19 Января, 2013

Ответный взлом и проблема нахождения крайнего

Vlad Styran
Меня поражает количество народу, всерьез воспринимающего концепцию ответного взлома, и считающего акт возмездия средством повышения безопасности. Типа, давайте разрешим hack back сначала вооруженным силам, потом правоохранительным органам, а потом и до частного бизнеса доберемся. Мол, зная, что кибер атака с высокой вероятностью повлечет за собой ответные действия, злоумышленники будут вести себя более сдержанно. Уровень кибер преступности снизится, и на всей планете воцарит кибер мир и кибер процветание. Причем такие яркие аналогии проводятся, вроде разрешения на хранение оружия и адекватного его применения для защиты частной собственности. Прямо доморощенные отцы-основатели, ей богу.

Но есть тут одна небольшая проблема. Не проблема даже, так, проблемка. Проблемочка. А как вы, господа проповедники кибер возмездия, определите, кто вас хакнул? По логам IPS и файерволов? Даже подростки на хаксорзких форумах преимущественно в курсе основ опсека и знают, что трафик до крайней ноды вам даст представление о том, кого взломали незадолго до вас. Например, это может быть WiFi раутер средней школы где-нибудь в Венгрии. Или Интернет-прокси больнички в Калифорнии. Ломать будете, да? Некуда силушку молодецкую девать?

Ладно, шут с ними, с сетевыми логами. Допустим, что по результатам форенсикса на взломанном сервере обнаружатся "веские доказательства" того, что ломали вас убер хаксоры из Албанской кибер полиции. Что же вы, и их будете наказывать, да? Основываясь на "достоверных" данных, полученных из взломанной системы? Вот вы уже и жертва провокации.

Проблема нахождения крайнего несколько сложнее, чем думают некоторые политики и "эксперты". Действовать по аналогии со схожими ситуациями в реальном мире здесь не получится. Вернемся, к примеру, к аналогии с хранением оружия. Применяя огнестрел против грабителя или квартирного вора, каковы шансы, что вы, находясь в своем уме, навредите ни в чем не повинному человеку? По-моему, невелики. В интернетах все немного иначе: хакер не атакует со своей машины, обычно между злоумышленником и жертвой будут находиться как минимум хост с "инструментами" и несколько прокси для усложнения поиска следов. И в качестве прокси будут использоваться невинные жертвы предыдущих атак. Поэтому наносить ответный удар по ним, это все равно, что стрелять из окна в прохожих, надеясь попасть в сбежавшего вора, которого вы не успели разглядеть.

Будьте осторожны в своих суждениях. Ложные аналогии и обобщения могут сыграть с вами злую шутку.
или введите имя

CAPTCHA
19 Января, 2013
Согласен от части, не надо прыгать в крайности. Они следуют принципу "лучшая защита это атака". Надо уметь и то и другое, надо пугать врага через СМИ, что мы тоже можем, только нас искать ни кто не будет, а вас мы найдем. И только если вина доказана будут приниматься ответные меры, вряд ли спец службы будут атаковать школы и музеи. За компьютером сидит боец, на руках или на клавишах, он все равно не будет сидеть и принимать удары в одну калитку молча постоянно. И без экспертов ЛК тут не обойдется, а эти хакеры найдут из под земли.
0 |
  • Поделиться
  • Ссылка