Последние четыре года ознаменовались беспрецедентным ростом числа обвинений русских, китайских, северокорейских, иранских и иной национальной принадлежности хакеров во вмешательстве в работу государственных органов, демократических институтов, крупных компаний, критических инфраструктур по всему миру. При этом очень часто такие обвинения (или их публичные части) не подкреплены какими-либо доказательствами и базируются всего лишь на IP-адресах предполагаемых киберпреступников или используемых ими VPN-шлюзах с интерфейсом на определенном языке.
Вопросы для обсуждения:
- Образ врага. Атрибуция – это технический вопрос или геополитический?
- Возможна ли однозначная атрибуция киберпреступников в интернете?
- Highly Likely: какие подходы по атрибуции сегодня существуют (CAM, CAR, Q Model, WOMBAT и т.п.)?
- Какие технические методы, помимо места регистрации IP- и DNS-адреса или автономной системы и часового пояса используются при атрибуции?
- False Flag: маскировка под другие хакерские группировки.
- Реальные кейсы Felix Edmundovich: должен ли специалист по киберрасследованиям быть лингвистом?
- Различные юрисдикции. Каковы сложности межгосударственного взаимодействия правоохранительных органов при расследовании киберпреступлений?
- Как улучшить ситуацию с атрибуцией киберпреступности?
Модератор: Алексей Лукацкий, CISCO
Участники:
- Лиис Вихул, Cyber Law International (Эстония)
- Сергей Голованов, Лаборатория Касперского
- Александр Калинин, Group IB
- Игорь Залевский, Ростелеком-Солар
