Nedávno mě upozornili na tento článek: http://businessworld.cz/bezpecnost/trem-ctvrtinam-firem-trva-radove-hodiny-nebo-dny-nez-zjisti-kradez-dat-12245
Tak jsem si to přečetl a podle mě je to celé nesmysl. Krádež dat nelze zjistit. Na rozdíl od pevných věcí, jako jsou papírové peníze, kusy zlata, nebo spodní prádlo. Když si někdo zkopíruje vaše data, tak to nemáte jak poznat. Alespoň ne do okamžiku, než se tato data objeví viditelně někde, kde si jich všimneme. A i tak se dá jen velice těžko usuzovat, že to jsou "naše data".
Samozřejmě existují k tomu různé metody, například vodoznačky. Zabývá se tím celá věda zvaná steganography, která se taky zabývá tím, jak to v datech odhalit a případně se toho zbavit (poznámka, přijďte na kurz CHFI do GOPASu).
I v případě pevných věcí si nemůžete být nikdy jisti, že krádež odhalíte nějak "proaktivně". Kontra příklad je bankovní sejf. Můžete mít nejprve třeba jen detekci na dveřích, jestli je někdo neotevřel. Banditi se prokopou přes zeď. Tak tam dáte detekci do zdi. Banditi odpojí elektřinu. A zase to pozná až nějaký chudák, co si přišel vybrat svoje úspory. Neexistuje absolutní ochrana. Vždycky se najde protiútok. Viz. dokonce nedávný případ v Británii, který jsem úplně náhodou objevil až po napsání tohohle přízpěvku. Dobře, tak tam měl sedět borec a čumět na kameru, jestli se vevnitř neválí otevřené sejfy. Bandita nasadí předehranou smyčku na kameru. To jsme viděli v různých akčňácích milionkrát. A tak pořád dokola.
Takže se zamysleme, co asi tak může někdo detekovat a co ne?
Antimalware může detekovat binární signaturu celosvětově známého, profláknutého, viru. Neexistuje, že by mohl být úspěšný vůbec v detekci ručně provedeného útoku. Důkaz jsem předvedl na podzim na konferenci HackerFest a na jaře na ShowIT.
Intrusion detection system (IDS) může opět detekovat nějaké známé signatury síťových útoků. Pokud útočník ví, co takový systém detekuje, jistě si najde cestu, jak to udělat, aby se detekci vyhnul. Na důkazní přednášce na letošní HackerFest se pracuje :-)
Snad jediná věc, u které jsem ochoten uznat, že lze detekovat velmi rychle a spolehlivě je DoS útok. Služba přestane fungovat a uživatelé se ozvou. Myslím, že každý má zkušenost, že uživatelé jsou ty nelepší detektory libovolného výpadku :-)
A dojděte na teched, už je pomalu vyprodáno!