Ганс Христиан Андерсен о защитных технологиях

Начиная со средних веков сказочники пытались привить своим читателям культуру кибербезопасности. Основной принцип у них был достаточно простой: они брали, так сказать, сырые кейсы, описанные в народных сказаниях, и на их основе создавали настоящие отчеты разной степени подробности.

Однако если читать внимательно, можно заметить фундаментальную разницу в подходах разных авторов к изложению темы. Если у тех же братьев Гримм или Шарля Перро сказки строятся вокруг киберинцидентов, то Ганс Христиан Андерсен уделяет особое внимание описанию защитных технологий. Похоже, что Гримм и Перро финансировались компаниями, специализирующимися на расследовании инцидентов, в то время как Андерсен работал на разработчика защитных решений. Рассмотрим некоторые из примеров его творчества.

Дикие лебеди

Завязка у cказки достаточно стандартная: в королевской семье появляется мачеха — это вполне обычный в сказках эвфемизм для вредоносного инсайдера. Она люто ненавидит принцев и шифрует их в птиц. Что любопытно, Андерсен дает нам понять, что алгоритм шифрования несовершенен — «мачеха» пытается зашифровать их в формат .большие_птицы_без_голоса, а получается у нее .лебедь.

Далее в сказке описываются мытарства принцессы, какие-то попытки общения со сторонними консультантами по криптографии, однако большая часть истории посвящена тому, как принцесса вручную пишет 11 декрипторов для каждого из братьев.

В сказке говорится, что код для декрипторов она плела из крапивы, растущей на кладбище. По всей видимости, кладбище — это намек на два креста в названии языка программирования C++ (не случайно он был разработан Бьерном Страуструпом, земляком Андерсена). То есть декрипторы принцесса писала на C++.

В пользу объективности Андерсена говорит упоминание факта, что последний декриптор содержал ошибку и часть файлов последнего брата осталась нерасшифрованной.

Принцесса на горошине

Сказка «Принцесса на горошине» выглядит как заметка о внедрении средневекового движка поведенческого анализа на базе сендбокса. Возможно, Андерсен писал ее для какого-то отраслевого журнала, или же это был своего рода вайтпейпер с историей успеха.

Краткий сюжет: некий принц одержим идеей определения, является ли принцесса настоящей. Для этого его мать готовит изолированное контролируемое пространство (тот самый сендбокс), имитирующее спальню принцессы. Непосредственно в постель она помещает триггер, который должен спровоцировать проявление нормального принцессного поведения, обфусцируя двадцатью тюфяками и двадцатью пуховиками. Согласно гипотезе матери, настоящая принцесса должна среагировать на триггер даже в таких условиях, а фальшивая — не заметит его вовсе. Далее объект исследования помещается в спальню, успешно реагирует на триггер, и мать принца выдает вердикт «принцесса».

В наше время технологии поведенческого детектирования все-таки используются скорее для определения вредоносного поведения, а не принцессного. Но основной принцип тот же — например, решение Kaspersky Research Sandbox позволяет проанализировать нормальную работу компьютера в корпоративной сети и эмулировать ее в изолированном пространстве, чтобы потом отслеживать в нем поведение потенциально опасных объектов.

Огниво

В сказке «Огниво» Андерсен пишет о некоем хакере по кличке Солдат, который через некий коммуникатор «Огниво» связывается с группировкой гигантских собак, обеспечивающих его валютой и связью с принцессой в обход правительственных ограничений. Помимо этого, они также прикрывают его преступную деятельность в реальном мире, физически устраняя неугодных людей. Иными словами, это какой-то инструмент для работы через даркнет — очень похоже на то, что под «Огнивом» подразумевается Tor.

Вообще, сказка «Огниво» достаточно нетипична, в первую очередь за счет выбора протагониста. Если обычно главные герои сказок — положительные персонажи или хотя бы люди, которым можно сопереживать, то здесь основное действующее лицо — чудовищно аморальный тип. За крайне короткую сказку он успевает обмануть, ограбить и убить старушку, которая подсказала ему, где добыть денег; несколько раз похитить принцессу ради поцелуя, не интересуясь ее мнением по этому вопросу; публично расправиться с ее родителями, а заодно судьями и королевским советом; и в итоге захватить власть. Вероятно, так Андерсен пытался показать, что человек с псевдонимом «Солдат» — однозначно преступник.

Возвращаясь к ИБ-составляющей, нам тут интересно даже не само «Огниво», а те меры, которые применяют защитники дворца, чтобы отследить, откуда Солдат выходит на связь с принцессой. Дело в том, что королева (обратите внимание: тут, как и в «Принцессе на горошине», за информационную безопасность дворца отвечает именно королева, — Андерсен показывает нам, насколько важна роль СISO в средневековом королевстве) предпринимает несколько попыток вычислить хакера.

Сначала королева поручает штатному киберугрозному аналитику — старухе-фрейлине — отследить адрес злоумышленника вручную. Фрейлина корректно определяет подсеть, из которой Солдат выходит на связь, но из-за сложной системы обфускации адресов не может вычислить конкретную машину преступника. Проще говоря, собака перерисовывает меловой крестик c гейтвея Солдата на все окрестные гейтвеи.

Вторая попытка более искусна и более успешна. Королеве удается встроить в клиентское приложение принцессы имплант — «крошечный хорошенький мешочек» с гречневой крупой. При следующем сеансе связи имплант помечает гречкой все промежуточные узлы, через которые собака организовывает переадресацию сигнала, вплоть «до окна Солдата» — то есть непосредственно до его компьютера под управлением Windows. В результате его удается арестовать и успешно приговорить к смертной казни.

К сожалению, впоследствии усилия королевы пропадают впустую: подкупленный прохожий доставляет приговоренному его коммуникатор, и Солдат призывает на помощь всю собачью группировку. В результате эту сказку уж точно нельзя назвать «историей успеха» — скорее, предостережением.

Новое платье короля

Завершает нашу сегодняшнюю подборку сказок Андерсена о технологиях информационной безопасности еще одна необычная сказка — «Новое платье короля». Тут жанр оригинальной истории совершенно очевиден: это написанная в сатирическом ключе критическая статья, повествующая о кибершарлатанах — ну, знаете, вендорах, которые нахваливают свой next-gen антивирус на базе блокчейна и искусственного интеллекта.

Сюжет таков: король выделяет бюджет на разработку полноценной системы кибербезопасности, но подрядчики вместо установки реальных защитных решений показывают красивые презентации про блокчейн, а деньги присваивают. А все советники короля, не разбираясь в сути вопроса, подтверждают перспективность этих якобы технологий. В результате маленький, но, видимо, опытный мальчик-пентестер замечает, что защита королевской системы не то что дырява, а по факту просто отсутствует — и король становится посмешищем.

Со времен Андерсена индустрия кибербезопасности все же продвинулась далеко вперед, так что в 21 веке при выборе защитных решений следует руководствоваться не столько рекламными лозунгами, сколько результатами независимых тестов.