Perfilando piratas informáticos con dinámica de pulsaciones de teclas

13

Estoy escribiendo un artículo de investigación sobre el seguimiento de piratas informáticos y cómo incluir los tiempos de pulsación de teclas para crear un perfil de piratas informáticos.

Quiero combinar los tiempos de pulsación de teclas que capturo en ttylog con otros datos de las sesiones, como la dirección IP, el tipo de ataque, cualquier lenguaje 1337 utilizado o cualquier otra cosa que vea que hace que una persona / sesión sea única.

Necesito obtener algunos datos del mundo real para trabajar. ¿Sabe dónde puedo obtener datos de ataques del mundo real?

Tengo Kippo en ejecución, lo que es excelente para obtener pulsaciones de teclas y los tiempos relacionados con cada pulsación de teclas.

    
pregunta user13959 11.10.2012 - 23:33
fuente

2 respuestas

9

Su idea de toma de huellas digitales es muy similar a la inteligencia de señales inalámbricas en la Segunda Guerra Mundial. Ambas partes solían tener departamentos completos cuya función era aprender el estilo del código, o "puño" de los operadores inalámbricos de la parte opuesta. Al rastrear estos perfiles y utilizar la dirección de radio, obtuvieron una sorprendente cantidad de información sobre movimientos de tropas y buques, asignaciones de personal, etc.

Estás pensando en hacer lo mismo, aprendiendo los matices de cómo funcionan los crackers en particular. Piensa que la cadencia de escritura, los errores de escritura repetidos con frecuencia, etc. podrían usarse para aprender el "puño" de un cracker en particular. Creo que esta es una buena idea de alguna manera, pero tal vez no sea lo suficientemente buena como para perseguirla:

  • La mayoría de los ataques son guiones Incluso cuando un pirata informático está haciendo el pirateo, por lo general se realiza una secuencia de comandos antes y después de una explotación exitosa, por lo que tendrá que atravesar cientos de ataques para encontrar una oportunidad de toma de huellas dactilares
  • Fuentes de datos: le resultará difícil obtener datos suficientes para tomar cualquier huella digital real. La cantidad de fuentes de datos que necesitaría es mucho más que un simple proyecto de investigación, necesitaría al menos una docena de honeypots y una gran base de datos de información para trabajar, con algunos modelos complejos para interpretar los datos
  • La latencia y la fluctuación de la red son comunes en Internet, especialmente cuando el tráfico proviene de áreas con poca conectividad a Internet. Estas áreas serán la fuente de muchos ataques, por lo que sus resultados podrían terminar siendo sesgados significativamente. ¿Es esa pausa seguida de una ráfaga de escribir el estilo del hacker, o simplemente el retraso de la red?
  • Verificabilidad de los resultados: ¿Cómo puede probar que sus métodos de toma de huellas dactilares son exitosos de alguna manera? ¿Cómo demostrarás que los patrones que encuentras realmente demuestran un solo atacante? No van a salir y decir: "sí, ese fui yo".

Mi sugerencia es que pruebes esta pequeña escala donde puedes controlar algunos de los factores. Haga que muchos voluntarios (además de algunos scripts) sigan los scripts de configuración de comandos en una ventana de la terminal y vean si puede escribir algoritmos que puedan determinar de manera confiable su mecanógrafo. Luego, introduzca la latencia de paquetes y la inestabilidad para ver si sus algoritmos pueden hacer frente, y trabaje en eso. Una vez que tienes ese trabajo, puedes salir a internet y ver si funcionan en la naturaleza, de lo contrario no tendrás idea de la confiabilidad.

    
respondido por el GdD 12.10.2012 - 12:57
fuente
6

Puede configurar un honeypot y agregar sus sistemas de registro adicionales. Esto producirá resultados, aunque probablemente no sean los resultados que está buscando. En el mundo real, la mayoría de los compromisos son con bots, por lo que no se aplican las pulsaciones de teclas.

    
respondido por el rook 11.10.2012 - 23:51
fuente

Lea otras preguntas en las etiquetas