Киберконтрразведка. Як Palantir може «сноуденов» ловити

Разом з компанією Edison продовжуємо розслідування можливостей системи Palantir.


Система Palantir дозволяє ловити «сноуденов», поки вони ще не стали всесвітніми героями, а були просто шпигунами, з якими в будь-який момент могло статися льодоруб що завгодно.

Незважаючи на те, що керівництво Palantir як може бореться за свободи і логирует всі дії в системі, для майбутніх сноуденов» подібні системи представляють величезну небезпеку. Попереджений, значить озброєний.

Розглянемо випадок, коли, завдяки платформі Palantir, було проведено спеціальне розслідування по обчисленню неблагонадійного співробітника посольства, який зливав інформацію сторонньої організації.

У розслідуванні аналізувалися мережевий трафік, інформація роутерів, дані контактних карток і бэйджей співробітників, події, дані соцмереж, дані відеоспостереження. Завдяки статичному, тимчасового аналізу, аналізу геоданих і візуального аналізу «кріт» був розкритий.

Тридцятого знищити.
(За допомогу в підготовці статті окреме спасибі Олексію Ворсину, російського експерта по системі Palantir)

Частина 1

0:00 цього відео використані дані логів використання карток доступу, IP логів і список ідентифікаційних номерів персоналу.
0:07 На платформі Palantir ми можемо об'єднати, і об'єднаємо всі ці дані в одне розслідування, щоб виявити підозрілий обмін інформацією і пов'язати його з можливим підозрюваним.
0:20 Для початку ми імпортуємо дані.



0:25 Майстер імпорту Palantir (Palantir Import Wizard) дозволяє користувачеві розмітити дані, вибудовуючи структуру динамічно, залежно від джерела.
0:30 Майстер імпорту автоматично імпортує дані, створює об'єкти і присвоює їм властивості, пов'язує об'єкти за заданими умовами і видаляє отримані дублікати, виявлені на основі настроюваних обмежень.



0:43 Ми почнемо наше розслідування з усіх подій, пов'язаних з картками доступу до секретної області (classified space – до кінця не ясно територія або інформація мається на увазі) і виведених на граф.
0:49 Кожне з цих подій містить час доступу і час припинення доступу, але ми також бачимо кілька незавершених подій, коли хтось проскакував за колегою (piggybacking, одне із значень — виїжджати на чиїйсь спині) під час використання тем своєї картки.



0:57 Ми бачимо цікавий патерн: працівник 30 разів на тиждень, таким чином, отримує доступ до секретної області.



1:03 Використовуючи сусідів по офісу працівника 30, як відправну точку, ми відстежимо можливі епізоди несанкціонованого використання комп'ютерів через дослідження подій передачі даних, пов'язаних з доступом до секретних даних.



1:13 Частково збігаються події вказують на неавторизований доступ до даних, з-за комп'ютерів, не належать до секретної області



1:21 Наш пошук виявив неавторизовану передачу даних на IP адресу 100.59.151.133.



1:30 «Search around» (інструмент Palantir), застосоване на підозрілий IP, показало 18 випадків передачі даних на 12 різних комп'ютерів посольства.
1:37 Ми автоупорядочили (autoarrange, мабуть теж інструмент) граф, і розфарбували об'єкти за типами, для більшої ясності.



1:43 На діаграмі ми бачимо, що всі ці 18 випадків використовують порт 8080 і весь обсяг переданих даних йшов з організації.



1:50 На помічника «колесо часу» (timewheel), ми бачимо, що передача даних проводилася протягом чотирьох тижнів, кожен вівторок та середу, і по одній передачі в день початку, до трьох на день в кінці.



2:01 Ми додали авторизованих користувачів і їхніх сусідів по офісу на граф, використовуючи «пошукати навколо».



2:07 Тепер, вибираючи цих співробітників окремо, ми знайдемо всі пов'язані з ним події, пов'язані з отриманням доступу або передачею інформації, а потім, по timeline, відстежимо, коли передача даних на підозрілий IP авторизувалася.
2:21 Ми бачимо неавторизовану передачу, в той час як працівник 40 мав доступ до секретної області.



2:29 Повторивши цю процедуру для інших працівників, ми виявили 14 випадків, коли відповідний співробітник мав доступ до секретної області, під час передачі даних, 13 випадків, коли їх, ймовірно, не було в офісі, і 6, коли їх бачили вдалині від їх робочого місця.



2:43 Тільки працівник 30 був присутній під час того, як комп'ютер працівника 31 передавав дані, що дозволяє припустити, що тридцятий бачив підозрюваного або сам є ним.
2:51 Щоб підтвердити підозри щодо Тридцятого, ми можемо провести додатковий тест, створивши кілька тимчасових фільтрів, відповідних за часом підозрілої передачі даних. З допомогою цих фільтрів ми досліджуємо можливі перетину з часом, коли підозрюваний мав доступ до секретної області.



3:09 Підозрюваний повинен був мати доступ до комп'ютера всі вісімнадцять раз, коли здійснювалася передача даних.



3:11 На графі всі події, пов'язані з доступом до секретної області. Ми можемо додати наші фільтри, щоб побачити всі пересічні події.



3:22 «Пошукати навколо» дав нам всіх пов'язаних з подіями співробітників, яких ми можемо сприймати як підозрюваних.



3:29 Нарешті, фільтр серед співробітників посольства дає нам двох потенційних підозрюваних, один з них, звичайно ж Тридцятий.



3:39 Наш робочий процес підтвердив підозри: Тридцятий — зловмисний інсайдер. Часовий аналіз IP логів і логів доступу, не тільки дав нам можливість виявити незаконне використання комп'ютерів, але і зв'язати це з певним індивідом.



Частина 2





0:00 Аналіз соціальних мереж і просторовий аналіз – написано на екрані.
Ми отримали дані розвідки, передбачають, що співробітник посольства, ведений злим умислом, використовує для контактів з кримінальною організацією і передачі даних соціальні мережі.
0:10 Наші дані: список 6000 користувачів якийсь (Flickr? Чи вигадана мережа Flitter?) соцмережі і список зв'язків між їх обліковими записами.
[0:15 Майстер імпорту Palantir (Palantir Import Wizard) дозволяє користувачеві розмітити дані, вибудовуючи структуру динамічно, залежно від джерела.
0:23 Майстер імпорту автоматично імпортує дані, створює об'єкти і присвоює їм властивості, пов'язує об'єкти за заданими умовами і видаляє отримані дублікати, виявлені на основі настроюваних обмежень.] Весь цей шматок повторений в першому відео.
0:41 Є інформація про те, що у нашого підозрюваного суть більше 40 контактів у Flickr. Ми можемо провести швидкий пошук по 6000 акаунтів, щоб виділити всі, що містять від 42 до 48 контактів.



1:01 Ще ми знаємо, що цей працівник посольства пов'язаний з трьома спільниками, у кожного з яких від 30 до 40 контактів.
1:09 Використавши search around, ми знайдемо цих персонажів і додамо їх на граф.
1:16 Цей search around виявив 5 акаунтів, які мають по три контакту, що відповідають опису.
1:28 Виділивши один з цих акаунтів, ми будемо досліджувати його соцмережу.
1:34 Почнемо з Лафужа і повернемо всіх його потенційних спільників, використовуючи запит збережений у search around.
1:44 Тепер з'ясуємо, чи спілкуються вони з лідером через спільного посередника, або свій посередник є у кожного. Щоб зробити це, ми відшукаємо всіх користувачів, які пов'язані з подільниками, і в яких є не більше шести контактів, так як розвідка доповіла, що у посередника є тільки один або два контакти, крім спільників.
2:06 Ми бачимо очевидного загального посередника, прямо в центрі графа. Тим не менш, щоб упевнитися, що в цій мережі тільки один посередник, ми пошукаємо серед контактів спільників зв'язку з потенційним лідером.



2:23 У лідера сотні контактів, багато з них-міжнародні. Пошук виявив, що в нашому випадку, загальний посередник використовується для зведення всіх контактів, до лідера по імені Корнелл.
2:36 Думаю, ми виявили нашу мережу. Звичайно, результат ще сирий, так як ми повинні підтвердити, що лідер не пов'язаний безпосередньо зі співробітником посольства або подільниками.



2:47 Наш пошук показує, що цей потенційний лідер пов'язаний з подільником, ця інформація дозволяє нам прибрати Лафужа зі списку підозрюваних.



2:55 Тепер давайте застосуємо ту ж логічну схему до решти чотирьом підозрюваним.
3:02 У результаті, ми отримали 3 мережі майже повністю збігаються з описом, даним розвідкою.
3:09 Одна з цих мереж, вибудувана навколо Шафтера, подробиці про його мережі можна побачити з допомогою просторового аналізу. Для такого аналізу ми додали в Palantir координати міста, зазначеного в профілі користувачами соцмережі.



3:23 Геодані не збігаються повністю з наданими розвідкою.



3:30 І співробітник посольства і його подільники живуть в Прунове, посередник в Кенвиче, а лідер у Кувниче. Єдине можливе пояснення цьому те, що з якоїсь причини подільники повинні бути в зоні досяжності співробітника посольства.



3:45 Посередник фізично може бути не пов'язаний з мережею, для більшої безпеки, а лідер може жити недалеко від кордону, щоб контролювати передачу даних за межі Фловении.
3:57 Місцезнаходження лідера також може вказувати на те, що кримінальна організація має зв'язки в сусідній державі Триум.

Частина 3



Аналіз записів зовнішнього спостереження.

0:00 Ми маємо десятьма годинами записів з камер зовнішнього спостереження, які закарбували зустріч наших підозрюваних.
0:09 Дати і час записів: середа, 24 січня, з 10:00 до 15:00 субота, 26 січня, з 8:00 до 13:00.



0:18 Ми також знаємо, що відеокамера розташована в крокової доступності від посольства.
0:24 Для нашого розслідування, ми імпортували метадані до відео як додаткові події в Palantir, і кожне пов'язано з десятихвилинним уривком.



0:36 Грунтуючись на нашому підозрі щодо Тридцятого, ми пошукаємо уривки, відповідні того часу, коли він перебував за межами посольства.



0:45 Щоб зробити це, ми створимо часові фільтри на той час, коли Тридцятий повинен був покинути посольство.
0:55 Ми виявили чотири таких події в середу, і, на жаль, жодного в суботу, так як Тридцятого не було в посольстві в цей день.



1:10 Переглядаючи відео, ми можемо створювати події, пов'язані з кожним підозрілим моментом, який виявимо.



1:18 Раніше ми вже переглядали відео за середу, і не виявили нічого цікавого.
1:23 Суботнє відео, тим не менш, містить цікавий момент: двоє зустрічаються і обмінюються портфелями.



1:31 Ми створили відповідну подію «зустріч», що включає в себе опис, скріншот та інші метадані.



1:48 Тут ми бачимо заповнене досьє про подію: час, тривалість, коментарі, пов'язані медіафайли.



1:55 Створивши цю подію, ми інтегруємо його розслідування.



2:00 Якщо ми підтвердимо, що один з учасників зустрічі Тридцятий, ми зможемо зв'язати його і зустріч.
2:17 Нарешті, ми можемо опублікувати ці нові дані, зробивши їх доступними іншим користувачам Palantir.



2:26 З просунутими можливостями Palantir з аналізу, ми змогли зв'язати між собою розрізнені джерела даних і провели тимчасової, статистичний, соціальний, просторовий аналіз, а також аналіз взаємозалежностей у однієї уніфікованої аналітичної середовищі.



2:40 Наше розслідування на платформі Palantir не тільки швидко виявило використання комп'ютерів посольства для вилучення інформації, але і працівника, відповідального за це, а так само дозволило скласти карту його соціальних зв'язків.

Ще про Palantir:


Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.