizę serwisów społecznościowych po wyborach, a nawet wykorzystały część zebranych informacji do wysłania ostrzeżeń do Irańczyków w diasporze. Podczas procesów o polowanie na czarownice w Iranie w 2009 roku władze wykorzystały przynależność dysydenta do akademickiej listy mailingowej prowadzonej przez Uniwersytet Columbia jako dowód, że szpiegował on dla zachodnich mocarstw. Dlatego nawet jeśli internetowa sieć społecznościowa ma minimalną wartość wywiadowczą, przyjaźń z niewłaściwymi osobami dostarcza dowodów, które można wykorzystać w sądzie. Wcześniej takie informacje były trudne do znalezienia; dysydenci często podejmowali dodatkowe wysiłki, aby to ukryć. Belinda Cooper, amerykańska aktywistka, która spędziła późne lata 80. w NRD i była członkiem kilku dysydenckich grup ekologicznych, pisze, że jedną z zasad stosowanych przez dysydentów wjeżdżających i wyjeżdżających z Niemiec Wschodnich było „nigdy nie przynosić książek adresowych podczas wyjazdu na wschód. (jak straż graniczna mogłaby i zrobiłaby ich kserokopię). ” Dziś sytuacja zmieniła się diametralnie, ponieważ listy naszych znajomych na Facebooku są dostępne dla każdego. Niestety, pozostawanie poza Facebookiem nie jest rozsądną opcją dla większości dysydentów. Muszą być obecni w tych przestrzeniach, aby przeciwdziałać rządowej propagandzie, podnosić świadomość na temat ich pracy na Zachodzie, mobilizować poparcie dla swoich celów wśród krajowej publiczności i tak dalej. Oczywiście mogą to robić anonimowo, ale dzięki anonimowości ich zaangażowanie jest znacznie mniej skuteczne. Rzecznictwo Sacharowa odniosłoby znacznie mniejszy sukces, gdyby nie praktykował go otwarcie. Liczne badania naukowe potwierdzają, że za każdym razem, gdy udostępniamy dane osobowe w serwisie społecznościowym, zwiększa się prawdopodobieństwo, że ktoś użyje ich do przewidzenia, jacy jesteśmy, a wiedza o tym, jacy jesteśmy, jest dobrym pierwszym krokiem w kierunku kontrolowania naszego zachowania. Badanie przeprowadzone w 2009 roku przez naukowców z MIT pokazało, że można przewidzieć – z uderzającą dokładnością – orientację seksualną użytkowników Facebooka, analizując ich internetowych znajomych. Nie jest to dobra wiadomość dla osób z regionów takich jak Bliski Wschód, gdzie homoseksualizm wciąż niesie ze sobą poważne piętno społeczne. W innym badaniu z 2009 roku przeprowadzonym przez naukowców z University of Cambridge, którego raport zatytułowany jest „Eight Friends Are Enough”, wykazano, że na podstawie ograniczonych informacji, które Facebook ujawnia wyszukiwarkom takim jak Google, można wyciągnąć dokładne wnioski na temat informacji, które są nie są ujawniane. Wiele funkcji, które sprawiają, że serwisy społecznościowe są tak łatwe w użyciu – na przykład wyszukiwanie znajomych, którzy są już członkami serwisu – ułatwia również śledzenie tożsamości w wiadomościach e-mail, a nawet śledzenie działań użytkowników w różnych innych witrynach. Większość z nas wie, jak łatwo jest sprawdzić, czy nasi znajomi zarejestrowali się już w określonych serwisach społecznościowych, po prostu przyznając Facebookowi, Twitterowi lub LinkedIn tymczasowy dostęp do naszej książki adresowej, aby witryny te mogły automatycznie sprawdzać adresy e-mail nasze kontakty z ich listami istniejących użytkowników. Jeśli pięciu naszych znajomych e-maili jest już użytkownikami Twittera, Twitter może nas o tym powiadomić. Jak na razie dobrze. Problem w tym, że tę samą operację można wykonać również na wrogach. Adresy e-mail można dodawać do książek adresowych ręcznie, bez konieczności wysyłania e-maili do tej osoby. Tak więc, znając tylko adres e-mail danej osoby, można znaleźć jej konta we wszystkich serwisach społecznościowych, nawet jeśli nie korzysta z nich pod swoim prawdziwym imieniem i nazwiskiem. Badanie przeprowadzone w 2010 roku przez francuski instytut badawczy Eurecom miało na celu zbadanie luk w zabezpieczeniach, które taka łatwość użytkowania stwarza dla użytkownika. Po pierwsze, naukowcy znaleźli w Internecie 10,4 miliona adresów e-mail; następnie zaimportowali je do swoich książek adresowych; i wreszcie opracowali prosty skrypt, aby automatycznie sprawdzać w każdym z popularnych serwisów społecznościowych, czy mają użytkowników odpowiadających na te e-maile. W rezultacie zidentyfikowali ponad 876941 e-maili powiązanych z 1228644 profilami, przy czym 199161 e-maili miało konta w co najmniej dwóch witrynach, 55660 na trzech itd. (11 osób miało konta e-mail powiązane z siedmioma portalami społecznościowymi jednocześnie). Jak można było się spodziewać, niektórzy użytkownicy, którzy mieli konta w wielu serwisach społecznościowych, podawali każdemu z nich różne informacje (na przykład o swojej orientacji seksualnej, lokalizacji lub wieku). Jest wysoce prawdopodobne, że spora część badanych osób nie chciała, aby ktokolwiek łączył rodzaj błahostek, które publikują na Twitterze ze swoją pracą, a mimo to badacze znaleźli co najmniej 8802 użytkowników, którzy mieli konta na LinkedIn, portal społecznościowy sieć dla profesjonalistów i Twitter. Jeśli ktoś z tej puli ma listę, powiedz: „Stany Zjednoczone Departament Obrony ”jako pracodawca na swoim profilu LinkedIn, można było sprawdzić, o czym ta osoba tweetowała, nawet jeśli tweeting był wykonywany pod pseudonimem.

Dlatego tak długo, jak konta w sieciach społecznościowych są powiązane z jednym adresem e-mail, niezwykle łatwo jest powiązać je z konkretną osobą, poznać imię tej osoby i zobaczyć, w jakie ukryte niedyskrecje ta osoba może się angażować w trybie offline lub online. Na przykład badacze odnaleźli profil żonatego profesora po pięćdziesiątce, który był również niezwykle aktywny na różnych portalach randkowych. Podobnie aktywiści, którzy przesyłają wrażliwe filmy na YouTube, myśląc, że nikt nie może odgadnąć ich prawdziwych nazw na podstawie ich nazw użytkowników, mogą być znacznie bardziej narażeni na ryzyko, jeśli używają tego samego adresu e-mail, aby uzyskać dostęp do Facebooka, a tajna policja dowie się, jaki jest ten adres e-mail. Po ostrzeżeniu o takich lukach wiele serwisów społecznościowych nieznacznie zmodyfikowało swoje procedury operacyjne, co utrudnia masowe przeprowadzanie takich kontroli. Niemniej jednak nadal można znaleźć wiele tożsamości online dla poszczególnych e-maili, sprawdzając ręcznie. Nie jest to funkcja, która wkrótce zniknie, choćby dlatego, że pozwala portalom społecznościowym poszerzyć bazę użytkowników. Korporacje już teraz wykorzystują coraz bardziej społeczny charakter sieci. Hotele używają teraz lokalizacji, dat i nazw użytkowników, które pojawiają się w witrynach takich jak TripAdvisor czy Yelp, do triangulacji tożsamości gości. Jeśli znajdą prawdopodobne dopasowanie, a opinia będzie pozytywna, zostanie dodana do rejestru preferencji gości hotelu. Jeśli wynik jest negatywny, podróżni mogą otrzymać kupon, aby zrekompensować niedogodności lub, w najgorszym przypadku, zostać oznaczeni jako „problematyczni goście”. Barry Hurd, dyrektor generalny 123 Social Media z siedzibą w Seattle, firmy zarządzającej reputacją, która współpracuje z ponad pięciuset hotelami, uważa, że ​​„technologia rozwija się tak szybko, że w przyszłości każdy przedstawiciel hotelu mógłby mieć pasek narzędzi na swoim komputer, który jednym kliknięciem myszy ujawnia wszystko o gościu – każdą recenzję, preferencje gościa, a nawet prawdopodobieństwo, że będziesz pozytywnie lub negatywnie nastawiony do Twojego pobytu ”. Oczywiście hotele nie są autorytarnymi rządami – nie będą więzić gości w swoich pokojach za wyrażanie odmiennych poglądów – ale jeśli uda im się poznać prawdziwą tożsamość kryjącą się za wyimaginowanymi pseudonimami internetowymi, to samo zrobi tajna policja. Co więcej, korporacyjne dążenie do dezanonimizacji tożsamości użytkowników może wkrótce zasilić rynek narzędziami, które mogą zautomatyzować ten proces, a narzędzia te można następnie łatwo wykorzystać w bardziej złowieszczy sposób. Agencje wywiadowcze w Stanach Zjednoczonych już skorzystały z technologii gromadzenia danych stworzonej na Wall Street. TextMiner, jedna z takich platform opracowanych przez Exegy, firmę współpracującą zarówno z agencjami wywiadowczymi, jak i bankami z Wall Street, może przeszukiwać listy lotów, harmonogramy przewozów i zapisy telefonów, a także wzorce, które mogą tworzyć numery ubezpieczenia społecznego lub konta e-mail. „To, co tej jednej konkretnej agencji zajęło jedną godzinę, mogą teraz zrobić w ciągu jednej sekundy” – mówi Ron Indeck, dyrektor ds. Technologii w Exegy, w zdaniu, które brzmi niezwykle podobnie do radości chińskich wykonawców z TRS Solutions. W ten sposób można przeszukiwać i porządkować artykuły z całego roku z jednej organizacji w „kilka sekund”. Sektor prywatny z pewnością będzie nadal wytwarzał innowacje, które mogą przynieść korzyści tajnej policji na całym świecie. Nie znajdując sposobów na zablokowanie transferu takich technologii do państw autorytarnych czy, co ważniejsze, takich ograniczeń, jakie powinny być wszędzie narzucane takim technologiom, Zachód pośrednio angażuje się w prace tajnej policji w Chinach i Iranie. Ale nawet przy braku takich narzędzi twórcze hacki wykonają zadanie dobrze. W ramach wspólnego projektu z 2010 r. Naukowców z Uniwersytetu Technicznego w Wiedniu, Uniwersytetu Kalifornijskiego w Santa Barbara i Eurecom odkryto interesujący sposób deanonimizacji użytkowników Xing, popularnego niemieckiego portalu społecznościowego, podobnego do Facebooka i LinkedIn. Ponieważ większość z nas należy do wielu różnych grup społecznościowych, które różnią się w zależności od naszych pasji, historii życia i stylu życia – na przykład Save the Earth, Feed the Children of Africa, absolwenci najlepszego uniwersytetu na świecie, wegetarianie Świat zjednoczony – prawdopodobieństwo, że ty i twoi przyjaciele należycie do dokładnie tej samej grupy, jest niewielkie (po uczęszczaniu do tej samej uczelni sztuk wyzwolonych w Nowej Anglii, twój najlepszy przyjaciel może również chcieć uratować ziemię i nakarmić dzieci w Afryce, ale także kochać Texas grillowe żeberka). Portale społecznościowe zwykle nie ukrywają list członków grupy przed osobami niebędącymi członkami, aby nie stawiać zbyt wielu barier komunikacyjnych. W ten sposób możliwe jest stworzenie niemal unikatowego identyfikatora, „grupowego odcisku palca” – pomyśl o tym jako o liście wszystkich grup na Facebooku, do których należy dany użytkownik – dla każdego z nas. Najbardziej oczywistym miejscem, w którym można szukać pasującego odcisku palca, byłaby historia naszych przeglądarek internetowych, ponieważ jest to miejsce, w którym przechowywany jest zapis wszystkich grup – i oczywiście wszystkich innych odwiedzanych witryn internetowych. Aby ukraść historię naszej przeglądarki, wystarczy, że klikniemy złośliwy odsyłacz, taki jak ten w tajemniczy sposób dodany do petycji e-mailowej RSF, a wszystko, co przeglądaliśmy w ciągu ostatnich kilku dni, nie będzie już prywatną wiedzą. Według raportu z 2010 r. Stworzenie pasującego „odcisku palca grupy” wymagało sprawdzenia 92 000 adresów URL, co zajęło mniej niż minutę. Naukowcom udało się poprawnie odgadnąć tożsamość celu w 42% przypadków. Innymi słowy, jeśli ktoś zna Twoją historię w Internecie, a Ty jesteś zapalonym użytkownikiem serwisów społecznościowych, ma duże szanse na ustalenie Twojego imienia. Wkrótce tajna policja będzie mogła po prostu zajrzeć do dziennika z Twojej ulubionej kafejki internetowej i dowiedzieć się, kim jesteś, nawet bez pytania o kopię paszportu (chociaż ta ostatnia opcja jest również coraz powszechniejsza w autorytarnych rządach). Trudno się dziwić, że tajna policja w reżimach autorytarnych jest podekscytowana wykorzystaniem takich luk w celu wypełnienia luk w swoich bazach danych. Mogą na przykład znać adresy e-mail przeciwników rządowych, ale nie znać ich tożsamości. Aby poznać ich nazwiska, mogli wysyłać przeciwnikom fałszywe e-maile zawierające złośliwe linki, których celem jest kradzież historii ich przeglądarek. W ciągu zaledwie kilku minut będą mogli dołączyć nazwiska (a także zdjęcia, dane kontaktowe i informacje o powiązanych połączeniach) do swoich dość nielicznych wpisów w bazie danych. Innym problemem jest to, że serwisy społecznościowe, takie jak Facebook, nie sprawdzają dokładnie zewnętrznych programistów – tych, którzy pracują nad wszystkimi tymi grami online, quizami i aplikacjami – pod kątem zaufania. (Do niedawna nie narzucali też wyraźnych ograniczeń co do ilości danych użytkowników, do których takie aplikacje mogą mieć dostęp, niezależnie od ich rzeczywistych potrzeb.) Oznacza to w istocie, że inteligentny reżim autorytarny może ułożyć zabawny quiz na temat Filmy z Hollywood i używaj go do zbierania poufnych informacji o przeciwnikach. To koszmarny scenariusz dla aktywistów, którzy walczą o ukrycie swoich powiązań przed władzami; oczywiście, jeśli rząd zna wszystkich znajomych z Facebooka swoich najbardziej zaciekłych przeciwników politycznych, byłoby głupotą nie zwracać szczególnej uwagi również na ich działania w Internecie, ponieważ zawsze istnieje duża szansa, że ​​oni również stanowią zagrożenie. Nie pomaga też fakt, że w nieprzemyślanym poszukiwaniu innowacji firmy technologiczne całkowicie pomijają konteksty, w których działa wielu ich użytkowników, jednocześnie znacząco nie doceniając konsekwencji popełnienia błędów. Na początku 2010 roku, kiedy Google uruchomił Google Buzz, podobną do Twittera usługę, nie zadbali o ochronę tożsamości wielu swoich użytkowników, ujawniając swoje listy kontaktów w błędnym przekonaniu, że nikt nie miałby nic przeciwko takim naruszeniom ich prywatności. (nawet Andrew McLaughlin, były dyrektor generalny Google i zastępca dyrektora ds. technologii w administracji Obamy, został uwięziony w pułapce Buzza, ponieważ wielu jego byłych kolegów Google pojawiło się na jego liście kontaktów). Chociaż dyrektorzy Google bagatelizowali znaczenie wypadku, twierdząc, że nikt nie został poważnie ranny w tej klęsce, tak naprawdę nie wiemy, ile nowych nazwisk i kontaktów zostało w rezultacie dodanych do baz danych KGB. Rzeczywistych kosztów błędnej oceny Google nie można od razu obliczyć.

Audyt Umysłu Hackera : Techniki zautomatyzowanej i masowej eksploatacji

Celem zautomatyzowanych technik masowej eksploatacji jest dosłowne skompromitowanie jak największej liczby systemów przy jak najmniejszym wysiłku w imieniu cyberprzestępcy.

Technika różnicująca

Istnieje kilka czynników odróżniających ataki między technikami wykorzystywanymi przez konwencjonalne narzędzia ataku, takie jak exploity oprogramowania, a tymi wdrażanymi przez zautomatyzowane narzędzia do masowej eksploatacji.

* Poziomy hałasu związanego z atakiem Ze względu na techniki zaimplementowane przez zautomatyzowane agenty ataku, takie jak masowe rootowniki, generowana jest znaczna ilość hałasu związanego z atakiem. Pierwszą tego przyczyną jest to, że narzędzie ataku wykorzystujące technikę masowej eksploatacji zaatakuje wiele hostów, często sekwencyjnie, w bardzo krótkim czasie – cecha ataku, którą łatwo wykryć urządzenie wykrywające włamania. Drugą jest to, że zautomatyzowani agenci eksploatacji będzie często próbował zaatakować cel niezależnie od jego podatności na problem, który narzędzie atakujące zostało napisane, aby wykorzystać. Żadna z tych cech ataku nie jest koniecznie endemiczna dla niezautomatyzowanego agenta ataku, a widziane razem prawie zawsze wskazują na narzędzie typu masowego rootera, wykorzystujące techniki wykorzystywania masowych celów.

* Zmniejszona liczba faz ataku Zwykle narzędzie ataku wykorzystuje

Techniki wykorzystujące masowe cele zawiodą w wykonaniu początkowych faz rozpoznania ataku, które normalnie będą wykonywane przez przeciwnika podczas namierzania hosta przy użyciu niezautomatyzowanych technik ataku. Dzieje się tak, ponieważ często nie ma potrzeby stosowania narzędzia ataku wykorzystującego technikę masowej eksploatacji, aby zaangażować się w jakąkolwiek formę rozpoznania celu, ponieważ takie działanie dodałoby hałas do już bardzo hałaśliwego ataku i wydłużyło czas wymagany przez narzędzie do ataku na każdego hosta.

Zautomatyzowane podejście agenta do potrąceń inhibitorów ataku

Postulujemy, że biorąc pod uwagę omówione cechy ataku związane z użyciem narzędzi masowego ataku rooterami, jesteśmy w stanie dokonać dedukcji odnośnie wartości kilku elementów znajdujących się w obiekcie inhibitora.

Postrzegane prawdopodobieństwo wykrycia przy próbie

Stosunek przeciwnika do prawdopodobieństwa wykrycia danej próby można określić poprzez liberalne użycie narzędzi typu masowego rootera ze względu na ilość hałasu ataku typowego dla tych narzędzi. Niestety można wyciągnąć dwa możliwe odliczenia:

* Przeciwnik nie zdaje sobie sprawy ze zwiększonego prawdopodobieństwa wykrycia spowodowanego użyciem narzędzia typu masowego rootera. Ta dedukcja wskazuje również na przeciwnika, któremu brakuje technicznego zrozumienia zarówno tego, co robi narzędzie ataku, jak i artefaktów bezpieczeństwa sieci, takich jak IDS.

* Chociaż przeciwnik jest w pełni świadomy zwiększonego prawdopodobieństwa wykrycia spowodowanego użyciem masowego rootera, zaniedbuje wspomniane zwiększone prawdopodobieństwo. Taka postawa jest typowa dla przeciwnika, który uważa, że ​​chociaż może nastąpić wykrycie ataku, przypisanie ataku jest mało prawdopodobne.

Postrzegane prawdopodobieństwo przypisania udziału w przypadku wykrycia

Stosunek przeciwnika do prawdopodobieństwa wykrycia atrybucji jest determinowany przez wcześniejsze obserwacje dotyczące stosunku przeciwnika do prawdopodobieństwa wykrycia danej próby, stąd obserwacje te idą w parze z wcześniej odnotowanymi obserwacjami dotyczącymi stosunku przeciwnika do postrzeganego prawdopodobieństwo wykrycia:

* W przypadkach, gdy przeciwnik nie jest świadomy zwiększonego prawdopodobieństwa wykrycia spowodowanego użyciem narzędzia typu masowego rootera, postrzegane prawdopodobieństwo przypisania danej detekcji prawdopodobnie nie ulegnie zmianie. Warto zauważyć, że w takich przypadkach rzeczywiste prawdopodobieństwo atrybucji po wykryciu prawdopodobnie wzrośnie, biorąc pod uwagę, że przeciwnik nie podejmie żadnych dodatkowych środków, aby zapobiec przypisaniu.

* W przypadkach, gdy przeciwnik jest w pełni świadomy zwiększonego prawdopodobieństwa wykrycia, a tym samym zwiększonego prawdopodobieństwa atrybucji, atakujący prawie na pewno podejmie dodatkowe środki, aby zapobiec przypisaniu w przypadku wykrycia. Jak czytamy w rozdziale 2, podjęcie takich działań w celu zrównoważenia czynników hamujących atak, takich jak prawdopodobieństwo przypisania, prawie zawsze oznacza zużycie dodatkowych zasobów. Rzeczywisty przykład zasobu, który można wykorzystać do zmniejszenia prawdopodobieństwa atrybucji, może być wtórnym, skompromitowanym systemem do przeprowadzania ataków typu mass rooter, a tym samym dalszej ochrony tożsamości osoby atakującej i zmniejszania prawdopodobieństwa atrybucji.

Agile Leadership : ROZWÓJ UMIEJĘTNOŚCI MYŚLENIA POZIOMEGO

Jeśli nie jesteś kimś, komu myślenie horyzontalne przychodzi naturalnie, jest dobra wiadomość. Jest to umiejętność, której można się nauczyć. Wyobraź sobie, że pracujesz nad prawdziwym „drapieżnikiem”, próbując rozwiązać szczególnie kłopotliwy problem. To dobry czas na przemyślany spacer. Pomysł na spacer myślowy pochodzi od inżyniera i eksperta od kreatywności Michała Michalko. Spacer myślowy może być szybką pętlą po biurze; w ładny dzień może cię zabrać na parking, a może nawet załatwić kilka spraw. Spacer myślowy może być nawet myślą „przejażdżką” lub podróżą metrem. Gdziekolwiek się wybierasz, notuj rzeczy, które napotkasz przypadkowo, odbierzesz lub kupisz. W biurze może to być fontanna lub dyspenser taśmy. Podczas spaceru na dworze prawdopodobnie spotkasz odgłosy ćwierkania ptaków, czyli żonkil zaczyna kwitnąć, wyrzucona butelka wody lub cokolwiek innego. Na zlecenie mogą to być przedmioty, które odbierasz w sklepie. Nie szukaj rzeczy, które są związane z problemem lub pomysłem, nad którym pracujesz, raczej wybieraj elementy bez widocznego związku z twoim problemem lub pomysłem i bez wyraźnego związku między sobą. Kiedy wrócisz z myśli, idź i zanotuj cechy przedmiotów, które napotkałeś lub zdobyłeś. W przypadku tego dozownika taśmy możesz zapisać słowa, takie jak lepki, przezroczysty, wirujący. Teraz spróbuj znaleźć związek między jedną lub więcej cechami a problemem lub pomysłem, nad którym pracujesz. Oto przykład autora Michalko, w jaki sposób spacer myślowy wygenerował nowe spostrzeżenia dla jednego inżyniera. Inżynier pracował nad bezpiecznymi i skutecznymi sposobami usuwania lodu z linii energetycznych podczas burz lodowych. Skończył mu się pomysł i żaden z nich nie wydawał się właściwy. Zrobił sobie przerwę i poszedł na spacer. Podczas spaceru odwiedził sklep, w którym można było kupić kilka różnych odmian miodu w różnych pojemnikach. Sklep reklamował miód wycinkiem wielkiego niedźwiedzia trzymającego słoik miodu. Kupił słoik, aby zabrać go do domu i wrócił do swojego biura. Siedząc przy biurku, jednocześnie myśląc o miodzie, niedźwiedziu z wycięciami i problemie z linią elektryczną, wymyślił całkiem niezłe rozwiązanie. Wyobraź sobie, pomyślał, stawiając garnek miodu na szczycie każdego słupa mocy. To przyciągnęłoby niedźwiedzie, a niedźwiedzie wspinałyby się po tyczkach, aby dostać się do miodu. Ich wspinaczka spowodowałaby kołysanie się słupów i drgania lodu na drutach. Chociaż był to głupi pomysł, skłonił go do przemyślenia zjawiska wibracji, które doprowadziło go do rozwiązania związanego z wibracjami. Firma energetyczna wdrożyła rozwiązanie polegające na sprowadzeniu helikopterów do zawisania nad oblodzonymi liniami energetycznymi. Ich zawisanie powodowało wibracje lodu z linii energetycznych. Rozwiązanie nie miało nic wspólnego ani z miodem, ani z niedźwiedziami, ale być może nie dotarłby tam bez nich

Lean Customer Development : Problem nie jest postrzegany jako problem

Ludzie w naturalny sposób koncentrują się na zadaniach i procesach, które znają najlepiej. Kiedy mamy zadanie do wykonania, skupiamy się na jego wykonaniu, a nie na optymalizacji sposobu, w jaki je wykonujemy. Nie kwestionujemy naszych założeń. Jest to koncepcja zwana stałością funkcjonalną, opisana przez psychologa społecznego Karla Dunckera jako „blokada psychiczna przed użyciem obiektu w nowy sposób, niezbędny do rozwiązania problemu”. Być może znasz klasyczny eksperyment dotyczący trwałości funkcjonalnej. Uczestnicy otrzymali pudełko pinezek, świecę i książkę zapałek oraz wezwano do przymocowania świecy do ściany, aby żaden wosk nie kapał na podłogę poniżej. Rozwiązanie wymaga ponownego przemyślenia zastosowań każdego z tych zwykłych przedmiotów. Wyrzuć pinezki z pudełka i użyj pinezki, aby przymocować pudełko do ściany, tworząc „półkę”; następnie użyj odrobiny wosku do świec jako kleju, aby przykleić świecę do półki. Nie jesteśmy dobrzy w tego rodzaju przemyśleniach. W życiu codziennym zdolność postrzegania obiektu lub procesu jako mającego tylko jeden cel sprawia, że ​​nasz mózg jest bardziej wydajny. Ale ta wydajność sprawia, że ​​nie potrafimy wymyślać nowatorskich rozwiązań skomplikowanych problemów. W eksperymencie ze świecą i pudełkiem uczestnicy wiedzieli, że mają konkretny problem do rozwiązania. Powiedziano im, że istnieje prawidłowe rozwiązanie – to tylko kwestia ustalenia, co to jest. W prawdziwym życiu nie zawsze zdajemy sobie sprawę, że jest problem. Nawet gdy doświadczamy frustracji lub braku, nie zdajemy sobie sprawy, jak bardzo jest źle, chyba że mamy z czym to porównać. W rzeczywistości, jak zauważa autor Daniel Pink, nawet oferowanie wyraźnych zachęt do „myślenia nieszablonowego” nie działa. Weź zakupy obuwia online. Wiele osób nie kupi butów bez przymierzania ich, ponieważ trudno jest uzyskać odpowiednie dopasowanie – nawet jeśli kupujesz tę samą markę i rozmiar, co nosisz od lat. Shoefitr to firma z siedzibą w Pittsburghu, która wykorzystuje obrazowanie 3D do pomiaru wewnętrznych wymiarów butów. Klient może przyjrzeć się wymiarom buta, który przegląda i porównać je z butami, które są już na nogach. Kiedy badaczka użytkowników Grace O’Malley rozmawiała z klientami, opisali różne strategie doboru odpowiedniego rozmiaru buta. O’Malley wyjaśnia: „Niektórzy ludzie kupowali wiele par w różnych rozmiarach i zwracali te, które nie pasowały. Wiele osób po prostu sprawiłoby, że but działałby, wkładając wkładki lub w inny okropny sposób. Po prostu sobie z tym poradzili. Niektórzy odmawiali kupowania butów przez Internet. Ale nikt nie prosił o rozwiązanie, które pomogłoby Ci znaleźć buty, które pasowałyby do Twoich stóp przed ich zakupem ”. Potrzebujesz, aby klienci zdali sobie sprawę, że mają problem, aby mogli ocenić możliwe rozwiązania. Jednym ze sposobów jest skłonienie ich do głębszego przemyślenia zachowań, które stały się rutyną. Na przykład, kiedy pracowałem w Yodlee, dostawcy rozwiązań dla bankowości internetowej, spędziłem dużo czasu na myśleniu o problemach związanych z opłacaniem rachunków online. Jedną z rzeczy, które zauważyłem, było to, że ludzie używają wielu mentalnych skrótów: mówimy „płacenie rachunków online” w odniesieniu do zbioru czynności, które mogą obejmować zakreślanie terminów płatności w fizycznym kalendarzu, obliczanie sald, potwierdzanie, które czeki zostały rozliczone i resetowanie zapomniane hasło, a także szybki krok potwierdzenia rachunków płatniczych i kliknięcie Prześlij na stronie bankowej. Tony McCaffrey, CTO w Innovation Accelerator, używa czegoś, co nazywa „techniką części ogólnych”. „Rozbij każdy przedmiot na części i zadaj dwa pytania” – mówi McCaffrey. „Czy można to dalej rozłożyć? Czy twój opis sugeruje użycie? Jeśli tak, opisz to bardziej ogólnie ”. Z mojego doświadczenia wynika, że ​​kiedy klienci rozmawiali o opłacaniu rachunków online, byli zadowoleni z czasu spędzonego na tej czynności. Kiedy podzielili tę znajomą aktywność na jej podstawowe części składowe, zatrzymali się i zakwestionowali ilość czasu i wysiłku, jaki poświęcili na to zadanie. Kiedy Twoi klienci opisują swoje zachowania, chcesz, aby zdali sobie sprawę, że każde działanie i założenie, które jest drugą naturą, jest w rzeczywistości decyzją, którą podejmują – i że mogą istnieć lepsze opcje. Innym sposobem jest rzucenie wyzwania niezrealizowanemu problemowi, polegające na stworzeniu pewnych domniemanych porównań między tym, jak wygląda życie klienta teraz, a tym, jak będzie wyglądać w przyszłości, w której jego problem zostanie rozwiązany. Nie oznacza to, że powinieneś mówić o specyfice swojego produktu! Zamiast tego będziesz chciał dowiedzieć się, w jaki sposób problem powoduje ból u klienta. Czy to marnuje godzinę swojego czasu, który wolałby spędzić z rodziną? Czy kosztuje to kwotę odpowiadającą temu, co wydaje na gaz co tydzień? Czy to tworzy społeczne napięcia, które szkodzą związkowi?

Ile Google wie o Tobie : Co jest w zapytaniu?

Pojęcie wyszukiwania obraca się wokół zapytania wyszukiwania, fragmentu informacji wprowadzonej w polu wyszukiwania przeglądarki (patrz Rysunek 4-1).  Wyszukiwarki są często pierwszą witryną, którą odwiedza prawie miliard użytkowników, i są głównym kanałem wyszukiwania żądanych informacji. Po wpisaniu przez użytkownika zapytania wyszukiwarka sprawdza indeks wyszukiwania pod kątem odpowiednich treści internetowych i zwraca listę wyników wyszukiwania z hiperłączami [4] (patrz Rysunek 4-2). Stąd użytkownik skanuje wyniki i odwiedza strony, które wydają się mieć najlepsze źródło informacji spełniające jego potrzeby. Na pierwszy rzut oka pojedyncze zapytanie może wydawać się nieistotne, ale jeśli weźmie się pod uwagę sumę wszystkich zapytań na przestrzeni lat, szybko zorientujemy się, że dają one bardzo pełny obraz. Być może najlepszymi przykładami są zapytania znalezione w zbiorze danych AOL. Przypomnijmy, że ten zbiór danych zawierał około 20 milionów zapytań wyszukiwanych przez około 658 000 użytkowników AOL i został opublikowany przez AOL w sierpniu 2006 roku

Zaufanie w Cyberspace : Logowanie

Na logowanie w chmurze ma wpływ wirtualizacja, prywatność i kontrola dostępu. Jak wiemy, wirtualizacja umożliwia większe wykorzystanie zasobów, ale wiąże się również z problemem, że dostawca CSP musi śledzić różne serwery wirtualne na jednym z wielu serwerów fizycznych. Oznacza to, że mogłaby istnieć możliwość śledzenia wielu systemów operacyjnych, co mogłoby się skomplikować i wymagałoby odpowiedniego postępowania. To prowadzi nas do koncepcji logowania. W zależności od informacji logowania z perspektywy systemu operacyjnego lub systemu zorientowanego na pliki, polityki muszą być odpowiednio zdefiniowane w dobrze zdefiniowany sposób, który jasno określa, do których informacji się zalogować, a których nie. Dzieje się tak, ponieważ w elastycznym systemie, takim jak chmura, rejestrowanie informacji, które nie są istotne, mogłoby naruszać wcześniejsze umowy, które usługodawca zawiera z klientem. Może to być postrzegane jako naruszenie prywatności i kontroli dostępu. Dlatego należy zdefiniować polityki, które określają obszary, do których rejestratory są przypisane do rejestrowania. Jako przykład, odpowiedzialność jest rozumiana jako śledzenie użytkowników uzyskujących dostęp do danych klienta i upewnianie się, że tylko uprawnieni użytkownicy mają dostęp. Aby poprawić kontrolę użytkownika nad danymi, opisano rozproszony mechanizm audytu oparty na logowaniu, który uwzględnia również obawy klienta dotyczące prywatności.

Ciemna Strona Neta : Powiedz cześć. Jesteś w aparacie!

Nie tylko tekst jest łatwiejszy do wyszukiwania, porządkowania i działania; materiał wideo również zmierza w tym kierunku, torując drogę dla jeszcze większego nadzoru wideo. To wyjaśnia, dlaczego chiński rząd wciąż instaluje kamery wideo w swoich najbardziej kłopotliwych miastach. Kamery takie nie tylko przypominają przechodniom o zamieszkiwanym przez nich panoptikonie, ale także dostarczają tajnej policji przydatnych wskazówek (w 2010 roku 47 000 kamer skanowało już Urumczi, stolicę niespokojnej chińskiej prowincji Sinciang, a według prognoz liczba ta wzrośnie do 60 tys. koniec roku). Taka rewolucja w monitoringu wideo nie odbyła się bez zaangażowania zachodnich partnerów. Naukowcom z Uniwersytetu Kalifornijskiego w Los Angeles, finansowanym częściowo przez chiński rząd, udało się zbudować oprogramowanie monitorujące, które może automatycznie dodawać adnotacje i komentować to, co widzi, generując pliki tekstowe, które mogą później być przeszukiwane przez ludzi, eliminując potrzebę oglądać godziny materiału wideo w poszukiwaniu jednej konkretnej klatki. (Aby było to możliwe, naukowcy musieli zrekrutować dwudziestu absolwentów lokalnych uczelni artystycznych w Chinach, aby opatrzyć adnotacje i sklasyfikować bibliotekę zawierającą ponad dwa miliony obrazów). treści generowane przez kamery monitorujące mogą być indeksowane i przeszukiwane, można kontynuować instalowanie nowych kamer monitorujących. Ale w miarę jak oszałamiające tempo innowacji w analizie danych rozszerza zakres tego, co jest możliwe, nadzór może stać się również bardziej wyrafinowany, przyjmując wiele nowych funkcji, które wydawały się science fiction tylko w nie tak odległej przeszłości. Nadzór cyfrowy może zyskać znaczący impuls, ponieważ techniki rozpoznawania twarzy ulegną poprawie i pojawią się na rynku konsumenckim. Branża rozpoznawania twarzy jest tak lukratywna, że ​​nawet giganci tacy jak Google nie mogą się powstrzymać przed wejściem do gry, odczuwając rosnącą presję ze strony mniejszych graczy, takich jak Face.com, popularne narzędzie, które pozwala użytkownikom znajdować i automatycznie dodawać adnotacje do unikalnych twarzy, które pojawiają się w całym ich kolekcje zdjęć. W 2009 Face.com uruchomił aplikację na Facebooku, która najpierw prosi użytkowników o zidentyfikowanie ich znajomego na Facebooku na zdjęciu, a następnie przeszukuje serwis społecznościowy w poszukiwaniu innych zdjęć, na których ten znajomy się pojawia. Na początku 2010 roku firma pochwaliła się, że zeskanowała 9 miliardów zdjęć i zidentyfikowała 52 miliony osób. To jest rodzaj produktywności, który wzbudziłby zazdrość w KGB. Jednym z oczywistych zastosowań technologii rozpoznawania twarzy byłoby umożliwienie władzom Iranu szybkiego poznania tożsamości osób fotografowanych podczas ulicznych protestów w Teheranie. Bo dlaczego irański rząd miałby podejmować kosztowne śledztwa, skoro mogą dopasować swoje komputery do zdjęć zrobionych podczas protestów – wiele z nich przez samych działaczy, którzy się na nich pojawili – z bardziej swobodnymi zdjęciami umieszczanymi na profilach społecznościowych przez tych samych aktywistów? To powiedziawszy, rządy i organy ścigania korzystały z technologii rozpoznawania twarzy przez jakiś czas, zanim stały się komercyjnie opłacalne. W przypadku Iranu najprawdopodobniej zdarzy się to, że szeroko dostępne technologie rozpoznawania twarzy wzmocnią pozycję różnych indywidualnych agentów, społecznie i politycznie konserwatywnych cyber-strażników, którzy nie pracują dla rządu, ale chcieliby pomóc jego sprawie. Tak jak hordy lojalnych Tajów przeglądają sieć w poszukiwaniu stron krytykujących monarchię lub hordy prorządowych Chińczyków szukających bardzo wrażliwych postów na blogach, hordy twardogłowych Irańczyków będą sprawdzać zdjęcia z protestów antyrządowych przeciwko tym ogromne komercyjne banki zdjęć, wypełnione zdjęciami i nazwiskami zebranymi z serwisów społecznościowych, które z pewnością pojawią się, nie zawsze legalnie, gdy technologia rozpoznawania twarzy wejdzie w pełni do głównego nurtu. Cyber-strażnicy mogą następnie nadal prześladować dysydentów, przeprowadzać ataki DDoS na ich blogi lub po prostu zgłaszać je władzom. Wyszukiwarki, które mogą znaleźć zdjęcia zawierające daną twarz w dowolnym miejscu w Internecie, również nie są daleko na horyzoncie. Na przykład APIR, ambitny projekt finansowany przez Unię Europejską, ma na celu stworzenie audiowizualnej wyszukiwarki, która najpierw automatycznie analizowałaby zdjęcie, wideo lub nagranie dźwiękowe; następnie wyodrębnij pewne cechy, aby je zidentyfikować; i wreszcie użyj tych unikalnych identyfikatorów do wyszukiwania podobnych treści w sieci. Pieśń antyrządowa nagrana z ulic Teheranu może wkrótce zostać rozbita na pojedyncze głosy, które z kolei można porównać do wszechświata wszystkich możliwych głosów, które istnieją w amatorskich filmach umieszczanych na YouTube. Lub rozważ Recognizr, najnowocześniejszą aplikację na smartfony opracowaną przez dwie szwedzkie firmy programistyczne, która umożliwia każdemu skierowanie telefonu komórkowego na nieznajomego i natychmiastowe zapytanie w Internecie o to, co wiadomo o tej osobie (lub, ściślej, o jej Twarz). Jego twórcy jako pierwsi wskazują na ogromne konsekwencje ich wynalazku dla prywatności, obiecując, że system ścisłej kontroli zostanie ostatecznie wbudowany. Niemniej jednak potrzeba skoku wiary, aby uwierzyć, że gdy dżin innowacji wyjdzie z butelki, żadne podobne nieuczciwe aplikacje nie będą dostępne do kupienia i pobrania gdzie indziej.

Audyt Umysłu Hakera : Wymagane zasoby nietechnologiczne

Dodatkowe zasoby wymagane do wykorzystania techniki ataku mogą obejmować dowolne elementy zasobów przechowywane w obiekcie zasobów osoby atakującej, takie jak poziom dostępu początkowego. Wszystkie techniki ataku wymagają przynajmniej kilku dodatkowych zasobów. Na przykład zawsze wymagany jest początkowy poziom dostępu. Niezależnie od tego, czy początkowym poziomem dostępu jest dostęp do serwera WWW przez Internet, czy fizyczny dostęp do urządzenia w centrum danych, zasób ten zawsze ma znaczenie.

Poziom dystrybucji techniki ataku

Poziom dystrybucji techniki ataku jest wskaźnikiem tego, jak dobrze znana jest technika ataku. Ocena poziomów dystrybucji techniki ataku ma często kluczowe znaczenie dla odpowiedzi na inne pytania związane z możliwościami, takie jak umieszczenie przeciwnika w „piramidzie ujawnienia” lub „łańcuchu pokarmowym przeciwnika”. W przypadku wielu ataków, w których używana jest znana technika, ocena poziomu dystrybucji tej techniki często nie jest trudniejsza niż wyszukiwanie w Internecie, ale pomiar poziomów dystrybucji wielu innych technik ataku często nie jest tak prosty. Ta zwiększona złożoność jest często spowodowana tym, że te techniki ataku są czymś w rodzaju czarnej sztuki – informacje o nich istnieją tylko w umysłach członków niepublicznych (lub „podziemnych”) społeczności. W takich przypadkach zwykła wiedza, że ​​wykorzystana technika ataku nie jest publicznie znana, wystarczy, aby wspomnieć o umiejscowieniu przeciwnika w piramidzie ujawniania i przewidywanych możliwościach.

Wszelkie inhibitory ataku zredukowane poprzez użycie techniki ataku

Przeciwnik może użyć pewnych technik ataku z zamiarem zredukowania pewnych niekorzystnych parametrów, które często są związane z atakiem. Takie niekorzystne parametry często obejmują prawdopodobieństwo wykrycia, przypisania, a bardziej oczywiste – prawdopodobieństwo, że przeciwnik może nie osiągnąć celu. Przykładem wykorzystania techniki ataku w celu zmniejszenia prawdopodobieństwa atrybucji jest użycie przez przeciwnika tzw. Skanowania „odbijającego” podczas próby wyliczenia podatnych na ataki usług na hoście. Krótko mówiąc, skanowanie po odbiciu „wykorzysta” źle skonfigurowany system w Internecie, aby przeprowadzić skanowanie portów „za”, a tym samym zamaskować prawdziwy adres IP przeciwnika przed wszystkimi administratorami systemów, którzy mogli obserwować działania przeciwnika. Przykładem techniki, której adwersarze mogą użyć w celu zmniejszenia prawdopodobieństwa wykrycia danej próby (P (d) / A), jest użycie „zakodowanego” ładunku ataku lub kodu powłoki. opis działania exploita po pomyślnym przejęciu kontroli nad oprogramowaniem poprzez wykorzystanie luki w zabezpieczeniach. Ze względu na wariantowy charakter exploitów oprogramowania w ogóle, wykrycie ataku za pomocą semantyki samej luki jest często nietrywialne; dlatego często jest to ładunek exploita (lub sam kod powłoki), na którym IDS będzie polegał przy wykrywaniu takiego ataku. Poprzez zakodowanie kodu powłoki za pomocą techniki takiej jak XOR (bitowe wyłączne lub), atakujący jest w stanie zmniejszyć prawdopodobieństwo, że przynajmniej ładunek (a tym samym atak) spowodował wykrycie ataku przez IDS lub inną sieć artefakt bezpieczeństwa, zmniejszając w ten sposób postrzegane prawdopodobieństwo wykrycia danej próby.

Łatwość, z jaką technika ataku jest wdrażana

Łatwość, z jaką technika ataku jest wdrażana, należy brać pod uwagę tylko w przypadkach, w których poziom dystrybucji techniki ataku nie obejmuje domeny publicznej. Nie jest to miara tego, jak łatwo narzędzie ataku jest używane; raczej próbujemy zmierzyć, jak łatwo było atakującemu zaimplementować określoną technikę – czy to w formie własnego narzędzia, czy też poprzez użycie konwencjonalnych narzędzi ataku w kreatywny sposób. Sytuacja, w której byłoby to brane pod uwagę, miałaby miejsce, gdyby przeciwnik zaatakował komponent oprogramowania, wykorzystując znaną lukę w tym komponencie, ale wykorzystując nieznaną wcześniej technikę do ominięcia zapory ogniowej chroniącej wspomniany podatny składnik oprogramowania. Chociaż jest oczywiste, że oczekiwanie, że będziemy w stanie określić dokładny sposób, w jaki przeciwnik zaimplementował technikę ataku, nie jest praktyczne, dzięki dokładnej analizie wszystkich dostępnych danych dotyczących ataku możemy postulować sposoby, w jakie atak mógł zostać osiągnięty.

Wskaźniki oceny technik

Problemy związane z punktacją narzędzi ataku są dwojakie:

* W pierwszej kolejności należy umieć określić narzędzie, które jest używane.

* Należy być w stanie zdobyć to narzędzie, aby spełnić wymagania większości wskaźników oceny narzędzi.

W wielu przypadkach po incydentach wypełnienie tych dwóch warunków często nie jest łatwym zadaniem, w tym celu musimy przyjrzeć się posiadanym przez nas informacjom, takim jak dzienniki IDS, zrzuty pakietów z ataku i dane kryminalistyczne z zainfekowanych systemów. . Stawiamy hipotezę, że dzięki tym i innym danym ataków jesteśmy w stanie stworzyć ogólny interfejs oceniający ataki, oceniający nie narzędzia ataku używane do generowania danych ataków, które posiadamy, ale same technologie i metodologie zaimplementowane przez te narzędzia. Ze względu na zależność wyłącznie od dostępnych danych dotyczących ataku, nie musimy mieć żadnej wiedzy ani dostępu do narzędzi ataku wykorzystywanych w ataku. Zanim przyjrzymy się samym metrykom, zastanówmy się nad kilkoma różnicami między metodologiami ataku, które pozwalają nam w pierwszej kolejności stworzyć wspomniane metryki.

Powszechne rodzaje technik ataku

Aby lepiej zrozumieć niektóre sposoby identyfikowania różnicujących technik, przyjrzyjmy się niektórym z bardziej powszechnych technik ataku, identyfikując wspólne elementy wyróżniające ataki, które istnieją dla każdego z nich. Należy zauważyć, że celem podsumowania technik ataku nie jest dostarczenie rozstrzygającego spisu technik ataku używanych przez przeciwników, ale zamiast tego zilustrowanie różnic, które mogą istnieć między sposobami wykorzystania odpowiednich technik.

Techniki wyliczania usług sieciowych i luk w zabezpieczeniach

Techniki wyliczania usług sieciowych i luk w zabezpieczeniach są wykorzystywane przez cyberprzestępców we wczesnych fazach ataku, aby umożliwić im zidentyfikowanie słabych punktów systemu, które mogą wykorzystać w późniejszych fazach ataku. Narzędzia do skanowania portów omówione wcześniej w W tym rozdziale przedstawiono kilka technik ataku, z których niektóre stanowią część tej kategorii technik ataku. Ze względu na fakt, że wiele narzędzi do wyliczania usług sieciowych implementuje wiele technik, z których niektóre są bardziej efektywne niż inne, jesteśmy w stanie rozróżnić te techniki. Poniżej omówiono szczegółowo niektóre z bardziej powszechnych technik wyliczania usług sieciowych i luk w zabezpieczeniach.

Typowe czynniki różnicujące techniki

Gdy atak jest przeprowadzany w lekkomyślny sposób, faza wyliczania usług sieciowych i wyliczania podatności może być niezwykle hałaśliwym zdarzeniem – czymś, czego technicznie bystry przeciwnik będzie chciał uniknąć za wszelką cenę, biorąc pod uwagę, że może to oznaczać, że jego atak zostanie wykryty bardzo wczesny etap. W innych przypadkach, jeśli zaimplementowano nieprawidłowo, usługi sieciowe i techniki wyliczania podatności

może okazać się całkowicie nieskuteczne – rzucając wiele fałszywych alarmów i zmuszając oko nierozsądnego przeciwnika do uwierzenia w coś, co po prostu nie jest prawdą. Poniżej podsumowano niektóre semantyki przypisane do przeciwnika wykonującego wyliczenie usług sieciowych hosta docelowego lub wielu hostów.

Puk, puk

Wiele technik wyliczania usług sieciowych rozpoczyna się od wysłania „Czy tam jesteś?” komunikat, znany jako żądanie ping, do hosta docelowego w celu ustalenia, czy system jest dostępny pod określonym adresem. Chociaż takie wiadomości są często ignorowane przez zapory ogniowe chroniące cele lub same cele i są łatwo wykrywane przez systemy IDS, wielu mniej bystrych przeciwników nie zdaje sobie sprawy z tych faktów i nie podejmuje żadnych środków, aby zapobiec wysyłaniu wspomnianych żądań ping do celów. Rysunki 4.6–4.8 przedstawiają przykład prostego skanowania portów. Na rysunku 4.6, specjalnie zaprojektowane „Czy jesteś tam?” pakiet został wysłany, uruchamiając IDS z uruchomionym Snortem (patrz Rysunek 4.7) i nie udało się pobrać danych, których oczekiwał przeciwnik. czas pomyślnego odzyskania oczekiwanych danych i niepowodzenia w uruchomieniu IDS.

Jakkolwiek prosty może być ten przykład, wystarczy wykazać, że informacja jest tak subtelna, jak przeciwnik, który nie zastosuje technik tak prostych, jak niewysłanie „Czy jesteś tam?” żądania ping do ich hosta docelowego mogą służyć do oceny:

* Czy przeciwnik rozumie, że wiele docelowych hostów ignoruje żądania ping i że wybrane przez niego narzędzie nie będzie nawet próbowało wyliczyć usług sieciowych tych celów, które nie odpowiadają na żądania ping.

* Czy przeciwnik to rozumie, wysyłając pytanie „Czy tam jesteś?” żądanie ping zwiększa hałas generowany przez atak, a tym samym prawdopodobieństwo wykrycia danej próby

Wybierz port, dowolny port

„Szum” generowany przez techniki wyliczania usług sieciowych często wynika z procesu próby wielu połączeń z hostem docelowym w bardzo krótkim czasie – jest to coś, czego na ogół nie oczekuje się podczas codziennej pracy serwera i jest endemiczne dla próba wyliczenia usług sieciowych, dzięki czemu zdarzenie jest łatwe do zidentyfikowania przez urządzenie do wykrywania włamań. Przeciwnik zaznajomiony z tą zasadą może zmniejszyć „szum” generowany przez próbę wyliczenia usług sieciowych na dwa sposoby:

* Zapewniając, że próby połączenia są wykonywane przez dłuższy czas

* Próbując wyliczyć usługi na portach hostów, którymi przeciwnik jest „zainteresowany”

Techniki wyliczania systemu operacyjnego

Wcześniej w tym rozdziale zbadaliśmy niektóre właściwości narzędzi do wyliczania systemów operacyjnych. Podobnie jak w przypadku narzędzi do wyliczania usług sieciowych, takich jak skanery portów, narzędzia do wyliczania systemów operacyjnych mogą implementować różne techniki wykonywania podobnej pracy. Wiele takich technik ma przewagę nad innymi, jeśli chodzi o dokładność techniki i jej odpowiedni poziom tajności. Przedstawiamy dwie szerokie kategorie technik wyliczania OS, jak szczegółowo opisano w kolejnych sekcjach.

Wyliczanie systemu operacyjnego z naturalnym pokryciem

Techniki wyliczania OS z naturalną osłoną przyjmują pasywne, nieinwazyjne podejście do wykrywania systemu operacyjnego docelowego systemu. Działają w oparciu o to, że nie ma potrzeby żądania danych wymaganych do próby wyliczenia OS od hosta docelowego, a raczej po prostu „czeka ”, Aby wystarczająca ilość takich danych została wysłana drogą atakującego z hosta docelowego. W wielu sytuacjach nie jest to w pełni możliwe, ponieważ w normalnych okolicznościach hosty docelowe po prostu nie mają powodu, aby komunikować się z systemem komputerowym atakującego, dlatego przeciwnik musi znaleźć sposób, aby dać systemowi docelowemu powód do wysłania danych z powrotem do jego lub jej system. Jest to sposób, w jaki osoba atakująca wybiera pobranie wymaganych danych, które możemy wykryć i ocenić. Przykładem sposobu, w jaki przeciwnik może spowodować wysłanie wymaganych danych z powrotem do swojego systemu, jest sytuacja, w której docelowym hostem byłby publiczny serwer WWW obsługujący dużą komercyjną witrynę sieci Web. Proste żądanie sieci Web za pomocą zwykłej przeglądarki, takiej jak Internet Explorer lub Netscape spowodowałby wysłanie więcej niż wystarczającej ilości danych z powrotem do systemu przeciwnika, pozwalając przeciwnikowi na określenie systemu operacyjnego jego celu.

Niepasywna enumeracja  OS

Mniej ukrytym sposobem na odzyskanie tych samych danych jest nawiązanie przez przeciwnika nieautoryzowanego połączenia z usługą FTP (File Transfer Protocol) w systemie docelowym. Chociaż rzeczywiście spowodowałoby to odesłanie wymaganych danych do systemu przeciwnika, ponieważ nie ma powodu, aby przeciwnik łączył się z usługą FTP w miejscu docelowym, jest znacznie bardziej prawdopodobne, że próba zostanie wykryta.

Technika różnicująca

Kluczem do oceny wykrytych prób wyliczenia systemu operacyjnego jest zbadanie sposobów, w jakie przeciwnik odzyskał dane wymagane do wykonania wyliczenia. W przypadkach, gdy podjęto hałaśliwą próbę – na przykład wiele połączeń z usługami sieciowymi na hoście docelowym – możemy dokonać jednej z dwóch dedukcji:

* Przeciwnik zaniedbał techniki wdrożone przez narzędzie systemu operacyjnego, z którego korzystał, co może wskazywać na przeciwnika z niewielką wiedzą techniczną.

* Chociaż rozumiał, że próba podniesie jego prawdopodobieństwo wykrycia, preferencja przeciwnika względem domniemanego prawdopodobieństwa wykrycia jest taka, że ​​nie wierzy, że próba zakończy się jakąkolwiek atrybucją

Agile Leadership : ŁĄCZENIE I WYKORZYSTYWANIE AKTYWÓW ZMUSZA MYŚLENIE POZIOME

Wielu z nas ma naturalną skłonność do myślenia wertykalnego – to znaczy do dogłębnego zgłębiania określonych tematów. Eksperci w każdej dyscyplinie są z definicji dobrymi myślicielami wertykalnymi. Naukowcy i technolodzy mogą być szczególnie podatni na myślenie wertykalne. Myślenie pionowe jest przydatne, gdy potrzebujemy dogłębnej refleksji nad rzeczami. Pomocne jest jednak również myślenie horyzontalne, obejmujące różne dyscypliny, dziedziny lub zbiory wiedzy. Nowe spojrzenie może pojawić się, kiedy myślimy horyzontalnie. Na przykład w Purdue istnieje grupa o nazwie Regenstrief Center for Healthcare Engineering (RCHE). Tutaj myślenie horyzontalne pojawia się na co dzień; w rzeczywistości to myślenie horyzontalne zaowocowało powstaniem pomysłu na RCHE, w odpowiedzi na doceniające pytanie, w jaki sposób możemy ulepszyć system opieki zdrowotnej, łącząc inżynierów z pielęgniarkam i farmaceutami? Tak narodziła się „inżynieria opieki zdrowotnej” jako dziedzina praktyki i badań. Inżynierowie mają atuty. Pielęgniarki mają atuty. Farmaceuci mają aktywa. Łączenie i wykorzystywanie tych zasobów wymaga myślenia horyzontalnego. Oto jak to wszystko działa w praktyce: weźmy przykład pomp infuzyjnych. Są to urządzenia, które wiszą przy łóżku w szpitalu i dostarczają płyny, takie jak składniki odżywcze i leki, do organizmu pacjenta. Chociaż pompy te zapewniają wysoki stopień dokładności w podawaniu leków, istnieją również poważne problemy związane z bezpieczeństwem. Wadliwe działanie może skutkować przekroczeniem lub niedostateczną dostawą leków. RCHE ustanowiło społeczność informatyczną zajmująca się pompami infuzyjnymi w ponad 100 szpitalach na Środkowym Zachodzie. Za pomocą narzędzia internetowego szpitale mogą teraz udostępniać dane, analizy i najlepsze praktyki w celu poprawy bezpieczeństwa pacjentów. Czasami pojawia się myślenie horyzontalne, jak w historii RCHE, kiedy spotykają się ludzie, którzy inaczej patrzą na świat. W innych przypadkach jednostka (czy to z założenia, czy nieoczekiwanie) dowiaduje się czegoś o innej dziedzinie lub kontekście i jest prowadzona do nowego wglądu. Wielu autorów napisało doskonałe książki badające siłę myślenia horyzontalnego. Franz Johansson nazywa tworzenie spostrzeżeń na styku różnych dziedzin i kultur „efektem Medyceuszy”. Stephen Johnson w swojej wspaniałej książce Where Good Ideas Come From obala mit, że innowacja pochodzi od „Eureka!” za chwilę. Zamiast tego dobre pomysły wyłaniają się z czasem z różnych wzorców połączeń. Johnson identyfikuje siedem z tych wzorców. Taką, którą nazywa „sąsiednim możliwym”. Opisując, jak ewoluowały inkubatory, Johnson zwraca uwagę, że innowacje mogą wynikać z badania krawędzi tego, co obecnie istnieje. Każdy postęp inkubatora w jego 140-letniej historii polegał na ponownym połączeniu istniejących części pierwotnie zaprojektowanych do innych celów. Dzięki tej rekombinacji wyłania się nowy pomysł. Nie możemy jednak opuścić tej sekcji, nie wskazując na niezwykłą pracę historyka nauki Jamesa Burke’a. W swojej książce Connections (i towarzyszącym jej serialu telewizyjnym) Burke śledzi wiele innowacji w historii, aby pokazać, jak pomysły przeskakują z jednej dziedziny do drugiej. Zwinny lider rozwija umiejętności, aby robić każdą z tych rzeczy: widzieć zasoby w różnych domenach i dostrzegać ich skrzyżowania i / lub możliwości połączeń, a także gromadzić ludzi w celu ujawnienia ich ukrytych zasobów, a następnie dostrzegać możliwości łączenia i lewarowania .