(autor Alessandro Rugolo) Ka sel aastal peetakse Tallinis (kuid tegelikult kogu Euroopas) nagu tavaliselt maailma suurim küberõppus: Locked Shield. Kasutades eelmiste harjutuste teavet ja tehes minimaalselt OSINTi, vaatame, millele võiks see keskenduda.
Mida me teame?
- me teame, et eelmisel aastal toimus see harjutus aprillis 24 ja 28;
- me teame, et vahel 15 ja 17 järgmise aasta mais toimub workshop pealkirjaga "Lukustatud Shields kohtumeditsiini Challenge", kus nad arutavad kasutamise tulemustest ja esitab võimalikud lahendused kohtuekspertiisi aspektid.
- me teame, et eelmisel aastal olid kuupäevad enam-vähem sarnased.
Sest üks asi, hoolimata pole veel ametlik uudisteagentuur, ma eeldan, et harjutuse läbi samadel kuupäevadel, ilmselt vahel 23 ja 27 aprillis või äärmisel juhul järgmisel nädalal.
Et mõista, mis keskenduvad Viitan teemasid, mida arutatakse "kohtumeditsiini Challenge", mis on juba olemas, kuigi väga üldine ja suuremaid väljakutseid, et küberkuritegevuse maailmas on silmitsi viimase aasta.
Vaatame, kas analüüsist selgub midagi kasulikku. Ajavahemikus 15. – 17. Mai "Locked Shields Forensics Challenge" raames käsitletakse järgmisi aspekte:
Pahatahtliku liikluse analüüs
Ntfs-failisüsteemi analüüs
Failanalüüs
Erinevad OS-i artefaktid analüüs
Kasutaja käitumise analüüs
Malware'i identifitseerimine.
Kuigi aasta jooksul oleme silmitsi järgmiste põhiprobleemidega:
- NotPetya ja WannaCry;
- Spectre ja Meltdown.
Uute ohtude hulgas leiame järgmist:
- WannaCry, Spectre ja Meltdown võimalikud variandid;
- "Ghostly Cryptomining" rünnakud;
- pilve häkkimine;
- sotsiaalse inseneritaktika;
- uus teenusetõkestamise rünnakute taktika;
- liivakasti haavatavus;
- Doppelgamise protsess.
Uute tehnoloogiate seas on meil selle asemel:
- quantum computer ja quantum krüptograafia;
- digitaalne identiteet plokkkaanil;
- IoT.
Euroopa esercitativo stseeni ei leidnud midagi internetis, kuid on tõenäoline, et süsteem on kaitsta rahva suurus süsteem, mis kasutab tuntud tehnoloogiate pilvepõhise ja ehk digitaalse identiteedi ja criptomoneta kohta blockchain. Ei oleks üllatav, kui võrgus leiti ka üldiseid seadmeid (IoT), mis on teadaolevalt mitte ohutu.
Nüüd, pannes eespool süsteem võib teha oletusi selle kohta, kuidas see võib paljastama ja kasutamise teatud tüüpi rünnakud, et Blue meeskond võiks nimetada näkku.
Esiteks, nähes, et mais toimuval „Kohtuekspertiisi väljakutse“ istungil on kirje „kasutajate käitumise analüüs“, paneb mind mõtlema, et rünnak algab sisemistelt kasutajatelt, võib-olla nakatunud pahatahtlikku koodi sisaldavate e-posti manuste kaudu. Seepärast peavad sinised meeskonnad keskenduma kasutajate ja seadmete käitumise analüüsile (IoT).
Tõenäoliselt võib pahavara kasutada 2017i lõpus süstimistehnikat, mille nimi on Process Doppelgating, mis oleks õigustatud ka failisüsteemi NTFS analüüsi tegemiseks.
Ründaja viimane eesmärk võiks olla hõivatud hajutatute kaevandamistegevuste kaudu jaotatud arvutusvahendite hankimiseks.
Loomulikult pole see kõik vaid spekuleerimine, mis põhineb väga vähesel kättesaadaval teabel. Üks asi on kindel, varsti toimub harjutus, seejärel taas Cyber välja väheneb Blue Teams ja punased võistkonnad.
