Забавные теоретические подходы к компьютерной безопасности
На днях я размышлял о забавных теоретических подходах к компьютерной безопасности. Знаете, обычно защита — это пассивные вещи: пароли, ключи, логирование и иногда безопасность через неясность, файрволы и разные средства защиты от взлома. Защита обычно довольно пассивна. Вы сидите и ждёте, хорошо подготовленные и готовые защищаться от атакующего. Но становится забавнее, когда всё немного иначе. Дисклеймер: говорить будем только о теоретических «добрых» (lawful-good) подходах.
Представьте следующие сценарии:
- Сервер делает вид, что атака удалась, а затем атакует противника. Обратная атака может быть фишингом, чтобы украсть пароль атакующего (просто вежливо его попросив или притворившись SUDO-приглашением атакующего, а затем, возможно, подключившись по SSH обратно), запутыванием атакующего, чтобы заставить его раскрыть свой настоящий IP (печатая несуществующие коды ошибок, которые он будет гуглить и читать о них в поддельном мануале). Ещё пример: у вас есть настоящий SSH, скрытый с помощью port knocking (см. https://en.wikipedia.org/wiki/Port_knocking), и поддельный SSH-сервер, отвечающий на стандартном порту. Поддельный сервер может делать многое: давать атакующему ложную информацию, раскрывать ложные сетевые детали и предоставлять поддельные инструменты для всего описанного выше.
- Сервер усложняет брутфорс, брутфорся в ответ. Сервер может использовать те же данные, которыми его брутфорсили, для такого ответа.
- Сервер усложняет подключение к себе, запуская DDoS-атаку на клиент атакующего.
- На сервере есть кастомные VIM-скрипты, которые могут запутать неавторизованного человека, сделав использование VIM невозможным (это случилось со мной, только я был авторизован, а мой коллега поставил свои VIM-скрипты на сервер, сделав VIM непригодным для меня. Я люблю VIM).
- Можно использовать робота, чтобы физически отключать сервер от сети во время простоя
- Поддельный сервер можно подключать во время простоя
- Робота можно запускать по подозрительным действиям на сервере
- Машинное обучение (точнее, обучение) можно использовать для идентификации атакующего (просто по набору команд терминала, выполняемых на сервере). И снова его можно физически отключить роботом.
- Хорошо, вместо робота можно просто использовать файрвол или балансировщик, но робот просто забавнее
- Сетевые характеристики атакующего можно использовать для его идентификации
- Сервер может распознать бот-DDoS и попытаться использовать похожие уязвимости, что применялись для угона ботов, но вместо угона — чтобы вылечить бота, запустив антивирусную атаку: развернуть и запустить антивирус на боте, атакующем сервер. Чтобы это оставалось на светлой стороне — я предполагаю, что мы лечим только ботов/компьютеры, принадлежащие стороне защиты.
- Сервер может запутать атакующего, выводя непонятное SSH-сообщение, притворяясь холодильником или чем-то ещё, что также может вести атакующего к специально подготовленным man-страницам или чему-то подобному в интернете
- Сервер может периодически сообщать, что он знает о ваших нехороших делах и что ГРУППА вас проверяет. Даже если никакой ГРУППЫ вообще нет.
- Сервер может лгать атакующему, притворяясь поддельным. Лгать нормально, особенно когда кто-то пытается вас ограбить.
и
- Также можно изредка выводить S̯̯̺̥̘̫͓̬̟͎͡C̶̈́A̎ͮ͐RͯY UNICODE MESSAGES (страшные искажённые символы) — в духе оригинала.
Изначально опубликовано на Medium: https://medium.com/@nettsundere/funny-approaches-to-the-computer-security-365d331ba2ec