¿Dónde está el límite entre un atacante y una víctima (zombie) en un ataque DDoS?

No hay una manera absoluta de identificar a la persona detrás de una máquina y sus verdaderas intenciones.

No puedes descubrir si la persona que está frente al teclado tiene la intención de realizar un ataque DoS. Una investigación forense de una computadora puede reducir esta incertidumbre. Las personas con intención de hacer DoS dejarán ciertos rastros atrás, mientras que las herramientas para convertir computadoras en zombies que realizan DoS distribuidos dejarán rastros diferentes.

Rastrear a una persona y demostrar que es responsable de controlar una botnet es más fácil que a la inversa: demostrar que una persona es inocente porque es una víctima de malware. El sistema legal utiliza la presunción de inocencia para que una persona sea considerada inocente hasta que se demuestre su culpabilidad.

El problema de la atribución es particularmente espinoso en la seguridad de la información. Atribuir la intención se vuelve particularmente difícil cuando el atacante es hábil.

    

La diferencia entre zombie y cómplice no es técnica. Si su máquina es secuestrada y utilizada para ataques, y usted no lo sabe, entonces este es un zombie y usted es una co-víctima. PERO si está de acuerdo con el ataque, al menos conceptualmente (es decir, habría concedido voluntariamente el acceso a su máquina al atacante, si se le hubiera dado la opción) entonces es un cómplice. Se trata de la intención, y en última instancia es un asunto de ley. La diferencia es incluso más difusa que eso: al parecer, en Alemania , puede recibir una multa por no aplicar las medidas adecuadas protecciones para su enrutador WiFi: en otras palabras, puede ser tanto un zombie como un cómplice al mismo tiempo.

    

Dependiendo de si está hablando de manera legal o conceptual, la respuesta puede ser un poco diferente. Conceptualmente, un atacante es un sistema deshonesto que intenta hacer daño, por lo que el robot es un atacante en el sentido conceptual porque las defensas deben atacar ese sistema. Por lo tanto, para el servidor que está siendo DDoSed, el bot sería un atacante, pero para la persona cuya computadora es un bot, la persona que controla el bot (o infecta) sería el atacante.

Legalmente, dependería completamente de la jurisdicción y de lo que los abogados puedan argumentar y realmente no se puede responder bien aquí, ya que no existe una respuesta global correcta, pero puede ser bastante difícil establecer cuál es la intención. Claro que hay algunas indicaciones que pueden ayudarte a adivinar, pero, de nuevo, un atacante inteligente podría simplemente armar su comando y control para que parezca que solo fue otra víctima y luego tratar de negar todo.