Come ottenere l'accesso
Per iniziare una rete oscura è una rete (spesso crittografata) che si sovrappone a Internet ma richiede un software specializzato per accedervi. Il client Tor, fornito all'interno del pacchetto Tor Browser, si connetterà alla rete Tor e indirizza il traffico attraverso una tripletta di nodi: entryNode - > relayNode - > exitNode. Tutti e tre i nodi crittografano i dati trasmessi con le loro chiavi pubbliche nell'ordine:
- (entryNodePublicKey (relayNodePublicKey (exitNodePublicKey (dati)))
Se non hai caricato spyware sui computer host per le "persone importanti", vedrai solo l'indirizzo IP entryNode e il traffico crittografato. Usando questo indirizzo IP puoi confermare che appartiene alla rete Tor, come nodo di induzione o nodo di guardia.
Dato che Tor è implementato per attivisti politici, informatori, dissidenti oppressi, ecc ... ha strumenti integrati per l'elusione della censura, i ponti OBFS4 sono tra i pochi metodi comuni, ma un altro usa i ponti miti. I meek bridge sfruttano AWS e Azure per il domain fronting, questo renderà il entryNome di Tor quando si eseguono DPI come una connessione HTTPS amazon.com o microsoft.com; traffico normale. Questo metodo è implementato per aggirare il Grande Firewall della Cina.
Allo stesso modo, altri metodi per nascondere la connessione entryNode includono, ma non sono limitati a:
- OpenVPN usando la crittografia AES: le più moderne VPN
- Proxy: HTTP, HTTPS e SOCKS
- RDP (o qualsiasi altro protocollo di accesso remoto, preferibilmente crittografato)
L'idea RDP implicherà la connessione a un computer remoto e l'utilizzo per accedere al web oscuro, con o senza la protezione di VPN (s) o proxy (s).
La menzione dell'elusione della censura ha rilevanza, in quanto le divulgazioni di Vault 7 delineate dal CIA utilizzano i data center come botnet e preferiscono eseguire qualsiasi connessione su HTTPS (con cifre moderne) sulla porta 443. Ciò richiamerebbe molta meno attenzione ai log di connessione quando rivisto da un SysAdmin.
Tenendo presente questa informazione, ora dovremmo considerare senza enormi dettagli i metadati e il "rumore" che l'attaccante ha compiuto quando ha ottenuto le informazioni riservate. Le domande includono:
- Hanno lasciato registri e metadati relativi alla violazione?
- Hanno utilizzato l'accesso di qualcun altro per accedere alle informazioni riservate o utilizzare un exploit zero day?
- I log degli indirizzi IP appartengono agli indirizzi IP residenziali o alle reti anonime anonime riconosciute.
Abbiamo ora sviluppato la conoscenza di quando le informazioni confidenziali sono state rubate. Quindi, ora possiamo vedere se l'autore dell'attacco ha delle vulnerabilità all'interno del proprio OpSec che possiamo usare per deanononizzarle.
Vendita delle informazioni
Questa sarebbe la tua seconda (e ultima) opportunità per identificare l'attaccante. Anche questo potrebbe non essere possibile, poiché implica il tracciamento del metodo di pagamento, che potrebbe anche impiegare il riciclaggio di denaro.
Queste informazioni riservate sono ora una risorsa per l'attacco. Presumendo che il loro obiettivo è trarre profitto dall'attacco, venderemo le informazioni su un acquirente. Un mercato del web scuro sarebbe un buon inizio. Sebbene, avrebbero potuto essere ingaggiati da un gruppo benestante per eseguire l'attacco. Quindi, le informazioni saranno vendute tramite entrambi i metodi:
- Mercato web oscuro
- Asta chiusa (privata)
I tempi per la vendita di queste informazioni dipenderebbero dalla natura della violazione. La proprietà intellettuale con i brevetti non avrebbe bisogno di una finestra di vendita critica, mentre un database di hash delle password dovrebbe essere venduto AL PIÙ PRESTO prima che le password vengano cambiate.
Il pagamento sarebbe la tua opportunità di rintracciare l'aggressore. Il pagamento potrebbe coprire diverse forme:
- Account (i) della banca senza esito negativo
- PayPal
- Carte di credito / debito
- Cryptocurrencies
Non posso approfondire ulteriormente qui, poiché riciclaggio di denaro è il suo argomento e può essere molto ampio. Posso affermare che, più giudici gli indirizzi IP e la copertura dei pagamenti, tanto più ingombrante e meno probabile è l'identificazione dell'attaccante.