Золушка и сигнатурный анализ

Рассмотрим сказку про Золушку — одну из ранних попыток объяснить детям несколько базовых принципов кибербезопасности.

Как вы, вероятно, уже знаете, большинство так называемых «сказок» на самом деле в оригинале являлись завуалированными уроками по информационной безопасности. Порой людям прошлого было сложно понять тонкости технологий, которые появятся только спустя века или даже тысячелетия. Поэтому зачастую эти уроки обрастали слоями метафор, домыслов и всевозможных украшений, так что изначальный смысл существенно искажался, а то и полностью терялся. К счастью, сказке про Золушку удалось избежать этой участи.

Вопреки устоявшимся заблуждениям, это далеко не только европейская сказка — самая ранняя версия записана еще на египетских папирусах. Если коротко, то сюжет рассказывает о девушке, жившей в достаточно неблагоприятных обстоятельствах, которой повезло обрести так называемое счастье при помощи некой сверхъестественной сущности. В версии Шарля Перро это Фея-Крестная, у братьев Гримм ту же роль играет деревце, выросшее на могиле матери, а в древнеегипетском варианте судьбой девушки самолично занимается бог Гор. Впрочем, это мелкие разночтения, которые не должны отвлекать нас от сути происходящего.

Общим же элементом во всех версиях является центральный инцидент с туфелькой/башмачком — именно он представляет наибольший интерес с точки зрения кибербезопасности. Впрочем, для целостности восприятия мы вернемся к нему ближе к концу исследования, а сначала рассмотрим несколько других примеров. При всей привлекательности египетской версии сказки опираться мы будем на европейские варианты как на наиболее известные и привычные читателю.

Подделка личности

Итак, героиня живет в доме с отцом, злой мачехой и сводными сестрами. Занимается она автоматизацией рутинных задач: мачеха порой заставляет ее сортировать зерно, и чтобы успеть в срок, Золушка прибегает к помощи голубков и горлинок. Тут на самом деле неизвестно, что имелось в виду в самой ранней версии сказки. Вполне возможно, речь шла не столько о сортировке физических объектов, сколько об огромных объемах данных.

При этом девушка мечтает попасть на бал, но не может — и даже не из-за объемов работы, а из-за того, что ее туда никто не пустит. Ведь у нее нет красивого платья и кареты, а «родственники» помогать отказываются — identity не вышла. На помощь приходит Фея-Крестная, которая заставляет тыкву выглядеть каретой, мышей — конями, а лохмотья — платьями.

По сути, фея создает для Золушки поддельную личность и тем самым дает ей возможность посетить бал неузнанной. Тут следует вспомнить, что люди прошлого нередко не постигали сути понятия «хакер» и трансформировали его образ во всевозможных колдунов и волшебниц. Да что там люди прошлого — до сих пор в массовой культуре хакеров изображают этакими всесильными техношаманами!

Поскольку доступ к балу явно осуществляется без приглашений (то есть первоначальная аутентификация не требуется), понятно, что попасть на него можно, просто зарегистрировавшись на входе. И хотя изначальная identity Золушки не подходит под какие-то не уточняемые критерии отбора, поддельная личность, явно созданная «феей» с учетом специфики этих критериев, помогает решить проблему.

Цифровой сертификат

Вскоре становится понятно, как именно была изменена identity Золушки. Фея предупреждает, что ровно в 12 часов ночи образ исчезнет, и все увидят лохмотья вместо платья, мышей и ящериц вместо коней и слуг и так далее. Что может лежать в основе этого сюжетного хода? Из реалий старинной Европы — абсолютно ничего. Казалось бы, это какое-то искусственное ограничение. Но давайте вспомним, что происходит в 12 часов ночи. Меняется календарная дата.

Люди, которые когда-либо забывали обновить SSL-сертификаты на сайте, очень хорошо понимают этот урок. Вот буквально только что сертификат был валидным, пользователи спокойно смотрели ваш сайт, и тут щелк — время действия сертификата истекло, и браузеры начинают вместо сайта выдавать предупреждения и заглушки. Сайт превращается в тыкву.

Примерно по тому же принципу работают сертификаты и в цифровых токенах — ключах для удаленного доступа. Сертификат действует ограниченное время. И в какой-то момент он также становится недействительным, после чего система моментально обрубает подключение (если, конечно, эта система разумно устроена). «Золушка» перестает восприниматься на балу как «своя». Почему у Феи не получается сделать более надежный сертификат — непонятно. Вероятнее всего, это можно объяснить отсутствием прямого доступа к центру сертификации.

Сигнатурный анализ

После бала Золушка, понимая, что время истекает, бежит прочь из дворца, теряя единственную «настоящую» часть своей новой личности — башмачок/туфельку. Тут, кстати, особенно интересен вариант братьев Гримм: у них башмачок теряется не случайно, а потому, что принц после третьего бала намазал лестницу смолой — видимо, как раз для того, чтобы получить фрагмент беглянки и использовать его для поисков. То есть он задействовал какие-то системы для обнаружения киберугрозы. Далее принц на основе туфельки создает инструмент для детектирования объектов семейства «Золушка» и начинает глобальный процесс поиска, проверяя ноги всех молодых девушек.

Собственно, именно так работают движки многих антивирусных решений. Антивирусные компании берут кусок кода зловреда, создают из него «башмачок», называемый хешем, а потом примеряют его ко входящей информации. В наших решениях такая технология тоже используется, хотя давно не является основным методом детектирования.

Попытка подделать хеш

На всякий случай братья Гримм (которые по каким-то причинам в своих ранних сказках вообще любили кровавые подробности) углубляют этот урок. В их версии сказки сводные сестры Золушки пытаются подделать свой хеш, в прямом смысле подрезая свои ноги, чтобы они подошли к туфельке. Но подделка хеша — дело очень непростое. Как и следовало ожидать, у сестер ничего не получается — сигнатурный движок принца понимает, что хеш не очень-то совпадает.

Итак, пользуясь этой сказкой и нашим постом, вы можете объяснить детям такие базовые понятия, как подделка личности, цифровой сертификат и сигнатурный анализ. Советуем воспользоваться этой удобной возможностью — хотя бы для того, чтобы труды таких именитых экспертов по кибербезопасности, как Ш. Перро, Я. Гримм и В. Гримм, не пропали впустую.

Советы