¿Por qué es difícil detectar "Anónimo" o "Lulzsec" (grupos)?

Mi respuesta se asoma a la pregunta original. ¿Qué te hace pensar que no son atrapados?

La CIA y el DoD encontraron a Osama bin Laden.

Los medios típicos incluyen OSINT, TECHINT y HUMINT. Los forenses se pueden hacer en Tor. Las herramientas de eliminación segura como sdelete, BCWipe y DBAN no son perfectas. Las herramientas de cifrado como GPG y Truecrypt no son perfectas.

Las comunicaciones en línea fueron quizás la mayor fortaleza de Osama bin Laden (tenía correos que viajaban a cibercafés lejanos utilizando el correo electrónico en unidades flash USB) y la mayor debilidad de Anonymous / LulzSec. Usan IRC sin cifrar por lo general. Crees que al menos usarían OTR a través de Tor con un proxy SSL para el servidor de comunicaciones de IM en lugar de un tráfico de texto simple a través de un nodo de salida.

Su uso común de utilidades como Havij y sqlmap podría ser contraproducente. Quizás haya una vulnerabilidad del lado del cliente en la máquina virtual de Python. Tal vez hay un desbordamiento de búfer del lado del cliente en Havij. Tal vez hay puertas traseras en cualquiera.

Debido a la naturaleza política de estos grupos, habrá problemas internos. Últimamente vi algunas noticias de que 1 de cada 4 hackers son informantes del FBI.

No es "difícil" "atrapar" a nadie. Otra persona en estos foros sugirió que viera un video de una presentación de Defcon donde el presentador rastrea a un estafador nigeriano utilizando las capacidades avanzadas de transformación en Maltego. Las capacidades OSINT de Maltego y el portátil del analista de i2 Group son bastante ilimitadas. Una pequeña pista; un pequeño error OPSEC - y ocurre una reversión: el cazador ahora está siendo cazado.

Por alguna experiencia con la aplicación de la ley y la medicina forense, puedo decir que uno de los mayores problemas es que los ISP realmente no quieren tener que rastrear a los usuarios. Una vez que superan un cierto nivel de gestión, pierden el estatus de "operador común" y se hacen responsables de una gran cantidad de lo que sus clientes pueden hacer.

Además, muchos países no quieren transmitir información a otro país, especialmente a los países que pueden oponerse a la cultura occidental o la interferencia occidental.

Y es extremadamente fácil ocultar casi cualquier cosa en Internet.

Respecto a tus tres puntos:

• El servidor debe tener direcciones IP - No, esto es fácil de falsificar o borrar
• Servidor privado : no es probable, aunque es posible, pero no lo haría se usará su tarjeta de crédito
• Seguimiento del ISP : no va a suceder, no afecta negativamente al ISP y es demasiado difícil

actualización Después de todo, podría suceder - enlace

Uno de los aspectos más importantes de un ataque como este es cubrir tus huellas. Hay muchas formas diferentes de hacerlo, ya que depende de la tecnología. Para responder a sus preguntas específicas:

Cuando DDoS: Si la inundación provenía de sus propias máquinas, entonces sería bastante fácil rastrearlas. El problema radica en el hecho de que no están utilizando sus propias máquinas. Están a) tomando el control de los demás sin permiso, o b) consiguiendo que alguien lo haga en su nombre. Lo último es lo que sucedió con los ataques de Wikileaks. La gente se inscribió para hacerlo.

Las cosas comienzan a ponerse difíciles cuando los servidores están en países que generalmente no responden a las solicitudes de registros. Si la compañía que está siendo atacada está en los EE. UU., Es bastante fácil obtener una orden judicial si se demuestra que el ataque se originó en los Estados Unidos. ¿Qué sucede si es un objetivo de los Estados Unidos, pero el ataque se origina en Rusia o China? Lo mismo ocurre con los registros de compra.

En cuanto a tener miedo ... hay muchos de estos tipos de grupos ahí fuera. La mayoría de ellos son (no quiero decir inofensivos, pero ...) inofensivos. En este caso particular, alguien golpeó al oso y el oso se enojó.

EDITAR: No es que condono sus acciones, bla bla bla.

Además de las respuestas que ya se han dado, otra razón por la que es tan difícil de captar anónimo es porque anónimo puede ser cualquiera, literalmente. Me refiero a esto de dos maneras. Primero, los piratas informáticos pueden usar una combinación de malware, spyware y bots para acceder y usar / recorrer las computadoras de otras personas en cualquier parte del mundo; por lo tanto, hacer de cualquier computadora, teóricamente, un punto desde el cual anónimo pueda funcionar. En segundo lugar, fiel al nombre anónimo , cualquier pirata informático, en cualquier lugar, utilizando cualquier método o estilo, utilizando cualquier patrón aleatorio de actividad, puede atacar y llamarse a sí mismo anónimo . Por lo tanto, es extremadamente difícil para un gobierno / autoridad realizar un seguimiento de la actividad por patrón, estilo o firma, porque siempre está cambiando debido a la naturaleza variada de los ataques, ya que puede, como he dicho antes, provenir de cualquier persona.

Esencialmente,

Anónimo no es una persona ... Anónimo no es un grupo ...

Anónimo está en cualquier parte y en todas partes ... Anónimo puede ser de todos o de nadie ...

Desafortunadamente, esa es la naturaleza, singularidad y genio del nombre.

Hay muchas maneras en que un hacker puede cubrir sus huellas ...

Aquí hay un ejemplo muy generalizado:

Un pirata informático puede comprometer una máquina de terceros y usarla para realizar ataques en su nombre. Debido a que el sistema está comprometido, el hacker puede eliminar / modificar los registros. Un pirata informático también puede combinar máquinas, como, iniciar sesión en la máquina A, desde la máquina A iniciar sesión en la máquina B, desde la máquina B iniciar sesión en la máquina C, desde la máquina C atacar la máquina D, luego limpiar los registros de las máquinas C, B y luego A haciendo más difícil rastrear al hacker.

Esto ni siquiera tiene en cuenta las cuentas de Internet pirateadas (por lo que, incluso si se rastrean, apuntan a una persona diferente), servidores proxy abiertos, etc., etc., etc.

Sé que lo anterior no es impecable, pero como dije, esto es solo un ejemplo MUY MUY general. Hay muchas formas de cubrir tus pistas.

Dicho esto, ¿qué te hace estar tan seguro de que ciertas agencias de 3 letras ya no saben quiénes son muchas de ellas, pero no las movemos para que esas personas puedan guiarlas hacia otras?

Estoy seguro de que los demás intervendrán para explicar mejor, pero creo que la última lección que se debe aprender es preocuparse menos por piratas informáticos específicos y grupos de piratería, y más con su propia seguridad. El hecho de que su último reclamo a la fama se haya originado en algo como TRIVIAL para solucionarlo como una vulnerabilidad de Inyección de SQL (que no es nada nuevo, está muy bien documentado y entendido) es un gran desprestigio de la "firma de seguridad" sin nombre que fue hackeada. rant over

Bueno, respondí a algunas de las publicaciones anteriores que tenían información incorrecta, pero pensé que debería publicar mi propia respuesta para explicarlo mejor.

Anónimo se compone básicamente de 2 subgrupos:

1. Skiddies (guiones para niños) y novatos que solo tienen el conocimiento de seguridad más básico, y solo se sientan en su IRC y básicamente son los pwns para el ataque. Estas son las personas que el FBI estaba derribando sus puertas.

2. Liderazgo central anónimo, un grupo con algunos conocimientos de piratería que era propietario de hbgary, pero que también fue propiedad recientemente de un equipo de piratas de ninja. No podrá rastrear este subgrupo a menos que sea un gurú de la seguridad.

¿Cómo ocultan sus pistas?

Como los respondedores anteriores mencionados,

1. A través de servidores proxy como Tor
2. comprometiendo cuadros y lanzando ataques desde esos cuadros (básicamente enmascarados como la IP de esa persona), o
3. utilizando una VPN que está en un país extranjero y no mantiene registros. Con la VPN, todo su tráfico se retransmite a través de él, por lo que, donde sea que se conecte, solo podrá rastrear la dirección IP a la VPN en sí y no más (a menos que la VPN esté manteniendo registros en cuyo caso no debería usarla).

Espero que esto ayude a aclarar un poco.

Lo que pasa con un DDoS es que utiliza las IP de otras personas , no las suyas. Es relativamente simple volverse imposible de rastrear en Internet: solo enrute su tráfico a través de un host que no mantiene registros de tráfico. Como alguien que con frecuencia tiene que intentar rastrear a estas personas, puedo decirles que es una pesadilla imposible. Aquí está el patrón que veo con frecuencia:

1. Seleccione un exploit relativamente reciente en algún paquete de software web (por ejemplo, extensión joomla).
2. Use google para encontrar un objetivo de ataque apropiadamente vulnerable
3. Desde algún lugar que no pueda rastrearte (por ejemplo, una cafetería), ejecuta el ataque para obtener control sobre el servidor vulnerable, pero no hagas nada más que llame la atención. (puntos extra, corrija la vulnerabilidad para que nadie venga detrás de usted). Elimine los registros que puedan rastrearse hasta su ubicación presunta.
4. Repita lo anterior, transmitiendo su tráfico a través del servidor comprometido anteriormente. Repita de nuevo varias veces hasta que haya eliminado varios pasos de la máquina que se comportarán como su proxy. Idealmente, estos servidores deberían estar ubicados en países como China, India, Brasil, México, etc., donde los técnicos de los centros de datos tienden a ser no cooperativos hacia las investigaciones, y todos deberían estar ubicados en diferentes países para crear jurisdicción y Pesadillas de comunicación para las personas que intentan rastrearte.

Enhorabuena, ahora eres anónimo en Internet. Es un poco como Tor, excepto que ninguno de los nodos sabe que están participando. Por lo general, estos atacantes configuran y usan puertas traseras en servidores para los cuales no se guardan registros ni registros (ya que, presumiblemente, la puerta trasera no existe). Una vez que el atacante se desconecta, ese enlace se vuelve imposible de rastrear.

Un salto reduce dramáticamente tus posibilidades de detección. Dos saltos hacen que la detección sea casi imposible. Tres saltos y ni siquiera vale la pena el esfuerzo.

Tal vez debería leer este PDF . No son tan anónimos. La herramienta LOIC utilizada para DDOS, filtra la IP original de la persona que la usa. Puede usar la versión del navegador (JavaScript) de la misma herramienta, tal vez escondiéndose detrás de Tor.

HBGary Federal expuso sus nombres y direcciones en ese PDF. Es por eso que atacaron su sitio, correo electrónico, limpiaron su iPad, se apoderaron de su twitter, etc. Busque en el hashtag #hbgary en twitter para obtener más información al respecto.

Varios post discuten las dificultades técnicas para encontrar a las personas detrás de estos grupos. No es nada fácil retroceder su actividad cuando se usan muchas máquinas para crear un sentido de anonimato.

Otro aspecto muy importante es que la policía, las comunidades de inteligencia de todo el mundo y la legislación de los diferentes condados no están realmente diseñadas para manejar estas situaciones. Por lo tanto, si encuentra un servidor en un país que se ha utilizado para saltar a un servidor en otro país, se tarda demasiado en recorrer los canales adecuados para que la policía local obtenga la información. Incluso si lo hace, la información, como los registros, no siempre se guardan durante largos períodos de tiempo.

Es fácil saltar ilegalmente en Internet, pero es mucho más lento saltar en Internet de manera legal. Este es un factor muy prohibitivo cuando se trata de encontrar estos grupos.

Aquí hay un artículo que pregunta (y responde) esa misma pregunta del Sitio científico americano publicado este mes. La respuesta breve a la pregunta es la suplantación de direcciones de origen y el uso de proxies.

Hay una cosa que aún no se ha mencionado: el factor humano.

Estos grupos no tienen una jerarquía como tal, sino que se forman alrededor de un conjunto de ideas. La mayoría de las veces, la única idea en común es que "los gobiernos están equivocados, debemos hacer justicia al piratear", lo que probablemente sea un sentimiento que se está fortaleciendo, con la presión actual que está ejerciendo el gobierno de los EE. UU. en otros países debajo de las coberturas para aprobar leyes draconianas contra la libertad de expresión que podrían dañar a las empresas mencionadas anteriormente.

Entonces, el gran atractivo aquí, especialmente de Anonymous, es que si tiene conocimiento y odia al gobierno (¿quién no?), puede unirse a ellos por su cuenta y por su propia cuenta y riesgo.

Para ver de dónde viene este pensamiento, recomiendo la novela cómica / de la película "V for Vendetta", de la cual tomaron la máscara que ves tan a menudo.

Algunos grupos, por supuesto, tienen intenciones mucho menos heroicas. LulzSec era "todo para el lulz".

La conclusión es que sí, pueden obtener algunos miembros de cada grupo, pero aparecerán más.

Los piratas informáticos pueden ser capturados, Anónimo no puede. Anónimo es un colectivo tan perdido que no resulta gravemente afectado por la aplicación de la ley al atacar a sus piratas informáticos individuales. Sin embargo, responde violentamente contra cualquier organización que intente hacerlo. Esto significa

• Es muy difícil derribar a Anonymous simplemente atrapando a sus miembros.
• Anónimo hará la vida difícil a cualquiera que lo intente.

Todo lo que tiene que hacer Anonymous es seguir "no valiendo la pena" para perseguir a sus miembros en masa y seguirá siendo gratis. Sin embargo, juegan un juego peligroso. Si el público alguna vez decide que son una molestia suficiente, entonces de repente valdrá la pena el costo de rastrear y atrapar a sus miembros, soportando los contraataques de Anonymous a medida que avanzan.