Материал просмотрен 167 раз(а)

Не всегда атаки хакеров на крупные сервисы идут гладко. В схватку включаются как программы, так и живые люди. Сисадмины – понятно, но есть ещё и другая группа. Я позволил себе обозначить род их деятельности как ARTU (Active Response Team Unit). Для начала несколько слов.

ART

Представьте себе ситуацию.
Некая группа хакеров взламывает корпоративную сеть крупной компании, заботящейся о своей информационной безопасности. Предположим, что уровень хакеров различный, от новичков до достаточно высоких и они достигают определенного уровня успеха.

Грамотно настроенная система пассивной безопасности отсекает уже на подступах к крепости. Попытки просканировать открытые порты хостов сети пресекаются самостоятельными системами вроде PortSentry и более интеллектуальными сородичами. Попытки перебора паролей наталкиваются на сервисы вроде Fail2Ban. Хакеры-новички отсеиваются на этом этапе. Ни одна живая душа ещё не знает об этих жалких попытках, всё происходит в автоматическом режиме. Ещё бы, обращать внимание на каждый скан – просто никакого времени не хватит. Ну да ладно, треть мы отсеяли.

hack_team

Остались только более осторожные и компетентные взломщики. Предположим, что удалось обойти всю автоматику и оказывать более настойчивое воздействие на систему. Здесь уже за дело берётся система обнаружения вторжений IDS или система предотвращения вторжений IPS. Наиболее популярна, на мой взгляд Snort (статьи пока нет) и Tripwire. Надо сказать, что подобные системы в случае обнаружения серьезных аномалий посылают алерты админам, которые тут уже обратят внимание на хакеров. Как минимум – письмо хостеру узла, с которого ведется атака с приложением лога.

Будьте уверены, на систематические уведомления подобного рода провайдер отреагирует. Бота можно потерять. В лёгком случае админ закроет всю подсеть, остановит проблемный сервис, изолирует окружение. Для хакера это будет тупик, для админа – несколько команд, а то и готовый скрипт, припасенный на случай подобной ситуации.

Здесь отсеивается подавляющее большинство. Но некоторые остаются. И если они будут настойчивы или пробивают защиту админов – здесь уже вступает группа активного реагирования ART. По сути это такие же хакеры, только не скованные рамками инфраструктуры. У них своя сеть. Все ресурсы. Как правило в этой команде квалифицированные пентестеры, способные найти чужие ошибки достаточно легко. Это пол беды. Основные проблемы у хакера начинаются, если в команде ART оказываются BlackHat-хакеры. Со своим набором инструментов и методик, эксплоитов нулевого дня, а так же большим опытом в применении всего этого оружия.

Если хакеру не удастся достаточно быстро вывести ART из строя (бывает и такое) и они вступают в игру, то хакер вероятнее всего потеряет хост, с которого вел атаку. В этом случае, если площадка была не достаточно вылизана, то против хакера будут найдены улики в логах хоста и тот может немного испортить себе будущее.. Как-то так.