Отдельно стоит упомянуть, что идентификация источника в сложной атаке, проходящей через несколько государственных границ и континентов, требует активного взаимодействия представителей государств, не только находящихся в разных юрисдикциях, но иногда и агрессивно, даже враждебно по отношению друг к другу настроенных. Можно ли быть уверенным, что такое сотрудничество будет налажено? Далеко не всегда, но можно. Например, на конференции Positive Hack Days в Москве представители ФСБ заявили, что в настоящий момент большая часть хакерской активности, направленной против России, идет с территории Украины, но нормально взаимодействовать с украинскими спецслужбами не удается по вполне понятным причинам. Хотя иногда наблюдается и обратная картина. Например, во время подготовки и проведения зимних Олимпийских игр в Сочи американские и российские спецслужбы достаточно активно взаимодействовали в рамках обеспечения безопасности игр. И это несмотря на уже произошедшее охлаждение дипломатических отношений, заморозку отдельных контактов и приостановление ряда рабочих групп.
1.6.3. Основные технические сложности с идентификацией источника кибератаки
Технические причины заключаются в невозможности простого определения источника атак в киберпространстве, причем независимо от формы ilx реализации — в виде DDoS-атак, путем проникновения через защитные экраны, в виде рассылок вредоносного кода через электронную почту или путем заражения сайтов и флешек, через которые вредоносное ПО попадает во внутреннюю сеть предприятия.
В 1960-1970-е гг., когда создавались протоколы, положившие начало современному Интернету; никто не задумывался о необходимости однозначной идентификации всей цепочки передачи пакетов данных из точки А в точку Б. Более того, сама по себе технология работы Интернета подразумевает децентрализацию и распределенность. И то. что устраивало всех последние 40 лет. сейчас стало играть с нами дурную шутку. Как определить реального автора пришедшего мне на компьютер сетевого пакета, если технически возможно изменить адрес отправителя? Все известные версии протокола IP в принципе не подразумевают однозначной идентификации и аутентификации инициатора соединения (хотя разговоры об ннтернет-паспортах и идентификации всех, кто входит в Интернет, ведутся давно).
Но отсутствие в имеющейся на момент выхода книги версии протокола IPv4 необходимых атрибутов для определения местоположения источника атаки — не единственное препятствие. Никто не может помешать злоумышленнику, желающему скрыть свое истинное местоположение, использовать любой имеющийся в Интернете прокси-сервер (серверпосредник) или анонимайзер. В случае реализации атаки через них мы увидим в качестве адреса источника атаки