¿Dónde está el límite entre un atacante y una víctima (zombie) en un ataque DDoS?

4

Digamos que A es DDoSing B y que soy miembro de su botnet. ¿Quién dice que no soy un verdadero atacante sino una víctima? ¿Cómo lo determinas?

    
pregunta yzT 31.01.2013 - 13:45
fuente

3 respuestas

3

No hay una manera absoluta de identificar a la persona detrás de una máquina y sus verdaderas intenciones.

No puedes descubrir si la persona que está frente al teclado tiene la intención de realizar un ataque DoS. Una investigación forense de una computadora puede reducir esta incertidumbre. Las personas con intención de hacer DoS dejarán ciertos rastros atrás, mientras que las herramientas para convertir computadoras en zombies que realizan DoS distribuidos dejarán rastros diferentes.

Rastrear a una persona y demostrar que es responsable de controlar una botnet es más fácil que a la inversa: demostrar que una persona es inocente porque es una víctima de malware. El sistema legal utiliza la presunción de inocencia para que una persona sea considerada inocente hasta que se demuestre su culpabilidad.

El problema de la atribución es particularmente espinoso en la seguridad de la información. Atribuir la intención se vuelve particularmente difícil cuando el atacante es hábil.

    
respondido por el Cristian Dobre 31.01.2013 - 13:54
fuente
1
La diferencia entre zombie y cómplice no es técnica. Si su máquina es secuestrada y utilizada para ataques, y usted no lo sabe, entonces este es un zombie y usted es una co-víctima. PERO si está de acuerdo con el ataque, al menos conceptualmente (es decir, habría concedido voluntariamente el acceso a su máquina al atacante, si se le hubiera dado la opción) entonces es un cómplice. Se trata de la intención, y en última instancia es un asunto de ley. La diferencia es incluso más difusa que eso: al parecer, en Alemania , puede recibir una multa por no aplicar las medidas adecuadas protecciones para su enrutador WiFi: en otras palabras, puede ser tanto un zombie como un cómplice al mismo tiempo.

    
respondido por el Tom Leek 31.01.2013 - 15:43
fuente
0

Dependiendo de si está hablando de manera legal o conceptual, la respuesta puede ser un poco diferente. Conceptualmente, un atacante es un sistema deshonesto que intenta hacer daño, por lo que el robot es un atacante en el sentido conceptual porque las defensas deben atacar ese sistema. Por lo tanto, para el servidor que está siendo DDoSed, el bot sería un atacante, pero para la persona cuya computadora es un bot, la persona que controla el bot (o infecta) sería el atacante.

Legalmente, dependería completamente de la jurisdicción y de lo que los abogados puedan argumentar y realmente no se puede responder bien aquí, ya que no existe una respuesta global correcta, pero puede ser bastante difícil establecer cuál es la intención. Claro que hay algunas indicaciones que pueden ayudarte a adivinar, pero, de nuevo, un atacante inteligente podría simplemente armar su comando y control para que parezca que solo fue otra víctima y luego tratar de negar todo.

    
respondido por el AJ Henderson 31.01.2013 - 15:27
fuente

Lea otras preguntas en las etiquetas