深入信息安全情报收集：BlueHat v10演讲者Ian和Fyodor的回顾与洞见

Ian:
我可能有点“职业多动症”，这大概是我开始涉足“网络”领域的原因。过去从事研究、开发、集成和咨询工作时，我遇到许多客户和个人被频繁入侵，心中积累了许多未解之谜。我的主要驱动力是彻底弄清我们面对的侵略者究竟是谁，并真正理解他们的动机。
有机会分享这类研究，并找到志同道合、忙于相同方向工作的人，是一种真正的享受，也是我们工作中应纳入的主要质量保证措施之一……科学家称之为同行评审！:-)

Fyodor:
我进入这个领域是通过一个偶然事件。Grugq和我一直是老朋友。有一次，我们的一位“朋友”对市场上“某些软件”的可用性感到好奇。自然，我就在我熟悉的群体中四处打听线索。当时我们为他找到了一些来源，并推荐了几个提供类似软件的人。这位“朋友”对我们的发现感到惊讶，并建议我们进一步挖掘。于是，我们开始构建一个自动化系统，用于收集和索引/标记信息，使其易于查询，即使对英语使用者也是如此。自然，我懂俄语和中文，这很有帮助。在我看来，语言障碍是“安全圈”不总能全面了解全球局势的原因之一。我们没有这个问题。
Cyber[random_buzzword_chooser()]

Fyodor:
老实说，我认为很多关于“网络战”的讨论实际上来自美国（即，这基本上是美国的看法）。我不认为俄罗斯或中国真的有媒体所描绘的网络战概念。在我看来，当前的情况更像狂野西部，有服务提供商和服务消费者……其中一些政治附属方有时会利用这些服务。这类服务的可用性和可访问性使得即使是普通、爱国的个人也能轻松购买针对格鲁吉亚的DDoS攻击。
回到网络话题，俄罗斯真正研究和分析的是信息战。这并不新鲜，是冷战期间的主要优先事项之一。而且，在我看来，这实际上比付钱给一群极客去黑客攻击更有效（即，拉脱维亚和格鲁吉亚事件，在我看来，是通过公共媒体进行大众意见操纵的结果，这确实是信息战策略的一部分）。

Ian:
我知道，我知道。没有“网络战”（对不起Howard，我不得不再用这个词）。但严肃地说，从我们已经描绘的图景中退一大步，看看犯罪世界如何在在线市场中运作（看，我没说“网络犯罪”？Oops! ;-)），一些模式开始出现，涉及链接更多政治倾向的事件，以及完全与国家相关的事件在线。这就是我开始研究的地方。如果不是我们工作的惊人社区，这一切都不会成为现实。我有机会接触到以前松散分析的来源和原始数据，并从另一个角度重新审视它们。没有不同CERT、组织和商业公司的人，这根本不可能。
我真正相信（并亲眼目睹）的是，在国家层面走捷径获取“网络”能力，总是导致使用犯罪方面的工具和技术（最多有些适应），就像在“真实”世界中一样。

攻击归因

Ian & Fyodor:
在会议上，人们往往对实际攻击归因比攻击概念本身更感兴趣。在这方面我们可以分享一些提示。首先，看工具。不同的社会群体以特定方式使用或构建工具，形成自己的习惯。因此，分析二进制特征（编译器足迹、编码习惯、AV和反调试方法）可以很好地指向代码来源。此外，大多数犯罪相关活动使用少数人生产的工具，这通常是活动来源的另一个提示。第三个但并非最不有趣的组成部分是动机。
犯罪总是关于金钱。
犯罪也像商业一样进行。
因此，犯罪分子非常倾向于使用专为最大化攻击效果而构建的工具和技术（购买工具、服务）。
在归因方面，这使事情变得非常困难。通常，攻击会“看似”来自随机地点，很难追溯到真实来源。而且，使用的代码通常来自专门创建此类代码的团体。将证据链接回攻击者最多是远距离的，即使是旨在“识别”代码来源的技术也只能带你到制造商，而不是用户（想想枪支）。
延续传统取证示例，如果弹道学指向特定武器，在网络前线，该武器上几乎没有任何指纹证据可归因于攻击者。

未来计划

Ian:
我喜欢在不同领域玩，从技术领域到企业领域，再到政治领域（在国家层面，或国际层面，我有幸最近开始工作）。但底线是，我专注于几个研究领域：避免传统保护的数据外泄技术（以及如何检测它们），在工具和技术方面链接犯罪和恐怖主义团体（已在工作中），以及国家和国际层面的政治权力和威慑对策。
正如我喜欢对客户说的，“一切都是公平游戏；一切都在范围内 :-)”。

Fyodor:
自动化情报分析是一个具有挑战性的领域，混合了纯技术领域与社会和心理研究。逆向工程、自然语言处理和用于大规模数据挖掘的分布式系统，在构建此类自动化框架时都可能派上用场。这基本上是一个有趣的领域，实验非常规技术，我们期待探索更多。通常，从日常渗透测试、逆向工程、以企业目标为重点的活动中休息一下，玩些有趣的东西是很放松的 :-)。
至于未来，我们计划推进多语言支持，分析中文内容，并很可能更专注于扩展。我们还在考虑为awesome netglub（netglub.org）转换构建公共服务器（与Maltego一起），以便部分数据可以公开访问。

文章结束