¿Hay alguna forma de evitar que se abuse de los comentarios para comando y control?

Navega tus respuestas
2

Las redes de bots normalmente se coordinan a través de protocolos como HTTP o IRC. Sin embargo, para hacer que el tráfico de comando y control sea más difícil de detectar, los atacantes ocasionalmente han recurrido a otros canales , incluyendo canales de comunicación de apariencia normal como comentarios en Instagram . Facebook también ha sido visto en la naturaleza como un método para comando y control. El caso de Instagram vinculado arriba usó un comentario de aspecto bastante inocuo, y la única manera de desentrañar el comando era usar una expresión regular compleja.

Creo que la principal responsabilidad de prevenir este abuso de comentarios generalmente recae en el equipo de seguridad responsable de identificar y eliminar la botnet de las computadoras infectadas. Sin embargo, ¿hay alguna forma de evitar este abuso de comentarios en mi propio perfil / sitio web? Sé que hay soluciones para identificar comentarios que son spam o comentarios que buscan vulnerabilidades, pero no creo que esas soluciones de filtrado de comentarios bloqueen estos comentarios de C & C.

    
pregunta Cody P 30.06.2017 - 00:31
fuente

2 respuestas

7

Si permite el contenido generado por otros en su sitio, no hay manera de detectar si el contenido contiene mensajes ocultos en todos los casos porque simplemente hay muchas formas en que dicho contenido podría estar incrustado. Cualquier intento de detectar y bloquear dicho contenido tiene el riesgo de un bloqueo excesivo y, por lo tanto, de afectar a usuarios inocentes. En el ejemplo de los comentarios de Instagram, se ve que el atacante solo necesita ocultar un mensaje de unos pocos bytes en un mensaje mucho más grande. Este pequeño contenido oculto podría extenderse en múltiples comentarios (como usar solo el primer carácter de cada comentario), podría estar contenido en el nombre de usuario, podría estar oculto en la marca de tiempo, podría estar contenido en imágenes ....

A lo sumo, podrías intentar detectar los bots que leen este mensaje, ya que realmente no se ven o se comportan como usuarios reales. Pero también en este caso no sería demasiado difícil para un atacante engañar a dicho sistema de detección o hacer que arroje muchos falsos positivos para que impacte a usuarios inocentes del sitio.

    
respondido por el Steffen Ullrich 30.06.2017 - 07:17
fuente
1

Una idea: puede usar moderadores para comentarios y publicar solo comentarios, aprobados por los moderadores (si es posible). De esta manera, su canal / página / sitio web no será confiable para la comunicación de botnets, ya que sería imposible predecir si el comentario se publicaría y cuándo.

    
respondido por el Valery Marchuk 30.06.2017 - 17:21
fuente

Lea otras preguntas en las etiquetas

SSL: ¿Las autoridades de certificación saben algo acerca de los usuarios de un sitio web? ¿Qué hace '& ==;' ¿Qué significa con respecto a Python Django y sobrepasando WAFs?