Evitare il rilevamento del monitoraggio di Dark Web

2

Nella nostra azienda, offriamo servizi di sicurezza ai nostri clienti. Una delle cose che il management ci ha spinto è la necessità del monitoraggio del dark web.

Poiché anch'io sono nelle riunioni di lavoro, la gestione è giunta a questa conclusione perché molti CEO o quelli con cui lavoriamo si accendono quando viene menzionato "dark web". La mia gestione prevede di offrire il monitoraggio di 10 persone chiave e / o importanti in un'azienda.

Mentre stiamo attraversando questo processo, questo mi ha fatto pensare a come un utente malintenzionato potrebbe evitare il rilevamento. Certo, molti degli strumenti esistenti sono proprietari ma, dopo averli ricercati, in genere sembrano strisciare il web Dark attraverso i browser Tor.

La mia domanda ( puramente per ragioni accademiche ): come potreste, come utente malintenzionato, evitare il rilevamento sul web oscuro dato che avete informazioni riservate su 10 individui chiave di un'azienda e state provando ricevere una sorta di valore monetario per questo?

Immagino una risposta con passi, dal giorno in cui si accede ai dati riservati al giorno in cui li si vende sul web oscuro.

* Questa risposta mi aiuterà davvero a definire lo scopo del servizio che offriremo e ad essere realistico per i clienti.

** IMHO, non credo nell'utilità del monitoraggio della dark web perché dà un falso senso di sicurezza.

    
posta pm1391 16.07.2018 - 17:25
fonte

1 risposta

4

Come ottenere l'accesso

Per iniziare una rete oscura è una rete (spesso crittografata) che si sovrappone a Internet ma richiede un software specializzato per accedervi. Il client Tor, fornito all'interno del pacchetto Tor Browser, si connetterà alla rete Tor e indirizza il traffico attraverso una tripletta di nodi: entryNode - > relayNode - > exitNode. Tutti e tre i nodi crittografano i dati trasmessi con le loro chiavi pubbliche nell'ordine:

  • (entryNodePublicKey (relayNodePublicKey (exitNodePublicKey (dati)))

Se non hai caricato spyware sui computer host per le "persone importanti", vedrai solo l'indirizzo IP entryNode e il traffico crittografato. Usando questo indirizzo IP puoi confermare che appartiene alla rete Tor, come nodo di induzione o nodo di guardia.

Dato che Tor è implementato per attivisti politici, informatori, dissidenti oppressi, ecc ... ha strumenti integrati per l'elusione della censura, i ponti OBFS4 sono tra i pochi metodi comuni, ma un altro usa i ponti miti. I meek bridge sfruttano AWS e Azure per il domain fronting, questo renderà il entryNome di Tor quando si eseguono DPI come una connessione HTTPS amazon.com o microsoft.com; traffico normale. Questo metodo è implementato per aggirare il Grande Firewall della Cina.

Allo stesso modo, altri metodi per nascondere la connessione entryNode includono, ma non sono limitati a:

  • OpenVPN usando la crittografia AES: le più moderne VPN
  • Proxy: HTTP, HTTPS e SOCKS
  • RDP (o qualsiasi altro protocollo di accesso remoto, preferibilmente crittografato)

L'idea RDP implicherà la connessione a un computer remoto e l'utilizzo per accedere al web oscuro, con o senza la protezione di VPN (s) o proxy (s).

La menzione dell'elusione della censura ha rilevanza, in quanto le divulgazioni di Vault 7 delineate dal CIA utilizzano i data center come botnet e preferiscono eseguire qualsiasi connessione su HTTPS (con cifre moderne) sulla porta 443. Ciò richiamerebbe molta meno attenzione ai log di connessione quando rivisto da un SysAdmin.

Tenendo presente questa informazione, ora dovremmo considerare senza enormi dettagli i metadati e il "rumore" che l'attaccante ha compiuto quando ha ottenuto le informazioni riservate. Le domande includono:

  • Hanno lasciato registri e metadati relativi alla violazione?
  • Hanno utilizzato l'accesso di qualcun altro per accedere alle informazioni riservate o utilizzare un exploit zero day?
  • I log degli indirizzi IP appartengono agli indirizzi IP residenziali o alle reti anonime anonime riconosciute.

Abbiamo ora sviluppato la conoscenza di quando le informazioni confidenziali sono state rubate. Quindi, ora possiamo vedere se l'autore dell'attacco ha delle vulnerabilità all'interno del proprio OpSec che possiamo usare per deanononizzarle.

Vendita delle informazioni

Questa sarebbe la tua seconda (e ultima) opportunità per identificare l'attaccante. Anche questo potrebbe non essere possibile, poiché implica il tracciamento del metodo di pagamento, che potrebbe anche impiegare il riciclaggio di denaro.

Queste informazioni riservate sono ora una risorsa per l'attacco. Presumendo che il loro obiettivo è trarre profitto dall'attacco, venderemo le informazioni su un acquirente. Un mercato del web scuro sarebbe un buon inizio. Sebbene, avrebbero potuto essere ingaggiati da un gruppo benestante per eseguire l'attacco. Quindi, le informazioni saranno vendute tramite entrambi i metodi:

  1. Mercato web oscuro
  2. Asta chiusa (privata)

I tempi per la vendita di queste informazioni dipenderebbero dalla natura della violazione. La proprietà intellettuale con i brevetti non avrebbe bisogno di una finestra di vendita critica, mentre un database di hash delle password dovrebbe essere venduto AL PIÙ PRESTO prima che le password vengano cambiate.

Il pagamento sarebbe la tua opportunità di rintracciare l'aggressore. Il pagamento potrebbe coprire diverse forme:

  1. Account (i) della banca senza esito negativo
  2. PayPal
  3. Carte di credito / debito
  4. Cryptocurrencies

Non posso approfondire ulteriormente qui, poiché riciclaggio di denaro è il suo argomento e può essere molto ampio. Posso affermare che, più giudici gli indirizzi IP e la copertura dei pagamenti, tanto più ingombrante e meno probabile è l'identificazione dell'attaccante.

    
risposta data 16.07.2018 - 18:33
fonte

Leggi altre domande sui tag