Автор: Vlad Styran

Топ-5 речей які компанії не роблять заради безпеки

В одному з попередніх постів я писав про топ-5 способів зламу, які користувалися надзвичайною популярністю в минулому році. В цьому дописі мова піде про топ-5 способів захистити себе та своїх клієнтів, якими компанії могли б скористатися, але вперто не цього роблять.

1. Двохфакторна автентифікація.

Цей найпростіший спосіб радикально підвищити безпеку вперто ігнорують більшість компаній. “Фактор” автентифікації в перекладі з англійської означає “множник”. Тобто, додаючи до паролю другий фактор (скажімо, одноразовий код, який генерується мобільним додатком), можна умовно збільшити складність зламу системи удвічі.

Навіть сумнозвісні одноразові паролі з доставкою по SMS, якщо використовувати їх разом з звичайними паролями, а не замість них, — це просто колосальний приріст безпеки за доволі помірні гроші. А переважна більшість додатків та сервісів, особливо корпоративних, вже давно надає можливість увімкнути так звану двохетапну перевірку.

Та де там — такі вправи не для пересічних користувачів, а про клієнтів й мови немає — вони одразу ж від нас повтікають до конкурента, який не обтяжує їх введенням ще одного значення в веб-форму. Я вам більше скажу: у списку розсилки OWASP Leaders, в якій тусять керівники відділень та проектів OWASP, пару тижнів тому розгорілася дискусія про те, чи доцільно ввімкнути нарешті примусовий другий фактор у домені Google Apps цієї організації. Якщо серед лідерів OWASP знаходяться люди, які ставлять під питання необхідність цього заходу, то що вже казати про нормальних людей?

2. Вставка з буферу обміну в поле паролю.

Ось як буває, коли рішення щодо заходів безпеки приймають не менеджери, а програмісти. Соромно сказати, але в 2019 році на веб-сайтах деяких банківських установ користувачам все ще доводиться вводити пароль ручками. Парольні менеджери? Ні, не чули.

Замість того, щоб згенерувати собі складний та унікальний пароль з 20 символів та автоматично вставляти його у форму під час входу в систему, клієнт повинен страждати. Він повинен вигадувати пароль самостійно, зберігати його в голові, та вводити пальцями кожен раз, коли відвідує веб-сайт. При цьому, клієнт помилиться мовою вводу або натисне неправильні клавіші, заблокує свій обліковий запис, та піде із паспортом на уклін до відділення банку, щоб його розблокувати. Тому що таке вже в програміста було уявлення про безпеку.

3. Захист від фішингу.

Два прості кроки з захисту працівників від фішингу: ввімкнути анти-спуфінг електронної пошти (декілька заголовків DNS) та відмічати усі вхідні повідомлення, скажімо, словом EXTERNAL в полі Subject. Таким чином зловмисникам стане складніше підробляти електронні листи так, ніби вони надходять із ваших корпоративних поштових доменів, а фішинг з саморобних доменів та безкоштовних поштових сервісів привертатиме увагу позначкою про походження зовні.

Як соціальний інженер з багаторічним досвідом, я стверджую, що ці дії можуть убезпечити персонал від фішингових атак відсотків на 95, а решта 5 закривається тренінгом та “інцидентною практикою”. Проте, на жаль, багатьом організаціям набагато простіше звинуватити користувачів в тупості, обізвати прокладкою між кріслом та монітором, та налякати покаранням за кожне натиснуте посилання.

4. Відокремлення юзерів від адмінів.

Мені важко уявити умови, в яких в бізнес-середовищі користувачам можуть знадобитися права адміністратора в додатках та операційній системі. Тим не менш, в багатьох організаціях звичайним користувачам часто надають щонайменше права локальних адмінів на їхній робочій машині.

Звісно ж, так набагато простіше для всіх: адміни можуть розслабитись та рідше відриватися від “справжньої роботи”, а юзери можуть за потреби встановити собі потрібну програму або драйвер нового пристрою. Але це спрощення може стати причиною повної компрометації інфраструктури компанії в наслідок зламу всього одного робочого місця. І мені не відомі випадки, коли користувачів позбавляли підвищених привілеїв до того, як траплявся такий тотальний інцидент.

Тому що, ясна річ, у всіх “топів” на лаптопах та сама картина, а в разі чого хто винен? Та ніхто, бо як же ж від тих хакерів захиститись? Стихійне лихо…

5. Відокремлення мереж за призначенням.

Буквально всі організації починають будувати свої мережі не за принципом бізнес-необхідності, а з міркувань територіальної розподільності. Тобто, окремі мережі отримують київський, львівський та харківський офіси, а не окремі департаменти.

Це може здаватись логічним, але насправді є ще одним шляхом найменшого спротиву, який веде до компрометації. Адже різні підрозділи виконують різні функції, мають різні стосунки з зовнішнім світом, і наражають організацію на ризики різного рівня. Наприклад, ІТ-департамент довго обирає постачальника нового ІТ-рішення, потім місяці випробовує його в віртуальній лабораторії, після чого розгортає в ізольованій мережі та поступово відкриває до нього доступ іншим підрозділам. В той час, як департамент розробки програмного забезпечення повинен мати змогу протягом 10–15 хвилин розгорнути з шаблону нове середовище розробки та під’єднати його до власної мережі, мережі клієнта та дикого інтернету.

Звісно ж, в разі компрометації менш суворо захищеної мережі, коли між нею та іншими підмережами немає надійної політики контролю доступу, інцидент швидко поширюється в усі боки та бізнес зупиняється повністю. В той час, як у випадку правильної сегментації наслідки будь-якого проникнення можна обмежити рамками однієї бізнес функції.

Сподіваюся, ці рядки надихнуть когось переглянути своє ставлення до зазначених проблем та щось змінити в цьому світі. Але сподіваюся не дуже сильно, адже така ймовірність дуже мала. Принаймні до наступного глобального мережевого вірусу, який вкладе пів інтернету.

Бережіться.

Хибні уявлення про науку

через погану журналістику та копірайтерів

Уявлення людей про науку формуються не в школі та не в бібліотеці. Уявлення людей про науку формуються так само, як їхні уявлення про все на світі: з того, що пишуть в інтернеті. Причому перевага надається матеріалам, написаним журналістами, адже нормальні люди інтуїтивно схиляються до думки, що журналістика це така професія із своїми правилами, стандартами та етичним кодексом.

А дулю вам.

Приклад, за який в мене сьогодні зачепилося око, це назва публікації на сайті Vogue Ukraine. “Научно доказано: 10 песен, которые делают людей счастливыми”. Публікація коротенька, тому наводжу її тут в повному варіанті.

“Не секрет, что музыка оказывает положительное влияние на мозг. Доктор Джейкоб Джоли, исследователь в области когнитивной нейробиологии, вывел формулу, которая оценивает способность музыки вдохновить человека на хорошие эмоции. Песни, которые он изучал, были оценены в соответствии с такими критериями: темп (минимум 150 ударов в минуту), позитивность слов, тональность (мажорная или минорная). После этого исследования доктор составил список из десяти «песен счастья». Послушайте их и убедитесь сами.” (Далі іде 10 роликів із кліпами на топ-10 “пісень щастя”. Автор публікації не вказаний).

В людини з моїм колом інтересів не міг не спрацювати тригер на текст в модному виданні, який містить слова “доктор”, “когнітивна нейробіологія”, “вивчав” тощо, та при цьому сформульований за схемою онлайн-маніпуляції: хтось десь щось зробив (віддалений авторитет, “британські вчені”), ось вам статистика та кореляція (апеляція до закону великих чисел, який все перетворить на наукову істину), а тепер переконайтеся самі (зведення висновків до анекдотичного досвіду конкретної людини — конкретно вас як читача).

Отже, я витратив декілька хвилин часу, щоб пошукати, що ж це за шарлатан такий розкидається науковими доведеннями збільшення рівня щастя — параметру, який не те що виміряти, сформулювати не так вже й просто. І ось що з’ясувалося. Звісно ж, доктор Джолі нічого такого не вивчав, наукових досліджень не проводив, та подвійних сліпих експериментів не ставив. Просто певна фірма (Alba) вирішила зробити гарний маркетинговий хід, та провела низку опитувань в різних регіонах, щодо того, як позитивно люди сприймають ті чи інші пісні (по шкалі від 1 до 100). Після цього, фірма з цими даними звернулася до Джолі із проханням “вивести якусь формулу”, яка пов’язує “технічні характеристики” музичних творів та середню реакцію на них серед респондентів. В результаті була створена псевдонаукова формула

Rating = 60 + (0.00165 * BPM — 120)² + (4.376 * Major) + 0.78 * nChords — (Major * nChords)

яка отримала назву Feel Good Formula, щодо якої сам доктор когнітивної нейробіології пише так:

Загалом, це було цікаве завдання. Звичайно, основною метою для Альби був маркетинг, але це нормально. Їх слід похвалити за те, що вони роблять це на основі зібраних даних. Чи це наука? Ні, це обробка даних — для мене як для вченого це корисно, тому що зараз у мене є список пісень, які я можу використовувати для маніпуляцій з настроєм. Однак справді цікаві питання все ще відкриті. Чи є ця модель передбачувальною, тобто чи можуть її використовувати композитори для написання хороших пісень? Чим настільки особливі мажорні ноти, що вони змушують нас почуватися добре? Чому швидкі пісні працюють так добре? Над чим слід працювати в майбутньому … — це велика кількість відповідей, отриманих від людей, зацікавлених у цій роботі, та зацікавлених у пошуку відповіді на питання, про які я згадував раніше. Я впевнений, що ви найближчим часом почуєте більше від нас на цю тему!

Тобто, в цьому “дослідженні”, яке насправді було опитуванням та аналізом зібраних даних, науки не більше, ніж в кореляції між випадками аутизму та щепленнями. Але через те, що журналісти не беруться до роботи та не перевіряють, що саме означають висловлювання вчених, чим справжні дослідження відрізняються від решти діяльності науковців, та чому попередні публікації досліджень дуже зрідка мають щось спільне із дійсністю, піар-повідомлення випущене в маси та набирає обертів. Адже що може бути вірусніше та “чипляти” сильніше, ніж приємний музичний мотив?

Це я все до чого. Наука, це не опитування. Це навіть не дослідження. Це дослідження, складені за певними стандартами та методиками, а потім відтворені незалежно в іншій частині світу для виявлення недоліків дизайну експериментів та інших параметрів. Наука, це скептицизм, сумнів в усьому та кожному, та безліч перешкод на шляху до істини. Який ніколи не завершується, адже усі надбання людської науки — це асимптотичні наближення до того, як все є насправді. Вочевидь, це дуже і дуже багато роботи, і саме тому науку та наукові теорії слід цінувати, а справжніх науковців — шанувати. Так само, як і справжніх журналістів.

Публікація: https://vogue.ua/article/culture/muzyka/nauchno-dokazano-10-pesen-kotorye-delayut-lyudey-schastlivymi.html

Блог доктора Джолі: https://www.jolij.com/the-feel-good-song-formula/

Блокування легітимних веб-сайтів

(enigma.ua, blogs.korrespondent.net тощо)

На жаль, факту блокування Enigma.ua та низки інших веб-сайтів приділяється занадто мало уваги в ЗМІ та соціальних медіа. А ось дуже шкода, тому що це якраз ті перші кроки з наближення нашого суспільства до тоталітаризму, про які ми з колегами попереджали вас ще за часів блокування російських веб-сайтів та соціальних мереж.

Давайте я спрощу для вас ситуацію. Відтепер, якщо якомусь/якійсь судді цього захочеться, “заблокувати” в Україні можна будь-що. Ще раз, щоб заблокувати медійний ресурс, достатньо переконати одну людину в тому, що якийсь контент на цьому ресурсі підпадає під критерії, визначені в анти-конституційному указі, згідно з яким попередня влада типу заблокувала ВК, Однокласники та решту пацакської шушвалі. Ми з колегами попереджали тоді, що даючи державі владу над нашим доступом до інформації, ми даємо їй змогу маніпулювати цією владою. І що найгірше, цей дозвіл пошириться на, та перейде у спадок до наступного уряду.

Узурпація контролю за доступом до інформації в інтернеті — це волога мрія будь-якого популіста, з яких, як відомо з історії, виходять досить пристойні тоталітарні диктатори. Зараз цього ще не помітно, але вже настав час нагадувати, що “ми ж вам казали.”

Що можна зробити? Для початку, було б чотко, якщо хтось би оце наважився моніторити подібні судові рішення та оновлювати “мапу несвободи” українського вебу. Динаміка розвитку подій підкаже наступні кроки. Скоріш за все свободу, яку ми так вигідно обміняли на швидку політичну дію під гаслом “дуси пацаків”, доведеться все ж таки виборювати взад, щодо методів прогнозів не роблю.

Але як мінімум варто розпочати (нарешті) використовувати якийсь пристойний VPN з виходом в цивілізованій країні десь в Бенелюксі чи Північній Європі. Згадаєте мої слова, ця штука вам ще знадобиться. І пам’ятайте — інтернет-провайдер вам в цій ситуації не друг, а скоріш навпаки. Провайдер тут для того, щоб заробляти свої бабки, і він змушений виконувати правила гри, нав’язані йому державою.

І ані провайдеру, ані державі, ані будь-кому в цьому світі немає діла до того, які сайти ви відвідуєте, якщо цим ви прямо не порушуєте закон.


notPetya два роки потому

або чому бізнес не змінив ставлення до кібербезпеки

Я нічого не писав про річницю неПеті, висновки що їх (не) зробила українська держава та бізнес тощо. Зокрема тому, що дуже хотілося почути думки колег і не тільки, а вже потім виносити свої спостереження на публіку. Свою думку щодо цього дуже часто висловлюю і журналістам, і колегам, і навіть клієнтам, але вони її чомусь далі не транслюють. Можливо, вона змушує їх задуматись, а може й ні. З огляду на таку реакцію, я собі зробив висновок, що моя позиція по цій темі непопулярна, хоча поки що ніхто не висунув цікавих контраргументів. Тому давайте-но я її озвучу широко.

Інцидент з неПетєю довів українській державі та бізнесу те, що вони і так знали: кібербезпека не така й важлива, та інвестувати в неї (в тому вигляді, як це пропонує робити ринок) немає особливого сенсу.

Звісно, є певні виключення: деякі компанії, які були геть не готові, нарешті почали робити хоч щось. Деякі компанії, яких зачепило сильніше, ніж конкурентів, зробили корисні висновки. Деякі компанії навіть зробили гасло “ніколи знову” частиною бізнес-стратегії. Але тут йдеться про десятки організацій, всім іншим — відверто все одно.

І з економічної точки зору вони абсолютно праві. По-перше тому, що тотальний інцидент, який накриває весь ринок (вертикаль/галузь/регіон) рівномірно, не складає аж такої великої загрози. Ось вам приклад: коли збитків зазнають всі конкуренти в певній ніші, жодного з них це особливо не топить, адже ніхто не втрачає клієнтів через брак альтернативи. Ця ментальність дуже поширена і з точки зору бізнесу вона вірна.

По-друге, будемо відверті: ніхто не вмер, нікому не відтяло кінцівку, нікого не посадили у в’язницю. Жодна компанія не повідомила про те, що в наслідок неПеті вона збанкрутіла та припинила існування. А недоотриманий прибуток — це просто гроші, їх можна потім заробити (чи як ви їх там здобуваєте). Ці думки заспокоюють бізнес, а безкарність заспокоює чиновників.

Щоб розділяти думку бізнесу треба трохи розібратися в економіці кібербезпеки, а не лише в кібербезпеці. Інвестиції в захист — це sunk cost, бабки які вже ніяк не вдасться повернути. А корисність цього вкладення дуже сумнівна, адже в найкращому випадку із вами просто нічого не станеться. Тому з точки зору керування бізнесом, реінвестиція в бізнес набагато ефективніша, ніж інвестиція в його захист. А через те, що нічого відмінного від інвестиції в захист “класичний” ринок кібербезпеки бізнесу запропонувати не може — тут я цілком на боці бізнесу.

Звісно, окрім захисту в кібербезпеці є ще два місця, куди можна інвестувати з метою уникнення чи зменшення ризиків: це побудова безпечних та живучих систем (security engineering) та підготовка до інцидентів (incident response). Перше дозволяє в процесі побудови зменшити ризики експлуатації систем, а друге — з меншими наслідками пережити атаку, якщо/коли вона відбудеться. Ці два напрямки інвестицій, навпаки, є досить дієвими і значно менш ресурсомісткими. Але “це складно”, чи принаймні складніше за побудову КСЗІ або придбання джентльменського набору фаєрвол + антивірус.

Ось такі в мене думки на тему неПеті. Дива не сталося, бізнес не “прозрів”, це цілком логічно і здебільшого правильно. Молодці ті, хто правильно підходить до інвестицій в кібербезпеку. Шкода тих, хто вишикувався в чергу за новими блимаючими скриньками. А для решти нічого не змінилося і звинувачувати їх немає в чому.

Бережіться розумно.

Якщо вам цікаво розібратися в тематиці фундаментально, почніть із цих публікацій:

Our conclusions remain broadly the same as in 2012: it would be economically rational to spend less in anticipation of cybercrime (on antivirus, firewalls, etc.) and more on response.

There is a rising tide of security breaches. There is an even faster rising tide of hysteria over the ostensible reason for these breaches, namely the deficient state of our information infrastructure. Yet the world is doing remarkably well overall, and has not suffered any of the oft-threatened giant digital catastrophes. This continuing general progress of society suggests that cyber security is not very important.

Темний ліс росте

Нові традиції спілкування онлайн та оффлайн

З цікавістю спостерігаю, як розростається «темний ліс» інтернету. Все більше і більше людей обирають шлях уникнення публічної дискусії та перебираються в закриті середовища: форуми по запрошеннях, чати в Телеграмі, Slack, WhatsApp та навіть Signal, закриті групи Facebook, подкасти та блоги за пейволами. Тенденція зрозуміла, глобальна, тому напевно природна. Адже в публічному спілкуванні є низка недоліків.

  1. Роблячи публічну заяву, — чи то вашу оригінальну думку, чи просто коментар до публічної інформації, — ви неодмінно ініціюєте дискусію. Адже незалежно від того, наскільки правдива та чесна ваша заява, неодмінно знайдеться хтось, хто з нею не погодиться.
  2. Ініціюючи публічну дискусію, ви приречені на дебати із непрофесіоналами. Адже інтернет це таке місце, де хто завгодно може поставити під сумнів що завгодно (адже щоб розібратися в складному питанні зараз достатньо прочитати статтю в Вікіпедії), і будьте певні — вас ця доля не омине. Можна, звісно, обділяти увагою відверто аматорські коментарі, але в такому разі ви будете виглядати відверто нечемно. В противному випадку вам доведеться освічувати обивателів, що не є оптимальним використанням часу та калорій.
  3. Продовжуючи публічне транслювання думок, ви неодмінно потрапите в інформаційну бульбашку. Що більше прихильників знайдуть ваші публічні заяви, тим більше буде в них противників, але перші будуть систематично підтверджувати ваші аргументи та зміцнювати вашу впевненість в собі, в той час як останні просто не стануть за вами слідкувати. Таким чином, публічність з часом позбавить вас можливості аргументовано змінити думку, адже контраргументам не буде звідки взятись.
  4. Ваші погляди, продемонстровані публічно, можуть нашкодити вашій кар’єрі, репутації та навіть свободі. На відміну від живої дискусії в чаті або подкасті, ви не зможете уточнити та переформулювати вашу думку після невдалого або політично некоректного жарту. Усі ваші помилки моментально стануть надбанням публіки та будуть висвітлені в тому ракурсі, в якому цікаво освітлювачам. І у вас не буде жодного шансу уточнити або виправити ваші формулювання, навіть щире вибачення не буде мати ваги чи змісту. Така вже природа інтернету, сподіваюся, ви вже в курсі.
  5. Ваша публічна активність зіштовхнеться з усією повнотою викривлень людської поведінки, що їх додає інтернет. Спілкування в інтернеті дистанційне та псевдонімне, і це накладає відбиток на його учасників. В інтернеті люди дозволяють собі речі, від яких утрималися б «в реальному житті», тому будьте готові. «Це інтернет, крихітко, тут можуть послати на х**».

Всі ці та інші недоліки публічного спілкування створюють простір для застосування в інтернеті теорії темного лісу, згідно з якою інформацію не варто поспішати робити публічною, а якщо й так, то не слід приписувати їй персонального автора. Найпростіший шлях, звісно ж, це відмовитися від дискусії взагалі, та обмежити свою взаємодію з інтернетом або зробити її асинхронною й перетворитися на спостерігача. Ще один вихід — мігрувати з публічного інформаційного простору в «темні домени», створені в темному лісі спеціально для стримання поширення інформації назовні, що дозволяє їх мешканцям менше зважати на вади публічного спілкування та вільніше дискутувати один з одним.

Темні домени, — віртуальні простори та дискусійні групи «в реальному житті», потрапити в які можна лише через щільний фільтр довіри та професійної підготовки, — дозволяють людям без обмежень спілкуватися на проблемні та конфліктні теми, і доходити згоди із найскладніших питань, не зважаючи на загрози 1–4. Знаходячись в середовищі «перевірених» співрозмовників, які професійно та морально підготовлені до дискусії з «чистим серцем та відкритим розумом», вести дебати набагато продуктивніше та безпечніше в усіх сенсах.

Також, темні домени створюють умови для формування консенсусу — зваженої думки чи позиції групи людей, експертів в певній області знань. Дійшовши згоди з проблемного питання, вони можуть сформулювати пораду непрофесіоналам, які зможуть застосовувати цю рекомендацію, покладаючись не на якогось одного консультанта чи «лідера думок», а на певний об’єктивний консенсус. Мовляв, якщо вже ці шановні пані та панове між собою домовилися, то які ще можуть бути сумніви? (Звісно ж, сумніви все одно будуть, і об’єктивним консенсус буде лише з певним коефіцієнтом, але це краще, ніж альтернативи.)

В темному домені діють певні правила, які дозволять йому якнайдовше залишатися платформою для вільного спілкування.

  1. Учасники повинні бути професійно та морально підготовлені до участі в домені. Іншими словами, експерти повинні підтвердити свій рівень володіння темою, а ті, хто ще навчається, повинні це задекларувати. Експерти повинні бути готові взаємодіяти з позиції менторів, а всі інші — з позиції учнів.
  2. Учасники потрапляють в домен через процес відбору та перевірки рекомендацій. Випадкові люди в темному домені — це нонсенс. Гості — також. +1 до учасника на одну зустріч — так само. В ідеалі, кожен учасник домену має право аргументованого вето на додавання наступного учасника. В противному випадку, в домені можуть з’явитися учасники, які будуть заважати один одному вільно вести дискусію.
  3. Інформація потрапляє в темний домен вільно та проходить завзяту перевірку на фактичну правдивість. Інформація виходить з домену в максимально узагальненому та знеособленому вигляді, авторство інформації не приписується конкретним особам. В разі потреби, учасники домену можуть дійти згоди про оголошення певного рішення або поради від імені всього домену. Але наративи про обговорення та джерела фактів варто залишати всередині.

На завершення, наведу вам один приклад темного домену. Усім вам напевно відомо про існування Українського кібер-альянсу, але мало хто в курсі подробиць його складу та конкретних учасників. Довгий час ззовні УКА виглядав як 1–2 активісти, які виносили на публіку результати діяльності організації з мінімальною атрибуцією до конкретних груп та учасників. Згодом флешмоби УКА набули популярності та до них почали долучатися всі охочі. Але звісно ж, учасники #FRD (акції з пошуку вразливостей в інформаційних ресурсах державних органів та об’єктів критичної інфраструктури) аж ніяк не ставали автоматично учасниками УКА. Але поспішали при цьому оголосити свої знахідки, і таким чином уникали захисту так старанно створеного темного домену. Як наслідок, жоден активіст, який оголошував результати своєї діяльності поза інформаційними потоками УКА, не міг скористатися захистом темного домену — всіх їх видно як на долоні. Вони можуть сподіватися на допомогу спільноти, але не на захист теорії темного лісу. Іншими словами, вони відкриті для цілого спектру загроз, що набагато менш актуальні для учасників темного домену УКА. Які все ще мають змогу працювати у відносному затишку, транслюючи свої знахідки через напрацьовані канали зв’язку із силовими відомствами та «публічні рупори» альянсу.

Сподіваюся, ці знання допоможуть вам зорієнтуватися в інформаційному сьогоденні. Бережіться.

Більше про теорію темного лісу:

  1. The Intellectual Dark Web (IDW) and Dark Forest Theory.
    How fear of repercussions can drive meaningful interaction into private forums. https://danielmiessler.com/blog/the-intellectual-dark-web-is-a-clear-case-of-dark-forest-theory/
  2. The Dark Forest Theory of the Internet. https://onezero.medium.com/the-dark-forest-theory-of-the-internet-7dc3e68a7cb1
  3. Beyond the Dark Forest Theory of the Internet. https://onezero.medium.com/beyond-the-dark-forest-a905e2dd8ae0