Il segreto della felicità è la libertà. Il segreto della libertà è il coraggio. "- Tucidide. Θουκυδίδης, Thūkydídēs -Atene,ca. a.C. 460 a.C.- dopo il 440 a.C. -

martedì 9 maggio 2017

Analisi di un funzionamento del contatore di intelligence informatica: come Macron appena cambiato per sempre la sicurezza informatica

traduzione di un blog quale documento di rilevante importanza come analisi. originale leggibile al seguente indirizzo: 
https://hackernoon.com/analyzing-a-counter-intelligence-cyber-operation-how-macron-just-changed-cyber-security-forever-22553abb038b

Analisi di un funzionamento del contatore di intelligence informatica: come Macron appena cambiato per sempre la sicurezza informatica

Fonte immagine: https://acculturated.com/daily-scene/spy-vs-spy/

Fino ad oggi ho potuto solo guardare in alto verso la Russia (se sono d'accordo con loro o no) per lo svolgimento di operazioni di informazione avanzate in informatica. Ora, posso guardare fino a Macron e i professionisti della sicurezza anonimi dietro di lui e li ammiro. Infine, qualcuno utilizza il cyber inganno per battere gli attaccanti al loro stesso gioco. Io non sono solo, e la Cymmetria https://cymmetria.com/ delle idee è stata rivendicato ancora una volta.https://cymmetria.com/patchwork-targeted-attack/.

Andiamo rapidamente su quello che è successo, e quindi analizzare il funzionamento e perché è così ... beh, fresco.

Importante: Non sappiamo molto in questa fase, così ho assumeremo un sacco. Durante la lettura della storia perche non tutto potrebbe essere un inganno elaborato, e mai successo.

Ma ricordate, indipendentemente da ciò che è realmente accaduto, una delle principali lezioni della sicurezza informatica  https://hackernoon.com/the-first-internet-war-in-estonia-the-postmortem-i-wrote-10-years-later-72040f53620e, come appreso in Estonia un decennio fa e infinite volte da allora, è che ciò che la gente percepisce le cose tanto se non di più di quello che i dettagli tecnici di ogni attacco può avere effettivamente.
E che inoltre, gli attacchi hanno uno scopo. La motivazione può essere politica o altro, ma devono essere analizzate nel contesto.

Inoltre, come mostrato in questa analisi, il potere di cyber inganno è in aumento dei costi degli attaccanti. L'onere di rilevamento delle anomalie, cercando di capire che cosa è reale e cosa non lo è - è ora su di loro. Alcuni documenti falsi uccisi l'hack elezioni. attaccanti future dovranno vagliare i dati. inganno Cyber ​​infligge costi economici su attaccanti.

NOTA: Significativo aggiornamenti su questo post saranno contrassegnati con [Aggiornamento].

Ciò che è accaduto presumibilmente
Poco prima delle elezioni francesi, la notizia ha colpito a lungo atteso. Emmanuel Macron, candidato alla presidenza della Francia, ha subito una violazione dei dati e i dati sono stati scaricati per il pubblico per scaricare.
Secondo questo articolo, che io cito  http://www.thedailybeast.com/articles/2017/05/06/did-macron-outsmart-campaign-hackers:

Nelle ultime ore prima della mezzanotte del Venerdì, poco prima di un black-out campagna imposto dalla legge elettorale francese in vista del voto cruciale di Domenica, qualcuno ha scaricato nove gigabyte di email e documenti presumibilmente trafugati dalla campagna di leader candidato alla presidenza Emmanuel Macron.

Macron ha imparato le lezioni della campagna Hillary Clinton, e subito ha preso il controllo della messaggistica e PR:

Letteralmente alla ore 11, prima del blackout sarebbe tacere, la campagna Macron ha rilasciato una dichiarazione dicendo che era stato violato e molti dei documenti che sono stati scaricati sul sito americano 4chan e ri-pubblicato da Wikileaks erano falsi.

Chiamando i documenti in questione [Aggiornamento]
Wikileaks nella loro dichiarazione https://twitter.com/wikileaks/status/860638153471918081 dubitavano capacità di Macron di andare oltre i documenti in modo veloce, ma non aveva importanza. Quel racconto controllava il ciclo di notizie brevi. Macron in dubbio i rapporti e ha mostrato leadership, in realtà fornendo dati ai giornalisti che avrebbero potuto utilizzare per scrivere le loro storie. Che di per sé è una lezione per il futuro.
Se tutto Macron ha fatto è stato dubbio tiro sulla validità delle fughe di notizie, che è già una vittoria potente. WIKILEAKS stessi gettato dubbi https://twitter.com/wikileaks/status/860855087165571073 sulla fonte:
#MacronLeaks  https://twitter.com/hashtag/MacronLeaks?src=hash aggiornamento valutazione: diversi file di Office hanno metadati cirillici. Chiaro se in base alla progettazione, incompetenza o dipendente slava.
C'erano poche tali documenti contrassegnati, il tutto da un periodo di tempo limitato. Indipendentemente - hanno servito il loro scopo nelle timeline per assistere Macron nella sua risposta alle crisi PR.

L'efficacia di alcuni documenti falsi solitarie [Aggiornamento]
Marine Le Pen ha iniziato a fare uso di PR di “tutte queste e-mail schiaccianti”, quando alcuni dei documenti sono stati visualizzati come ridicola, che ha smesso di breve. Alcuni dei documenti del dump dei dati erano falsi evidenti, e iniziarono a nascere più di social media francesi.
La creazione di documenti falsi che sembrano reali, a scala è difficile. Questo caso ci mostra non abbiamo necessariamente bisogno di.
In effetti, la prossima volta che un attore minaccia tenta questo, essi possono avere per vagliare tutti i dati prima. inganno Cyber ​​aumenta il costo dell'attaccante, spostando l'economia della sicurezza informatica e cambiando così l'asimmetria tra attaccante e difensore.

L'adozione di misure attive
Questa analisi tuttavia manca un aspetto critico di ciò che sarebbe potuto accadere. Una possibile operazione false flag probabilmente da Macron, forse da qualcun altro.
Questo è dove si fa veramente interessante.

Ah, ma qui sta il problema. Come riportato da The Daily Beast, parte della strategia della campagna contro Macron Fancy Bear (noto anche come Pawn Storm e Apt28) è stato quello di firmare per le pagine di phishing e impianti informazioni false.

“Si può inondare questi indirizzi [phishing] con password multiple e di log-in, quelli veri, quelli falsi, in modo che le persone che stanno dietro li usa un sacco di tempo a cercare di capire fuori,” Mounir Mahjoubi, il capo della squadra digitale di Macron , ha detto al Daily Beast per la sua precedente articolo su questo argomento.

Così la gente di Macron, e in particolare Mounir Mahjoubi, che voglio fare in modo e incontrare un giorno, sostengono di aver alimentato APT28 dati falsi in una “controffensiva”. Forse hanno' forse non hanno. Forse hanno fatto qualcosa di completamente diverso. Forse non era loro.

Indipendentemente da ciò, la loro vittoria PR come indicato sopra - pianificato o meno - con o senza informatica, era nella borsa.

Supponendo che c'è stato un attacco, e che questo era in realtà APT28, e quindi che questo commento di Mr. Mahjoubi (o chissà chi) non piantare una bandiera falsa, solo, a rendere di Macron PR aspetto più autentico accusando l'ormai famigerata Fancy Orso, poi sotto questa ipotesi possiamo vedere che Macron preparato per questo in anticipo, ha studiato l'avversario ad attaccare i suoi sistemi, e ha proceduto a passare i documenti falsi. Ebbene, impressionante!

Il commento sul phishing è un po 'strano tecnicamente. Mi sarei aspettato loro di alimentare l'exfiltration in sé, o eseguire le e-mail di phishing sui computer hanno preparato. Ma hey, è un articolo corrente principale quindi cerchiamo di dare loro il beneficio del dubbio - per ora. Non possiamo aspettarci accuratezza tecnica.

Alcuni ulteriori informazioni tecniche si possono trovare in questo articolo http://resistancereport.com/news/frances-macron-defeated-russian-hackers-one-simple-trap/(citato in basso), che getta luce su ciò che è stato fatto. Simile, si può notare, per la tecnica di alcune banche utilizzano per contrastare gli attacchi di phishing regolari (al contrario di sprearphishing), semina i siti di phishing con false credenziali potessero monitorare per l'accesso.

La campagna Macron, come Clinton, è stato spesso preso di mira da attacchi di phishing che inviare e-mail con i link alle copie di credibile dall'aspetto schermi di log-in con sottili differenze negli indirizzi web come l'utilizzo di punti piuttosto che trattini, ecc “Se velocità di lettura l'URL, non è possibile fare la distinzione “, ha detto Mahjoubi.

Mahjoubi descritto il finto pagina di accesso come “pixel perfetto”, e una volta che un utente accede, gli hacker sarebbe quindi avere accesso a tutti i messaggi di posta elettronica dell'utente.

“Ogni settimana inviamo alla squadra screen-catture di tutti gli indirizzi di phishing che abbiamo trovato durante la settimana”, ha spiegato Mahjoubi.
Ma il vero genio è nel modo in cui la squadra di Mahjoubi utilizzato le tecniche degli hacker contro di loro.

“Si può inondare questi indirizzi con molteplici password e log-in, quelli veri, quelli falsi, in modo che le persone che stanno dietro li usa un sacco di tempo a cercare di capire fuori.”

Questo ci dice una cosa con chiarezza, anche se noi non comprendiamo quello che la squadra ha fatto di alimentare APT28 / Fancy Orso disinformazione, è chiaro che hanno tentato di rallentarli somministrando loro credenziali false. Questo potrebbe potenzialmente anche la mancia mano dei difensori, a seconda del loro obiettivo strategico. Negate i dati attaccanti? Non si interrompe la loro capacità di condurre operazioni? Ti forse conseguenze sul loro attendibilità? Questi non tutti necessariamente supportano l'un l'altro.

Prendendo l'attività di disinformazione in considerazione, una cosa Wikileaks manca nella loro Tweet sopra, è che se la gente di Macron seminate exfiltration di APT28 con i propri documenti, che potrebbe significare anche piantato falsi bandiere con il cirillico, e che questo non era solo un guasto OPSEC da parte della presunta dell'attore minaccia russa (qualcuno pianificato male, o semplicemente fatto un errore), o un dipendente di Macron di chi usa una tastiera cirillico.

Indipendentemente da ciò, i falsi evidenti nella discarica di dati sono stati sufficienti per raggiungere l'obiettivo strategico di ridurre successo del dump dei dati.

Il mio takeaway principale? Al di là di eccitazione?

inganno Cyber ​​infligge costi sulla attaccante, spostando l'economia della sicurezza informatica e cambiando così l'asimmetria tra attaccante e difensore. L'onere di rilevamento delle anomalie, cercando di capire che cosa è reale e cosa non lo è, è ora su di loro.

Altre take away:


  • La sicurezza informatica è stato sulla difensiva per un tempo molto lungo. Infine vedendo la gente pensa come me e prendere il controllo del campo di battaglia, non solo seduta e in attesa per gli avversari per bypassare le nostre difese statiche, ma con molto proprio metodologie prevedibili degli attaccanti e mo contro di loro è molto eccitante.

  • Se davvero è successo come descritto, questa è la prima pubblica (!) E che presto saranno famoso tentativo di controspionaggio contro una campagna di cyber di propaganda, lo scopo di influenzare la politica di una nazione e delle politiche (contatore Maskirovka può anche essere doppiato, o Maskirovka contatore strategica).

  • Abbiamo avuto nessun vero successo o molto più di un idea di come contrastare la guerra delle informazioni o come si chiama ora, guerra informatica. O anche “notizie false” per quella materia. Il fatto stesso che può essere accaduto mi autorizza come difensore e mi stimola ad andare avanti. La scorsa settimana ha segnato 10 anni per l'incidente Estone ( “prima guerra di Internet”) e ho scritto una storia in particolare su questo tipo di propaganda che interessano interi paesi, popolazioni, e le elezioni: https://securityledger.com/2017/04/estonia-10-years-later-lessons-learned-from-the-worlds-first-internet-war/
  • Il modo in cui hanno fatto questo è l'inganno di cyber. Il mio molto proprio avvio Cymmetria offre MazeRunner (disponibile in una versione gratuita), una piattaforma informatica che consente inganno proprio questo - il controllo del campo di battaglia e le informazioni degli attaccanti. Se siamo in grado di controllare le informazioni il nostro avversario raccoglie su di noi, siamo in grado di controllare il proprio processo decisionale (influenzare il loro ciclo OODA). Potremmo allora influenzare dove vanno e come si comportano, li rilevano presto, e li neutralizzano.

  • Questa storia è pubblico. Ci possono essere storie molto più interessanti là fuori. E, dubito seriamente quelli dietro si erano interessati al funzionamento diventare di pubblico dominio (se è effettivamente accaduto, e come descritto). Qualcuno deve essere una brutta giornata. Potrebbe anche essere che non è uno dei pochi “probabili sospetti” che avrebbe la capacità di creare una simile operazione, ed è infatti la prima volta che questa squadra ha fatto, come cosa, e in tal caso dovrebbe essere applaudito , indipendentemente dalle implicazioni OPSEC per la capacità di farlo di nuovo ora che è pubblico.

  • Questo essere (uno dei primi?) La prima volta che una tale operazione è stato montato al pubblico, alcuni degli strumenti dei difensori può aver lavorato in dispetto di eventuali guasti OPSEC potenziali e gli obiettivi strategici conflittuali. Ciò non significa che non dovremmo apprezzare il loro lavoro, imparare da esso, e di adattarsi. L'altro lato avrebbe fatto. Guarda il mio colloquio con Inbar Raz su APT evoluzione OPSEC: https://www.youtube.com/watch?v=GbpJhoYngMo

Ricorda: Non sappiamo molto in questa fase, quindi questo post ha un sacco di ipotesi.

Analisi nel contesto politico [Aggiornamento]

Una cosa rimane chiara. La sicurezza informatica, molto simile a qualsiasi altro strumento o arma, i server una politica o di scopo strategico. E spesso non presentarsi come una motivazione di per sé, e deve essere analizzata in questo contesto. In prossime elezioni, pensa - chi può avere interesse in loro interruzione, e perché?
Proprio come recentemente per M & A di sicurezza informatica acquisizioni è ormai diventata una causa problemi di diligenza, i bilanci delle elezioni ora includere una clausola di sicurezza informatica.

risorse
È possibile trovare e scaricare gratuitamente community edition di Cymmetria della sua piattaforma informatica inganno, qui:
https://www.cymmetria.com/

Si consiglia inoltre di esaminare la distribuzione ADHD, qui:
http://www.blackhillsinfosec.com/?page_id=4419

promemoria Legale [Aggiornamento]
Non ho idea di che tipo di supporto legale e coprire la squadra di Macron aveva, ma si dovrebbe beneficiare dell'assistenza legale prima di fare qualsiasi cosa come hanno fatto. A Cymmetria facciamo in modo di non impegnarsi attivamente l'attaccante esattamente per evitare problemi legali. Se fai qualcosa che può avere implicazioni legali, è necessario assicurarsi e ricevere una consulenza legale prima di farlo.

Infine , alcuni di noi hanno discusso questo argomento per un po 'di tempo su Facebook in un piccolo gruppo. Partecipa se siete interessati: https://www.facebook.com/groups/949960748352854/

Un periodo molto emozionante!
Gadi Evron.
(Twitter: @gadievron )