21.09.2010

Контркриминалистика?! А нафига?

Прочел на секлабе статью про контркриминалистику и возникло у меня непонятное ощущение. Сначала я подумал, что статья будет про расследование инцидентов; да и авторство статьи принадлежит Group-IB, которая занимается компьютерной криминалистикой. Но внимательно прочитав материал и зайдя на сайт автора статьи, возникло определенное недоумение. Зачем компании, которая занимается расследование преступлений в сфере высоких технологий и помогающей собирать доказательства для правоохранительных структур, нужен проект, направленные на изучение и ПУБЛИКОВАНИЕ методов, препятствующих их основной деятельности?

Я понимаю изучение методов злоумышленников с целью противодействия им. Но публиковать-то это зачем? И зачем открывать проект с преложением присоединиться к нему всех желающих? Вот как-то не стыкуется у меня это в голове ;-(

24 коммент.:

Void Z7 комментирует...

Потому что, это двигатель прогресса - поиск решений сообществом(хотя авторами проекта могут преследоваться и другие цели). Попробую привести пример: возьмем закрытые эксплойты которые не доступны в паблике или закрытые уязвимости ПО которыми ни с кем не делятся, как вы считаете это полезно, что они закрыты для информационной безопасности в целом?

Алексей Лукацкий комментирует...

Да, полезно. Они должны быть открыты для ограниченного круга лиц и компаний, которые разрабатывают меры противодействия. А для всех желающих, пусть и называющих себя специалистами по ИБ, они должны быть закрыты. Т.к. такие специалисты все равно сделать ничего не в состоянии, а вот злоумышленники этой информацией могут воспользоваться.

Void Z7 комментирует...

Баба Яга против! (с)

Не претендуя далее на последнюю инстанцию:
Лично мне кажется, что это не правильно, когда создается некая ограниченная группа лиц и компаний которая также называет себя специалистами по ИБ, потому, что некоторые товарищи могли бы уменьшить окно уязвимости своих систем и сами, не дожидаясь пока указанные выше специалисты по ИБ объединившиеся в компании разродятся на что нибудь толковое, кто этих лиц и компании назвал специалистами по ИБ не они ли сами?

Алексей Лукацкий комментирует...

Понимаешь, когда речь идет о публикации информации об уязвимостях и эксплоитах, то тут можно и с тобой соглашаться и со мной. Но мы говорим изначально о контркриминалистике. Здесь-то какой потаенный смысл? Что ты получишь от того, что будешь знать, как противостоять средствам сбора доказательств?

anti-forensics комментирует...

> да и авторство статьи принадлежит Group-IB

Нет, автор статьи - Суханов М. А.

> Зачем компании ... нужен проект, направленные на изучение и ПУБЛИКОВАНИЕ методов, препятствующих их основной деятельности?

И какие у нас будут палки в колесах?

PS
Проект направлен на противодействие противодействию :)

Алексей Лукацкий комментирует...

Посмотрите на disclaimer на главной странице - он появился не просто так. Когда под статьей стоит "сотрудник компании такой-то", находятся люди (и их немало), которые ставят знак равенства между автором и его компанией, между его и ее позицией.

И когда сотрудник компании, занимающейся расследованием, пишет как расследованию помешать, возникает недопонимание.

Возьмем, к примеру, SurfPatrol.ru. Там еще более благая цель, но и там вопросов возникало немало. У вас ситуация хуже и надо предусмотреть, как реагировать на явные и скрытые вопросы.

amt2001 комментирует...

Автор показывает недостатки криминалистических методов, дабы сподвигнуть нужных людей на исправление ситуации.
"Совершенство достигается лишь на пороге полного краха." Паркинсон.

Vair комментирует...

Считаю, что наоборот хорошо, что подобные направления исследований появляются, это значит, что комп. криминалистика набирает зрелость. Также как защита информации - это, по простому, противостояние злоумышленника и защитника. Так и комп. криминалистика не может существовать без контр. криминалистики. Диалектика!

Void Z7 комментирует...

Вот вот несколько коряво доносил свою мысль, но смысл тот же, что и у предыдущих двух комментаторов - "в споре рождается истина" - "в противостоянии рождается решение" и процессы эти бесконечны.

Еще не хватало все это завершить инь и янь =))

biakus комментирует...

Научно обосновывает сей факт гомеостатика
http://ru.wikipedia.org/wiki/Гомеостатика

В результате появятся более развитые методы криминалистики, также как криптология порождает стойкие криптоалгоритмы в результате противоборства криптографии и криптоанализа.

Алексей Лукацкий комментирует...

Гомеостатика не отвечает на этот вопрос - это притягивание за уши ;-) Криминалисиика и контркриминалистика - это не система в ее понимании. Я не против контркриминалистики, я против открытой публикации ее результатов. Все равно кроме криминалистов никто не в состоянии использовать эти результаты.

Это все равно, что публиковать способы совершения преступлений ;-(

biakus комментирует...

Про публичность я согласен, перекрестные обратные связи должны быть только между противоположностями. К тому же такое противоборство должно быть управляемым.

Поэтому вопросы в другом: как организовать такие связи защищенными и кто должен контролировать степень остроты противоречия между противоположностями, а также обмен информацией с внешней средой?

Нужна третья заинтересованная и обеспеченная ресурсами сторона чтобы их решить.

Алексей Лукацкий комментирует...

Правильно. И именно в данном вопросе оказывается так, что эта информация широкой публике не нужна вовсе. И потому что большинство расследованием не занимается и потому что они все равно не в состоянии поменять ПО для криминалистики. Ну вот нашли вы способ обхода EnCase и что? Публикация его в открытом доступе не дает ничего, крлме появления знания у преступников. Тут надо тихо связаться с разработчиками и может они устранять дыру.

arkanoid комментирует...

Способы совершения преступлений тоже публикуются. И это нормально.

biakus комментирует...

Нормально смотря для кого..

Ну выложили вы эксплойт в паблик, прославились так сказать. Да, обратная связь с разработчиком появилась, но какой ценой!!! Ведь эта информация имеет ценность не только для разработчиков, но и для лиц с другими целями. Отрицательные последствия для других неизбежны.

Поэтому это антисоциальное преступление, которое должно порицаться обществом и караться государством. В таких случаях и встает вопрос о контроле Интернета.

Я не против эксплойтов, противоборство нужно создавать для развития систем. Но в случае публичности вы подставляете других.

Когда вы подставляете знакомых, вам не стыдно?

Void Z7 комментирует...

Хочу возразить насчет последнего комментария:

Нашел человек уязвимость, сделал эксплойт отправил его разработчику тот в свою очередь должен проверить эту информацию, найти решение, написать патч, протестировать его итого времени уйдет достаточно.

Тем временем человек обнаруживший уязвимость и написавший эксплойт наверняка занимается этим не первый день и имеет связи с такими же людьми, в моральной составляющей которых он не может быть уверен. Т.е. сразу же после того как он отписал разработчику, он следует вашим принципам и не публикует в паблик эксплойт и т.д., но он так или иначе связан с сообществом которое занимается тем же чем и он и которое как он думает тоже пронизано благами намерениями. В результате уязвимость и эксплойт попадает в приват где все с ним связанные так или иначе начинают обладать преимуществом и не известно кто как это преимущество использует и в каких целях.

В итоге мы получаем то, что об уязвимости знают все кому не лень кроме потенциальных владельцев систем на базе уязвимого продукта.

Если переводить на уровень криминала, то тут помоему еще все хуже, даже МВД сообщает порой о фактах и схемах мошенничества с целью того, чтобы люди знали, что угрозы есть и были внимательнее.

Если перевести на уровень противодействия методам расследования то не секрет, что некоторые из заказчиков пытаются строить системы так, чтобы можно было бы обеспечить доказательную базу в случае чего, сами или с помощью внешних сил и средств, но так или иначе это есть и не у всех из них может быть доступ к закрытым ресурсам на которых могла проскочить информация о том, что их методы более не работают.

biakus комментирует...

Да, публичность придает ускорение, но это должен быть самый крайний вариант (с отпусканием греха).

И если разработчик вовремя не реагирует, значит его система будет плохо развиваться и рано или поздно умрет своей смертью.
Есть множество других способов безболезненного ускорения, например, уведомление о сроках публичного выкладывания, раскрытие неполной информации, и т.д.

arkanoid комментирует...

В _данном_ случае я считаю, что это очень важная и нужная публикация. Информация полезна как тем, кто разрабатывает аналогичные системы, так и тем, кто занимается их эксплуатацией. Почему не распространять это в закрытом сообществе? Потому что с задачей сбора доказательств может столкнуться практически каждый профессионал, и многим нужны подробности "как это работает". Ограничивать доступ к подобным работам было бы неправильно, это обскурантизм :-)

Алексей Лукацкий комментирует...

А теперь вопрос - многие ли безопасники в состоянии разработать комплекс мер по нейтрализации эксплоита, если сам вендор уязвимого софта не выпустил никаких рекомендаций? Если 95% инцидентов происходит по причине известных уязвимостей (что говорит, что они не выполняют даже опубликованных рекомендаций), то о чем вообще идет речь.

arkanoid комментирует...

Я считаю, что если таких людей больше нуля, публикация уже оправдана, а непрофессионалам в отрасли делать нечего :-)

Void Z7 комментирует...

синонимы обскурантизма: мракобесие, реакционность, ретроградство ;)

Алексей Лукацкий комментирует...

Из всех слов знаю только "синонимы" ;-)

biakus комментирует...

"Нет такой добродетели, из которой нельзя было бы сделать порок, и нет такого порока, из которого нельзя было бы сделать добродетель" Гёте

ЕвгенийКР комментирует...

Закрытые эксплойты - публиковать надо. Это очень важно, но только в ограниченном урезанной форме. Для примера возьмем вирус, у него можно убрать основной код, чтоб простой программист не смог использовать, модифицировать его. Еще пример, может слышали про mail.ru (один чел опубликовал уязвимости, после того как mail.ру не захотела их устранять, закрывать).. такой поворот событий может ускорят время устранения.