Makkawity (makkawity) wrote,
Makkawity
makkawity

Categories:

Дельфийский метод плюс

Я закончил "ответ Серверной Корее", потому что этот материал хуже студенческого реферата.
Надеюсь, он появится на РСМД, но перед этим я хочу выложить его в узкий круг на итоговую обкидку камнями.
Или могу кинуть в личку желающим, или выкладывать под замком с просьбой не афишировать.
Как лучше?

И для затравки - кусок по методологии, для которого я задавал вопросы аудитории.



Вступление
В начале июля 2018 г. некие Александр Атаманов — к.т.н., основатель компании ТСС (производит средства криптографической защиты информации) и Александр Мамаев — к.т.н., гендиректор «Лаборатории Цифровой Форензики» (специализируется на расследованиях киберинцидентов) подготовили «масштабное исследование, посвященное становлению кибервойск КНДР, тактике и стратегии северокорейских хакеров ».
Полный сенсационных, по мнению авторов, данных, материал под названием «Серверная Корея» привлек внимание специалистов по стране. Однако, было чрезвычайно огорчительно обнаружить, что доклад, подписанный двумя кандидатами наук, написан на уровне плохого студенческого реферата, изобилующего ссылками на желтую прессу без каких-либо попыток перепроверки притом, что самостоятельного исследования специалистов по кибер-безопасности в нем нет вообще.
По сути, авторы повторяют тезисы статьи в New York Times за 15 октября 2017 г. , где в огромном для газеты материале автор собрал все дежурные «доказательства северокорейской криминальной кибер-активности» . Выводы тоже скалькированы оттуда: недооценивать угрозу кибератак Север нельзя; КНДР собирается ввергнуть мир в глобальный хаос, потому что никто не осмелится ответить на хакерскую атаку военной; при этом кибер-системы самой КНДР не развиты (так что ответный удар невозможен), а ее специалисты действуют вне границ страны, (что позволяет объявить любую атаку северокорейской на основании неких секретных доказательств).
Но если задачу «навариться на модной теме» авторы выполнили, то необходимость объективного исследования, посвященного кибер-активности КНДР, из-за этого только возросла, и по мере своих возможностей автор, который в течение нескольких лет разрабатывал данный вопрос, пытается заполнить лакуну. И хотя его работа тоже носит более описательный характер, чем ему бы хотелось, это связано с проблемами, которые целесообразно отметить в отдельном разделе.
Часть первая. Методологические проблемы сбора информации и доказательной базы
Не гоняясь за сенсациями, автор сразу хочет отметить, что его исследование может страдать неполнотой по двум группам причин.
Первая – определенные трудности, связанные со сбором информации применительно к КНДР. Здесь сказывается, с одной стороны, закрытость страны, в результате чего при отсутствии иной информации исследователи вынуждены использовать «ненадежных рассказчиков» без возможности качественной перепроверки их историй. К чему это ведет, можно вспомнить на примере ситуации Син Дон Хёка, когда выяснилось, что главный свидетель доклада о правах человека в КНДР и автор бестселлера «Побег из Лагеря 14» попросту выдумал большую часть душераздирающих подробностей своей истории. Однако в материалах на исследуемую тему источниками новостей оазываются т.н. «карьерные перебежчики», гастролирующие по РК или США с репертуаром из «ужасов на Севере»ж
С другой стороны, никуда не девается и антисеверокорейская пропаганда, отчего еще некоторая часть источников информации, например, национальная служба разведки РК, не могут восприниматься автором как полностью объективные.
Демонизация режима осуществляется как за счет вбросов заведомо ложной информации, так и за счет ситуаций, когда вне зависимости от качества улик, КНДР объявляется причастной «хайли лайкли». В результате вместо того, чтобы рисовать реальный режим, пусть и одиозный и авторитарный, из КНДР лепят условное «государство зла», которое должно быть черным зеркалом представлений об идеальном государстве. Соответственно, если те или иные практики в «нашем» обществе запрещены или вызывают угрозу (как, например, хакерство), государство зла их с удовольствием практикует.
В этом контексте автору вспоминаются предыдущие мифы о том, как КНДР выпускала фальшивые доллары уникального качества (которые, правда, в товарном числе так нигде и не обнаружились) или героин в количестве, сравнимом с афганским, - и тоже следов поставок такового за пределами страны найдено не было.
С третьей стороны, демонизация КНДР оказывается способом прикрытия собственной некомпетентности. Это хорошо видно по ситуации в РК, когда каждый раз, когда объектом хакерской атаки становятся крупный банк или важное предприятие, немедленно выясняется, что это были северокорейские хакеры. Даже в том случае, когда какое-то время спустя на поверхность всплывают отголоски корпоративного скандала, связанного с вопиющей безответственностью внутри компании. Ибо одно дело – продемонстрировать широкой публике собственное разгильдяйство, а другое – стать жертвой секретных компьютерных служб тоталитарного режима.
На этом фоне забывается, что Южная Корея лидирует по числу незащищенных или плохозащищенных точек доступа Wi-Fi (47,9%) , а по данным доклада, опубликованного интернет-провайдером Akamai Korea, в первом квартале 2017 года в РК совершено 4.500 DDoS-атак, причем мощность 19 из них превысила100 Гбит в секунду .
Однако вторая причина сложности исследования даже важнее, чем первая. Она касается проблем доказательства хакерской деятельности не только применительно к КНДР, а вообще. Это важно, потому что у массового читателя, недостаточно знакомого с особенностями кибер-безопасности (даже если он хороший специалист в востоковедении или политологии), представления о возможностях хакеров или принципах информационной безопасности вообще могут быть совершенно голливудскими, и они могут «повестись» на аргументы или утверждения, ценность которых, по мнению автора, сомнительна. Ряд таких тезисов мы разберем ниже, причем «северокорейские» хакеры в этих тезисах могут быть и российскими, и американскими, и даже албанскими.
Утверждение №1. «Похожее программное обеспечение применялось во время предыдущих атак северокорейских хакеров / в данной атаке используются эксплойты или элементы кода, применяемого хакерами из КНДР». Даже если вынести за скобки вопрос, точно ли предыдущие атаки были северокорейскими, можно отметить, что уникального хакерского программного обеспечения (ПО) немного, и большинство взломщиков применяют ограниченный набор средств. Заимствование элементов кода является повсеместной практикой для экономии времени, а также с целью ложно обвинить непричастную сторону.

Если даже уникальное в первой атаке ПО есть в открытом доступе, его элементы вполне могут быть скопированы или доработаны. Вдобавок хакерский рынок давно индустриализовался и авторы вредоносного ПО, его распространители и выгодополучатели часто совсем разные люди.
Стиль программирования или избранная тактика - неплохая косвенная улика. но на больших объемах, позволяющих гарантированно определить, что это не случайное совпадение.
А с учетом того, что причастность КНДР и к предыдущим атакам может быть под вопросам, доказательство «от повторения» на самом деле подменяется навыком экстраполяции и создает порочный круг, когда в ходе расследования одно «хайли лайкли» нагромождается на другое, но в выводах это «возможно» исчезает, и на причастность КНДР указывается как на доказательство.
Теоретически, бывает уникальное ПО или методика, которую применяют только определенные силы. Но сказать с достаточной долей уверенности, что " эту методику применяет только АНБ США, потому что она очень дорогая или сложно исполнимая", непросто, ибо код или информация об эксплойтах вещь переносимая и цифровой подписи там нет. Чуть ли не единственный пример - атака на центрифуги в Иране с применением вируса Styxnet .

Утверждение № 2. «Это был айпи из КНДР /». Программы подмены айпи распространены еще больше, чем хакерские: по сути, любой браузер с функцией VPN позволяет выдавать себя за пользователя другой страны. Затем, сколько-нибудь вменяемый хакер, приобретший возможность посылать сообщения с сети адресов (так называемый ботнет) даже минимального размера, не светит и не собирается светить IP кроме тех, на которых работает ботнет.
Так что никакие промежуточные IP-адреса (а адрес считается промежуточным, пока не доказано обратное) не являются доказательством, хотя если все отслеженные цепочки уходят в КНДР - это сильная улика, говорящая о наличии хакера в регионе но не позволяющая его конкретизировать.
Разновидностью этого утверждения является «Атака проводилась из Шэньяна, значит, это точно северокорейцы». Хотя китайские спецслужбы и аффилированные с ними хакеры известны кибератаками на своих противников, в том числе и на РК.
Утверждение № 3. «Хакеры атаковали систему, не подключенную к интернету». Здесь у специалиста сразу возникнет вопрос – КАК? Вирус нужно неким образом занести, требуется принципиальная возможность доступа к объекту «со стороны интернета». И если такой физической возможности нет, проще искать не вредоносную программу из ниоткуда, а инсайдера – человека, который каким-то образом выполнил эту работу вместо хакера.
Поэтому с точки зрения ряда знакомых автора, все разговоры про успешные атаки внутренней сети скорее являются указаниями на то, что на самом деле эта сеть не была полностью изолирована от внешнего мира.
Утверждение № 4. «У нас есть секретные доказательства» (но мы их вам не покажем, потому что они секретные). Иногда это может означать, что вместо доказательств, соответствующих процедурам судопроизводства, есть доказательства, которые либо кажутся надежными аналитикам но недостаточны для суда, либо источник доказательств или методы их добывания по каким-то причинам не светят (см. разоблачения Wikileaks и Сноудена про PRISM и ряд иных программ). Но эта же фраза может означать доказательства, взятые с потолка, что важно воспринимать в связке со следующим тезисом.
Утверждение № 5. «Давайте поместим этот случай в политический контекст; КНДР уже была замешана в разнообразных грязных делах, что мешает ей совершить еще и это»? Хотя этот тезис активно используется даже такими относительно объективными компаниями, как Recorded Future , де-факто речь идет не столько об учете «предшествующих преступлений и дурной репутации», сколько о формировании пресуппозиции: если ужасный кровавый пхеньянский режим может заниматься киберпреступностью, то отчего бы ему ее не практиковать? Ведь он ужасный, кровавый и пхеньнянский? Теоретическая возможность таким образом приравнивается к доказательству, что весьма напоминает аргументы некоторых «активисток женского движения» о том, что каждый мужчина является скрытым насильником по факту наличия члена. Может - значит хочет!

Однако именно благодаря данному тезису любую кибератаку в РК принято атрибутировать как северокорейскую, если ее можно отнести к угрозам национальной безопасности, а следы иного происхождения не видны слишком сильно.
Собственно, все новости класса «Х могла быть причастна к У» являются спекулятивными, если не сопровождаются хотя бы какими-то основаниями. То же самое касается фраз класса «группировки, связанные с Пхеньяном»: такое утверждение не аксиома факт связи стоит доказать чем-то большим, чем «они работают против его врагов».
К более вероятным, но все равно косвенным уликам относятся
• результаты лингвистической экспертизы, когда родной язык хакера определяют по допущенным ошибкам
• анализ кода, при котором можно выяснить режим работы хакера, его часовой пояс или выбор языка по умолчанию. Например, на идентификацию российского происхождения хакерской группировки APT29 указывали не только особенности вирусов, но и русские слова в коде и часы работы, совпадавшие с московским временем.
• ситуация, когда группировка признается в совершенном /берет на себя ответственность.
Однако и в них остается вероятность того, что умелый хакер путал следы, а честолюбцы приписали себе чужие успехи или некто пошел на сделку с правосудием. В системе политических интриг даже логику "кому выгодно" надо применять с осторожностью из-за возможности провокаций.
В результате серьезные улики возникают только там, где цифровой мир соприкасается с реальным. Например, хакера поймали непосредственно в момент атаки или на его компьютере, оказавшемся в руках следствия, нашли исходники вируса или иные доказательства того, что атака была оттуда. Либо доказан факт получения хакером похищенных денег (отследили перевод на аффилированный счет в цепочке платежей, сняли момент снятия денег в банкомате, выявили использование похищенных номеров кредиток и тп). Либо нашли свидетелей, готовых дать показания против хакера, хотя уже здесь могут возникнуть вопросы.
В результате доля успешно раскрытых серьёзных кибер-преступлений пока критически невелика. Большая часть раскрытых киберпреступлений – мелкое мошенничество в Сети, которое хакерством назвать можно с большой натяжкой, а серьезные инциденты с незаконным удалённым проникновением в корпоративные и государственные системы остаются нерасследованными почти без исключений. Связанные с ними обвинения основаны скорее на политической конъюнктуре.
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 53 comments