¿La piratería es una técnica de seguridad válida para las empresas?

8

Recientemente ha salido a la luz a través de la ingeniería inversa de herramientas de hacking que hay hay vulnerabilidades en ellos que podrían explotarse para apoderarse de una computadora de los atacantes durante una sesión de piratería remota. En otras palabras, mientras te están pirateando, puedes ingresar al sistema desde el que están lanzando el ataque para averiguar a qué han logrado acceder, a qué sistema se trata o incluso a ti mismo. Los objetivos serían el control de daños, la disuasión y, en última instancia, la posibilidad de acusar al autor del delito.

Dejando de lado las muchas consideraciones legales, éticas y morales (si tiene curiosidad, hay un debate grabado aquí ), mi pregunta es si el pirateo con esta técnica tiene algún valor para una empresa. Si fuera ético y legal, ¿valdría la pena para una empresa invertir en los sistemas y las habilidades necesarias para hacer que esto funcione, o es un desperdicio de dinero?

EDITAR: Ha habido varios comentarios con respecto a dejar las consideraciones legales y éticas fuera de la cuestión, así que aquí está la explicación detrás de eso. Hasta ahora, la discusión sobre la piratería de esta manera ha sido discutida por abogados, algunos gritando que es legal y otros diciendo que no lo es. Lo que sí están de acuerdo es que no hay jurisprudencia, y hasta que la haya no habrá una respuesta clara. Además, las legalidades varían de una nación a otra, por lo que la respuesta a la legalidad es "quizás" y "depende de dónde se encuentre".

Sin embargo, hasta ahora, ninguna de las discusiones que he visto ha sido entre los profesionales de seguridad de TI que serían los que diseñarán, implementarán y ejecutarán sistemas que lo harían a la piratería. Todos los abogados parecen pensar que las organizaciones adoptarían la técnica como una cuestión de rutina, pero no estoy de acuerdo con eso y me gustaría escuchar las opiniones de mis compañeros. Por eso he hecho la pregunta aparte de los aspectos legales y éticos.

    
pregunta GdD 29.11.2012 - 11:24
fuente

8 respuestas

12

Tuvimos este debate en nuestro capítulo local de OWASP anoche sobre si un honeypot debería contraatacar. Sí hablamos de algunos problemas legales y morales, pero decidimos que no era una buena idea porque:

  1. La mayoría de los ataques provienen de clientes tontos en botnets o a través de herramientas automatizadas, así que, ¿qué está logrando al eliminar a un cliente todavía más tonto?
  2. El enfoque de su negocio debe estar alineado con sus objetivos comerciales: combatir el delito informático (a menos que trabaje para una autoridad policial) no debe formar parte de eso.
  3. Si el ataque se vuelve serio y necesita ir a la corte; la evidencia de que usted "devolvió el golpe" no se vería bien y podría funcionar en su contra. Si va a gastar dinero en este tema, hágalo en herramientas forenses para que fortalezca cualquier acción legal
  4. Ataques circulares: ¿considera si contraataca accidentalmente a otra herramienta que tiene la capacidad de contraatacar? entonces simplemente estás comiendo ancho de banda innecesariamente.
respondido por el Callum Wilson 29.11.2012 - 13:34
fuente
8

A pesar de que nos pide que ignoremos las consideraciones éticas y legales, no lo haré. Creo que están demasiado arraigados en este tema para ser ignorados, y abordarlos desde una perspectiva puramente fiscal es erróneo e inútil.

La ley
La ley en la mayoría de los países es lo suficientemente clara como para decir que no hay manera de "piratear" de manera efectiva sin violar las leyes de seguridad informática. Está hablando de obtener acceso no autorizado a un sistema remoto. La cuestión de si ese usuario está actualmente involucrado en un pirateo en su contra es discutible: sus acciones son simplemente ilegales, independientemente. De hecho, podría terminar teniendo más problemas, ya que un atacante podría estar aprovechando la máquina de un tercero inocente para el ataque. Incluso si se aprobó una ley para decir que un hack-back fue legal si puede probar que la fuente del ataque es definitivamente el hacker, nunca puede hacer esa afirmación .

Los beneficios
Hay beneficios para hackear, pero dependen en gran medida de la situación. Aquí hay algunas cosas que puedo ver como útiles:

  • Obtención de inteligencia sobre el atacante.
  • Deshabilitar u obstaculizar al atacante.
  • Aumenta el riesgo para el atacante, lo que evita nuevos ataques.

Los inconvenientes
Desafortunadamente, la piratería tiene muchos inconvenientes:

  • Cualquier inteligencia obtenida no puede ser usada en la corte. Usted está comprometiendo su sistema, que a su vez hace que cualquier cosa en ese sistema sea completamente inadmisible.
  • Podría terminar causando daños colaterales durante su pirateo, por lo que puede ser demandado. También puede golpear el objetivo equivocado, como mencioné anteriormente.
  • El atacante puede verlo como un desafío personal y volverse más destructivo.
  • Cualquier ley de hacking aprobada será muy difícil de cumplir, ya que no se puede decir definitivamente que una máquina de destino representa con precisión un activo personal del atacante, en lugar de un tercero.
  • El personal puede ser reacio a participar en ataques de piratería, ya que sus acciones los siguen de por vida, no solo durante su empleo.

Los costes
La perspectiva financiera es bastante insulsa. Si contrata a un oficial de seguridad, es probable que puedan ejecutar pentests de todos modos. Puede utilizar este talento existente sin costo adicional. El costo real viene con los honorarios legales, que probablemente resulten ser inválidos si se descubre que ha violado la ley. La inversión en otros recursos no parece tener mucho sentido, ya que no es particularmente beneficiosa y (por el momento) es altamente ilegal.

    
respondido por el Polynomial 29.11.2012 - 12:10
fuente
3

Sin ninguna consideración por los aspectos legales, creo que el simple hecho de que debería permitir que el ataque continúe para evitar alertar al atacante es una razón suficiente, no es aconsejable, pero creo que dependerá de la situación. Incluso si el usuario parece estar atrapado en un honeypot, dejarlo en condiciones de explorar el sistema probablemente superará los beneficios potenciales de la información que podría recopilar.

Si pudo ser configurado de tal manera que tenía un alto grado de confianza en que no podrían escapar de su jaula y ejecutar un ataque significativo, entonces, siempre que sea legal en su jurisdicción, no veo cuál sería el daño de hacer un contraataque de investigación para intentar identificar al atacante siempre y cuando no sea destructivo. Cualquier piratería destructiva no sería beneficiosa ya que el objetivo final debería ser identificar al atacante y emprender acciones legales para detenerlo permanentemente, no solo perjudicarlos momentáneamente y posiblemente destruir las pruebas o alertarlos sobre su acción legal inminente. Sin embargo, la naturaleza de muchos ataques podría beneficiarse de poder ver uno o más nodos que respaldan la cadena, ya que sería útil saber de dónde proviene el comando y el control de una red bot.

Dicho esto, creo que sería muy difícil garantizar que no haya un riesgo continuo para su seguridad, por lo que mi reacción general aún se cerrará y dejará que las autoridades se encarguen de ello. Los argumentos de propósito comercial también fueron buenos, a menos que se cumplan sus objetivos comerciales ayudando a derribar al pirata informático.

    
respondido por el AJ Henderson 29.11.2012 - 14:50
fuente
2

Conozco la historia de un hombre con una casa y un pequeño jardín.

Después de ser saqueado muchas y muchas veces, le pidió a la policía una intervención más rápida, pero su casa fue saqueada una y otra vez,

Finalmente el hombre ha instalado algunas trampas alrededor de su casa. También se instalaron avisos y avisos de precaución en toda la casa ... Pero.

Los ladrones vinieron de nuevo y cayeron en una trampa. Dañado, Tief había llamado a la policía para pedir una reparación. El hombre fue condenado por daño al ladrón. Finalmente el hombre se vio obligado a pagar mucho.

Mi convicción es: Para ser mejor que, no debo ser el peor

    
respondido por el F. Hauri 31.12.2012 - 02:48
fuente
1

personalmente, creo que sería mejor pasar el tiempo para poner en orden su casa antes de dirigirse al salvaje oeste del vigilantismo. Aprenda las lecciones de los intentos exitosos y no exitosos en su negocio y bloquee las cosas.

Y, lo que es más importante, exija que los productos que utiliza en su infraestructura de TI sean seguros y se desarrollen de manera segura, en lugar de los enrutadores más baratos con el firewall más barato frente a ellos, de modo que pueda marcar una casilla en la lista de verificación de cumplimiento.

    
respondido por el Colin Cassidy 29.11.2012 - 12:50
fuente
1

Para agregar a la buena respuesta de AJ Henderson ... Para volver a atacar, tendrías que dejar ir el ataque, y en términos de respuesta a incidentes no suele ser una buena idea permitir un ataque para continuar y cuanto más rápido interrumpas el ataque, mejor. Pero no tome mi opinión, y en su lugar, consulte la guía publicada por el NIST llamada Guía de manejo de incidentes de seguridad informática ( enlace )

Esto es lo que tienen que decir sobre una estrategia de contención que permite que el ataque continúe por cualquier motivo:

"En ciertos casos, algunas organizaciones redirigen al atacante a una caja de arena (una forma de contención) para que puedan monitorear la actividad del atacante, generalmente para recopilar evidencia adicional. El equipo de respuesta a incidentes debe discutir esta estrategia con su departamento legal para determinar si es factible. Las formas de monitorear la actividad de un atacante que no sea el sandboxing no deben usarse; si una organización sabe que un sistema ha sido comprometido y permite que el compromiso continúe, puede ser responsable si el atacante usa el Sistema comprometido para atacar a otros sistemas. La estrategia de contención retrasada es peligrosa porque un atacante podría escalar el acceso no autorizado o comprometer otros sistemas ".

    
respondido por el Thomas Carlisle 31.01.2017 - 23:33
fuente
0

Ya es un negocio jugoso dentro de los propios Estados Unidos de América.

Vea esto: enlace

  

Técnicas y procedimientos ofensivos   Las estrategias de CrowdStrike Strike proporcionan medidas estratégicas y tácticas para combatir a un adversario en su red. A través de la vigilancia y el reconocimiento, las técnicas de contraespionaje, el desmantelamiento hostil de los objetivos y la negación y el engaño, los expertos en seguridad de CrowdStrike proporcionan técnicas y procedimientos para limitar el número y la gravedad de los futuros ataques. Ayudamos a su empresa a pasar a la ofensiva contra los adversarios más avanzados de hoy.

enlace

Si sientes que tienes las habilidades, contratan activamente a nuevas personas. Te podrían pagar para piratear a la gente. Un buen trabajo, si te gusta ese tipo de desafío.

  

Cyber Threat Analyst / Ofensive Operations Specialist _ __ _ __ _ __ _ __ _ __ _ __ _ __ _

respondido por el happy 31.12.2012 - 03:46
fuente
0

El atacante podría haber comprometido la computadora de otra víctima y haber enviado los datos a través de ella. Esto podría significar que cuando intentaste volver a atacar al atacante, en cambio hackeaste a la otra víctima.

    
respondido por el Hugh Williams 31.01.2017 - 22:28
fuente

Lea otras preguntas en las etiquetas