Come funziona il monitoraggio IP?

6

Scusa la domanda ingenua (sono più un dev di una persona del web-sec)

In passato ho avuto un hackeraggio dei server Web e di solito li ho rintracciati su alcune macchine casuali che sembrano essere state compromesse (presumo che parte di una botnet eccetera cerchi di trovare un modo per aggiungere il mio server alla rete) .

L'ho sempre lasciato lì dopo aver esaminato i log e rendendosi conto che non era stato fatto niente di male e l'exploit era stato riparato.

Ma mi sono chiesto spesso, e se avessi avuto bisogno di identificare la minaccia. Potrei andare dalle autorità? Cosa potrebbero effettivamente fare? Se fosse Hollywood Dreamland, avrebbero una grande mappa su uno schermo a parete e in pochi secondi avrebbero percorso tutti i proxy e trovato la fonte ....

Per quanto posso capire, questo non è possibile a meno che tu non avessi il 100% di accesso a tutti gli ISP in tempo reale OPPURE eri back-hacking ogni proxy con qualsiasi exploit e seguendo le connessioni in entrata OPPURE fatto tramite gli scambi di livello 1? Tutto ciò non è un compito da poco ..

Si tratta della dimensione di questo?

    
posta Alex 18.05.2012 - 17:33
fonte

2 risposte

3

Se gli aggressori usano strumenti di anonimato come Tor, è estremamente difficile rintracciarli alla persona che esegue l'attacco, specialmente dopo il fatto. Pensa a Tor come una grande rete crittografata, in cui le connessioni vengono instradate attraverso un percorso casuale di più nodi. In nessun punto un nodo qualsiasi conosce sia l'IP di origine che l'IP di destinazione.

Gli attacchi contro tali reti anonime sono complessi e richiedono un accesso privilegiato ai registri ISP e ad altre risorse simili, quindi, a meno che tu non abbia avuto perdite significative, le autorità non sono propense a fare lo sforzo.

Le cose diventano ancora più difficili quando si ha a che fare con un utente malintenzionato che utilizza Tor per controllare un'orda di computer compromessi in una botnet. Queste macchine possono essere in paesi diversi, con diverse leggi sulla privacy e sulla sicurezza informatica. Ottenere l'accesso ai dati e / o ai registri su queste macchine può rivelarsi un incubo burocratico.

In generale, quando le autorità investigano sugli attacchi, cercheranno qualcosa di diverso dalla pista digitale. È molto più facile catturare le persone con le loro azioni sui siti di social media, o attraverso percorsi cartacei quando i soldi vengono trasferiti intorno.

Il mio consiglio, se non hai perso molto in termini di entrate, è dimenticare di perseguire l'attaccante e concentrare il tuo tempo / soldi nello scoprire come sono entrati e come impedire che ciò accada di nuovo. / p>

Ora sarebbe il momento giusto per sottoporsi a una revisione della sicurezza. Ecco alcune cose che dovresti ricontrollare correttamente:

  • Le solite misure di sicurezza: modifica la porta SSL, nessun accesso root, usa certificati client, applica password complesse, ecc.
  • Aggiornamenti (sistema operativo, pacchetti software, IDS / IPS, firewall, AV, ecc.)
  • Monitoraggio e avvisi di sicurezza, con backup dei registri da remoto.
  • IPS / IDS / firewall nei posti giusti.
  • DMZ impostato tra servizi rivolti verso Internet e la tua rete interna.
  • Software AV su qualsiasi macchina utente.
  • Gestione corretta dell'account utente.
  • Politica di sicurezza.
  • Politiche di risposta agli eventi.

Sarà molto più conveniente concentrarsi sulla prevenzione degli attacchi futuri piuttosto che andare a caccia di fantasmi.

    
risposta data 21.05.2012 - 17:33
fonte
3

Hai praticamente centrato il bersaglio, motivo per cui per la maggior parte del crimine organizzato online la chiave è seguire il denaro, che è molto più rintracciabile.

A seconda del livello di paranoia, un aggressore può instradare attraverso più proxy, usare TOR o altri strumenti di anonimato e generalmente offuscare in qualunque misura essi vogliano, e mentre alcuni ISP coopereranno, un abile attaccante si dirigerà attraverso paesi dove non lo faranno.

Dai un'occhiata alla domanda su Anonymous e Lulzsec -   Perché è difficile catturare "Anonimo" o "Lulzsec" (gruppi)?

    
risposta data 18.05.2012 - 18:14
fonte

Leggi altre domande sui tag