Perché è difficile catturare "Anonimo" o "Lulzsec" (gruppi)?

La mia risposta spara alla domanda originale. Cosa ti fa pensare che non vengano scoperti?

La CIA e il Dipartimento della Difesa hanno trovato Osama bin Laden.

I mezzi tipici includono OSINT, TECHINT e HUMINT. Forensics può essere fatto su Tor. Gli strumenti di cancellazione sicura come sdelete, BCWipe e DBAN non sono perfetti. Gli strumenti di crittografia come GPG e TrueCrypt non sono perfetti.

La comunicazione online era forse il principale punto di forza di Osama bin Laden (aveva i corrieri che viaggiavano per i cyber-caffè più lontani usando la posta elettronica su chiavette USB) e la più grande debolezza di Anonymous / LulzSec. Usano solitamente IRC non criptato. Tu pensi che almeno stiano utilizzando OTR tramite Tor con un proxy SSL ai server di comunicazione IM invece di un traffico di testo trasparente attraverso un nodo di uscita.

Il loro uso comune di utilità come Havij e sqlmap potrebbe sicuramente ritorcersi contro. Forse c'è una vulnerabilità lato client nella VM Python. Forse c'è un overflow del buffer sul lato client in Havij. Forse ci sono backdoor in entrambi.

A causa della natura politica di questi gruppi, ci saranno problemi interni. Ultimamente ho visto alcune notizie che 1 su 4 hacker sono informatori per l'FBI.

Non è "difficile" "catturare" nessuno. Un'altra persona su questi forum mi ha suggerito di guardare un video da una presentazione di Defcon in cui il presentatore rintraccia un truffatore nigeriano utilizzando le avanzate funzionalità di trasformazione di Maltego. Le funzionalità di OSINT di Maltego e del Notebook dell'analista di i2 Group sono abbastanza illimitate. Un piccolo suggerimento; un piccolo errore OPSEC - e si verifica un'inversione: il cacciatore viene ora cacciato.

Da una certa esperienza con le forze dell'ordine e la scientifica, posso dire che uno dei maggiori problemi è che gli ISP non vogliono davvero tenere traccia degli utenti. Una volta che superano un certo livello di gestione, perdono lo status di "vettore comune" e diventano responsabili di un sacco di cose che i loro clienti potrebbero fare.

Inoltre, molti paesi non vogliono trasmettere informazioni a un altro paese, in particolare paesi che potrebbero essere contrari alla cultura occidentale o alle interferenze occidentali.

Ed è estremamente facile nascondere qualsiasi cosa su Internet.

Per quanto riguarda i tuoi tre punti:

• Il server dovrebbe avere indirizzi IP - No - questo è semplice da falsificare o cancellare
• Server privato - Non probabile, sebbene possibile - ma non lo sarebbe si utilizza la carta di credito
• La traccia dell'ISP - Non succederà - non influisce negativamente sull'ISP, ed è troppo difficile

aggiornamento Potrebbe succedere dopo tutto - link

Uno degli aspetti più importanti di un attacco come questo è quello di coprire le tue tracce. Ci sono molti modi per farlo, in quanto dipende dalla tecnologia. Per rispondere alle tue domande specifiche:

Quando facevano DDoS: se il flusso proveniva dalle loro stesse macchine, sarebbe stato abbastanza facile rintracciarli. Il problema sta nel fatto che non stanno utilizzando le proprie macchine. Sono a) prendendo il controllo di qualcun altro senza permesso, o b) convincere qualcuno a farlo per loro conto. Quest'ultimo è quello che è successo con gli attacchi di Wikileaks. Le persone si sono registrate per farlo.

Le cose iniziano a diventare nervose quando i server si trovano in paesi che generalmente non rispondono alle richieste di log. Se la compagnia che viene attaccata è negli Stati Uniti, è abbastanza facile ottenere un ordine del tribunale se è possibile provare che l'attacco proviene dagli Stati Uniti. Cosa succede se si tratta di un obiettivo statunitense, ma l'attacco è originario in Russia o in Cina? La stessa cosa vale per i record di acquisto.

Per quanto riguarda la paura ... ci sono un bel po 'di questi tipi di gruppi là fuori. Molti di loro sono (non voglio dire innocui, ma ...) innocui. In questo caso particolare, qualcuno ha colpito l'orso e l'orso si è incazzato.

EDIT: Non che io condoni le loro azioni, blah blah blah.

Ci sono NUMEROSI modi in cui un hacker può coprire le proprie tracce ...

Ecco un esempio molto generalizzato:

Un hacker può compromettere un computer di terze parti e usarlo per fare attacchi per conto degli hacker. Poiché il sistema è compromesso, l'hacker può cancellare / modificare i registri. Un hacker può anche utilizzare macchine come, accedere alla macchina A, dalla macchina A alla macchina B, dalla macchina B alla macchina C, dalla macchina C alla macchina C, quindi pulire i registri per le macchine C, B, quindi A rendere più difficile il tracciamento dell'hacker.

Questo non tiene nemmeno conto degli account internet hackerati (quindi, anche se risalgono a una persona diversa), aprono proxy, ecc ecc. ecc.

So che quanto sopra non è perfetto, ma come ho detto questo è solo un esempio MOLTO generico. Ci sono molti modi per coprire le tue tracce.

Detto questo, cosa ti rende così sicuro che alcune agenzie di 3 lettere non sanno già chi sono molte di loro, ma non le fanno muovere in modo che quelle persone possano guidarle verso gli altri?

Sono sicuro che gli altri interverranno su chi può spiegare in modo più approfondito, ma penso che la lezione più importante da imparare sia occuparsi meno di hacker specifici e gruppi di hacker, e più con la propria sicurezza. Il fatto che la loro ultima affermazione di fama abbia avuto origine da qualcosa come TRIVIAL da correggere come una vulnerabilità di SQL Injection (che non è una novità, molto ben documentata e compresa) è un enorme scredito per la "ditta di sicurezza" senza nome che è stata hackerata. rant sopra

Beh, ho risposto ad alcuni post sopra che avevano informazioni errate, ma ho pensato che avrei dovuto postare la mia risposta per spiegare meglio.

Anonimo è composto essenzialmente da 2 sottogruppi:

1. Skiddies (script kiddies) e neofiti che hanno solo la conoscenza di base della sicurezza, e si siedono semplicemente nel loro IRC e in pratica sono i pult per l'attacco. Queste sono le persone che l'FBI stava abbattendo le loro porte.

2. Leadership di base anonima, un gruppo con una conoscenza hacker di proprietà di hbgary, ma anche di recente è stato di proprietà di ninja hack squad. Non sarai in grado di rintracciare questo sottogruppo a meno che tu non sia un guru della sicurezza.

Come nascondono le loro tracce?

Come i precedenti rispondenti citati,

1. Tramite server proxy come Tor
2. compromettendo le caselle e lanciando attacchi da quelle caselle (praticamente mascherando come IP di quella persona), o
3. utilizzando una VPN che si trova in un paese straniero e non mantiene nessun registro. Con la VPN, tutto il tuo traffico viene inoltrato attraverso di esso così ovunque tu lo colleghi puoi solo rintracciare il IP addy alla VPN stessa e non oltre (a meno che la VPN non tenga registri, nel qual caso non dovresti usarlo comunque).

Spero che questo aiuti a chiarire un po '.

La cosa su un DDoS è che usi gli indirizzi IP degli altri, non i tuoi. È relativamente semplice diventare non rintracciabili su Internet: basta indirizzare il traffico attraverso un host che non tiene traccia del traffico. Come qualcuno che deve spesso cercare di rintracciare queste persone, posso dirti che è un incubo impossibile. Ecco il modello che vedo spesso:

1. Seleziona un exploit relativamente recente in alcuni pacchetti di software web (ad esempio l'estensione di joomla).
2. Utilizza google per trovare un target di attacco appropriatamente vulnerabile
3. Da una località che non può essere rintracciata (ad es. coffee shop), esegui l'attacco per ottenere il controllo sul server vulnerabile, ma non fare nient'altro che attiri l'attenzione su di te. (punti bonus, correggi la vulnerabilità in modo che nessuno entri dietro di te). Elimina tutti i log che potrebbero risalire alla tua posizione presunta.
4. Ripeti quanto sopra, inoltrando il tuo traffico attraverso il server precedentemente compromesso. Ripeti ancora diverse volte fino a quando non sarai rimosso più passaggi dalla macchina che si comporterà come proxy. Idealmente questi server dovrebbero trovarsi in paesi come la Cina, l'India, il Brasile, il Messico, ecc., Dove i tecnici dei data center tendono a essere non collaborativi verso indagini, e dovrebbero essere tutti situati in paesi diversi per creare giurisdizione e incubi di comunicazione per le persone che cercano di rintracciarti.

Congratulazioni, ora sei anonimo su Internet. È un po 'come Tor, tranne che nessuno dei nodi sa che stanno partecipando. Di solito questi aggressori impostano e usano backdoor su server per i quali non sono conservati registri o record (poiché presumibilmente la backdoor non esiste). Una volta che l'attaccante si disconnette, quel collegamento diventa permanentemente non rintracciabile.

Un salto riduce drasticamente le tue possibilità di rilevamento. Due luppoli rendono quasi impossibile la rilevazione. Tre hop e non ne vale nemmeno la pena.

Forse dovresti leggere questo PDF . Non sono così anonimi. Lo strumento LOIC utilizzato per DDOS, perde l'IP originale della persona che lo utilizza. Puoi utilizzare la versione del browser (JavaScript) dello stesso strumento, magari nascondendoti dietro Tor.

HBGary Federal ha esposto i loro nomi e indirizzi in quel PDF. Questo è il motivo per cui hanno attaccato il suo sito, e-mail, cancellato il suo iPad, preso il suo twitter ecc .... Cerca l'hashtag #hbgary su twitter per maggiori informazioni su questo.

Diversi post discutono le difficoltà tecniche nel trovare le persone dietro questi gruppi. Non è affatto semplice tornare indietro della loro attività quando si usano molte macchine per creare un senso di anonimato.

Un altro aspetto molto importante è che la polizia, le comunità di intelligence di tutto il mondo e la diversa legislazione delle contee non è realmente costruita per gestire queste situazioni. Quindi, se si trova un server in un paese che è stato utilizzato per passare a un server in un altro paese, è necessario troppo tempo per passare attraverso i canali appropriati per consentire alla polizia locale di ottenere le informazioni. Anche se fai le informazioni come i log non vengono sempre conservati per lunghi periodi di tempo.

È facile saltare illecitamente su Internet, ma molto più lentamente saltare su Internet in modo legale. Questo è un fattore molto proibitivo quando si cerca di trovare questi gruppi.

Ecco un articolo che chiede (e risponde) proprio quella stessa domanda dal Sito americano scientifico pubblicato questo mese. La risposta breve alla domanda è lo spoofing degli indirizzi di origine e l'uso dei proxy.

C'è una cosa che non è stata ancora menzionata: il fattore umano.

Questi gruppi non hanno una gerarchia in quanto tale, invece si formano attorno a una serie di idee. La maggior parte delle volte, l'unica idea in comune è "i governi sbagliano, dobbiamo fare giustizia con l'hacking", che è probabilmente un sentimento che si sta rafforzando, con l'attuale pressione che il governo statunitense (pressato dalle corporazioni stesse) sta mettendo in altri paesi al di sotto delle copertine per passare leggi draconiane contro la libertà di parola che potrebbero danneggiare le società sopra citate.

Quindi il grande richiamo qui, specialmente da parte di Anonymous, è che se hai la conoscenza e odi il governo (chi non lo fa?), puoi unirti a loro stessi e al tuo account e rischiare.

Per vedere da dove viene questo pensiero, consiglio il film / fumetto "V for Vendetta", dal quale hanno preso quella maschera che vedi così spesso.

Alcuni gruppi, ovviamente, hanno intenzioni molto meno eroiche. LulzSec era "tutto per il lulz".

La linea di fondo è che sì, potrebbero ricevere alcuni membri di ciascun gruppo, ma ne verranno visualizzati altri.

Gli hacker possono essere catturati, Anonymous non può. Anonymous è un collettivo così perso che non viene ferito in modo significativo dalle forze dell'ordine che colpiscono i suoi hacker individuali. Tuttavia, risponde violentemente contro qualsiasi organizzazione che tenta di farlo. Questo significa

• È molto difficile abbattere Anonymous semplicemente catturando i suoi membri.
• Anonymous renderà la vita difficile a chiunque tenti.

Tutto ciò che Anonymous deve fare è continuare a "non valere la pena" per perseguire i suoi membri in massa e continuerà a essere libero. Tuttavia, giocano un gioco pericoloso. Se il pubblico decide di essere un fastidio sufficiente, allora all'improvviso varrà il costo di rintracciare e catturare i suoi membri, sopportando i contro-attacchi di Anonymous mentre vanno.