Để Nhận Diện Một Tin Tặc, Xử Lý Họ Như Một Kẻ Trộm

Tưởng tượng một ai đó cướp nhà bạn. Tên tội phạm tinh tế không để lại dấu vết vân tay, dấu giày hoặc bất kỳ chi tiết cụ thể nào để xác định. Tuy nhiên, cảnh sát có thể liên kết tội ác với một loạt các vụ trộm xảy ra ở thị trấn kế cận, dựa vào hành vi của tên tội phạm. Mỗi vụ trộm diễn ra theo cách tương tự, và trong mỗi trường hợp, kẻ thực hiện đã đánh cắp nhiều món đồ giống nhau. Bây giờ, nghiên cứu mới cho thấy rằng các kỹ thuật mà cảnh sát sử dụng để liên kết các tội ác thông qua các mô hình hành vi có thể hữu ích trong thế giới số.

That's a big deal: One of the most difficult tasks for cybersecurity researchers is determining who was behind a breach or coordinated attack. Hackers deploy a trove of tools to cover up their tracks, which can obfuscate important details like their location. Some cybercriminals even try to plant "false flags," purposely left clues that make it appear as though someone else was responsible for a breach.

Đôi khi, một hành động độc hại chỉ được xác định chắc chắn vì họ mắc lỗi. Guccifer 2.0, nhân vật tin tặc Nga nổi tiếng ngày nay, được bật mí một phần vì họ quên bật VPN, tiết lộ địa chỉ IP tại Moscow của họ. Thiếu những sơ hở như vậy, vấn đề gọi là “vấn đề xác định” làm cho việc kết nối tội ác mạng với cá nhân cụ thể trở nên đáng sợ.

Hi vọng là các mô hình hành vi có thể khó mạo danh, và do đó, hữu ích trong việc phanh lừa tội phạm số. Matt Wixey, trưởng nhóm nghiên cứu kỹ thuật tại Phòng thực hành An ninh mạng của PwC tại Vương quốc Anh, nhìn thấy giá trị tiềm năng trong "liên kết vụ án" hoặc "phân tích liên kết," một kỹ thuật thống kê được sử dụng lịch sử bởi lực lượng chức năng để kết nối nhiều tội ác với cùng một người. Wixey đã điều chỉnh liên kết vụ án cho tội phạm mạng và tiến hành một nghiên cứu để xem liệu nó có hiệu quả không, kết quả mà anh ta sẽ trình bày tại Hội nghị hack DefCon vào Chủ nhật.

Wixey xem xét ba loại hành vi khác nhau mà tin tặc thể hiện: điều hướng, cách họ di chuyển qua hệ thống bị xâm phạm; đếm, đó là cách họ xác định họ đã truy cập vào loại hệ thống nào; và khai thác, cách họ cố gắng nâng cao đặc quyền và đánh cắp dữ liệu. Tương đương thế giới thực của chúng có thể là cách một tên cướp tiếp cận một ngân hàng, cách họ đánh giá xem nên nói chuyện với người gửi tiền nào, và họ nói gì để họ đưa tiền.

“Nó dựa trên giả định rằng khi kẻ tấn công có mặt trên hệ thống, họ sẽ hành động theo cách nhất quán,” Wixey nói. Nguồn cảm hứng cho kỹ thuật đến từ bốn năm trước, khi anh ta tham gia khóa học kiểm thử xâm nhập. “Nhiều sinh viên có cách làm việc nhất quán nhưng đặc biệt,” anh ta nói.

Để kiểm tra xem hệ thống liên kết vụ án an ninh mạng của mình có hoạt động hay không, Wixey đã cung cấp quyền truy cập từ xa cho 10 chuyên gia kiểm thử xâm nhập, người hâm mộ hack và sinh viên vào hai hệ thống dưới dạng người dùng có đặc quyền thấp. Sau đó, anh theo dõi cách mỗi người thử nghiệm cố gắng nâng cao đặc quyền, đánh cắp dữ liệu và thu thập thông tin. Mỗi người kiểm thử hoàn thành hai cuộc hack riêng biệt.

Sau đó, Wixey phân tích các phím mà họ bấm bằng phương pháp liên kết vụ án mới của anh để xem liệu anh có thể xác định được cuộc hack nào được thực hiện bởi cùng một cá nhân hay không. Anh ta có 20 bộ phím để làm việc và 100 cặp có thể có.

Anh ta phát hiện rằng gần như tất cả các đối tượng thử nghiệm của anh di chuyển qua các hệ thống bị xâm phạm một cách nhất quán, độc đáo. Chỉ sử dụng các mô hình điều hướng của họ, anh ta có thể xác định chính xác rằng hai cuộc hack được thực hiện bởi cùng một người 99% thời gian. Các mô hình đếm và khai thác cũng có tính dự đoán tương tự; Wixey có thể xác định chính xác rằng một cuộc hack được thực hiện bởi cùng một người bằng những phương pháp đó lần lượt là 91.2% và 96.4% thời gian.

Những đặc điểm hành vi mà Wixey xem xét đã dự đoán tốt hơn nhiều so với các loại dữ liệu siêu dữ liệu khác mà anh ta thu thập, như thời gian trôi qua giữa các lần bấm phím của mỗi đối tượng. Tuy nhiên, một trong những đặc điểm này, đôi khi, có ích: Số lần họ nhấn phím backspace. Chỉ sử dụng điều đó một mình, anh ta có thể kết nối đúng hai cuộc hack với nhau 70% thời gian. Điều đó hơi hiển nhiên; một kiểm thử xâm nhập có kinh nghiệm hơn có thể sẽ mắc ít lỗi hơn.

Thí nghiệm sơ bộ của Wixey cho thấy rằng tin tặc mạng hành xử giống như đồng loại thực tế của họ: Họ có cách thực hiện việc của họ một cách nhất quán, riêng biệt. Điều đó có nghĩa là có thể kết nối một tin tặc mạng với một loạt các cuộc hack mà không cần bằng chứng có thể dễ dàng mạo danh hoặc giấu kín, như địa chỉ IP hoặc múi giờ khi họ hoạt động.

Tuy nhiên, hiện tại sẽ khó để sử dụng kỹ thuật của Wixey trong khi xâm phạm thời gian thực, vì nó yêu cầu một keystroke logger chạy trong khi tin tặc đang ở trên hệ thống bị xâm phạm. Wixey nói rằng kỹ thuật của anh có thể được thiết lập để chạy trên một honey pot—một chiếc bẫy được thiết kế mục đích—để theo dõi loại tin tặc nào có thể đang nhắm vào một chính phủ hoặc tập đoàn cụ thể.

Mặc dù kết quả của Wixey là hứa hẹn, nghiên cứu của anh cũng có nhiều hạn chế, bao gồm rằng chỉ có 10 người tham gia, có các cấp độ chuyên môn khác nhau. Có thể, ví dụ, sẽ khó phân biệt giữa những tin tặc có kinh nghiệm hơn so với những người mới. Các đối tượng thử nghiệm của anh cũng đều sử dụng hệ điều hành linux và được cung cấp quyền truy cập từ xa thay vì quyền truy cập vật lý. Tình huống khác nhau có thể mang lại kết quả khác nhau.

Và sau đó là các hạn chế của lý thuyết liên kết vụ án chính nó. Nó không hoạt động cũng trong thế giới thực với các tội phạm cực kỳ cá nhân hoặc những vụ án liên quan đến việc tiếp xúc với nạn nhân, như giết người, bởi vì hành động của nạn nhân có thể thay đổi cách kẻ thực hiện hành vi. Điều tương tự có thể đúng trong an ninh mạng. Ví dụ, “một kẻ tấn công có thể phải thích nghi hành vi của họ nếu có [những] biện pháp an ninh khác nhau được thiết lập,” Wixey nói.

Ngay cả nếu kỹ thuật liên kết vụ án của Wixey không chính xác đủ để xác định một cá nhân, nó vẫn có giá trị trong việc giúp xác nhận rằng cùng một loại tin tặc đã thực hiện một cuộc xâm phạm. Ví dụ, nó có thể cho thấy họ được đào tạo để xâm nhập vào hệ thống theo cùng một cách như những tin tặc Triều Tiên hoặc Nga đã thực hiện trong quá khứ, ngụ ý rằng họ có thể chia sẻ cùng một người hướng dẫn hoặc là thành viên của cùng một nhóm.

Phân tích liên kết vụ án chắc chắn không phải là một viên đạn bạc. Nếu nó bao giờ được sử dụng trong việc xác định nguyên nhân xâm phạm, nó có lẽ sẽ cần được sử dụng kết hợp với các phương pháp khác. Tuy nhiên, việc giải mã người đứng sau bàn phím khi một cuộc tấn công mạng xảy ra vẫn là một trong những nhiệm vụ khó khăn nhất đối với cảnh sát và nhà nghiên cứu. Mọi công cụ mới đều hữu ích—đặc biệt là nếu nó liên quan đến một thuộc tính không thể dễ dàng che giấu.

• Đằng sau The Meg, bộ phim mà internet không cho phép chết
• Những bước đơn giản để bảo vệ bản thân trên Wi-Fi công cộng
• Làm thế nào để kiếm triệu từ việc thu phí tù nhân để gửi email
• Người nào chịu trách nhiệm cho thói quen công nghệ xấu của bạn? Nó phức tạp
• Di truyền (và đạo đức) của việc làm cho con người thích hợp cho sao Hỏa
• Đang tìm kiếm thêm? Đăng ký nhận bản tin hàng ngày của chúng tôi và không bao giờ bỏ lỡ những câu chuyện mới và tuyệt vời nhất của chúng tôi