…nie dla każdego…

Do kompromisu pośredniego dochodzi, gdy niezabezpieczony system (przejęty podczas ataku przygotowawczego) zawiera poufne informacje dotyczące innego systemu informatycznego lub ma zaufaną relację z innym systemem informacyjnym. Na przykład system może przechowywać informacje o hasłach do innych systemów lub może być w pewien sposób „zaufany”, umożliwiając zdalne logowanie do innych systemów bez uwierzytelniania. Pośrednie kompromisy są często cytowane jako część klasycznego efektu domina, gdzie kompromis jednego systemu prowadzi do kaskadowego kompromisu wielu wzajemnie połączonych systemów. Pośrednie kompromisy mogą mieć miejsce w przypadku różnych systemów informatycznych, w tym stacji roboczych, serwerów i elementów infrastruktury, takich jak routery i przełączniki telekomunikacyjne, z różnymi konsekwencjami. Potencjalny wpływ udanego kompromisu pośredniego jest podobny do wpływu kompromisu bezpośredniego i jest w dużym stopniu zależny od charakteru systemu docelowego (zasobu) i architektury otaczającej go sieci. Inne kluczowe wyznaczniki podatności na pośrednie naruszenie zabezpieczeń to zakres, w jakim istnieje możliwość zdalnego logowania w sieci oraz zasady dotyczące jakości i ochrony haseł. Ponadto kompromis pośredni jest szczególnie atrakcyjnym narzędziem w organizacjach, które nie zapewniają odpowiedniej segmentacji z Internetu lub w ramach funkcjonalnych enklaw organizacji (takich jak księgowość i administracja). Dlatego narażenie najbardziej nieistotnego lub niezabezpieczonego systemu może doprowadzić do pełnego naruszenia bezpieczeństwa krytycznych systemów w sieci.

Kompromis dzięki dostosowanemu narzędziu do ataku

Ta kategoria ataku jest używana do określenia zaawansowanej zdolności ataku, posiadanej przez dość wyrafinowanego przeciwnika, który jest w stanie zainwestować znaczne zasoby w opracowanie dostosowanego narzędzia kompromisowego, które ma na celu celowanie w określony zasób. Narzędzia te często wykorzystują niepublikowane luki w zabezpieczeniach, o których docelowy zasób nie będzie miał wcześniejszej wiedzy, a zatem znacznie ograniczają możliwości przeciwdziałania. W społeczności związanej z bezpieczeństwem programy wykorzystujące nieujawnione luki w zabezpieczeniach są zwykle nazywane exploitami „zero-day”, a zero odnosi się do liczby dni, przez które dana kwestia była publiczna. W ciągu ostatnich kilku lat liczba exploitów typu „zero-day” wykorzystujących niepublikowane luki w zabezpieczeniach znacznie wzrosła, ponieważ eksperci ds. Bezpieczeństwa analizują szeroko stosowane protokoły publiczne, implementacje protokołów i inne aplikacje. W ostatnich latach odkryto wiele luk w implementacjach protokołów, takich jak SNMP (Simple Network Management Protocol) i SSL (Secure Socket Layer), w aplikacjach takich jak Lotus Notes i Microsoft Internet Explorer oraz w podstawowych komponentach systemów operacyjnych, takich jak jak te w Microsoft Windows NT / 2000 / XP, jądrze Linuksa i AT&T Unix – wiele z nich było znanych członkom podziemnych społeczności hakerów na miesiące, jeśli nie lata, przed ich publicznym ujawnieniem i naprawą błędów przez sprzedawców. Nawet systemy z rygorystycznymi wytycznymi dotyczącymi kontroli konfiguracji i solidnymi implementacjami zabezpieczeń są narażone na kompromisy za pośrednictwem dostosowanego narzędzia ataku, ponieważ atakujący mają element zaskoczenia na swoją korzyść. Na przykład latem 2000 roku ogłoszono exploit, który opisywał kilka metod złamania zabezpieczeń serwera Lotus Domino, który jest szeroko stosowany w przemyśle i rządzie. Xx: „Chociaż żaden kod exploita nie został opublikowany, prawdopodobnie można bezpiecznie założyć, że zagrożenie agenci próbowali odtworzyć exploita. istnieje cała subkultura hakerów i ekspertów ds. bezpieczeństwa, śledzących exploity dnia zerowego, z dosłownie setkami ustawionymi w kolejce pod kątem potencjalnego ataku

Ponieważ praktyka budowania MVP stała się bardziej akceptowana w zespołach w firmie Microsoft, napotkałem szereg typowych zastrzeżeń:

Zarzut: nasi klienci mają wobec nas większe oczekiwania, więc nie możemy zapewnić MVP.

Odpowiedź: MVP nie oznacza, że ​​zapewniamy zepsute doświadczenie. Projekt i funkcjonalność mogą być wysokiej jakości; po prostu obsługujemy mniej przypadków użycia. Jeśli nasza hipoteza jest słuszna, teraz dostarczamy naszym klientom pewną wartość, a później dodamy więcej. Jeśli nasza hipoteza nie jest poprawna, dostarczamy małą funkcję, która nie jest wartościowa, zamiast dużej funkcji, która nadal nie jest wartościowa. W rzeczywistości całkowicie przestałem używać terminu „minimalny opłacalny produkt” podczas rozmów z wewnętrznymi zespołami Microsoft. Wyjaśnienie, że MVP nie jest synonimem podpunktu, zajęło po prostu zbyt dużo czasu. Zamiast tego określam to, co robimy, jako „rozwój oparty na hipotezach”, który kładzie nacisk na walidację pomysłów, a nie na jakość produktu.

Sprzeciw: musimy wspierać wszystkie platformy.

Odpowiedź: Jeśli stworzyliśmy funkcję tylko dla Androida i nikt jej nie używał, czy nie powinniśmy czuć się źle, że nie stworzyliśmy tej samej bezużytecznej funkcji dla iOS i Windows Phone oraz MacOS i Windows 8? Zakładając dobre testy funkcji, możemy szybko dodać ją na wszystkie inne platformy.

Sprzeciw: musimy objąć miliony użytkowników.

Odpowiedź: Weryfikujemy produkt na podzbiorze naszych klientów. Jeśli tylko tysiące klientów ma dostęp do produktu, wystarczy, że będzie on wystarczająco wydajny, aby obsługiwać tysiące klientów. To marnotrawstwo zasobów inżynieryjnych, aby przeprojektować produkt, którego klienci mogą nigdy nie kupić. Zakładając, że zweryfikujemy zapotrzebowanie klientów, możemy zwiększyć wydajność przed otwarciem dostępu do całej naszej bazy klientów.

Zastrzeżenie: nie ma mniejszego zestawu funkcji, które zadowolą naszych klientów.

Odpowiedź: to nie jedyne wydanie, jakie kiedykolwiek wydamy. Zastanówmy się, jak możemy zapewnić największą wartość przy najmniejszej inwestycji czasu. Czy z niektórych funkcji korzysta większy procent klientów niż inni? Czy niektóre funkcje są używane codziennie, a inne co tydzień lub rzadziej? Rozpoczynając od funkcji o najwyższym priorytecie, możemy szybko uczyć się i weryfikować nasze pomysły. Gdy klienci żądają brakujących funkcji, możemy ich użyć, aby pomóc nam ustalić priorytety w kolejności ich tworzenia.

Zarzut: nie możemy wprowadzić niespójności do projektu.

Odpowiedź: Utrzymanie spójności projektu jest niezwykle ryzykowne. Oznacza to albo stagnację przez długi czas, albo inwestowanie w kosztowne, pełne przeprojektowanie, które może faktycznie zaszkodzić użytkowaniu i użyteczności. Trudno nam też nadać priorytet zmianom w projekcie nad nowymi funkcjami. Jeśli uda nam się wykazać, że niewielka zmiana projektu w wymierny sposób pomaga klientom w korzystaniu z naszego produktu, łatwiej będzie nam argumentować o dodatkowych ulepszeniach projektu w pozostałej części produktu. Z mojego doświadczenia wynika, że te odpowiedzi pomagają kontynuować rozmowę. Nie gwarantują, że Twój zespół produktowy skutecznie przezwycięży wszystkie zastrzeżenia i będzie w stanie zbudować MVP. W dużej firmie niezwykle trudno jest pokonać wszystkie czynniki, które mogą przeszkadzać w ćwiczeniu rozwoju klienta. Mimo to każdy mały sukces stanowi dowód dla następnego zespołu projektowego, że ta metoda rozwoju działa w celu zmniejszenia ryzyka i tworzenia lepszych produktów.

Ujawnianie informacji przez Internet to pole bitwy. Programiści, prawnicy, decydenci, poinformowani użytkownicy sieci, obrońcy prywatności i firmy walczą po wszystkich stronach tego problemu. W międzyczasie typowi użytkownicy beztrosko przekazują poufne informacje za pomocą narzędzi online i bez wiedzy tych użytkowników ich komputery i przeglądarki internetowe generują informacje identyfikacyjne. W tym rozdziale omówiono techniki, które Ty i Twój pracodawca możecie teraz zastosować, aby zwiększyć swoją anonimowość i prywatność, a także porusza obiecujące obszary, które prawdopodobnie będą pomocne w przyszłości. Ta lista nie jest kompletna i nie jest zamierzona. Jednak opiera się na latach studiowania problemu. Dla praktyków zajmujących się bezpieczeństwem niektóre z tego, co proponuję, mogą brzmieć jak zdrowy rozsądek, ale uważam, że warto je podkreślić lub powtórzyć. Niezależnie od Twojego doświadczenia, wierzę, że znajdziesz kilka nowych pomysłów, które możesz zastosować. Oprócz abstynencji nie ma jasnego rozwiązania, które chroniłoby siebie i swoją firmę przed ujawnieniem informacji przez Internet. Możesz jednak zrobić kilka rzeczy, aby zmniejszyć zagrożenie. Niektóre są łatwe do wykonania, a inne trudniejsze, ale każda z nich zwiększa twoją ochronę. Oczywiście każdy środek zaradczy ma swoją cenę. Musisz ocenić, ile informacji udostępniasz, oraz rozważyć skuteczność i koszt środków zaradczych pod względem czasu, pieniędzy, utraty użyteczności i irytacji. Niestety nie istnieje jedno jasne rozwiązanie. Jeśli spróbujesz użyć wszystkich technik przedstawionych w tym rozdziale, stworzysz niemal nie do zniesienia doświadczenie przeglądania sieci. Zamiast tego musisz wybrać, które techniki zastosujesz. Jak powiedział Sun Tzu, słynny chiński strateg wojskowy: „Wygra, kto wie, kiedy walczyć, a kiedy nie”. Weź pod uwagę wagę, stopień i prawdopodobieństwo ryzyka, a następnie wybierz środki zaradcze, które pomogą zmniejszyć ryzyko do poziomu, który uznasz za akceptowalny, a jednocześnie umożliwią Ci korzystanie z sieci w efektywny i skuteczny sposób. Jednocześnie nie chcemy, aby środki zaradcze były tak szkodliwe dla firm internetowych, jak one mogą zagrażać narzędziom i innowacjom internetowym, które cenimy.

Protokół GKA, który spełnia częściowe utajnienie przekazywania, gwarantuje poufność klucza sesji, nawet jeśli niektóre sekrety są zagrożone. W konsekwencji liczba sekretów, które mogą zostać naruszone bez narażania klucza sesji, wydaje się oczywistym wyborem metryki do oceny protokołów GKA w odniesieniu do ich częściowej poufności przekazywania. Ale głębsze spojrzenie pokazuje, że czasami penetratorowi może być łatwiej zdobyć więcej sekretów, niż zdobyć jeden sekret. Na przykład w przypadku asymetrycznego protokołu grupowego Diffie-Hellmana 2 (A-GDH.2) penetratorowi łatwiej jest uzyskać parę sekretów niż pojedynczy sekret. Dlatego wprowadzono dokładniejszy miernik, a mianowicie DPFS. DPFS jest definiowany w następujący sposób: „DPFS protokołu GKA to najwyższe prawdopodobieństwo uzyskania klucza sesji, wyrażone jako prawdopodobieństwo utraty tajemnic.” Protokół o najniższej wartości DPFS ma minimalne ryzyko złamania klucza sesji, gdy tajne sekrety użyte w jego obliczeniach zostaną naruszone. Ponieważ przestrzenie pasm nie mają możliwości modelowania prawdopodobieństwa zdarzeń, model przestrzeni pasm jest rozszerzany, aby je zapewnić. Proponowany model opisano w następnym rozdziale.

Bezpośredni atak jest jedną z najbardziej podstawowych możliwości ataku. Bezpośredni atak może wystąpić w przypadku różnych systemów o różnych implikacjach i może być skierowany przeciwko artefaktom, w tym stacjom roboczym, serwerom i komponentom infrastruktury, takim jak routery i przełączniki telekomunikacyjne. Wiele narzędzi bezpośredniego kompromisu istnieje w domenie publicznej, dzięki czemu można je uzyskać i wykorzystać w przypadku pełnego zakresu zagrożeń. Publiczne witryny sieci Web są najczęstszym źródłem narzędzi i technik bezpośredniego ataku. Większość z nich została napisana w celu zapewnienia możliwości automatycznego ataku / testowania dla danej luki. Potencjalny wpływ bezpośredniego kompromitacji różni się nieco w zależności od charakteru bezpośredniego kompromisu i charakteru docelowego systemu. W systemie nie zapewniającym ochrony przed znanymi lukami w zabezpieczeniach, bezpośredni atak może pozwolić na pełne złamanie zabezpieczeń krytycznych komponentów infrastruktury, które mogą zostać użyte do odmowy lub pogorszenia jakości usług lub naruszenia integralności informacji zawartych lub przetwarzanych przez system. Tutaj kwestia łączności jest krytyczna. Fakt, że skompromitowany system sam w sobie nie jest elementem krytycznym, nie oznacza, że ​​kompromis jest nieistotny. W rzeczywistości najbardziej wyrafinowane ataki celowo unikają krytycznych systemów w początkowej fazie, aby uniknąć wykrycia za pomocą środków bezpieczeństwa. Zamiast tego nieszkodliwy system testowy lub inny rzadko używany system jest zagrożony i używany jako podstawa operacji / platformy ataku. Z tej stosunkowo bezpiecznej lokalizacji można zmapować, obserwować i ostatecznie zaatakować całą połączoną sieć. Należy również pamiętać, że wyrafinowani napastnicy nie zawsze atakują za pomocą swoich najbardziej wyrafinowanych narzędzi. Atakujący praktycznie zawsze wybierają ścieżkę najmniejszego oporu, o ile mogą to zrobić bez wykrycia, dlatego nawet atakujący z państwa narodowego z wyrafinowanymi narzędziami wykorzysta oczywiste możliwości bezpośredniego kompromisu, jeśli takie istnieją.

Firmy z obecnymi klientami muszą definiować MVP nieco inaczej niż startupy. W firmie Aetna przy opracowywaniu produktów używa się terminu „produkt o minimalnej sprzedaży”. W Yammerze kładziemy nacisk na słowo wykonalne. W porządku – nawet wymagane – jest nieco ponad minimum, aby stworzyć spójne doświadczenie.

Inaczej jest w przypadku start-upów

W przypadku startupów MVP to minimalna ilość produktu, która wywołuje nieneutralną reakcję. Dzieje się tak, ponieważ nowe firmy są narażone na inne ryzyko niż firmy o ugruntowanej pozycji. Jak mówi Steve Blank: „Pierwszego dnia startup nie ma klientów … Pierwszego dnia startup to inicjatywa oparta na wierze i domysłach”. W przypadku startupu pierwszym ryzykiem, które należy przezwyciężyć, jest: „Czy ktoś będzie wystarczająco zainteresowany, aby odpowiedzieć na ten pomysł?” Nawet najmniejsze potwierdzenie zainteresowania, takie jak kliknięcie linku lub przewinięcie strony, to coś, na co startup nie może liczyć. W przykładzie ze strony TripAdvisor może to być baner reklamowy, który użytkownicy klikają lub nie. Brak klikania jest reakcją neutralną: pokazuje, że ludzie nie są nawet na tyle ciekawi, by zauważyć potencjalny produkt. Z drugiej strony, klikanie tak naprawdę niewiele mówi. Mówi ci, że ludzie są zaciekawieni, trochę zainteresowani lub że zauważyli reklamę. Nie mówi ci, że prawdopodobnie wyciągną kartę kredytową i zarezerwują podróż.

Wiesz, że kogoś to obchodzi

Jeśli masz już produkt i klientów, złagodziłeś już pytanie „Czy kogoś to w ogóle obchodzi?” ryzyko. Możesz spokojnie założyć, że Twoim klientom przynajmniej trochę zależy. Musisz dowiedzieć się więcej od swojego MVP. W Yammerze, obecnie będącej częścią firmy Microsoft, MVP definiujemy jako „najmniejszą ilość produktu, jaką musimy zbudować, aby zapewnić wartość i dowiedzieć się czegoś o tym, jak osoba zachowuje się w tym kontekście”. Minimalna funkcjonalna funkcja umożliwia klientowi zakończenie interakcji. Możemy użyć narzędzi analitycznych, aby zmierzyć, czy wrócili i powtórzyli tę interakcję, lub możemy wykorzystać jakościowe badania użytkowników, aby dowiedzieć się, co o tym myśleli. Najbardziej udane podejście jest często połączeniem obu. W przypadku usługi Yammer odnoszący sukcesy MVP to taki, który pozwala nam stwierdzić, że „jest to prawdopodobnie pomysł, w który warto zainwestować więcej wysiłku, i oto dlaczego” (lub „prawdopodobnie nie warto się tym zajmować, a oto dlaczego”).

Nieco ponad minimum: skargi użytkowników, ale nie frustracja

Jeśli klient czuje się zawiedziony lub sfrustrowany, nie jest to wystarczający MVP. Z drugiej strony, jeśli klient narzeka, to dobrze. Narzekanie jest oznaką zainteresowania. Pokazuje, że klient ceni sobie doświadczenie na tyle, że chce, aby było ono lepsze, aby mogła nadal z niego korzystać.

Uważaj na tych, którzy nie mogą poprzestać na minimum

Jeśli menedżerowie produktu lub projektanci zaczną dodawać „ale co jeśli…?” przypadków użycia, które zdecydowanie wykraczają poza minimum. Ogólnie rzecz biorąc, menedżerowie produktu i projektanci, którzy nie są przyzwyczajeni do zasad lean startup, mają trudności z zatrzymaniem się na minimum. Są przyzwyczajeni do projektowania w pełni przemyślanych, działających produktów. Minimalne wersje nie będą dla nich wygodne. W rzeczywistości wersje minimalne nie są dla nikogo wygodne. Oto przypadek, w którym dokładnie rozróżniliśmy funkcje minimalne i kompleksowe. Kiedy Yammer wprowadził lekką funkcję edycji zespołowej, przed utworzeniem pełnej funkcji chcieliśmy odpowiedzieć na dwa pytania: Czy użytkownicy będą korzystać z tej funkcji? Czy edycja zespołowa byłaby wygodna i dostarczałaby wartości? Aby odpowiedzieć na te pytania, musieliśmy zapewnić kompletny, nieprzerwany przepływ pracy dla kilku kluczowych zadań:

• Tworzenie dokumentu
• Edycja dokumentu
• Zapraszanie innych do współredagowania dokumentu
• Odróżnianie zmian wprowadzanych przez jedną osobę od zmian wprowadzanych przez inną osobę
• Zapisywania zmian

Wiele dodatkowych zadań zostało wykluczonych z pierwszej wersji. Nie było możliwości usuwania, historii wersji ani metody udostępniania lub wysyłania dokumentu pocztą e-mail. To było niewygodne uwolnienie! Nikomu nie podobał się pomysł tworzenia notatki, a następnie niemożności jej usunięcia. Uznaliśmy jednak, że naszym największym ryzykiem było to, że nikt w ogóle nie użyje tej funkcji. Gdyby nikt nie używał tej funkcji do edycji dokumentów, nikt nigdy nie miałby dokumentów do usunięcia lub udostępnienia. Brak funkcji usuwania był denerwujący, ale coś, co użytkownicy odkryliby dopiero po użyciu tej funkcji. Te możliwości były potrzebne do stworzenia dojrzałej funkcji, ale nie do zweryfikowania początkowej propozycji wartości. Dopiero po zweryfikowaniu początkowej potrzeby zainwestowaliśmy dalsze wysiłki w tworzenie tych wtórnych przypadków użycia.

Dostępność poufnych informacji w sieci spowodowała włamanie do Google, czyli proces wykorzystywania zaawansowanych zapytań Google do lokalizowania poufnych informacji w sieci. Oto przykład:

Spowoduje to wysłanie zapytania do arkuszy kalkulacyjnych (plików .xls) Google for Excel, które mogą zawierać nazwy użytkowników i hasła. Działa, podobnie jak wiele innych 1422 zapytań w Google Hacking Database, repozytorium zapytań wyszukiwania znanych z dostarczania poufnych informacji . Kiedy myślisz o poufnych informacjach, które są dostępne za pośrednictwem publicznie dostępnego interfejsu Google, powinieneś również rozważyć, jakie informacje mogą być pobierane przez wewnętrznych pracowników Google z nieograniczonym dostępem do surowej bazy danych i, prawdopodobnie, możliwością precyzyjnego konstruowania zapytań przy użyciu potężnego standardu branżowego narzędzia, takie jak Structured Query Language (SQL) i wyrażenia regularne. Jak widzieliśmy, nawet zaawansowane zapytania użytkowników Google są nadal dość ograniczone.

Złe boty

W tym miejscu warto zapytać, co mógł zrobić zły bot pokrewny Googlebotowi? Wspomniałem już o wartości Googlebota jako narzędzia rozpoznawczego, ale boty mogą wyrządzać inne, bezpośrednie formy psot. Szereg robotów sieciowych pracujących wspólnie może przeprowadzić rozproszony atak typu „odmowa usługi” (DDoS) na witryny internetowe i inne usługi online, wielokrotnie żądając dokumentów, co ostatecznie przerośnie serwery. Jednak nie uważam tego za realistyczne zagrożenie ze strony dużej firmy internetowej, takiej jak Google, chyba że doznała ona masowego (i mało prawdopodobnego) kompromisu z maszynami kontrolującymi Googlebota. Prawdziwe zagrożenie DDoS pochodzi z botnetu, sieci zagrożone komputery domowe i służbowe. Ze względu na niefortunne nakładanie się terminologii należy zauważyć, że botnet to zupełnie inne zwierzę niż webbot. Botnety powstają, gdy atakujący umieścili złośliwe oprogramowanie na dużej liczbie zaatakowanych maszyn, skutecznie umieszczając każdą maszynę pod kontrolą jednego napastnika, czasami nazywanego armią botów. Botnety składające się nawet z miliona maszyn istnieją i były wykorzystywane w udanych atakach DDoS, ale nie na żądanie dużych firm internetowych. Mając to na uwadze, możliwe są interesujące ataki przy użyciu robotów internetowych. Boty posługują się wieloma protokołami i mogą przeprowadzać ataki na te usługi. Badacze codziennie odkrywają nowe ataki, a boty można zaprogramować tak, aby przeprowadzały je na pojedynczym serwerze, klasie serwerów lub nawet na każdym napotkanym przez bota serwerze. Mało prawdopodobne? Być może szczególnie w przypadku dużych firm internetowych, ale nie jest to niemożliwe. Przypomnij sobie, że roboty internetowe nieustannie trollują w sieci w poszukiwaniu linków do śledzenia, a wiele serwerów internetowych może zostać zaatakowanych za pomocą źle sformułowanych linków. Badacz bezpieczeństwa Michał Zalewski wykorzystał oba te fakty, umieszczając przykładowe złośliwe linki na stronie internetowej odwiedzanej przez roboty internetowe; zobacz poniższą listę.

Kilka dni później roboty powróciły i wypróbowały niektóre skażone linki na docelowym hoście. Kluczową ideą jest to, że Zalewski był w stanie nakłonić roboty sieciowe dużych firm internetowych do wykonania ataków wybranych przez siebie na dowolne maszyny. Eksperyment Zalewskiego wskazuje na zupełnie nowy wektor zagrożeń.

Podsumowanie

Googlebot to niestrudzony interfejs użytkownika urządzenia Google do gromadzenia danych. Jego koncepcja jest prosta: Googlebot po prostu automatyzuje proces przeglądania sieci i przekazuje informacje z powrotem do serwerów zaplecza Google. Wzmacnia ogromne ujawnienia, które ludzie ujawniają za pomocą narzędzi internetowych, o informacje, które ludzie umieszczają w publicznie dostępnej sieci. Przy co najmniej 19 miliardach stale zmieniających się stron internetowych i 50 milionach blogów  istnieje ogromne morze informacji do trolli. W świecie, w którym bardzo łatwo jest publikować informacje, opublikowanie wrażliwych informacji zajmuje tylko niewielki procent użytkowników informacje, celowo lub przypadkowo, oraz przechwytywania, buforowania i publicznego udostępniania przez Google. Użytkownicy sieci mają wyraźną skłonność do publikowania poufnych informacji. Nawet niewinnie wyglądające informacje będą zawierały unikalne atrybuty (np. Adresy e-mail i ulice, numery telefonów i nazwiska), które mogą łączyć zawartość z profilami użytkowników. Dyski twarde stają się coraz tańsze z dnia na dzień. Zatem po ujawnieniu takich informacji można bezpiecznie założyć, że będą istnieć wiecznie. Jednak nie powinieneś przejmować się tylko tymi plikami; największe zagrożenie może pochodzić z archiwów korporacyjnych w całej sieci. Chociaż niektóre witryny próbują archiwizować migawki z sieci [37], ogromne korporacje, takie jak Google, mogą rutynowo archiwizować znaczną część sieci. Googlebot to najlepszy silnik rozpoznawczy dla Google, ale nie dla użytkowników końcowych. Użytkownicy końcowi uzyskują dostęp do publicznie dostępnej bazy danych zbudowanej za pośrednictwem Googlebota. Tak więc nasz silnik rozpoznawczy jest interfejsem wyszukiwania Google i tym, co Google uważa za publicznie dostępne. Wizyty Googlebota są oczekiwane i mile widziane. Większość webmasterów tworzy swoje witryny tak, aby były przyjazne dla Googlebota, aby uzyskać wyższą pozycję w wynikach wyszukiwania. Przyszłość robotów internetowych jest poza planami; Twórcy botów stale wprowadzają innowacje. Obecne boty mogą czytać e-maile, wysyłać e-maile, podążać za linkami, wypełniać formularze, monitorować strony internetowe, pobierać pliki i przechwytywać obrazy. Jeśli informacje są dostępne w Internecie, prędzej czy później odwiedzi je bot. Można sobie tylko wyobrazić, co Google może zebrać z całego Internetu po latach i dziesięcioleciach gromadzenia.

Przestrzenie nici stanowią ogólne ramy modelowania protokołów i potwierdzania poprawności protokołów. Brak udowodnienia poprawności daje wgląd w możliwe wady protokołów. Model wykorzystuje reprezentację graficzną, aby pokazać związek przyczynowy między terminami w protokole. Narzędzia takie jak Athena , ASPECT  i inne, wykorzystywane do analizy bezpieczeństwa protokołów, są oparte na przestrzeniach nici. Takie narzędzia analizują protokoły reprezentowane w notacji przestrzeni pasm i obliczają, czy protokoły spełniają warunki bezpieczeństwa, czy nie. Jeśli nie, obliczenia dają wgląd w typy ataków, które mogą być możliwe w tych protokołach. Dostępność takich narzędzi i prostota reprezentacji to główne powody, dla których wybraliśmy przestrzenie pasm dla ram zaproponowanych w tym rozdziale. Członkowie grupy w protokole byliby określani jako podmioty główne w reprezentacji protokołu w przestrzeni pasm. Załóżmy, że zbiór A reprezentuje wszystkie możliwe terminy, które mogą być wysyłane i odbierane w protokole. Ślad wszystkich czynności wykonywanych przez instancję pryncypała lub penetratora jest reprezentowany jako pasmo. Każda nić składa się z sekwencji węzłów połączonych symbolem „⇒”. Każdy węzeł reprezentuje działanie podjęte przez mocodawcę. Akcja może polegać na wysyłaniu lub odbieraniu. Jeśli jednostka główna wysyła termin t z węzła n1 i to samo jest odbierane przez węzeł n₂, wówczas termin (n₁) = + t i termin (n₂) = −t, a węzeł n1 jest połączony z węzłem n₂ symbolem „→. ” Przestrzenie pasm modelują zdolność przeciwnika (tj. Penetratora lub intruza) za pomocą pasm penetratorów. Penetrator, jak określono , jest przystosowany do odgadnięcia wiadomości tekstowej (M), odgadnięcia nonce, znanego tylko jemu w tym czasie (R), łączenia dwóch z otrzymanych terminów (C), rozdzielania otrzymanych terminów na składniki (S) , odgadywanie klucza (K), szyfrowanie terminu znanym kluczem (E), deszyfrowanie terminu kluczem znanym penetratorowi (D), odgadywanie terminu DH (F), podpisywanie terminu znanym kluczem podpisu ( σ), wyodrębnianie zwykłego tekstu z podpisanych terminów (X) i haszowanie dowolnego terminu (H). W związku z tym ślady nici penetratora zawierałyby węzły, takie jak:

1. M, wiadomość tekstowa: <+ t>, gdzie t Є T
2. R, świeża liczba nonce: <+r>, gdzie r Є RP oznacza zbiór znanych wartości nonce do penetratora
3. C, konkatenacja: <−g, −h, + gh>
4. S, rozdział na składniki: <-gh, + g, + h>
5. K, klucz: <+ K>, gdzie K Є KP oznacza zestaw kluczy znanych programowi penetrator
6. E, szyfrowanie: <−K, −h, + {h}K>
7. D, – deszyfrowanie: <−K^-1, – {h} K, + h>
8. F, świeża wartość DH: <+ g^p>
9. σ, podpisywanie: <-K, -h, + [h] _K>, gdzie K Є K_Sig. K_Sig to zestaw kluczy używanych przez uczestników do podpisywania wiadomości
10. X, wyodrębnianie zwykłego tekstu z podpisów: <-[h]_K, + h>
11. H, hashowanie: <−g, + hash (g)>.

Atak na protokół jest modelowany poprzez przeplatanie nici zwykłych uczestników z wątkami penetratora. Zbiór wszystkich węzłów wraz ze zbiorem wszystkich krawędzi → ∪ ⇒ tworzą graf skierowany. Skończony, acykliczny podgraf powyższego grafu nazywany jest wiązką, jeśli spełnione są dwa następujące warunki:

1. Dla wszystkich obecnych węzłów odbiorczych odpowiednie są węzły nadawcze obecne również w pakiecie.
2. Dla wszystkich obecnych węzłów, ich bezpośrednimi poprzednikami są również obecne w pakiecie.

Jeśli zbiór S jest właściwym podzbiorem zbioru → ∪ ⇒, to symbol ≤S oznacza zwrotne, przechodnie domknięcie S. Załóżmy, że C jest wiązką. Wtedy ≤ C jest relacją częściowego porządku, a każdy niepusty podzbiór węzłów w C ma ≤C minimalne elementy członkowskie. Uważa się, że termin pochodzi z węzła, jeśli którykolwiek z terminów, z których można wywnioskować, pochodzi z węzła [15]. W związku z tym, używając przestrzeni pasm, okazuje się, że termin jest tajny, również przez udowodnienie, że nie pochodzi z wiązki. Reprezentacja protokołów w przestrzeni nici może być używana w połączeniu z narzędziami, takimi jak Athena , do analizy poprawności protokołów i znajdowania możliwych ataków w protokole. Podstawowy model przestrzeni nici nie został wykorzystany do oceny poufności przekazywania protokołów. W tym rozdziale przedstawiono rozszerzenia modelu przestrzeni pasm w celu stworzenia struktury do analizy poufności przekazywania protokołów. Rozszerzenia są podane w następnej sekcji jako część opisu struktury do analizy poufności przekazywania protokołów.

.

Tak jak ogólnie trudno jest scharakteryzować Al-Kaidę, tak trudno jest scharakteryzować ich potencjał do zorganizowania cyberataku. Organizacje terrorystyczne, takie jak Al-Kaida, mają tendencję do rozpowszechniania swoich zamiarów. zaczęły pojawiać się oświadczenia dotyczące zamiarów ukierunkowanych, w tym możliwości cyberataku. W rzeczywistości Omar Bakri Muhammad posunął się nawet do stwierdzenia tego

„Za chwilę zobaczysz ataki na giełdzie… Nie zdziwiłbym się, gdybym jutro usłyszał o wielkim załamaniu gospodarczym z powodu ataku kogoś na główne systemy techniczne dużych firm”.

Jeśli nasza miara zagrożenia cyberprzestępcą ze strony Al-Kaidy jest określana na podstawie połączenia zamiaru i zdolności do przeprowadzania ataków, co to mówi o zagrożeniu ze strony Al-Kaidy? Z pewnością Al-Kaida ma zamiar ataku, ale czy ma też taką zdolność? Według eksperta ds. Terroryzmu, Briana Michaela Jenkinsa, warto pomyśleć o Al-Kaidzie jako o zamiarze użycia dowolnej dostępnej broni:

„Pod względem operacyjnym Al-Kaida jest zaangażowana w spektakularną przemoc bez ograniczeń. Umieszczając dżihad w kontekście wojny obronnej przeciwko amerykańskim krzyżowcom i ich sojusznikom, którzy są winni popełnienia, podżegania do ciągłych masowych okrucieństw wobec muzułmanów lub ich aprobaty , Afganistan, Bośnia, Czeczenia, i na innych frontach) dżihadyści mogą prowadzić podobną wojnę . Co więcej, skoro dżihadyści postrzegają Allaha jako ostateczne deus ex machina w tej walce, byłoby niewyobrażalne, a nawet bluźniercze, gdyby odrzucili zdolności, które Allah stawia przed nimi, w tym broń masowego rażenia. “

Chociaż nie jest jasne, czy A1-Kaida koncentruje się na kwestiach „wielkiej strategii”, jest całkiem oczywiste, że ich ataki nabrały bardziej strategicznego charakteru. Na przykład wydaje się, że ataki w Madrycie w Hiszpanii w 2004 r. Miały na celu wyłącznie wywarcie wpływu na wynik wyborów i zmniejszenie poziomu hiszpańskiego wsparcia dla operacji wojskowych w Iraku. mogą zakłócić integralność społeczną w kraju docelowym, wywołując panikę społeczną, strach i brak zaufania do infrastruktury krytycznej lub sprawiając, że koszty celów polityki zagranicznej są ekonomicznie nie do zniesienia. Chociaż jest mało prawdopodobne, aby A1-Kaida posiadała znacznie wyrafinowane zdolności cybernetyczne, może wykorzystywać niektóre z typowych wektorów zagrożeń / narzędzi, które są obserwowane w użyciu przez innych cyberprzestępców. przeciwnik terrorystyczny, taki jak A1-Kaida. Należy pamiętać, że potencjał atrybucji prawdopodobnie nie wpłynie na zdolności rozmieszczane przez terrorystów. Terroryści będą korzystać z pełnego zakresu dostępnych im możliwości, często traktując posiadanie zdolności jako obowiązek jej wykorzystania. Cyberatak może być postrzegany jako proste rozszerzenie zamachu samobójczego, w którym indywidualny sprawca działa przy założeniu, że jego / jej indywidualna tożsamość zostanie odkryta i jest gotowa zaakceptować ten wynik jako początkowy koszt zaangażowania się w atak. Porównaj to z nieodłączną preferencją państwa narodowego do angażowania się w ataki, w których potencjalna atrybucja jest zminimalizowana, a jednym z najlepszych mechanizmów charakteryzujących może być natychmiastowa analiza tego, jak dobrze napastnicy zaciekają swoje ślady.

Z drugiej strony, jeśli sprawisz, że wersja demonstracyjna lub prototyp będzie wyglądać zbyt dobrze, ryzykujesz, że klienci pomyślą, że jest już zbudowany (lub jest w trakcie tworzenia). Mogą opóźniać zakupy lub aktualizacje, zakładając, że mogą po prostu poczekać na nową wersję. Co się stanie, jeśli unieważnisz swoją hipotezę i zdecydujesz się jednak nie budować produktu lub funkcji? Możesz skończyć z klientami, którzy są rozczarowani i źli.

Użyj szkicu

Nawet jeśli jasno wyjaśniłeś, że prowadzisz badania, aby dowiedzieć się, czego chcą klienci, a nie wskazywać kierunku produktu, i powtórzyłeś, że to, co zobaczą, może się zmienić, psychologicznie trudno jest coś zobaczyć, a następnie stracić. Użytecznym sposobem obejścia tego jest stworzenie czegoś, co wygląda dobrze, ale jest wyraźnie fałszywe. Możesz użyć programu takiego jak Balsamiq, który pozwala szybko tworzyć spójne, wyraźne, ale przypominające kreskówkę szkice. Nikt, widząc makietę Balsamiq, nie pomyli jej z produktem gotowym.

Użyj innej domeny

Jeśli chcesz wyświetlać więcej wiernych obrazów, jednym ze sposobów jest użycie innej nazwy domeny i marki. Twoja fałszywa domena może wyglądać elegancko i dobrze zaprojektowana, o ile nie przypomina projektu Twojej firmy. Zarówno w Yodlee, jak i KISSmetrics używaliśmy alternatywnych domen do testowania prototypów, zanim zdecydowaliśmy się na tworzenie prawdziwych produktów.