Resim spise tu problematiku obecne, tzn. cim vice bude sifrovane komunikace, tim hure se bude dat detekovat na siti resp. identifikovat zname druhy utoku resp. spise provozu.
…
Chci spise zjistit jak nejlepe monitorovat "bezne chovani" na siti a pokud napr. nejaky skodlivy kod zacne z moji site odesilat data nebo se sirit, tak tuto komunikaci "zariznout". Jako priklad jsem uvedl "zavirovane stranky" a jak se Pepa nevedomky stane obeti utoku, ale protoze na strankach je roztomily obrazek kocicky, posle to i Frantovi. Franta by uz mel ale mit stranky znepristupnene protoze IDS/IPS uz bude vedet, ze se napr. z Pepova prohlizece zacaly odesilat nejaky fragmenty dat na podivnou IP/url.
…
Vysledek by mel byt ten, ze pokud napr. se nakazi jeden pocitac, stihne nakazit maximalne dalsi tri v siti, ale pote uz bude znama signatura komunikace a sitova pravidla jednoduse pakety zahodi nebo s nimi provedou neco jineho, co neohrozi ostatni pocitace v siti.
To, co popisujete, neřeší podstatu problému, ale původní problém ignoruje a pak se ho snaží někde cestou dohonit. Nejste v tom sám, ve skutečnosti v tom s vámi jede velká část bezpečnostního IT průmyslu. A i tam to má jakousi historickou logiku, protože když je problém v bezpečnostním modelu proprietárních Windows, těžko mohou externisté ten problém opravit a jediné, co jim opravdu zbývá, je pokusit se ten problém dohonit někde venku. Předpokládám ale, že vy se ptáte na nějaké řešení v dlouhodobějším horizontu, které bude použitelné i ve světě, kde bude kladen velký důraz na ochranu soukromí, tudíž i na end-to-end šifrování komunikace.
„Identifikovat známé druhy útoků“, „detekovat známý provoz“, „stihne nakazit tři počítače v síti“ – to přece nechcete, to jsou jenom špatné nástroje. To, co popisujete, je jako kdybyste svůj majetek „chránil“ tak, že doma nebudete mít žádný dveře natož zámky, všechno bude volně přístupné, lidi budou chodit dovnitř a ven – a vy budete neustále zdokonalovat techniky, jak venku na náměstí poznávat, který člověk nese co vašeho, jak odlišit „běžné chodce“ o těch, kteří od vás právě odcházejí s lupem.
Jako příklad jste uváděl webový prohlížeč. Tam útoky vypadají tak, že existuje nějaká (alespoň pro někoho) známá chyba, třeba buffer overflow při zpracování obrázku. Abyste ten útok dokázal zachytit na síti, musíte jednak tu chybu znát, a pak se musíte pokusit z probíhající komunikace uhodnout, že se někdo pokouší tu chybu zneužít. Což může být dost pracné, navíc prohlížeč může komunikovat s mnoha servery a dokonce přes víc sítí (může mít jeden soubor nakešovaný z připojení přes WiFi v domácí síti a druhý si stáhne přes kabel v práci). Navíc celé to pracné hádání je dost zbytečné, protože když už je ta chyba známá, je nejsnazší jí opravit (nebo alespoň nějak zalátat) právě v tom prohlížeči. A skutečné řešení pak spočívá v tom, že i jednotlivé komponenty prohlížeče od sebe musí být oddělené a musí mezi nimi fungovat bezpečnostní bariéry. Webový prohlížeč je dnes už vlastně takový druhý operační systém, a stejně jako v operačním systému máte alespoň oddělené uživatele a lépe i procesy a ne každý proces může dělat cokoli, stejně to bude muset být i ve webovém prohlížeči a v dalších komplexnějších programech. Komponenta pro vykreslování obrázků nepotřebuje komunikovat přes internet, a je neudržitelné, aby chyba v takové komponentě umožnila spustit kód, který může v prohlížeči udělat cokoli (jakoby běžel v prohlížeči s pomyslnými rootovskými právy).
Na úrovni počítačové sítě pak půjde spíš o ochranu vlastních zařízení před útoky zvenčí (tj. aby nebyla zařízení napadnutelná známými chybami) a pak hlavně asi dohledatelnost, tj. abyste byl schopen určit, kdo je za které zařízení zodpovědný.
17 Odpovědí
6986 Zhlédnutí