Ci sono segni evidenti di auto-hacking? [chiuso]

15

Dopo l'arresto Mt.Gox , tenendo presente anche attacchi di recente pubblicati su Target e Neiman Marcus, si è portati a credere che a volte i cosiddetti hacking siano perpetrati dagli addetti ai lavori.

Quali sono i segni rivelatori di un compromesso condotto da un insider in contrasto con l'intrusione di minacce da parte di estranei? Si prega di limitare i vostri argomenti alle prove forensi digitali dai sistemi interessati, e non dai computer / cellulari personali dei sospettati ecc.

È realisticamente possibile coprire completamente le tracce di addetti ai lavori in un compromesso?

    
posta Deer Hunter 25.02.2014 - 14:11
fonte

2 risposte

19

L'unica prova affidabile di una persona interna che attacca i tuoi sistemi è se li prendi con le dita sulla tastiera.

Le persone spesso sospettano gli addetti ai lavori perché hanno speso una quantità straordinaria di denaro per costruire difese estremamente sofisticate, e semplicemente non riescono a immaginare un hacker che sia in grado di navigare tra di loro. Hanno processi di rilascio grandiosi che assicurano che solo il codice che è passato attraverso il QA sarà rilasciato in produzione. Hanno firewall che bloccano gli attaccanti, scanner NDIS alla ricerca di attacchi, strumenti anti-virus su tutti gli endpoint e strumenti DLP per controllare le attività di estrazione dei dati. Hanno tutti i processi, le migliori pratiche, i progetti, i piani, i fogli di calcolo, i controlli e gli elenchi di controllo infiniti.

Nel frattempo, l'hacker non sa nulla di queste cose. Semplicemente sfruttano un buco e intensificano i loro privilegi; quindi spostati lateralmente sulla rete utilizzando credenziali rubate che appaiono come qualsiasi altro utente legittimo. Alla fine trovano la loro strada verso una macchina che contiene informazioni preziose. Utilizzano strumenti personalizzati e modificati che non attivano gli scanner AV o NDIS o utilizzano gli strumenti del sistema operativo già presenti sulle macchine della vittima. Una volta individuati i dati che stanno cercando, codificano i loro beni rubati per evitare strumenti DLP, mimetizzarli per renderlo simile al traffico ordinario e inviarlo.

Quando hai investito così tanto nella costruzione di un sistema di sicurezza che sembra formidabile, è difficile credere che l'aggressore possa essere tutt'altro che un insider. Invece di saltare all'ipotesi che sia un lavoro interno, è tuo dovere continuare a scavare finché non trovi il percorso reale.

Le tue migliori scommesse stanno andando alla ricerca attraverso server di registrazione indipendenti, quelli in cui l'attaccante potrebbe non aver avuto accesso per corrompere i log. Una volta identificate le credenziali, rintracciare le macchine in cui sono state utilizzate tali credenziali, cercando le prove dell'attacco. Anche i registri di router, NDIS o firewall saranno utili.

    
risposta data 25.02.2014 - 15:07
fonte
1

Si arriva a un'interpretazione molto strana di una domanda quando suona come un punto di trama cyberpunk e appare accanto a una minuscola icona che richiama più strongmente un simbolo Transformers. Ho pensato che questa fosse una domanda di gioco prima di seguire il link.

Considera che un insider per definizione ha già un accesso legittimo a molte risorse; è conosciuto e probabilmente fidato da almeno un dirigente, che ha più accesso; è probabilmente protetto dalla sicurezza contrattuale da interferenze ordinarie. Potrebbero essere in grado di sovvertire le relazioni di fiducia per svolgere compiti che appaiono individualmente desiderabili o almeno innocui (anche dannosi , se non così tanto spesso né spesso), che un estraneo malintenzionato potrebbe desiderare di fare, ma essere attivamente impedito di tentare (con scarse possibilità di ottenere l'accesso o di evitare ritorsioni). A meno che l'addetto ai lavori non faccia un errore evidente (ad esempio: prendere parte a una cospirazione con il proprio malintenzionato), è probabile che possa evitare il rilevamento a tempo indeterminato.

È istruttivo notare come si sono verificate le maggiori perdite di informazioni governative. Nel caso del più grande Wikileak, sembra che sia stato fornito un accesso quasi illimitato a un tecnico relativamente basso. Non è stato riconosciuto che stava facendo altro che il lavoro che ci si aspettava da lui, eppure il suo obiettivo era di compromettere completamente la sicurezza delle informazioni. Tutto ciò che ha tentato è stato permesso.

Il modo migliore per proteggere un bene è non renderlo mai disponibile. Se deve essere esposto, ogni accesso richiede una giustificazione proporzionale alla sua importanza. Non si dovrebbe presumere che potrebbe mai essere reso inaccessibile di nuovo.

    
risposta data 26.02.2014 - 00:39
fonte

Leggi altre domande sui tag