Con il recente breakout di WanaCry, come è possibile che sappiamo su quale servizio nascosto si connette, non sappiamo ancora dove si trova il dispositivo fisico e quindi non possiamo portarlo giù.
Con il recente breakout di WanaCry, come è possibile che sappiamo su quale servizio nascosto si connette, non sappiamo ancora dove si trova il dispositivo fisico e quindi non possiamo portarlo giù.
Questo perché un dispositivo infetto "parla" di servizi nascosti attraverso 6 diversi nodi Tor . Tutte queste macchine non tracciano il traffico indirizzato - e non possono essere configurate per "tracciare il traffico Wannacry" perché nessuno di loro sa esattamente quale traffico instradano (è crittografato end-to-end, quindi solo la macchina mittente e il server Wannacry possono vedere il soddisfare). Inoltre, solo la prima macchina di questa catena sa qual è il vero IP del mittente, ma non sa che il mittente è un servizio nascosto.
Quindi per tracciare una connessione, in teoria dovresti:
Aggiungete a ciò che avete bisogno di fare questo entro la durata del circuito - che, per quanto mi ricordo è piuttosto breve, meno di 30 minuti - e vedete il problema.
Semplice. Se controlli una macchina infetta (tramite honeypot o altri mezzi) puoi osservare il traffico che va e viene. Questo ti dirà quali protocolli sono in uso e quali IP li stanno utilizzando.
Tuttavia, di solito non hai la stessa visibilità del traffico che gli altri IP stanno inviando e ricevendo. Pertanto, non è possibile affermare in modo definitivo se tali macchine sono la fonte dell'attacco o semplicemente utilizzate come relay.
Ora aggiungi tutti i problemi relativi alla ricerca della posizione fisica effettiva di un IP, al coordinamento con le risorse locali, all'accesso legale, ecc. e dovresti riconoscere rapidamente la gravità del problema. Anche con un verme il numero di fonti cresce con ogni nuova infezione. Ad un certo punto, la lista "cattiva" dell'IP si sta espandendo così velocemente che un umano probabilmente non è in grado di tenere il passo con l'identificazione, il controllo, la convalida e il blocco degli IP.
Leggi altre domande sui tag tor