Il ransomware che minaccia con la pubblicazione e le eliminazioni verificabili sono possibili?

3

Ispirato all'articolo Il futuro di Ransomware e la sua descrizione di possibile ransomware con consegna chiavi verificabile, mi chiedo se l'idea possa essere portata avanti nel ransomware che minaccia in modo credibile la pubblicazione a meno che non venga effettuato un pagamento, eppure distrugge i dati in modo verificabile se riceve il pagamento.

Facciamo prima alcune ipotesi (probabilmente non del tutto ragionevoli):

  1. L'hacker può mantenere il controllo, nonostante i tentativi della comunità di sicurezza, di sufficienti risorse di rete per estrarre i dati da computer infetti con connessione internet ad una velocità di 10 Gbit / s a livello globale (cioè la larghezza di banda di tutte le vittime combinate) e risorse per memorizzare tutti i dati scaricati su quella connessione.
  2. L'attaccante possiede un'euristica decente per individuare i file degni di ricatto. L'idea è solo quella di evitare che quasi tutti i dati scaricati siano spazzatura inutile come i file di scambio di Windows. (Anche se sarebbe probabilmente impossibile evitare che la comunità di sicurezza fornisca deliberatamente una junk progettata per innescare l'euristica.)

Sarebbe possibile per un aggressore sufficientemente motivato sviluppare il ransomware usando le moderne tecnologie di "enclave sicura" della CPU e ad es. Ethereum che crittografa i file e li trasmette all'attaccante, ma in modo tale che l'utente malintenzionato possa solo scegliere o di decodificare i file o per ricevere il pagamento, ma non entrambi?

Ad esempio, è possibile che l'attaccante crei in modo verificabile un'enclave che esegue sui suoi computer back-end che consente di rilasciare fondi trasferiti su un account creato in modo sicuro al suo interno o di decrittografare i file, richiedere che l'enclave si attesti ransomware e pubblicare il codice in esecuzione in quell'enclave in modo che altri possano verificare tale funzionalità?

    
posta Sami Liedes 14.05.2017 - 20:06
fonte

2 risposte

2

Non penso sia possibile provare che NON conosci un'informazione.

Questo è rilevante per la tua domanda perché, al fine di garantire che non pubblicherà i tuoi file dopo che il pagamento è stato ricevuto, l'utente malintenzionato dovrebbe dimostrare di non avere più la chiave di decrittografia per i tuoi dati.

Poiché c'è stato un momento nel quale l'hacker ha avuto accesso a quella chiave (quando ha crittografato i dati sul tuo disco rigido), avrebbe dovuto dimostrare in modo credibile che non poteva ho fatto una copia della chiave.

Ci sono diversi momenti in cui avrebbe potuto farlo: in primo luogo, durante l'esfiltrazione dei dati sul suo back-end, avrebbe potuto usare un canale segreto per inviare una copia della chiave di crittografia dalla tua macchina a un'altra parte.

In secondo luogo, potrebbe incorporare un po 'di codice nella routine di decrittazione che viene eseguita dopo il pagamento che invierebbe la chiave di decifrazione a lui o in quel momento o in un secondo momento.

In terzo luogo, potrebbe installare un uomo nel mezzo tra te e la sua enclave sicura e intercettare il traffico tra la tua macchina e la sua enclave. Dal momento che il suo "uomo nel mezzo" era in realtà amichevole (a lui), poteva fornirgli la chiave di crittografia utilizzata per crittografare il traffico tra te e il suo endpoint, e non lo sapresti mai, perché non sarebbe parte di il codice che potresti controllare.

In quarto luogo, anche se ti ha dato la prova che il codice in esecuzione nella sua enclave di sicurezza era quello che ti dava da controllare, avresti a) in realtà controllare il codice, per assicurarti che in qualche modo non perdesse il codice chiave o i tuoi dati eb) finché si è seduto all'altro capo di una connessione di rete, come hai mai potuto essere sicuro che quello che aveva dalla sua parte fosse in realtà un'enclave sicura con le garanzie di sicurezza di cui avevi bisogno, e non solo qualcosa mascherato da uno? Probabilmente stai pensando alle firme digitali, e sto pensando a "sistema complesso, probabilmente difettoso".

    
risposta data 14.05.2017 - 21:48
fonte
1

Non vedo in alcun modo come ciò sia possibile. Quando hai una copia dei dati, non c'è modo di provare che non esiste altra copia di quei dati, perché non puoi provare un risultato negativo. Cercare di dimostrare un risultato negativo in questo caso significherebbe tenere conto di ogni singolo supporto di archiviazione mai costruito e dimostrare che è di proprietà di qualcuno che non è l'autore dell'attacco o che non contiene queste informazioni in questo momento. E ciò non sarebbe solo irrealizzabile, ma richiederebbe anche la deanonimizzazione dell'attaccante.

La tua strategia dipende dal fatto che il criminale reclami "sì, ho una copia dei tuoi dati, ma non posso accedere a quei dati fino a una settimana da ora in poi, e quindi quei dati saranno cancellati". Forse c'è un servizio di terze parti che fornisce questa funzionalità e di cui ti puoi fidare. Ma se il criminale avesse la capacità tecnica di esfoliare i tuoi dati e darli a quel servizio, potrebbe anche averne fatto una copia in un posto diverso. Non c'è modo per loro di confutare ciò, perché mentre tu puoi dimostrare la conoscenza delle informazioni, non puoi provare mancanza di conoscenza. Se pensi diversamente, ti preghiamo di dimostrare che non conosce la mia password di stackexchange (il fatto che tu non abbia effettuato l'accesso al mio account non provi nulla, ovviamente stai aspettando il momento giusto).

Questo è un problema generale di ricatto con informazioni. Fornisce al ricattatore il potere sulla vittima fintanto che l'informazione è preziosa, perché non è mai possibile dimostrare che la copia di ogni di un pezzo di informazione è stata distrutta. La vittima dovrebbe fidarsi del ricattatore. Ma il ricattatore ha già agito in modo non etico nei confronti della vittima, quindi non c'è motivo di fidarsi di loro. Quindi l'unico modello di "business" valido per questo tipo di crimine è lo sfruttamento continuo.

    
risposta data 14.05.2017 - 21:49
fonte

Leggi altre domande sui tag