Perché non vengono tracciati tutti gli hacker? (attaccanti o malware basati sulla rete che comunicano con i server CNC)

Naviga le tue risposte
-2

Quando gli hacker usano tor o irc o proxy per attaccare o usare server CNC dietro questi per evadere. Perché non possono essere rintracciati?

Ad esempio, qualcosa come wanna piangere o qualsiasi altro malware noto, quando qualcosa sta accadendo che sta interessando globalmente allora perché non possono trovare la catena come ogni nuovo proxy o VPN ha l'IP da cui sono connessi?

Anche se connessi a circa 10 proxy e 10 VPN, possiamo sempre tornare alla fonte originale. E quando le cose accadono a questi livelli internazionali, i Paesi fanno del loro meglio per usare tutti i modi legali per trovare.

Se oggi ho una società VPN e so che sono bloccato in qualche problema legale, quindi evidentemente mal rivelato le connessioni e i log e così tutte le persone della catena. Finalmente raggiungendo l'ISP della fonte e poi la persona.

Ancora, gli hacker evadono come?

    
posta Bruteforce 27.01.2018 - 10:05
fonte

1 risposta

5

Affermando che dovrebbe essere possibile trovare l'hacker originale semplicemente rintracciando tutte le connessioni questa domanda assume implicitamente cose multiple che non sono vere:

  • Tutti i paesi dovrebbero collaborare per trovare l'aggressore, altrimenti l'attaccante potrebbe semplicemente nascondere il proprio percorso collegandosi attraverso diversi paesi. Ma questo significherebbe che tutti i paesi devono avere interesse a trovare l'aggressore o che potrebbero essere in qualche modo costretti ad aiutare. Dato che alcuni attacchi sono sponsorizzati dallo stato in primo luogo o che è nell'interesse di un paese danneggiare un altro paese (concorrente), non succederà che tutte le nazioni lavorino insieme in tutti i casi per rintracciare un aggressore.
  • Tutto viene registrato e le forze dell'ordine possono forzare le parti a rivelare i log. Innanzitutto ci sono modi legali e illegali per un aggressore di nascondersi. Le vie legali (in molti ma non in tutti i paesi) sono VPN o Tor. Alcuni VPN conservano i log, altri affermano di non farlo. La maggior parte può essere probabilmente costretta dal paese in cui si trova (ma non da altri paesi) a collaborare con le forze dell'ordine. Questo è molto più difficile con Tor che non registra esplicitamente e dove a causa dell'architettura cipolla si dovrebbe controllare molti dei nodi per tracciare efficacemente la via di un utente malintenzionato attraverso la rete. Dato che i diversi paesi hanno interesse a ottenere così tanto accesso è improbabile che un singolo paese o alcuni paesi che cooperano abbiano accesso sufficiente a rintracciare un hacker arbitrario.
  • Oltre a questi (soprattutto) modi legali per nascondere il percorso ci sono anche dei modi che sono solitamente illegali: hackerare il sistema di qualche parte innocente e nascondersi dietro questo sistema quando si fanno attacchi. È probabile che il sistema inizialmente compromesso non registri tutto, il che significa che l'attacco potrebbe essere ricondotto a questo innocente sistema, ma non oltre.

Oltre a questi problemi strutturali per rintracciare un attaccante c'è anche un problema di risorse. Dato che non esiste un modo semplice per trovare un attaccante, sono necessarie molte risorse (ad esempio esperti di sicurezza IT e denaro). Spesso non vale la pena spendere queste risorse, specialmente se il danno è basso o se l'attaccante è probabilmente fuori dalla giurisdizione locale e quindi non può essere considerato responsabile per il danno.

    
risposta data 27.01.2018 - 13:41
fonte

Leggi altre domande sui tag

Perché non possiamo usare il metodo POST per tutte le richieste? [chiuso] Vulnerabilità nelle stampanti canoniche [chiusa]