Come si può far risalire un hack online ai perpetratori?

Naviga le tue risposte
3

Quale tipo di prova potrebbe essere usata per collegare, ad esempio, l'hacking della Sony alla Corea del Nord? Mentre sono curioso di sapere cosa è stato usato in questo caso particolare, la mia domanda è intesa come una domanda più generale su quale genere di cose potrebbe essere un ripiego in situazioni generali come questa.

Cose che ipotizzo:

  • Uso della stringa dell'agente utente da una richiesta Web come una sorta di impronta digitale. Sembra che abbia una quantità relativamente piccola di informazioni e sia abbastanza discutibile.
  • Vedere il linguaggio della compilazione o dei commenti (il pezzo di prova più pubblicizzato nell'hack di Sony). Ciò fornisce ancora poche informazioni ed è facile da falsificare.
  • Tracciamento di un IP. Anche se questo è fatto con successo, sembra che un hacker competente utilizzerebbe una qualche forma di reindirizzamento per nascondersi. (Ho trovato un sito in cui si afferma che l'hack Sony aveva un IP tracciabile in Asia meridionale, ma è ancora piuttosto ampio e circostanziato)
  • Individuazione di una sequenza di comandi distintiva in alcuni malware che la collega ad alcuni malware precedenti (ad esempio, come funziona spesso l'antivirus). Tuttavia, sono tutte le tartarughe finite e non sono chiaro in che modo il malware originale avrebbe potuto essere collegato alla Corea del Nord (o altrove).

Vedo questa domanda molto correlata , ma l'unico tassello concreto di quelle risposte è che se riesci a vedere le reti wireless disponibili sul computer di un hacker, è possibile utilizzare tali informazioni per localizzare. Ottenere tali informazioni sembra abbastanza improbabile però.

Vedo anche questi correlati tangenzialmente domande che sostanzialmente dicono "sì, il monitoraggio delle persone è difficile".

C'è questa domanda sull'investigazione degli hack , ma la sua risposta riguarda solo la serie di passaggi per il recupero dall'hack.

Ciò detto, ho visto solo ragionevolmente credibile fonte di notizie chiedendo che l'FBI e il governo degli Stati Uniti si siano stabiliti sulla Corea del Nord. Quindi, presumo di dover perdere alcuni modi ragionevoli per poter rintracciare l'hack.

Capisco perfettamente che il pubblico probabilmente non ha tutti i dettagli sull'hack (e forse non lo farà mai). Sto cercando invece quali tipi di cose potrebbero servire come prove convincenti e potrebbero essere stati ragionevolmente trovati .

    
posta akroy 21.12.2014 - 19:24
fonte

1 risposta

5

I tuoi punti sono buoni, e questa è la cosa interessante del rintracciare gli hack: è facile esprimere il sospetto, ma è molto difficile dimostrare in modo conclusivo da dove viene un attacco.

Alcune cose che restringono il campo:

  • La lingua in cui è stato scritto un programma può spesso essere determinata, come suggerisci tu. Questo è ovviamente suggestivo, ma non definitivo.

  • Come suggerisce anche, il motivo è una considerazione. Forse una considerazione più grande sono le risorse. Come al solito, i limiti di risorse fisiche del mondo reale fanno molto per restringere le possibilità. Ecco perché "seguire i soldi" è uno strumento prezioso nelle indagini. Ci vuole un sacco di tempo e sforzi per fare un ottimo lavoro di hacking di una rete. A questo proposito, è abbastanza facile distinguere tra un gruppo ben organizzato e ben organizzato e una scimmia di script in giro. Ci sono solo così tante persone con motivazioni e risorse. Di nuovo, non definitivo, ma utile.

Ci sono molti modi in cui gli hacker potrebbero fare qualcosa di stupido

  • lasciando il loro vero nome in un messaggio / log / etc ...
  • utilizzando le loro reali credenziali di accesso ad alcuni servizi noti
  • lasciando i metadati in una richiesta che essi inviano che possono essere utilizzati per identificarli. Alludi a questo quando parli della stringa dell'agente utente. In effetti, ci sono molte altre cose che un server può usare per impronte digitali di un utente. Tutto ciò presuppone comunque un browser Web e ci sono molti altri modi per eseguire un attacco.
  • il problema dei metadati nella richiesta è solo un problema se (1) i metadati vengono registrati e (2) l'hacker non è abbastanza attento a cancellare il registro.

A meno che gli hacker non facciano qualcosa di stupido, direi che tracciare un IP fino alla sua origine è l'unico vero modo per de-anonimizzare gli attaccanti: altre cose aiutano ma sono circostanziali. Alcune cose che lo rendono difficile:

  • hacker intelligenti e ben equipaggiati useranno infatti più livelli di software VPN per proteggersi. Spesso, quando possibile, gli account VPN vengono acquistati in modi il più possibile anonimi, rendendo difficile e lungo (ma non impossibile) ricondurre l'indirizzo IP originale.
  • cose come i log dei server spesso preservano l'indirizzo IP dell'hop finale in questa catena di VPN, almeno dando un punto di partenza, ma sono spesso gestite da hacker intelligenti, attenti e ben attrezzati, il che rende difficile persino per iniziare.
  • Se non riesci a vedere gli aggressori mentre stanno effettivamente lavorando, la rintracciabilità chiedendo al servizio VPN di criptare l'indirizzo IP di origine potrebbe non essere fattibile, poiché potrebbero semplicemente non avere i log, o potrebbero avere cancellati.

fattori attenuanti per la difficoltà di tracciare gli indirizzi IP:

  • non c'è modo di spoofare una connessione TCP, poiché l'impostazione di uno richiede un handshake a tre vie: il client invia un pacchetto SYN, il server invia un pacchetto SYN ACK e il client invia un altro pacchetto SYN ACK. Il client deve quindi fornire un vero indirizzo IP al server (uno che in realtà consente ai pacchetti di tornare al client). Ciò significa che puoi sempre iniziare almeno se guardi l'attacco.

  • se è possibile ottenere registri con data e ora dei dati di traffico corretti, esistono attacchi di correlazione che è possibile utilizzare per de-anonimizzare qualcuno dietro un servizio di reindirizzamento VPN o anche più servizi di reindirizzamento. Le persone del progetto tor hanno dettagli su molti di questi attacchi e hanno avuto problemi recenti lungo queste linee . Pensa ai pacchetti provenienti dall'attaccante e ai pacchetti corrispondenti che arrivano alla rete attaccata (attraverso più livelli di VPN). Il ritardo di tempo attraverso le reti di interlacciamento sarà per lo più lo stesso per quei pacchetti, e alcune analisi statistiche ti permetteranno poi di abbinarli ad alta confidenza (vedi qui, ad esempio ). Chiaramente, qui difficilmente si ottengono i registri dei pacchetti richiesti con data e ora. È anche possibile che una delle reti di interlacciamento attenda una quantità di tempo casuale prima di inoltrare i pacchetti, il che interromperebbe questo attacco di correlazione. Sono a conoscenza del fatto che il tempo di attesa dovrebbe essere piuttosto lungo e degraderebbe significativamente l'usabilità del newtork, motivo per cui la rete tor non lo fa esplicitamente.

risposta data 21.12.2014 - 21:22
fonte

Leggi altre domande sui tag

Sicurezza dell'applicazione Web Anthem Leak - Come faccio a sapere se sono interessato?