Quando un sito Web o un sistema viene attaccato, c'è mai uno scenario in cui dovrebbe agire automaticamente contro gli attaccanti anziché solo gestire passivamente l'attacco? Se sì, quali risposte sono appropriate e legali? Ci sono esempi (buoni o cattivi) di questo accadimento in natura?
La scansione passiva come la determinazione della posizione geografica, l'indirizzo IP, i percorsi di rete è probabilmente una buona idea (per capire da dove provengono gli attacchi).
Aggiornamento: In realtà per le istituzioni più grandi questo è un po 'essenziale per determinare se l'attacco è un attacco organizzato su larga scala o semplicemente un hacker solitario che testa le difese. In ogni caso sarà probabilmente distribuito. In entrambi i casi fornirà informazioni utili per bloccare ulteriormente i firewall.
A seconda del contesto legale del paese in cui vivi, rappresagliare un attacco con un tuo attacco di rete attivo (come DOS o virus) costituirebbe un atto illegale.
Combattere indietro è ciò che fanno i ragazzi fantastici >:)
Per quanto riguarda la legge, ho afferrato questo frammento di link (2005)
"CONCLUSION Even under nuisance law, not every counterstrike – or “self help” effort – is automatically immune. It has to be reasonable, and proportional to the nuisance, issues I discussed in connection with a similar requirement under self-defense. And as always, the light cast by ancient doctrine upon novel technologies will produce illumination and shadow both. Courts will “fudge” on the analysis and struggle for precedent, sometimes testing out the wrong one. Just as no one wants to roll out version 1 (new software), no one wants to be a test case in court. It is, as a surgeon might say when considering a complex, multi-organ transplant, an interesting case – not something the patient likes to hear."
Su una nota seria ci sono così tanti cattivi scenari da hackerare per immaginare che ti devi chiedere quando sarai pronto a premere il grilletto; per esempio, cosa succede se si effettua il back-stop per fermare un attacco botnet solo in seguito e si impara che alcuni dei sistemi contro cui si è contrattaccato erano sistemi ospedalieri critici che erano inavvertitamente parte del branco botnet.
Per gli esempi, Richard Bejtlich bloggato nel 2005:
"I disagree with the strike-back idea, as I believe it steps over the line into vigilante justices. It is telling that Tim's papers all pre-date the Welchia worm, which demonstrated how dangerous strike-back can really be. You'll remember the devastating ICMP traffic caused by Welchia as it searched for live machines for purposes of disabling the Blaster worm. "
La domanda numero 1 per me è: cosa speri di ottenere in "contrattaccare"?
Se mi viene punto da una zanzara, lo uccido, ma se riesce a scappare non lo inseguirò sul campo. Se vengo attaccato da uno sciame di api che difendono il loro alveare, non li butterò - mi proteggerò scappando.
I pericoli del contrattacco sono ben presentati nelle altre risposte, ma le ripeterò:
La mia scelta personale di reazioni:
Hack-back porta anche a un nuovo tipo di attacco: Kallisti. "Joe Jobs" parodia la fonte di attacco per ingannare i difensori nell'attaccare la fonte falsificata. L'attacco "Kallisti" proverebbe a causare un loop di hacking tra 2 o più siti, sia per creare rumore in cui nascondere l'attacco "reale" o solo per causare il caos. (Hail Eris)
Una risposta correlata potrebbe essere quella di creare una trappola per il miele per attirare gli attaccanti e farli pensare che ci sono riusciti. Lascia che perdano tempo e fatica mentre li rintraccia, forse. Anche se sembra una brutta sceneggiatura di un film di Hollywood.
Un caso interessante nei Paesi Bassi è appropriato qui.
La polizia olandese (KLPD) ha fatto cadere alcuni server che gestiscono una grande botnet. Hanno ritenuto legale utilizzare ora la botnet per inviare un messaggio ai proprietari delle macchine per informarli che sono infetti.
C'è qualche discussione sul fatto che fosse effettivamente legale, ma penso che molte persone siano d'accordo sul fatto che sia una cosa etica da fare.
Questo caso è molto diverso da quello che dovresti affrontare come una società, ma se questo è già messo in discussione come non legale quando viene fatto dalla polizia, ci si dovrebbe chiedere se è possibile intraprendere qualsiasi azione nei confronti dell'attaccante.
È sempre appropriato diventare un criminale e mettere te stesso, la tua organizzazione e i tuoi mezzi di sussistenza in pericolo di azioni legali? Questo non è un caso di un bandito mascherato che ti mette in combattimento o in fuga situazione. Sì, potresti inventare uno scenario in cui un utente malintenzionato su Internet sta minacciando la vita umana attraverso un attacco a sistemi critici per gli ospedali o qualcosa di simile. Tuttavia, anche in quelle situazioni, non c'è nessun precedente che io sappia che giustifica la stessa forza reattiva applicata in un alterco fisico. Probabilmente i sistemi che si stanno attaccando sono innocenti fornitori di servizi o utenti finali che sono stati dirottati per scopi dannosi. Non sarebbe diverso dal dare fuoco a un'automobile rubata e usata in una rapina in banca.
Inserisci immediatamente i buchi che un utente malintenzionato sta sfruttando. Segnala immediatamente l'incidente alle autorità competenti. Non lasciare che le tue emozioni prendano il sopravvento e ti convincano ad abbassarti allo stesso livello dei tuoi aggressori.
Un altro punto da tenere in considerazione, è come i cattivi possono sovvertire il tuo contrattacco.
Ad esempio, possono inviare pacchetti dannosi con indirizzi IP falsificati, sapendo lo rileveranno e, per rappresaglia, attaccheranno la fonte dell'attacco - o in realtà, il server innocente che è in realtà registrato all'IP spoofato.
Quindi, stanno usando tu per attaccare la loro vittima, la terza parte falsificata.
Non dimenticare, la società attaccata ora crederà - correttamente - che i tuoi server stiano attaccando i loro. Non importa che tu abbia creduto di aver appena avuto ragione di farlo - è irrilevante, anzi, sei attivamente che li sta attaccando. E avranno ragione di sporgere denuncia, o qualsiasi altra cosa.
Uno scenario interessante sarebbe se la vittima di terze parti fosse anche configurata per contrattaccare. Poi, naturalmente, riceverai attacchi effettivi dal loro server - questa volta, per davvero, ma naturalmente è stata colpa tua, vero?
Entrambe le parti si sarebbero probabilmente scambiate l'un l'altra prima che il vero danno fosse fatto ... a meno che non decidessero entrambi di scalare e scalare ... ESSI POTREBBERO PORTARE TUTTI GLI INTERTUBI!
La risposta è certamente no, non farlo.
Posso immaginare uno scenario in cui un worm ti sta attaccando e poiché sai che il worm si diffonde attraverso la vulnerabilità X, sai che tutti i computer che ti stanno attaccando hanno una vulnerabilità X. Potrebbe essere possibile usare la vulnerabilità X per accedi ai computer infetti e avvisa i loro utenti, o addirittura spegnili.
Anche se potresti pensare che questa sia una cosa moralmente accettabile da fare, è un terreno molto pericoloso. Che cosa succede se qualcosa che fai va male, ad es. portando alla perdita di dati che non è stata causata dal worm, o arrabbiate il creatore di worm originale che poi vuole vendicarsi contro di voi in un altro modo. È probabile che sia illegale anche nella maggior parte delle giurisdizioni.
Quando sei vittima di un attacco, la tua situazione implica che attualmente hai:
Per "combattere", perdi il terzo e molto probabilmente il secondo. Non perderà necessariamente il problema, comunque. Il combattimento è illegale nella maggior parte dei paesi; ti impedirà di chiedere assistenza alle forze di polizia e, forse ancora più importante, annullerà l'assicurazione (la tua compagnia assicurativa sarà pronta a segnalarlo). Ultimo ma non meno importante, la tua rappresaglia può danneggiare gli astanti e gettarti in guai più grossi di quelli che hai iniziato.
Quindi, no, non ne vale la pena. Usa la protezione passiva e chiama la polizia.
Ho un esempio eccellente dichiarato da Ivan Orton (Procuratore generale che ha è specializzato in reati informatici) durante il suo intervento per gli studenti del corso online di Stanford (mi dispiace non posso caricare il video su youtube, a causa della politica del sito web):
Imagine that you have a boutique brokerage company in Seattle. Boutique meaning small number of customers, high dollar value accounts, and the customers are actively involved in trading on their accounts, They depend upon the services that the boutique company provides over their website in terms of real-time quotes, real-time trading information, trend analysis, and all kinds of services that the company provides. That company on one of those typical triple witching Fridays which is when three things are happening at the same time and the stock market is extremely volatile in Seattle at twelve:25,25 their system goes down, that's about 35 minutes before closing time on the stock exchange in New York. Their system goes down which means they have no active or, or real trading information or, or quote information, no ability to make trades, all of their trend analysis and other things is down and not available. The boss comes screaming back with a comp-sys analysis and says, what's going on and fix it. And the sys analyst real quick looks at the IP address, uses some of his tools, and he says, it's coming from a computer and a router, in particular, at the University of Oregon. And the boss says, shut that router down right now. And the guy says, I don't know what that router associated with. I don't know what I'm going to be doing. And the boss said, we only need it shut down for 35 minutes. You can start it back up, you can stop whatever you were doing in 35 minutes. But we need our system back up till one:00, and so the guy under pressure, shuts the router down. Well, it turns out that the router's actually a router associated with the University of Oregon medical system and it's a router that controls the distribution of a database that lists all the drug interactions that patients at University of Oregon have. And a patient comes into the emergency room at that time who is a known patient so he's in the system. And in his sys, in his data is indications of a couple of drug interactions that are, that are high, he has a highly allergic reaction to them. He has a condition for which the first line of defense is one of those drugs. The doctor's try to access the database, they can't find any information, the guy's in real critical situation so they administer one of the drugs, and he dies. Then, the system is back up again and everything's hunky-dory. That's a radical scenario.
what happens is the family sues the University of Oregon Medical System. The University of Oregon Medical System, because they find out all about this, sues the boutique in Seattle. What should the boutique do?
Dopo aver fatto questa domanda, parla molto di diversi scenari simili in termini non elettronici (è troppo lungo per metterlo qui, ma se qualcuno lo vorrebbe, lo farei) e alla fine ha dichiarato: Potresti essere tentato di usa la difesa attiva e potresti avere qualche responsabilità associata a questo e tieni a mente ma al momento non esiste una legge chiara su questo argomento e molto dipende dalla giuria (non è esattamente la sua parola - sta riducendo i suoi 7 minuti di conversazione riguardo a questo problema)
Spero che questo chiarisca, quanto sia chiara la situazione con la difesa attiva.
Leggi altre domande sui tag ethics incident-response