In che modo i ricercatori "acquisiscono il controllo di un PC attaccante" e non sono considerati attaccanti / criminali?

9

In riferimento a questo report di calcolo di rete articolo "Operazione ombreggiata" Rat ha perpetrato cinque anni di attacchi a lungo termine contro il governo, le imprese "

Le note di Cliff per l'articolo sono quindi: è stato scoperto che molti paesi e grandi aziende sono stati bersaglio di attacchi concertati a lungo termine. Questa informazione è stata scoperta attraverso uno sforzo di ricerca a lungo termine fatto da McAfee .

Una citazione dell'articolo mi ha incuriosito (sottolineatura mia):

In a probe dubbed Operation Shady RAT (for Remote Access Tool), researchers gained access to one of the attackers’ command and control (C & C) servers and obtained detailed insight into the victims, the information stolen, and the methods used.

In una delle dichiarazioni relative all'operazione di McAfee, si afferma semplicemente:

McAfee has gained access to one specific Command & Control server used by the intruders.

Ma non dire come hanno ottenuto l'accesso. Forse è stato dopo un sequestro legale di hardware.

In che modo i ricercatori potrebbero ottenere il controllo dei sistemi di un utente malintenzionato e non hanno essi stessi infranto la legge? Devono ottenere qualche tipo di "mandato" o benedizione legale su questo genere di cose? È mai accettabile penetrare nei sistemi di un aggressore nel corso della ricerca del loro comportamento?

    
posta Wesley 06.08.2011 - 23:31
fonte

3 risposte

11

I server C6C sono spesso server che sono stati compromessi , non server noleggiati dall'hacker.

Contratti di supporto per la sicurezza

Per le organizzazioni pubbliche ci sono spesso CERT (team di risposta alle emergenze informatiche) responsabili per loro. Ad esempio c'è il certificato DFN per tutte le università tedesche. Le grandi aziende tendono ad avere contratti di supporto con società specializzate in sicurezza.

Quindi, dopo che la violazione della sicurezza è stata notata, il server può essere consegnato all'organizzazione di sicurezza per fare forense : scopri come è arrivato l'attaccante, prova a stimare quale danno hanno causato, a quali dati hanno avuto accesso, ecc. Conoscere il danno nel miglior modo possibile, può essere particolarmente importante per difendersi dall'essere citato in giudizio dai clienti.

Questo è il caso più comune. La formulazione è molto simile a quello che il nostro CERT ha detto quando hanno ottenuto un server C & C da un'università qualche tempo fa: "Il CERT ha ottenuto l'accesso a un server di comando e controllo che ha raccolto un elenco di indirizzi web, nomi utente e password. il dominio delle seguenti voci è sotto la tua responsabilità per favore informa i tuoi utenti con i seguenti nomi di account che il loro computer è infetto ".

Ovviamente le organizzazioni per la sicurezza devono evitare di attirare l'attenzione sui loro clienti perché implica che il cliente sia stato attaccato con successo.

Altri mezzi

Il C & C potrebbe essere stato un honeypot , un server dedicato ad essere attaccato. Penso che sia improbabile perché si dice che il server c & c era attivo da anni.

Poteva esserci un ordine del tribunale di sequestrare il server. Ma se fosse così e la compagnia di sicurezza è stata chiamata come expert witness , probabilmente non gli sarebbe stato permesso di ottenere il pubblico.

La compagnia di sicurezza potrebbe aver ottenuto l'accesso non autorizzato. Lo considero estremamente improbabile a causa dell'enorme rischio legale coinvolto.

tl; dr

La compagnia. che ospitava malvolentieri il C & C. molto probabilmente l'ha consegnato ai consulenti di sicurezza per la valutazione dei danni.

    
risposta data 07.08.2011 - 00:12
fonte
5

Ora che siamo tutti d'accordo, stiamo tutti speculando ...

C'è stata una piccola ma significativa tendenza in cui l'intrusione di whitehat in o su un'infrastruttura chiaramente malevola è stata trattata come ammissibile, necessariamente utile, o - uh - "in cerca di altro modo".

L'abbiamo visto diversi mesi fa quando il governo degli Stati Uniti ha preso il controllo di vari nomi di dominio. Sono a conoscenza di un paio di incidenti in cui i professionisti della sicurezza di tutto rispetto hanno iniziato a giocare a who-controls-the-botnet ora con botnet malevoli attivi. Quindi sono a mio agio nel ipotizzare che McAfee abbia effettuato un accesso non autorizzato a un nodo C & C come parte della loro indagine su una botnet. Non ho dati o prove dure; questa è pura speculazione.

Potresti avere una discussione etica davvero affascinante a riguardo:

  • Gli aggressori non hanno alcuna compunzione; un difensore che lega le proprie mani è in netto svantaggio.
  • I server contestati sono spesso di proprietà di una terza parte che è probabilmente penalmente negligente; questa negligenza erode i loro diritti?
  • I server contestati sono l'equivalente di Internet di un cane rabbioso, e IRL, la legge sanziona l'uccisione di un animale pericoloso, vero?

Immagino che nel caso di Shady RAT qualcuno abbia deciso di farlo, e che il guadagno fosse al di là di quello che chiunque avrebbe potuto sperare. (Torna al 2006? Davvero?)

    
risposta data 03.08.2011 - 23:19
fonte
4

La dichiarazione ufficiale dice: "McAfee ha ottenuto l'accesso a uno specifico server Command & Control utilizzato dagli intrusi". Sembrerebbe estremamente probabile che siano stati portati nella foto per l'analisi da qualcuno con accesso al server C & C considerando le implicazioni che l'alternativa (McAfee che gira cappello nero) avrebbe per la loro compagnia. Se la consideri una teoria funzionante, devi mettere in discussione perché questa relazione non sia stata menzionata, proprio come hai fatto tu.

Una risposta probabile è che coloro che hanno chiesto assistenza a McAfee nell'ambito di un'indagine ufficiale. Se così fosse, abbiamo McAfee che accusa la Cina di attacchi APT sponsorizzati dallo stato in base a un altro stato che fornisce loro i dati. La parte 'avanzata' di questo APT include un singolo server in esecuzione per cinque anni senza cancellare i log incriminanti.

La tua domanda è eccezionale. Spiacente di fornire solo speculazioni, ma la mia ipotesi è che tutto ciò sarà disponibile per il breve termine.

    
risposta data 03.08.2011 - 19:46
fonte

Leggi altre domande sui tag