Dawno ludzkość nie doświadczała takiego roku jak ten. Nie przypominam sobie roku z tak wysoką koncentracją czarnych łabędzi występujących w różnych typach i postaciach. I nie mam tu na myśli tych zwierząt z piórami. Mówię o nieoczekiwanych zdarzeniach z daleko idącymi konsekwencjami, zgodnie z teorią, jaką wysnuł Nassim Nicholas Taleb i opublikował w 2007 roku w swojej książce Czarny łabędź: O skutkach nieprzewidywalnych zdarzeń. Jednym z głównych założeń tej teorii jest to, że z perspektywy czasu zaskakujące zdarzenia, które już się wydarzyły, wydają się oczywiste i przewidywalne; jednak zanim się wydarzą, nikt ich nie przewiduje.
Przykład: ten upiorny wirus, który w marcu doprowadził cały świat do lockdownu. Okazuje się, że istnieje cała duża rodzina coronaviridae — jest ich aż kilkadziesiąt — a regularnie odkrywane są nowe odmiany. Zarażają się nimi koty, psy, ptaki i nietoperze. Ludzie również. Niektóre powodują przeziębienia. Inne objawiają się… inaczej. Zatem z pewnością musimy wymyśleć dla nich szczepionki, tak jak w przypadku innych śmiertelnych wirusów typu ospa, polio itp. Jednak sama szczepionka nie zawsze jest rozwiązaniem problemu. Przykładem może być grypa, bo w jej przypadku nadal nie ma szczepionki, która uodporniłaby na nią ludzi po tylu stuleciach. Tak czy inaczej, nawet w przypadku rozpoczęcia opracowywania szczepionki trzeba wiedzieć, czego szukać — a to jest najwyraźniej bardziej sztuką niż nauką.
Dlaczego Wam o tym mówię? Jaki ma to związek z cyberbezpieczeństwem, ewentualnie egzotycznymi podróżami? Dziś nawiążę do tego pierwszego tematu.
Obecnie jednym z najbardziej niebezpiecznych cyberzagrożeń, jakie istnieją, są luki dnia zerowego — rzadkie, nieznane (dla osób zajmujących się cyberbezpieczeństwem i nie tylko) luki w oprogramowaniu, które potrafią wywołać wielkie problemy i szkody. Niestety zwykle pozostają one niewykryte do momentu, aż zostaną wykorzystane (a czasami jeszcze później).
Jednak eksperci od cyberbezpieczeństwa mają swoje sposoby, aby radzić sobie z niejednoznacznością i przewidywaniem czarnych łabędzi. W dzisiejszym poście chcę Wam opowiedzieć o jednym z takich sposobów: YARA.
Mówiąc w skrócie, YARA pomaga w badaniu i wykrywaniu szkodliwych programów poprzez identyfikowanie plików, które spełniają określone warunki, i przygotowanie zasad tworzenia opisów rodzin szkodliwych programów w oparciu o wzorce tekstowe lub binarne (wiem, brzmi to skomplikowanie, ale czytajcie dalej, zaraz rozwinę temat). Z tego względu metoda ta jest używana do wyszukiwania podobnych szkodliwych programów poprzez rozpoznawanie wzorców. Umożliwia ona zorientowanie się, że konkretny szkodliwy program wygląda tak, ja był przygotowany przez te same osoby, i ma podobne cele.
Przejdźmy do innej metafory — podobnie jak czarny łabędź, będzie ona związana z wodą.
Powiedzmy, że Twoja sieć internetowa jest oceanem, który pełen jest tysięcy rodzajów ryb, a Ty jesteś rybakiem przemysłowym. Płyniesz na swoim statku i zrzucasz ogromne sieci dryfujące w celu złowienia ryb — ale interesują Cię tylko wybrane rodzaje (szkodliwe programy przygotowane przez konkretne ugrupowania hakerskie). Sieć, którą zarzucasz, nie jest zwyczajna; ma ona specjalne przegródki, w które mogą wpłynąć tylko ryby określonej rasy (cechy złośliwego oprogramowania).
Po połowie masz dużo posegregowanych ryb, z których część jest stosunkowo nowa — nigdy wcześniej ich nie widziałeś (próbki nowych szkodliwych programów) i nie wiesz o nich praktycznie nic. Ale jeśli znajdują się one w danej przegrodzie, możesz dostrzec, że np. „wyglądają jak [ugrupowanie hakerskie] X” lub „wyglądają jak [ugrupowanie hakerskie] Y”.
Oto przykład, który ilustruje metaforę ryby/łowienia. W 2015 roku nasz guru od YARA i szef zespołu GReAT, Costin Raiu, zadziałał jak Sherlock, aby znaleźć exploita w oprogramowaniu Silverlight firmy Microsoft. Naprawdę warto przeczytać ten artykuł, ale mówiąc w skrócie, Raiu dokładnie sprawdził konkretną korespondencję e-mail hakerów, która wyciekła, aby złożyć regułę YARA praktycznie od zera. W ten sposób pomógł znaleźć exploita i ochronić świat przed ogromnym problemem (korespondencja pochodziła z włoskiej firmy Hacking Team — hakerów!).
A zatem, wracając do reguł YARA…
Sztuki tworzenia reguł YARA uczymy od wielu lat. Cyberzagrożenia, które reguły YARA pomagają wykryć, są dość złożone, dlatego zawsze prowadzimy kurs osobiście — offline — i tylko dla wąskiej grupy najlepszych badaczy od cyberbezpieczeństwa. Oczywiście od marca szkolenia offline są utrudnione ze względu na lockdown; jednak, potrzeba edukacji nie zniknęła, a my faktycznie nie zauważyliśmy spadku zainteresowania naszymi kursami.
To naturalne: cyberprzestępcy kontynuują wymyślanie coraz to bardziej wyrafinowanych cyberataków— a podczas lockdownu działają jeszcze aktywniej. Zachowanie dla siebie swojego specjalistycznego know-how na temat reguł YARA podczas lockdownu byłoby po prostu złe. Dlatego (1) przekształciliśmy format naszego szkolenia z offline do online i (2) udostępniliśmy go wszystkim. Nie jest za darmo, ale za taki kurs na takim poziomie (najwyższym) cena jest bardzo konkurencyjna i kształtuje się na poziomie rynkowym.
Co jeszcze?
A, tak.
Biorąc pod uwagę nieustanne turbulencje związane z tym wirusem na całym świecie, nadal pomagamy osobom na pierwszej linii frontu. Na początku pojawienia się koronawirusa udostępniliśmy darmowe licencje dla organizacji z służby zdrowia. Teraz rozszerzamy swoje działania, pomagając różnym organizacjom nonprofit i pozarządowym w walce o prawa w różnych sprawach lub skupiają się na ulepszaniu cyberprzestrzeni (pełna lista znajduje się tutaj). Dla nich nasze szkolenie YARA będzie darmowe.
Dlaczego? Bo organizacje pozarządowe mają do czynienia z bardzo wrażliwymi informacjami, które mogą zostać zhakowane na drodze ataków ukierunkowanych, a pozostałe podmioty mogą pozwolić sobie na luksus zorganizowania działu ekspertów ds. IT.
Szybki przegląd tego, co zawiera kurs:
100% online, szkolenie we własnym tempie. Możesz przejść kurs intensywnie w kilka wieczorów lub rozłożyć go na miesiąc.
Połączenie teorii i zadań praktycznych. Dostępne jest wirtualne laboratorium umożliwiające trenowanie pisania reguł i wyszukiwania próbek szkodliwego oprogramowania w oparciu o naszą kolekcję.
Ćwiczenia praktyczne oparte na przykładach prawdziwych ataków cyberszpiegowskich.
Moduł poświęcony sztuce wyszukiwania czegoś, o czym nie masz zbyt dużego pojęcia, ale intuicja podpowiada Ci, że cyberzło gdzieś się czai, ale nie wiesz, gdzie ani w jakiej postaci.
Certyfikat ukończenia potwierdzający Twój nowy status — ninja YARA. Jak powiedzieli nam poprzedni absolwenci, naprawdę bywa on pomocny w karierze zawodowej.
Tak więc masz szansę zdobyć kolejną potencjalnie bardzo przydatną strunę w łuku służącym do walki z wysoko wyrafinowanymi cyberzagrożeniami. Tymczasem K pracuje jak zwykle; nasz cyberdetektyw nie ustaje w poszukiwaniach, a my będziemy dzielić się z Wami jeszcze bogatszym know-how i praktycznym doświadczeniem w tej walce o zmianę na lepsze.