чение предлагает возможность прекратить отправку журналов, то угрозы нет. Тот же эффект может быть вызван вмешательством в программное обеспечение, DNS или маршрутизацию.
Передача журналов может быть атакована, скажем, с помощью правил брандмауэра. В момент передачи журналы атакуются либо неожиданным MITM, вставленным злоумышленником, либо программным обеспечением, встроенным в путь, например брандмауэром веб-приложения или шлюзом API. Эти атаки могут быть преднамеренными, со стороны кого-то, кто захватил такую систему, или случайными, поскольку они «услужливо» изменяют сообщения. Приемник журнала может быть перегружен входными данными, поэтому он не фиксирует сообщения. Кроме того, хранилище журналов может быть перегружено. Это зависит от дороговизны хранилища, поэтому чаще встречается в дешевых устройствах, чем в более крупных системах. Конечно, если вы храните достаточно данных, дисковое пространство в конечном счете становится дорогим.
Атаки через журналы
Полезные журналы содержат большое количество данных, предоставленных посторонними лицами, небольшая часть которых является злоумышленниками. Данные в журналах часто находятся в необработанном виде – протоколирование очищенных или канонизированных данных ограничивает полезность журнала. Мы часто забываем относиться к журналам как к враждебным.
Семейство атак log4shell заключалось в том, что популярная библиотека синтаксического анализа журналов Java могла вызвать произвольную процедуру обработки, и это было настройкой по умолчанию. Скорее всего, это еще довольно долго будет каноническим примером атак через журналы.
Некоторые другие примеры атак, которые происходят через журналы, включают попытки входа в систему как root или /table. Они могут использовать обратный апостроф для вызова командной оболочки, или команды, или терминаторы строк (`; \0), которые приводят к тому, что следующие символы читаются как новая команда. Еще одним мощным вектором атаки является анализатор регулярных выражений regexp – регулярное выражение с обратными ссылками или сложными соответствиями замедляет синтаксический анализатор регулярных выражений. Каждый этап процедуры обработки журнала (часто это последовательность shell-скриптов) может подвергнуться атаке. Более подробное обсуждение этих вопросов см. в главе 8 «Распознавание и порча», но помните, что журналы радиоактивны по своей природе: они полны данных, на которые повлияли злоумышленники, и, возможно, личных данных.
Атаки через системы реагирования
Люк Скайуокер бросает свои джедайские тренировки, когда чувствует, что его друзья в опасности. Многие из нас отдали бы свою правую руку за систему обнаружения, которая так тонко настроена, но здесь я хотел бы сосредоточиться на злоупотреблении Дартом Вейдером системой реагирования. Люка обманом заставляют действовать так, как планировал Вейдер, и это является проблемой для многих систем реагирования.
Мы также должны подумать о том, как атаки передаются по журналам в системы анализа и представления и как можно автоматически запускать средства защиты в ответ на действия злоумышленников. Например, мы можем удержать продавцов от покупки фальшивых восторженных отзывов о себе, закрыв их аккаунты. Если мы это сделаем, те же самые компании будут просто покупать фальшивые восторженные отзывы для своих конкурентов, подталкивая нас к закрытию аккаунта этого конкурента. Естественно, этот конкурент опровергнет отзывы и скажет, что понятия не имеет, как они туда попали. В этом случае платформа обнаруживает (опровергает) ложный отзыв и реагирует закрытием аккаунта продавца (отказом от отношений).
Социальные сети и другие компании-платформы сталкиваются с потоками атак через свои линки «Сообщить о проблеме». Они часто являются реакцией на непопулярные или даже предосудительные вещи, которые люди говорят или делают на этих сайтах или где-либо еще, но иногда они используются, чтобы сообщить о проблеме, когда кто-то привлекает внимание к этому первому оскорбительному заявлению. Системы управления авторскими правами также подвергались атакам со стороны людей, играющих музыку, защищенную авторским правом, так что видео, снятые с их участием, были удалены. Одним из первых примеров, который привлек внимание общественности, был полицейский, игравший музыку «Битлз».
Для посредников, таких как интернет-магазин или платежная система, реакция на атаки с целью отказа обычно включает в себя либо увеличение комиссии, либо прекращение отношений. Компании, выпускающие кредитные карты, увеличивают комиссию (и часто требуют ручных усилий) для продавцов с аномально высоким уровнем возвратных платежей. Деловые отношения также могут быть прекращены или свернуты. Это может быть закрытие какого-то магазина на Amazon, запрет на распространение через Apple AppStore или более личное закрытие аккаунта Gmail.
Любую систему реагирования можно обмануть, и системы реагирования часто держатся в секрете, что приводит к ситуациям, которые справедливо можно описать как оруэлловские. Люди, которые нарушают ваши правила, намеренно или нет, злонамеренно или нет, могут использовать социальные сети или новостные агентства, чтобы атаковать ответы вашей системы отказа. Этого достаточно, чтобы даже у дроида закружилась голова.
Отказы в специфических технологиях
Хотя отказ часто начинается с того, что люди что-то говорят, конкретная природа систем может влиять на то, как он будет развиваться. Здесь уместно отметить, что, по мере того как мир все больше и больше контролируется алгоритмами, также возможно, что отказ может быть инициирован ботом, управляться ботами и никогда не будет замечен человеком, который должен обратить на него внимание.
Некоторые устройства, такие как камеры видеонаблюдения, могут предоставлять информацию, на основе которой можно подать заявление об отказе. Мы склонны доверять видео, но дипфейки становятся все проще, и, если цель состоит в том, чтобы показать украденную посылку, может оказаться разумным скрыть лица. Поэтому ищите реальное видео, демонстрирующее фальшивую кражу, чтобы подкрепить мошенническое заявление об отказе. (Я могу попросить друга выйти на мое крыльцо, забрать дорогой пакет и уйти. Затем я отправлю видео с камер наблюдения продавцу, чтобы показать, что посылка была украдена, и попросить вернуть деньги. В видео показаны все факты и нет никаких мотивов или связей.)
Устройства будут подвергаться атакам, чтобы либо поддержать, либо предотвратить отказ. Если я думаю, что некоторое устройство ведет журналы локально, возможно, его уничтожение помешает когда-либо обнаружить эти журналы.
В более общем случае недорогие IoT-устройства обычно имеют более простые пользовательские интерфейсы, чем традиционные компьютеры. У человека возможность отказаться, сказав «Я не хотел этого делать», выше, а возможность покопаться в журналах (для обычного человека) ниже.
Вопрос целостности журналов и доступности для конечных пользователей раньше был более серьезной проблемой для крупных поставщиков облачных услуг IaaS, и она все еще может возникать у более мелких. С поставщиком SaaS вы можете получить или не получить нужные журналы, поэтому важно проверять, что вы получаете достаточное количество журналов для своих нужд. Вам также нужно понимать, как долго хранятся эти журналы.
Облачные сервисы могут предоставлять «стороннюю» аттестацию того, что они видели в определенное время. Если вы доверяете им, поскольку они строго выполняют обязательства, вам следует подумать о том, что произойдет, если компания, предоставляющая такие услуги, обанкротится или даже изменит свою бизнес-модель. Например, если все ваши контракты хранятся в DocuSign и цена на них увеличивается в четыре раза, нужно ли вам продолжать платить им, чтобы получить доступ к этим проверенным подписям? (Я полагаю, что они добавляют криптографическую подпись к PDF-файлу и блокируют документ, чтобы предотвратить редактирование.) Возможно, их конкуренты делают то же самое, и важно, чтобы вы знали об этом.
Один из лучших аспектов систем машинного обучения заключается в том, что они могут находить скрытые закономерности и удивлять вас своими идеями и готовностью выбирать случайные корреляты того, что вас интересует. История о том, как ИИ научился обнаруживать танки, основываясь на их фотографиях на травяном поле, вероятно, является апокрифической (от нее стоит отказаться), но она отчасти правдива в том смысле, что мы все подозреваем, что системы машинного обучения иногда ведут себя странно.
Это подозрение делает ИИ козлом отпущения за необъяснимые, неловкие или трудно объяснимые иным образом систематические ошибки. К сожалению, до тех пор, пока системы машинного обучения не разовьют способность объяснять себя, эта тенденция, скорее всего, сохранится. Таким образом, утверждение «Искусственный интеллект заставил нас это сделать» является «прекрасной» возможностью отказа организации от ответственности.
На более технологическом уровне мы не можем предсказать, что должны делать системы; обновления моделей могут быть сделаны вне более строгих процессов разработки программного обеспечения, и мы не можем сказать, были ли файлы в модели теми, которые мы планировали. Эти потенциальные проблемы фальсификации усугубляют отказ.
Криптографические инструменты, включая цифровые подписи, коды проверки подлинности сообщений и хэш-деревья, могут предоставить исключительно убедительные доказательства того, что ничего не было подделано, и, таким образом, поддержать свойство безопасности – невозможность отказа (non-repudiation). Какими бы хорошими ни были эти технологии, они сильнее, когда взаимосвязаны, и это является ключом к такому аспекту блокчейнов, как распределенный реестр.