С детства нас учили, что сказки — кладезь мудрости. И лишь переосмыслив их с точки зрения информационной безопасности, понимаешь, насколько это верно.
Что если Шарль Перро, братья Гримм и Ганс Христиан Андерсен были на самом деле популяризаторами темы информационной безопасности? Но откуда они брали истории, на базе которых писали отчеты об инцидентах? Большинство авторских сказок пишут на основе народных. Копнём глубже и выясним, нет ли среди народных сказок, которые не успели пересказать именитые авторы, других описаний так называемых «кейсов».
Реальность превзошла ожидания: почти все сказки в переносном смысле описывают киберинциденты! Несмотря на внешнюю незамысловатость, на деле в них содержится на удивление значительный объем информации.
Лиса и волк, или Битый небитого везет
Сказка про лису, которая обманывает волка — это сборник классических кибератак. Дошедшая до наших времен версия объединяет 3 инцидента, которые, видимо, когда-то были отдельными кейсами. Давайте разберем их по порядку:
- Троянский лис. Начинается все с того, что некий мужик везет на телеге свежую рыбу. Под телегой здесь явно подразумевается несовременный компьютер. А явная аллюзия на Ломоносова намекает, что это машина для научной работы. На телегу он скачивает троянского лиса в надежде порадовать супругу нарядным скином (возможно, речь о дистрибутиве Firefox). Но троянский лис активизируется и выкачивает базу рыбных данных куда-то вовне.
- Фишинговая прорубь. Лиса рекламирует свежедобытую рыбу среди лесного зверья, что вызывает определенный интерес у волка. Пользуясь этим, лиса отправляет ему ссылку на фишинговую прорубь. Перейдя по ссылке в надежде на бесплатную рыбу, волк крепко вмерзает в развод, в итоге теряет хвост, а вдобавок к этому подвергается буллингу ведрами и коромыслами со стороны крестьянок. Точно неизвестно, на какую выгоду тут рассчитывала лиса — возможно, это был чистой воды троллинг (на это намекают и анонимные комментарии «Ярче, ярче в небе звезды, мерзни, мерзни волчий хвост», оставленные в близлежащих кустах).
- Манипуляция сочувствием. Лиса при помощи украденного теста имитирует черепно-мозговую травму и, играя на чувстве жалости волка, вынуждает его заниматься собственной транспортировкой. То есть проводит успешную атаку, используя социальную инженерию.
Колобок
Мы подозреваем, что изначально сказка называлась все-таки «Колобот», но за века после многочисленных пересказов последняя буква морфировала в «к». Это история о том, как бабка по заказу деда создала некоего бота и положила остывать на окошко — читай, загрузила на уязвимый Windows-сервер, — откуда тот благополучно утек и начал гулять по Сети.
Функции бота становятся очевидны после первого же диалога с зайцем — он служит для DoS-атак на лесных жителей. Колобот вываливает на не ожидавшего подвоха зверя потоки абсолютно ненужной информации и, пользуясь замешательством животного, отправляется по следующему адресу. Вероятно, тут также содержится намек на функциональность червя.
Интересно, что в потоке бессмысленных данных бот оставляет так называемые «хлебные крошки» — перечисляет адреса, которые атаковал прежде (от бабушки ушел, от дедушки ушел, от зайца ушел, от волка ушел). «Боевому» боту это было бы ни к чему — возможно, это какая-то отладочная информация, не убранная разработчиками. Иными словами, дополнительное подтверждение того, что код утек до релиза.
Возможно, если бы не утечка, бабка и дед создали бы целый ботнет таких колоботов и использовали их для распределенной атаки (DDoS) в целях наживы. В начале сказки упоминается отсутствие у авторов бота продуктов питания — видимо, таким образом сказители намекают на мотивацию их преступной деятельности.
К счастью, в конце концов бот натыкается на лису с включенной защитой от DoS-атак. Пока он раз за разом повторяет свой поток информации, система отфильтровывает шум, а операторы лисы вычисляют точный адрес бота и успешно ликвидируют угрозу.
Маша и три медведя
Эта сказка в подробностях рассказывает о расследовании киберинцидента. Начинается все с того, что в инфраструктуру, охраняемую тремя медведями, проникает зловред «Маша» и начинает там хозяйничать. К счастью, защитники вовремя замечают неладное и приступают к тщательному изучению инцидента. Сначала они замечают следы манипуляций со стульями и то, что самый маленький стул был и вовсе взломан, — налицо все признаки проникновения в систему.
Затем становится очевидным аномальный расход каши. Некоторые исследователи считают, что под «кашей» следует понимать кэш процессора, который «Маша» в каких-то своих хакерских целях скачала. Но данная версия не выдерживает никакой критики: в этом случае медведи вряд ли обнаружили бы недостачу. Скорее всего, тут не стоит искать созвучия, а под кашей, по всей видимости, подразумевается электроэнергия, которую «Маша» расходовала в целях майнинга.
Наконец, они вычисляют место, где может прятаться вредоносный код. Осмотрев две «кровати», на которых в качестве отвлекающего маневра «Маша» оставила следы пребывания, они наконец-то находят код зловреда. К сожалению, он успевает самоудалиться, и медведям не удается тщательно изучить его внутренности. Но по крайней мере угроза успешно ликвидирована.
Кстати, нигде не говорится, что медведи были не зелеными — возможно, эта сказка предвосхищает появление наших экспертов, занимающихся мониторингом и реагированием на киберинциденты.
