Cuando un sitio web o un sistema está siendo atacado, ¿hay algún escenario en el que debería actuar automáticamente contra los atacantes en lugar de solo manejar el ataque de forma pasiva? Si es así, ¿qué respuestas son apropiadas y legales? ¿Hay algún ejemplo (bueno o malo) de que esto suceda en la naturaleza?
El escaneo pasivo, como determinar la ubicación geográfica, la dirección IP, las rutas de red, es probablemente una buena idea (para comprender mejor el origen de los ataques).
Actualizar: En realidad, para instituciones más grandes, esto es algo esencial para determinar si el ataque es un ataque organizado a gran escala o simplemente un pirata informático solitario que prueba las defensas. De cualquier manera probablemente será distribuido. En cualquier caso, proporcionará información útil para bloquear aún más los cortafuegos.
Dependiendo del marco legal del país en el que vive, tomar represalias ante un ataque con un ataque de red activo propio (como DOS o virus) constituiría un acto ilegal.
¡Luchar contra lo que hacen los chicos geniales! > :)
Con respecto a la ley, tomé este fragmento de enlace (2005)
"CONCLUSIÓN Incluso bajo la ley de molestia, no todos los contragolpes - o El esfuerzo de "autoayuda" es automáticamente inmune. Tiene que ser Cuestiones razonables y proporcionales a la molestia que discutí en relación con un requisito similar en defensa propia. Y como siempre, la luz proyectada por la antigua doctrina sobre la novela. Las tecnologías producirán iluminación y sombra tanto. Tribunales se "fudge" en el análisis y lucha por el precedente, a veces probando el equivocado Al igual que nadie quiere despliegue la versión 1 (nuevo software), nadie quiere ser un caso de prueba En la corte. Es, como podría decir un cirujano al considerar un Complejo, trasplante multiorgánico, un caso interesante - no algo que al paciente le gusta escuchar ".
En una nota seria, hay tantos malos escenarios de hack-back para imaginar que tienes que preguntarte cuándo estarías listo para apretar el gatillo; por ejemplo, qué sucede si realiza una piratería para detener un ataque de botnet solo para luego descubrir que algunos de los sistemas que contraatacó fueron sistemas hospitalarios críticos que formaron parte inadvertida de la manada de botnet.
En cuanto a los ejemplos, Richard Bejtlich blogged en 2005:
"No estoy de acuerdo con la idea del contraataque, ya que creo que se cruza con los jueces vigilantes. Es revelador que todos los documentos de Tim sean anteriores al gusano Welchia, lo que demostró lo peligroso que puede ser el contraataque. Recordarás el devastador tráfico ICMP causado por Welchia mientras buscaba máquinas en vivo con el fin de desactivar el gusano Blaster ".
La pregunta n. ° 1 para mí es: ¿qué esperas lograr al "luchar"?
Si un mosquito me pica, lo mataré, pero si se me escapa no lo perseguiré por el campo. Si me ataca un enjambre de abejas que defienden su colmena, no los aplastaré, me protegeré huyendo.
Los peligros de contraatacar están bien presentados en las otras respuestas, pero los repetiré:
Mi elección personal de reacciones:
Hack-back también conduce a un nuevo tipo de ataque: Kallisti. "Joe Jobs" falsifica la fuente de ataque para engañar a los defensores para que ataquen la fuente falsificada. El ataque "Kallisti" intentaría provocar un bucle de hack-back entre 2 o más sitios, ya sea para crear ruido en el que ocultar el ataque "real" o simplemente para causar el caos. (Hail Eris)
Una respuesta relacionada podría ser configurar una trampa de miel para atraer a los atacantes y hacerles creer que tuvieron éxito. Déjalos perder tiempo y esfuerzo mientras los trazas, tal vez. Aunque eso suena como un mal guión de una película de Hollywood.
Un caso interesante en los Países Bajos es apropiado aquí.
La Policía Holandesa (KLPD) derribó algunos servidores que ejecutan una gran botnet. Consideraron legal usar la botnet ahora para enviar un mensaje a los propietarios de las máquinas para informarles que están infectados.
Existe cierta discusión sobre si en realidad fue legal, pero creo que la mayoría de las personas está de acuerdo en que es una cosa ética.
Este caso es bastante diferente al que enfrentaría usted como compañía, pero si ya está siendo cuestionado por no ser legal cuando lo hace la policía, uno debería preguntarse si se puede tomar alguna acción hacia el atacante.
¿Es apropiado convertirse en un criminal y ponerte a ti mismo, a tu organización y a todos tus medios de vida en peligro de acción legal? Este no es el caso de un pistolero enmascarado que te pone en una pelea o huida. situación. Sí, podría idear un escenario en el que un atacante de Internet esté amenazando la vida humana a través de un ataque a sistemas críticos para los hospitales o algo así. Sin embargo, incluso en esas situaciones, no hay ningún precedente que yo sepa que justifique que se aplique la misma fuerza reactiva que en un altercado físico. Es probable que los sistemas a los que estaría atacando sean proveedores de servicios inocentes o usuarios finales que hayan sido secuestrados con fines maliciosos. No sería diferente a incendiar un automóvil que fue robado y utilizado en un robo a un banco.
Inmediatamente tapona los agujeros que un atacante está explotando. Inmediatamente reportar el incidente a las autoridades correspondientes. No dejes que tus emociones se apoderen de ti y te convenzan para que te inclines al mismo nivel que tus agresores.
Otro punto a tener en cuenta es cómo los badguys pueden subvertir tu contraataque.
Por ejemplo, pueden enviar paquetes malintencionados con direcciones IP falsificadas, sabiendo que detectará esto y, en represalia, atacará la fuente del ataque, o en realidad, el servidor inocente que es en realidad registrado en la IP falsificada.
Por lo tanto, están usando you para atacar a su víctima, la tercera parte falsificada.
No olvide, la compañía atacada ahora creerá, correctamente, que sus servidores están atacando los suyos. No importa si creías que solo tenías motivos para hacerlo, eso es irrelevante, ya que de hecho estás activamente atacándolos. Y tendrán razón para presentar cargos, o lo que sea.
Un escenario interesante sería si la víctima de terceros está también configurada para contraatacar. Entonces, por supuesto, recibirás ataques reales de su servidor, esta vez, de verdad, pero por supuesto eso fue TU culpa, ¿no es así?
Es probable que ambas partes se Luchen mutuamente antes de que se produzca un daño real ... a menos que ambos elijan escalar y escalar ... ¡PODRÍAN DENTAR TODOS LOS INTERTUBOS!
La respuesta es bastante no, no lo hagas.
Puedo imaginar un escenario en el que un gusano te está atacando y, como sabes que el gusano se propaga a través de la vulnerabilidad X, sabes que todas las computadoras que te atacan tienen la vulnerabilidad X. Es posible que puedas usar la vulnerabilidad X para acceda a las computadoras infectadas y advierta a sus usuarios, o incluso apáguelos.
Si bien puedes pensar que esto es algo moralmente aceptable, es un terreno muy peligroso. ¿Qué pasa si algo que haces sale mal, por ejemplo? provocando una pérdida de datos que no fue causada por el gusano, o enojar al creador original del gusano que luego quiere tomar represalias contra usted de otra manera. Es probable que también sea ilegal en la mayoría de las jurisdicciones.
Cuando eres víctima de un ataque, tu situación implica que actualmente tienes:
Al "luchar", pierdes el tercero, y probablemente el segundo. Sin embargo, no necesariamente se librará del problema. Contraatacar es ilegal en la mayoría de los países; le impedirá solicitar asistencia de las fuerzas policiales y, lo que es más importante, anulará el seguro (su compañía de seguros se apresurará a señalarlo). Por último, pero no por ello menos importante, su venganza puede dañar a los transeúntes y causarle mayores problemas que con los que comenzó.
Entonces, no, no vale la pena. Use protección pasiva y llame a la policía.
Tengo un excelente ejemplo declarado por Ivan Orton (Fiscal Superior Adjunto de Fiscales) que se especializa en delitos informáticos) durante su discurso para los estudiantes del curso en línea de Stanford (Lo siento, no puedo subir el video a youtube, debido a la política del sitio web):
Imagina que tienes una empresa de corretaje boutique en Seattle. Boutique significa pequeño número de clientes, alto valor en dólares. cuentas, y los clientes participan activamente en el comercio en sus Las cuentas, dependen de los servicios que la empresa boutique proporciona a través de su sitio web en términos de cotizaciones en tiempo real, en tiempo real Información comercial, análisis de tendencias y todo tipo de servicios que La empresa proporciona. Esa compañía en uno de esos típicos triples. Viernes de brujería, que es cuando suceden tres cosas al mismo tiempo. tiempo y el mercado de valores es extremadamente volátil en Seattle en doce: 25,25 su sistema se cae, eso es unos 35 minutos antes Hora de cierre en la bolsa de valores de Nueva York. Su sistema se cae lo que significa que no tienen información comercial activa, o real, o, o información de cotización, no hay capacidad para realizar operaciones, toda su tendencia Análisis y otras cosas está abajo y no está disponible. El jefe viene gritando de nuevo con un análisis de comp-sys y dice, ¿qué está pasando y arreglalo. Y el analista de sistemas realmente analiza la dirección IP, utiliza algunas de sus herramientas, y él dice, viene de una computadora y un enrutador, en particular, en la universidad de oregon. Y el jefe dice: Apaga el enrutador ahora mismo. Y el chico dice, no sé qué. Ese enrutador asociado a. No sé qué voy a hacer. Y el jefe dijo, solo necesitamos que se apague por 35 minutos. Usted puede vuelva a iniciarlo, puede detener lo que estaba haciendo en 35 minutos. Pero necesitamos que nuestro sistema vuelva a estar activo hasta la una: 00, y entonces el chico debajo presión, apaga el router hacia abajo. Bueno, resulta que el enrutador en realidad un enrutador asociado con la Universidad de Oregon médica Sistema y es un enrutador que controla la distribución de una base de datos. que enumera todas las interacciones farmacológicas que los pacientes en la Universidad de Oregon tiene. Y un paciente entra en la sala de emergencias en ese momento. que es un paciente conocido por lo que está en el sistema. Y en su sistema, en su. los datos son indicaciones de un par de interacciones de medicamentos que son, que Son altos, tiene una reacción altamente alérgica a ellos. El tiene un Condición por la cual la primera línea de defensa es una de esas drogas. El intento del médico de acceder a la base de datos, no pueden encontrar ningún Información, el chico está en situación crítica real por lo que administran Una de las drogas, y muere. Entonces, el sistema vuelve a estar de nuevo y todo es hunky-dory. Ese es un escenario radical.
lo que pasa es que la familia demanda a la Universidad de Oregon Medical Sistema. El sistema médico de la Universidad de Oregon, porque se enteran todo esto, demanda a la boutique en Seattle. ¿Qué debería hacer la boutique? hacer?
Después de tener esta pregunta, habla mucho sobre diferentes escenarios similares en palabras no electrónicas (es demasiado largo para ponerlo aquí, pero si alguien lo quisiera, lo haría) y al final dijo: Usted puede sentirse tentado a use la defensa activa y es posible que tenga alguna responsabilidad asociada con eso y tenga en cuenta, pero en este momento no hay una ley clara con respecto a este tema y mucho depende del jurado (esto no es exactamente lo que dice, es una reducción de sus 7 minutos de conversación respecto a este tema)
Espero que esto quede claro, cuán poco clara es la situación con la defensa activa.
Lea otras preguntas en las etiquetas ethics incident-response