La cosa bella degli attaccanti persistenti è che il loro comportamento è consistente e ripetuto, attraverso il quale è possibile stabilire un modello che poi porta a un'identità.
È possibile essere completamente anonimi su Internet, ma il modo solo di farlo è evitare di stabilire un modello ed evitare comportamenti che possono essere correlati, analizzati e infine distillati per trovarne il caratteristica comune: tu. Ecco come e perché gli hacker vengono catturati; non tacciono.
Quindi, se l'obiettivo comune è il tuo forum, allora usi il forum per trovare i fattori comuni nell'attacco. Hai già un comportamento criminale (pornografia infantile e minacce di morte) che è sufficiente per coinvolgere attivamente la polizia. Questo aiuta a raccogliere dati che altrimenti sarebbero inaccessibili.
Il prossimo passo è iniziare a bloccare i percorsi di accesso che non possono essere tracciati. Supponendo che ciò non influisca negativamente sugli altri utenti, è possibile bloccare i nodi di uscita TOR, i proxy anonimi noti e così via, fino a quando non rimarranno solo le rotte del server che possono essere rintracciate dalla polizia.
Ovviamente questo può influenzare i tuoi utenti legittimi, quindi potresti voler applicare solo queste restrizioni per la pubblicazione di messaggi o nuove registrazioni dell'utente.
Successivamente inizi a seguire i lead; quando ottieni traffico rilevante, controlli la sua origine. È venuto da un server web compromesso? In tal caso, contatta l'amministratore del sito per segnalare l'intrusione e scoprire se stanno conservando i registri. Molti amministratori saranno più che disposti a consegnare i registri di attori malvagi, dato che saranno altrettanto pazzi di te.
Siti come domaintools.com sono sorprendentemente utili per determinare chi è coinvolto in un dato IP, quali siti sono ospitati lì, chi è il proprietario o lo era, ecc. A La ricerca GeoIP aiuterà a determinare con maggiore precisione se gli indirizzi IP si trovano fisicamente l'uno vicino all'altro.
Alla fine inizi a vedere lo sviluppo dei modelli. Si capisce che inserisce solo durante una finestra di 5 ore (che probabilmente corrisponde alla sera dove si trova), e mentre trasmette la propria connessione attraverso altri server, l'IP di origine è tipicamente caffè in una singola città. Usa firefox su OSX. Piccoli dettagli che possono tornare utili.
Più informazioni hai, più informazioni puoi dare alla polizia, più è probabile che lo identificheranno effettivamente.
O quello o smette di postare e la pista diventa fredda. In entrambi i modi, hai vinto.