¿Cómo se puede rastrear un hack en línea a los perpetradores?

Navega tus respuestas
3

¿Qué tipo de evidencia podría usarse para vincular, por ejemplo, el hackeo de Sony a Corea del Norte? Aunque siento curiosidad por lo que se usó en este caso en particular, mi pregunta pretende ser una pregunta más general sobre qué tipo de cosas podrían actuar como un despido en situaciones generales como esta.

Cosas que especulo:

  • Usar la cadena de agente de usuario de una solicitud web como una especie de huella digital. Esto parece que tiene una cantidad relativamente pequeña de información y sería bastante engañoso.
  • Ver el idioma de la compilación o los comentarios (la evidencia más publicitada en el hack de Sony). De nuevo, esto da muy poca información y es fácil de falsificar.
  • Rastreo de una IP. Incluso si esto se hace con éxito, parece que un pirata informático competente estaría usando algún tipo de redirección para ocultarse. (Encontré un sitio que afirma que el hack de Sony tenía una IP rastreable a SE Asia, pero aún así es bastante amplio y circunstancial)
  • Encontrar una secuencia distintiva de comandos en algunos programas maliciosos que los vincula con algunos programas maliciosos anteriores (por ejemplo, cómo suele funcionar el antivirus). Sin embargo, se trata de tortugas hasta el final, y no tengo claro cómo se pudo haber vinculado el malware original a Corea del Norte (o en cualquier otro lugar).

Veo esta pregunta muy relacionada , pero el único dato concreto de esas respuestas es que si puedes ver En las redes inalámbricas disponibles en la computadora de un pirata informático, puede utilizar esa información para localizar. Sin embargo, obtener esa información parece bastante improbable.

También veo estos relacionado tangencialmente preguntas que esencialmente dicen "sí, es difícil rastrear a las personas".

Hay esta pregunta sobre la investigación de hacks , pero su respuesta solo se refiere a la serie de pasos para recuperarse del hack.

Todo lo dicho, solo he visto uno razonablemente creíble fuente de noticias que cuestiona que el FBI y el gobierno de los Estados Unidos se asentaron en Corea del Norte. Por lo tanto, asumo que debo estar perdiendo algunas formas razonables de rastrear el hack.

Entiendo totalmente que el público probablemente no tiene todos los detalles sobre el hackeo (y posiblemente nunca lo hará). En cambio, estoy buscando qué tipo de cosas servirían como evidencia convincente y podrían haberse encontrado razonablemente .

    
pregunta akroy 21.12.2014 - 19:24
fuente

1 respuesta

5

Sus puntos son buenos, y esto es lo interesante del rastreo de hacks: es fácil generar sospechas, pero es muy difícil demostrar de manera concluyente de dónde provino un ataque.

Algunas cosas que limitan el campo:

  • El idioma en el que se escribió un programa a menudo se puede determinar, como usted sugiere. Esto es por supuesto sugerente, pero no definitivo.

  • Como también sugiere, el motivo es una consideración. Quizás una consideración más grande es recursos. Como es habitual, las limitaciones de recursos físicos del mundo real hacen mucho para reducir las posibilidades. Es por esto que "seguir el dinero" es una herramienta tan valiosa en las investigaciones. Se necesita mucho tiempo y esfuerzo para hacer un buen trabajo de hackear una red. En este sentido, es bastante fácil distinguir entre un grupo bien organizado y bien organizado y un mono de secuencia de comandos jugando. Hay solo tantas personas con motivo Y recursos. Nuevamente, no es definitivo, pero es útil.

Hay varias maneras en que los hackers pueden hacer algo estúpido

  • dejando su nombre real en un mensaje / log / etc ...
  • usando sus credenciales de inicio de sesión reales para algún servicio conocido
  • dejando los metadatos en una solicitud que envían que se puede usar para identificarlos. Alude a esto cuando habla de la cadena de agente de usuario. De hecho, hay muchas más cosas que un servidor puede usar para tomar las huellas dactilares de un usuario. Sin embargo, todo esto supone un navegador web, y hay muchas más formas de llevar a cabo un ataque.
  • el problema de metadatos en la solicitud solo es realmente un problema si (1) los metadatos se registran, y (2) el pirata informático no es lo suficientemente cuidadoso para borrar el registro.

A menos que los piratas informáticos hagan algo estúpido, yo diría que rastrear una IP hasta su fuente es la única forma real de desanonizar a los atacantes: otras cosas ayudan, pero son circunstanciales. Algunas cosas que hacen esto difícil:

  • los piratas informáticos inteligentes y bien equipados utilizarán múltiples capas de software VPN para protegerse. A menudo, cuando es posible, las cuentas VPN se compran de la forma más anónima posible, lo que dificulta y consume mucho tiempo (pero de ninguna manera es imposible) rastrear hasta la dirección IP original.
  • cosas como los registros del servidor a menudo conservarán la dirección IP del salto final en esta cadena VPN, al menos brindándole un punto de partida, pero a menudo son manipulados por piratas informáticos inteligentes, cuidadosos y bien equipados, lo que dificulta incluso para empezar.
  • Si no puede ver a los atacantes mientras están trabajando realmente, puede ser imposible rastrear al servicio VPN para que descargue la dirección IP de origen, ya que es posible que no tengan los registros o que tengan borrados

factores atenuantes a la dificultad de rastrear direcciones IP:

  • no hay forma de falsificar una conexión TCP, ya que la configuración de una requiere un protocolo de enlace de tres vías: el cliente envía un paquete SYN, el servidor envía un paquete SYN ACK y el cliente envía otro paquete SYN ACK. Por lo tanto, el cliente debe proporcionar una dirección IP real al servidor (una que realmente permita que los paquetes regresen al cliente). Esto significa que siempre puedes al menos comenzar si observas el ataque.

  • si puede obtener registros de los datos de tráfico correctos con marca de hora, existen ataques de correlación que puede usar para desanonizar a alguien detrás de un servicio de redirección de VPN, o incluso a varios servicios de redirección de este tipo. La gente del proyecto tor tiene detalles sobre muchos de estos ataques y ha tenido problemas recientes en este sentido . Piense en los paquetes que vienen del atacante y los paquetes correspondientes que llegan a la red atacada (a través de varias capas de vpn). El retardo de tiempo a través de las redes de intercalación será mayormente el mismo para esos paquetes, y algunos análisis estadísticos le permitirán compararlos con alta confianza (consulte aquí, por ejemplo ). Claramente, lo difícil aquí es obtener los registros de paquetes con marca de tiempo requeridos. También es posible que una de las redes intercaladoras espere un tiempo aleatorio antes de reenviar paquetes, lo que rompería este ataque de correlación. Tengo entendido que el tiempo de espera tendría que ser bastante largo y degradaría significativamente la capacidad de uso de la nueva tecnología, razón por la cual la red tor no hace esto explícitamente.

respondido por el stochastic 21.12.2014 - 21:22
fuente

Lea otras preguntas en las etiquetas

¿Qué tan seguro es SSL en una computadora y red que no son de confianza? ¿Cuáles son los criterios de evaluación que un sitio utiliza para una contraseña como fuerte, moderada o menos segura?