gal-sec (![[info]](http://l-stat.livejournal.com/img/userinfo.gif){kind=small} gal_sec) wrote,@ 2005-08-07 17:55:00 |
|
Is there any HONEY in this POT?
Идея создания Honeypot-ов имеет большое число приверженцев, как и проект “Know your enemy”. Он позволил получить огромное количество реальной информации о black hats (или попросту кракерах) и их методах. Несмотря на то, что я считаю этот проект весьма полезным и перспективным, сегодня хочется отметить один его недостаток, или скорее ограничение. Но начну с другой стороны.
В последнее время многих «безопасников» все больше волнует проблема возможных «направленных» атак. Например, на некую компанию поступает «заказ». Злоумышленник(и) пишет уникальный, не светившийся ранее перед антивирусными и anti-spyware компаниями, вредоносный код. Он внедряется на пользовательские рабочие станции компании-жертвы, где и выполняет основную работу. Идея не нова – возможность реализации такого была всегда, но в связи с все большим вовлечением криминала в «киберпространство», вероятность осуществления таких атак увеличивается, о чем свидетельствует и просачивающаяся в публикации информация. Некоторые аудиторы компьютерной безопасности также успешно используют схожие техники.
Honeypot отличная идея того, что я бы назвал «независимый и объективный опрос кракеров». Смотря на результаты, как и с любым другим опросом, следует обращать внимание на репрезентативность выборки респондентов. Выборка проекта “Know your enemy” вполне репрезентативна, если вас интересует средний кракер. Но ситуация меняется, если вы озабочены методами криминальных структур, используемыми при организации направленных атак.
Отличная цитата из «Искусства войны» Сунь Цзы:
«Поэтому сказано, что тот, кто знает врага и знает себя, не окажется в опасности и в ста сражениях. Тот, кто не знает врага, но знает себя, будет то побеждать, то проигрывать. Тот, кто не знает ни врага, ни себя, неизбежно будет разбит в каждом сражении».
А кого считаете основным врагом ВЫ?
The idea of Honeypots is very popular, as is “Know Your Enemy” project. It allowed us to gain huge amount of actual information about black hats and their methods. I think the project is very important and promising. But today I wanted to point out one of its deficiencies, or better a limitation. I’ll start from the other side.
Many of the “security people” are worried by directed attacks. For example someone gets contract to breach into your company’s network. He (or they) writes unique malicious code that is not recognized by any antivirus and antispyware software. This code is then injected to users workstations of victim company and does its job. There’s nothing new in such an attack, its possibility have always been there. But probability of such attacks increases as more and more crime is involved in cyberspace. And more and more information about such incidents is appearing in mass media. Also some of the computer security auditors are successfully using similar techniques.
Honeypot is a great idea of what I would call “independent and objective black hat survey”. So, while reading the results, take into consideration representativeness of the respondent sampling. “Know your enemy” project gives us a good sampling of “mean black hat”. But results are not quite precise if you are interested in methods, used by organized crime to perform direct attacks.
There’s a great quote from Sun Tzu “On the art of war”:
“Hence the saying: If you know the enemy and know yourself, you need not fear the result of a hundred battles. If you know yourself but not the enemy, for every victory gained you will also suffer a defeat. If you know neither the enemy nor yourself, you will succumb in every battle.”
And who is YOUR primary enemy?
Идея создания Honeypot-ов имеет большое число приверженцев, как и проект “Know your enemy”. Он позволил получить огромное количество реальной информации о black hats (или попросту кракерах) и их методах. Несмотря на то, что я считаю этот проект весьма полезным и перспективным, сегодня хочется отметить один его недостаток, или скорее ограничение. Но начну с другой стороны.
В последнее время многих «безопасников» все больше волнует проблема возможных «направленных» атак. Например, на некую компанию поступает «заказ». Злоумышленник(и) пишет уникальный, не светившийся ранее перед антивирусными и anti-spyware компаниями, вредоносный код. Он внедряется на пользовательские рабочие станции компании-жертвы, где и выполняет основную работу. Идея не нова – возможность реализации такого была всегда, но в связи с все большим вовлечением криминала в «киберпространство», вероятность осуществления таких атак увеличивается, о чем свидетельствует и просачивающаяся в публикации информация. Некоторые аудиторы компьютерной безопасности также успешно используют схожие техники.
Honeypot отличная идея того, что я бы назвал «независимый и объективный опрос кракеров». Смотря на результаты, как и с любым другим опросом, следует обращать внимание на репрезентативность выборки респондентов. Выборка проекта “Know your enemy” вполне репрезентативна, если вас интересует средний кракер. Но ситуация меняется, если вы озабочены методами криминальных структур, используемыми при организации направленных атак.
Отличная цитата из «Искусства войны» Сунь Цзы:
«Поэтому сказано, что тот, кто знает врага и знает себя, не окажется в опасности и в ста сражениях. Тот, кто не знает врага, но знает себя, будет то побеждать, то проигрывать. Тот, кто не знает ни врага, ни себя, неизбежно будет разбит в каждом сражении».
А кого считаете основным врагом ВЫ?
The idea of Honeypots is very popular, as is “Know Your Enemy” project. It allowed us to gain huge amount of actual information about black hats and their methods. I think the project is very important and promising. But today I wanted to point out one of its deficiencies, or better a limitation. I’ll start from the other side.
Many of the “security people” are worried by directed attacks. For example someone gets contract to breach into your company’s network. He (or they) writes unique malicious code that is not recognized by any antivirus and antispyware software. This code is then injected to users workstations of victim company and does its job. There’s nothing new in such an attack, its possibility have always been there. But probability of such attacks increases as more and more crime is involved in cyberspace. And more and more information about such incidents is appearing in mass media. Also some of the computer security auditors are successfully using similar techniques.
Honeypot is a great idea of what I would call “independent and objective black hat survey”. So, while reading the results, take into consideration representativeness of the respondent sampling. “Know your enemy” project gives us a good sampling of “mean black hat”. But results are not quite precise if you are interested in methods, used by organized crime to perform direct attacks.
There’s a great quote from Sun Tzu “On the art of war”:
“Hence the saying: If you know the enemy and know yourself, you need not fear the result of a hundred battles. If you know yourself but not the enemy, for every victory gained you will also suffer a defeat. If you know neither the enemy nor yourself, you will succumb in every battle.”
And who is YOUR primary enemy?
