Найти тему
Лаборатория Касперского

Ганс Христиан Андерсен о защитных технологиях

Оглавление

Сказочник уделял много времени описанию технологий кибербезопасности.

Начиная со средних веков сказочники пытались привить своим читателям культуру кибербезопасности. Основной принцип был достаточно простой: они брали, так сказать, сырые кейсы, описанные в народных сказаниях, и на их основе создавали настоящие отчеты разной степени подробности.

Но если читать внимательно, можно заметить фундаментальную разницу в подходах разных авторов к изложению темы. Если у братьев Гримм или Шарля Перро сказки строятся вокруг киберинцидентов, то Ганс Христиан Андерсен уделяет внимание описанию защитных технологий. Похоже, что Гримм и Перро финансировались компаниями, специализирующимися на расследованиях, а Андерсен работал на разработчика защитных решений. Рассмотрим некоторые из примеров его творчества.

Дикие лебеди

Завязка у cказки стандартная: в королевской семье появляется мачеха, это обычный эвфемизм для вредоносного инсайдера. Она ненавидит принцев и шифрует их в птиц, но алгоритм не идеален: вместо желаемого формата .большие_птицы_без_голоса у неё получается .лебедь.

Далее идут описания мытарств принцессы, попытки общения с внешними консультантами по криптографии, но большая часть сказки описывает то, как принцесса вручную пишет 11 декрипторов для каждого из братьев.

Код для декрипторов она плела из крапивы, которая росла на кладбище. А кладбище — это намек на два креста в названии языка программирования C++ (кстати, он разработан Бьерном Страуструпом, земляком Андерсена). То есть декрипторы принцесса писала на C++.

Последний декриптор содержал ошибку и часть файлов последнего брата осталась нерасшифрованной, что говорит об объективности Андерсена.

Принцесса на горошине

«Принцесса на горошине» — произведение о внедрении средневекового движка поведенческого анализа на базе сендбокса. Возможно, Андерсен писал ее для отраслевого журнала, или это был своего рода вайтпейпер с историей успеха.

Сюжет: принц одержим идеей определения, настоящая ли принцесса. Для этого его мать готовит изолированное контролируемое пространство (тот самый сендбокс), имитирующее спальню. В её постель поместили триггер, который должен спровоцировать проявление нормального принцессного поведения, обфусцируя двадцатью тюфяками и пуховиками. По гипотезе матери, принцесса должна среагировать на триггер в таких условиях, в то время как фальшивая — не заметит его. Объект исследования помещен в спальню, реагирует, и мать принца выдает вердикт «принцесса».

Сегодня технологии поведенческого детектирования используют скорее для определения вредоносного поведения, а не принцессного. Но главный принцип тот же: так, Kaspersky Research Sandbox позволяет анализировать нормальную работу компьютера в корпоративной сети и эмулировать ее в изолированном пространстве, чтобы потом отслеживать в нем поведение потенциально опасных объектов.

Огниво

В сказке «Огниво» Андерсен пишет о хакере по кличке Солдат, который с помощью коммуникатора «Огниво» связывается с группировкой больших собак, которые обеспечивают его валютой и связью с принцессой в обход правительственных ограничений. А ещё они прикрывают его преступную деятельность в реальности, физически устраняя неугодных людей. Иными словами, это инструмент для работы через даркнет — очень похоже на то, что под «Огнивом» подразумевается Tor.

Вообще, сказка «Огниво» достаточно нетипична, в первую очередь за счет выбора протагониста. Обычно герои сказок — хорошие люди, которым мы готовы сопереживать, но здесь основной персонаж — аморальный тип. За десяток страниц он обманул, ограбил и убил старушку, пару раз похитил принцессу без её согласия, публично расправился с ее родителями и всем королевским советом, и в итоге захватил власть. Возможно, так Андерсен пытался сказать, что человек с кличкой «Солдат» — преступник.

Тут нам интересно даже не само «Огниво», а те меры, которые применяют защитники дворца, чтобы отследить, откуда Солдат связывается со своей принцессой. Королева стемится вычислить хакера. Как и в «Принцессе на горошине», за безопасность дворца отвечает именно королева. Андерсен подчеркивает серьезность роль СISO в средневековом королевстве.

Королева поручает дело штатному киберугрозному аналитику — старухе-фрейлине. Она корректно определяет подсеть, из которой Солдат выходит на связь, но из-за сложной системы обфускации адресов не справляется с вычислением конкретной машины преступника — собака перерисовывает меловой крестик c гейтвея Солдата на все окрестные гейтвеи.

Вторая попытка искуснее: королева встраивает в клиентское приложение принцессы имплант — «хорошенький мешочек» с гречневой крупой. При следующем сеансе связи имплант помечает гречкой все промежуточные узлы, через которые собака проводит переадресацию сигнала, вплоть «до окна Солдата», т.е. до его машины под управлением Windows. В результате его удается арестовать и успешно приговорить к смертной казни.

Увы, все усилия королевы бессильны: подкупленный прохожий доставляет приговоренному коммуникатор, и Солдат призывает на помощь собачью группировку. В итоге сказку уж точно нельзя назвать «историей успеха» — скорее, предостережением.

Новое платье короля

Завершает нашу подборку сказок об ИБ «Новое платье короля». Тут жанр очевиден: это сатирическая критическая статья о кибершарлатанах — ну, знаете, вендорах, которые нахваливают свой next-gen антивирус на базе блокчейна и искусственного интеллекта.

Король выделяет бюджет на разработку системы кибербезопасности, но подрядчики вместо установки защитных решений показывают красивые презентации про блокчейн и берут деньги. Королевские советники в сути не разбираются и утверждают перспективность этих технологий. В итоге маленький мальчик-пентестер замечает, что защита системы не просто дырява, а по факту просто отсутствует, и король становится посмешищем.

С эпохи Андерсена индустрия кибербезопасности продвинулась вперед, и стоит при выборе защитных решений руководствоваться не рекламными лозунгами, а результатами независимых тестов.

-2