To jako že když se někde něco stane a je vlastně úplně jedno co, tak to musím reportovat - aby měl celý svět jasno o tom, co se vlastně stalo.

 

Takže když nějaký ruský hacker, který bude chtít rozbít v USA či Haagu nějaký server a použije k tomu botnet (nezabezpečené či špatně zabezpečené počítače běžných uživatelů připojených k internetu napadených automatickými zlobidly vytvořených tímto hackerem) a půjde to přes síť ISP a bude to zaregistrováno a hacker si v tu nejblbější chvíli půjde uvařit kafe a bude to hacker po lobotomii a naopak na straně carriera bude top tier white-hat (něco jako Ronaldo ve fotbale), tak možná o tom vznikne report.

 

Ten report je informace, kde se píše z jaké IP se toto stalo, na kterou IP se útočilo a kdy se tak stalo. Také se tam připojí i nejspíš způsob útoku a nejspíš styl útoku.

 

Takže v reálu vím, že to šlo z CGNATu ( to je jedna IP, za kterou je třeba 10 000 klientů, kteří nemají svou veřejnou IP adresu - vlhký sen všech hackerů)

Šlo to na nějakou IP adresu, směrovače, kde je aktivní fw a tedy útok byl sice možná směrovaný, ale naprosto neúčinný.

 

Jako čas uvede ten White Hat interval 1 minuty, což pro logy CGNatu je asi na 10 minut práce hledání - nekecám, při větším CGNatu klidně i 30 minut.

No a protože jde o útok lobotoma hackera, tak ten útok je zřejmý direct, obsahující škodlivý kód, pak kód toho robota, který se v dané napadené sítě rozšíří jako socdem v lihovém domě a nejlépe indície pro vystopování lokality toho lobotomického hackera.

 

A to je ta pohádka, která ale nefunguje.

 

99.9 % jsou "útoky" typu - scan port. Někdo, nebo ještě lépe něco se zeptá, jaké porty jsou na té IP dostupné.

 

To je vše, není tam nic víc.

Takže když se chci podívat na konkrétní IP, zda má mail, pošlu nmapem dotaz na konkrétní port a buď se vrátí odpověď, nebo ne.

Pokud je to doména, můžu kouknout na mx záznam, ale to už je vyšší dívčí, nad rámec tohoto brekotu nad zbytečně rozlitým čajem (mléko nepiji)

 

0.09% jsou tzv. penetrační a další znásilňující testy různých společností, které se baví či živí tím, že zkoušejí, jak je která síť bezpečná.

 

A víte co?

Navzájem reálně moc neřeší, zda již někdo daný subjekt testoval a zda o to vůbec stojí.

 

Takže se může stát... k čemu to přirovnat... hm, např. když policie v neoznačeném voze jede na dálnici 80 a brzdí tím provoz a když chcete předjet, přidávají až na max. povolenou rychlost, aby poté mohli zapnout maják... ne, takto přímo to není, ale navzájem si prostě vytváří incidenty.

 

A to až 10x více, než jsou skutečné útoky.

 

Takže 0.01%, což pokud se nepletu je desetina promile, jsou reporty vytvářené buď z důvodu, které jsou prakticky zbytečné, nebo vytvářené samotnou ochrannou sítí.

 

 

Takže reálný příklad - píše CSIRT muni.

 

Akademický csirt team jedné nejmenované vysoké školy.

Posílá report, kdy někdo - a teď se podržte - aktivně poslal scan na jednu IP.

Jeden dotaz, bez payloadu, bez další sekvence útoků, bez opakování. Čas útoku?

No plus mínus 10 minut.

 

Takže po cca 100 minutách, kdy procházím cgnat po minutách, nacházím informaci, že přes ten cgnat se ptal člověk, který má kontaktní email obsahující ono muni.

Akademik, který zjevně testoval, jestli to funguje.

 

 

Za každý takový report se připočte určitá forma score a na základě tohoto score je pak vyplácena odměna z grantů na síťovou bezpečnost.

Ano, i za report bez reálné hrozby.

 

Takže za mě 

 

Zase jeden balast report jednoho scanu na IP bez payloadu. Ale Muni si může připsat číslo pro další dotace a reálná kyberbezpečnost může zase o krůček padnout na tlamu. Uzavírám.

Ano, tento truc uzavírám, protože můj pohled na věc má stejnou relevantní hodnotu, jako ten report.