¿Cómo funciona el seguimiento de IP?

6

Disculpe la pregunta ingenua (soy más un dev que una persona de web-sec)

En el pasado, los servidores web me habían pirateado y, por lo general, lo he rastreado en algunas máquinas aleatorias que parecen haber sido comprometidas (supongo que es parte de una red de bots, etc., tratando de encontrar una manera de agregar mi servidor a la red) .

Siempre lo dejé allí después de revisar los registros y darme cuenta de que no se hizo nada demasiado malo y que ahora el parche estaba parchado.

Pero a menudo me pregunto qué pasaría si necesitara identificar la amenaza. ¿Puedo ir a las autoridades? ¿Qué podrían hacer realmente? Si fuera Hollywood Dreamland, tendrían un gran mapa en una pantalla del tamaño de una pared y, en segundos, recorrerían todos los proxies y encontrarían la fuente ...

En la medida de lo posible, esto no es posible a menos que tengas un acceso del 100% a todos los ISP en tiempo real O ¿Estuviste pirateando cada proxy con cualquier vulnerabilidad y siguiendo las conexiones entrantes O hecho a través de los intercambios de Nivel 1? Todos los cuales no son tareas pequeñas ...

¿Eso tiene el tamaño?

    
pregunta Alex 18.05.2012 - 17:33
fuente

2 respuestas

3

Si los atacantes usan herramientas de anonimato como Tor, es extremadamente difícil rastrearlas hasta la persona que realiza el ataque, especialmente después del hecho. Piense en Tor como una gran malla encriptada, donde las conexiones se enrutan a través de una ruta aleatoria de múltiples nodos. En ningún momento un nodo conoce la IP de origen y la IP de destino.

Los ataques contra tales redes de anonimato son complejos y requieren un acceso privilegiado a los registros de ISP y otros recursos similares, por lo que, a menos que haya tenido pérdidas significativas, es probable que las autoridades no hagan el esfuerzo.

Las cosas se ponen aún más difíciles cuando te enfrentas a un atacante que usa Tor para controlar una horda de computadoras comprometidas en una red de bots. Estas máquinas pueden estar en diferentes países, con diferentes leyes de privacidad y seguridad informática. Obtener acceso a los datos y / o registros en estas máquinas puede resultar ser una pesadilla burocrática.

En general, cuando las autoridades investigan los ataques, buscarán algo más que el rastro digital. Es mucho más fácil atrapar a las personas por sus acciones en los sitios de redes sociales, o por medio de rastreos en papel cuando el dinero se transfiere.

Mi consejo, si no ha perdido mucho en el ingreso, es olvidarse de perseguir al atacante y, en cambio, concentrar su tiempo / dinero en averiguar cómo ingresaron y cómo evitar que vuelva a suceder.

Ahora sería un buen momento para someterse a una revisión de seguridad. Aquí hay algunas cosas que debe verificar que se están haciendo correctamente:

  • Las medidas de seguridad habituales: cambiar el puerto SSL, no iniciar sesión como root, usar certificados de cliente, imponer contraseñas seguras, etc.
  • Actualizaciones (SO, paquetes de software, IDS / IPS, firewall, AV, etc.)
  • Supervisión y alertas de seguridad, con registros de copia de seguridad de forma remota.
  • IPS / IDS / firewall en los lugares correctos.
  • La configuración DMZ entre los servicios de Internet y su red interna.
  • software de AV en cualquier máquina de usuario.
  • Gestión adecuada de la cuenta de usuario.
  • Política de seguridad.
  • Políticas de respuesta a eventos.

Será mucho más rentable enfocarse en prevenir futuros ataques que en perseguir fantasmas.

    
respondido por el Polynomial 21.05.2012 - 17:33
fuente
3

Usted prácticamente ha golpeado el clavo en la cabeza, por eso para la mayoría de los delincuentes organizados en línea, la clave es seguir el dinero, que es mucho más fácil de rastrear.

Dependiendo del nivel de paranoia, un atacante puede enrutar a través de múltiples apoderados, usar TOR u otras herramientas de anonimato y generalmente ofuscarse en el grado que desee, y mientras algunos ISP cooperarán, un atacante astuto se dirigirá a través de países donde no lo harán.

Eche un vistazo a la pregunta sobre Anonymous y Lulzsec -   ¿Por qué es difícil atrapar "Anónimo" o "Lulzsec" (grupos)?

    
respondido por el Rory Alsop 18.05.2012 - 18:14
fuente

Lea otras preguntas en las etiquetas