Digamos que A es DDoSing B y que soy miembro de su botnet. ¿Quién dice que no soy un verdadero atacante sino una víctima? ¿Cómo lo determinas?
No hay una manera absoluta de identificar a la persona detrás de una máquina y sus verdaderas intenciones.
No puedes descubrir si la persona que está frente al teclado tiene la intención de realizar un ataque DoS. Una investigación forense de una computadora puede reducir esta incertidumbre. Las personas con intención de hacer DoS dejarán ciertos rastros atrás, mientras que las herramientas para convertir computadoras en zombies que realizan DoS distribuidos dejarán rastros diferentes.
Rastrear a una persona y demostrar que es responsable de controlar una botnet es más fácil que a la inversa: demostrar que una persona es inocente porque es una víctima de malware. El sistema legal utiliza la presunción de inocencia para que una persona sea considerada inocente hasta que se demuestre su culpabilidad.
El problema de la atribución es particularmente espinoso en la seguridad de la información. Atribuir la intención se vuelve particularmente difícil cuando el atacante es hábil.
Dependiendo de si está hablando de manera legal o conceptual, la respuesta puede ser un poco diferente. Conceptualmente, un atacante es un sistema deshonesto que intenta hacer daño, por lo que el robot es un atacante en el sentido conceptual porque las defensas deben atacar ese sistema. Por lo tanto, para el servidor que está siendo DDoSed, el bot sería un atacante, pero para la persona cuya computadora es un bot, la persona que controla el bot (o infecta) sería el atacante.
Legalmente, dependería completamente de la jurisdicción y de lo que los abogados puedan argumentar y realmente no se puede responder bien aquí, ya que no existe una respuesta global correcta, pero puede ser bastante difícil establecer cuál es la intención. Claro que hay algunas indicaciones que pueden ayudarte a adivinar, pero, de nuevo, un atacante inteligente podría simplemente armar su comando y control para que parezca que solo fue otra víctima y luego tratar de negar todo.
Lea otras preguntas en las etiquetas ddos