Прочел на секлабе статью про контркриминалистику и возникло у меня непонятное ощущение. Сначала я подумал, что статья будет про расследование инцидентов; да и авторство статьи принадлежит Group-IB, которая занимается компьютерной криминалистикой. Но внимательно прочитав материал и зайдя на сайт автора статьи, возникло определенное недоумение. Зачем компании, которая занимается расследование преступлений в сфере высоких технологий и помогающей собирать доказательства для правоохранительных структур, нужен проект, направленные на изучение и ПУБЛИКОВАНИЕ методов, препятствующих их основной деятельности?
Я понимаю изучение методов злоумышленников с целью противодействия им. Но публиковать-то это зачем? И зачем открывать проект с преложением присоединиться к нему всех желающих? Вот как-то не стыкуется у меня это в голове ;-(
Потому что, это двигатель прогресса - поиск решений сообществом(хотя авторами проекта могут преследоваться и другие цели). Попробую привести пример: возьмем закрытые эксплойты которые не доступны в паблике или закрытые уязвимости ПО которыми ни с кем не делятся, как вы считаете это полезно, что они закрыты для информационной безопасности в целом?
ОтветитьУдалитьДа, полезно. Они должны быть открыты для ограниченного круга лиц и компаний, которые разрабатывают меры противодействия. А для всех желающих, пусть и называющих себя специалистами по ИБ, они должны быть закрыты. Т.к. такие специалисты все равно сделать ничего не в состоянии, а вот злоумышленники этой информацией могут воспользоваться.
ОтветитьУдалитьБаба Яга против! (с)
ОтветитьУдалитьНе претендуя далее на последнюю инстанцию:
Лично мне кажется, что это не правильно, когда создается некая ограниченная группа лиц и компаний которая также называет себя специалистами по ИБ, потому, что некоторые товарищи могли бы уменьшить окно уязвимости своих систем и сами, не дожидаясь пока указанные выше специалисты по ИБ объединившиеся в компании разродятся на что нибудь толковое, кто этих лиц и компании назвал специалистами по ИБ не они ли сами?
Понимаешь, когда речь идет о публикации информации об уязвимостях и эксплоитах, то тут можно и с тобой соглашаться и со мной. Но мы говорим изначально о контркриминалистике. Здесь-то какой потаенный смысл? Что ты получишь от того, что будешь знать, как противостоять средствам сбора доказательств?
ОтветитьУдалить> да и авторство статьи принадлежит Group-IB
ОтветитьУдалитьНет, автор статьи - Суханов М. А.
> Зачем компании ... нужен проект, направленные на изучение и ПУБЛИКОВАНИЕ методов, препятствующих их основной деятельности?
И какие у нас будут палки в колесах?
PS
Проект направлен на противодействие противодействию :)
Посмотрите на disclaimer на главной странице - он появился не просто так. Когда под статьей стоит "сотрудник компании такой-то", находятся люди (и их немало), которые ставят знак равенства между автором и его компанией, между его и ее позицией.
ОтветитьУдалитьИ когда сотрудник компании, занимающейся расследованием, пишет как расследованию помешать, возникает недопонимание.
Возьмем, к примеру, SurfPatrol.ru. Там еще более благая цель, но и там вопросов возникало немало. У вас ситуация хуже и надо предусмотреть, как реагировать на явные и скрытые вопросы.
Автор показывает недостатки криминалистических методов, дабы сподвигнуть нужных людей на исправление ситуации.
ОтветитьУдалить"Совершенство достигается лишь на пороге полного краха." Паркинсон.
Считаю, что наоборот хорошо, что подобные направления исследований появляются, это значит, что комп. криминалистика набирает зрелость. Также как защита информации - это, по простому, противостояние злоумышленника и защитника. Так и комп. криминалистика не может существовать без контр. криминалистики. Диалектика!
ОтветитьУдалитьВот вот несколько коряво доносил свою мысль, но смысл тот же, что и у предыдущих двух комментаторов - "в споре рождается истина" - "в противостоянии рождается решение" и процессы эти бесконечны.
ОтветитьУдалитьЕще не хватало все это завершить инь и янь =))
Научно обосновывает сей факт гомеостатика
ОтветитьУдалитьhttp://ru.wikipedia.org/wiki/Гомеостатика
В результате появятся более развитые методы криминалистики, также как криптология порождает стойкие криптоалгоритмы в результате противоборства криптографии и криптоанализа.
Гомеостатика не отвечает на этот вопрос - это притягивание за уши ;-) Криминалисиика и контркриминалистика - это не система в ее понимании. Я не против контркриминалистики, я против открытой публикации ее результатов. Все равно кроме криминалистов никто не в состоянии использовать эти результаты.
ОтветитьУдалитьЭто все равно, что публиковать способы совершения преступлений ;-(
Про публичность я согласен, перекрестные обратные связи должны быть только между противоположностями. К тому же такое противоборство должно быть управляемым.
ОтветитьУдалитьПоэтому вопросы в другом: как организовать такие связи защищенными и кто должен контролировать степень остроты противоречия между противоположностями, а также обмен информацией с внешней средой?
Нужна третья заинтересованная и обеспеченная ресурсами сторона чтобы их решить.
Правильно. И именно в данном вопросе оказывается так, что эта информация широкой публике не нужна вовсе. И потому что большинство расследованием не занимается и потому что они все равно не в состоянии поменять ПО для криминалистики. Ну вот нашли вы способ обхода EnCase и что? Публикация его в открытом доступе не дает ничего, крлме появления знания у преступников. Тут надо тихо связаться с разработчиками и может они устранять дыру.
ОтветитьУдалитьСпособы совершения преступлений тоже публикуются. И это нормально.
ОтветитьУдалитьНормально смотря для кого..
ОтветитьУдалитьНу выложили вы эксплойт в паблик, прославились так сказать. Да, обратная связь с разработчиком появилась, но какой ценой!!! Ведь эта информация имеет ценность не только для разработчиков, но и для лиц с другими целями. Отрицательные последствия для других неизбежны.
Поэтому это антисоциальное преступление, которое должно порицаться обществом и караться государством. В таких случаях и встает вопрос о контроле Интернета.
Я не против эксплойтов, противоборство нужно создавать для развития систем. Но в случае публичности вы подставляете других.
Когда вы подставляете знакомых, вам не стыдно?
Хочу возразить насчет последнего комментария:
ОтветитьУдалитьНашел человек уязвимость, сделал эксплойт отправил его разработчику тот в свою очередь должен проверить эту информацию, найти решение, написать патч, протестировать его итого времени уйдет достаточно.
Тем временем человек обнаруживший уязвимость и написавший эксплойт наверняка занимается этим не первый день и имеет связи с такими же людьми, в моральной составляющей которых он не может быть уверен. Т.е. сразу же после того как он отписал разработчику, он следует вашим принципам и не публикует в паблик эксплойт и т.д., но он так или иначе связан с сообществом которое занимается тем же чем и он и которое как он думает тоже пронизано благами намерениями. В результате уязвимость и эксплойт попадает в приват где все с ним связанные так или иначе начинают обладать преимуществом и не известно кто как это преимущество использует и в каких целях.
В итоге мы получаем то, что об уязвимости знают все кому не лень кроме потенциальных владельцев систем на базе уязвимого продукта.
Если переводить на уровень криминала, то тут помоему еще все хуже, даже МВД сообщает порой о фактах и схемах мошенничества с целью того, чтобы люди знали, что угрозы есть и были внимательнее.
Если перевести на уровень противодействия методам расследования то не секрет, что некоторые из заказчиков пытаются строить системы так, чтобы можно было бы обеспечить доказательную базу в случае чего, сами или с помощью внешних сил и средств, но так или иначе это есть и не у всех из них может быть доступ к закрытым ресурсам на которых могла проскочить информация о том, что их методы более не работают.
Да, публичность придает ускорение, но это должен быть самый крайний вариант (с отпусканием греха).
ОтветитьУдалитьИ если разработчик вовремя не реагирует, значит его система будет плохо развиваться и рано или поздно умрет своей смертью.
Есть множество других способов безболезненного ускорения, например, уведомление о сроках публичного выкладывания, раскрытие неполной информации, и т.д.
В _данном_ случае я считаю, что это очень важная и нужная публикация. Информация полезна как тем, кто разрабатывает аналогичные системы, так и тем, кто занимается их эксплуатацией. Почему не распространять это в закрытом сообществе? Потому что с задачей сбора доказательств может столкнуться практически каждый профессионал, и многим нужны подробности "как это работает". Ограничивать доступ к подобным работам было бы неправильно, это обскурантизм :-)
ОтветитьУдалитьА теперь вопрос - многие ли безопасники в состоянии разработать комплекс мер по нейтрализации эксплоита, если сам вендор уязвимого софта не выпустил никаких рекомендаций? Если 95% инцидентов происходит по причине известных уязвимостей (что говорит, что они не выполняют даже опубликованных рекомендаций), то о чем вообще идет речь.
ОтветитьУдалитьЯ считаю, что если таких людей больше нуля, публикация уже оправдана, а непрофессионалам в отрасли делать нечего :-)
ОтветитьУдалитьсинонимы обскурантизма: мракобесие, реакционность, ретроградство ;)
ОтветитьУдалитьИз всех слов знаю только "синонимы" ;-)
ОтветитьУдалить"Нет такой добродетели, из которой нельзя было бы сделать порок, и нет такого порока, из которого нельзя было бы сделать добродетель" Гёте
ОтветитьУдалитьЗакрытые эксплойты - публиковать надо. Это очень важно, но только в ограниченном урезанной форме. Для примера возьмем вирус, у него можно убрать основной код, чтоб простой программист не смог использовать, модифицировать его. Еще пример, может слышали про mail.ru (один чел опубликовал уязвимости, после того как mail.ру не захотела их устранять, закрывать).. такой поворот событий может ускорят время устранения.
ОтветитьУдалить