web-dev-qa-db-ja.com

オンラインのハッキングはどのようにして加害者に遡ることができますか?

ソニーのハックを北朝鮮に関連付けるには、どのような証拠が使用されるのでしょうか?この特定のケースで何が使用されたかについて知りたいのですが、私の質問は、このような一般的な状況でどのようなことがティップオフとして機能する可能性があるかについてのより一般的な質問を意味しています。

私が推測すること:

  • 一種のフィンガープリントとしてWebリクエストからのユーザーエージェント文字列を使用します。これは情報量が比較的少なく、かなりなりすましの可能性があるようです。
  • コンパイルまたはコメントの言語を見る(Sonyハッキングで最も公表された証拠のビット)。この場合も、情報はほとんどなく、簡単に偽造できます。
  • IPのトレース。これが成功したとしても、有能なハッカーが何らかの形のリダイレクトを使用して自分自身を隠すように思われます。 (私は、ソニーのハックが東南アジアに追跡可能なIPを持っていると主張しているサイトを見つけましたが、それはまだかなり広く、状況に応じています)
  • 以前のいくつかのマルウェアにリンクしているいくつかのマルウェアの特徴的なコマンドシーケンスを見つける(例:ウイルス対策の機能)。しかし、それは完全に亀であり、元のマルウェアが北朝鮮(またはその他の場所)にどのようにリンクされていたのかは不明です。

この非常に関連する質問 が表示されますが、これらの回答からの唯一の具体的なヒントは、ハッカーのコンピューターで利用可能なワイヤレスネットワークを確認できれば、その情報を使用してローカライズできることです。ただし、その情報を取得することはほとんどありません。

また、これらの 接線方向に関連する質問 は、「うん、人を追跡するのは難しい」と本質的に言っています。

ハックの調査に関するこの質問 がありますが、その答えはハックからの回復における一連のステップのみを扱います。

とは言っても、FBIと米国政府が北朝鮮に落ち着いたことを疑う 合理的に信頼できる1つのニュースソース を見ただけです。したがって、私はハッキングを追跡できるいくつかの合理的な方法を見逃しているに違いないと思います。

私は、ハックに関するすべての詳細を公衆がおそらく持っていない(そしておそらく決してそうしない)ことを完全に理解しています。私は代わりにどのような種類のものが説得力のある証拠として役立ち、合理的に発見されたのかを探しています

forensicsdetectioninvestigation
3
akroy

あなたのポイントは良いものであり、これはハッキングの追跡について興味深いことです。疑いを投げかけるのは簡単ですが、攻撃がどこから来たのかを決定的に証明することは非常に困難です。

フィールドを狭めるいくつかのこと:

  • あなたが提案するように、プログラムが書かれた言語はしばしば決定されます。これはもちろん示唆的ですが、決定的ではありません。

  • あなたも示唆しているように、動機は考慮事項です。おそらく、より大きな考慮事項はリソースです。いつものように、現実世界の物理的なリソースの制約は、可能性を絞り込むために多くのことを行います。これが、「お金に従う」が調査において非常に貴重なツールである理由です。ネットワークをハッキングするのに本当に良い仕事をするには、多くの時間と努力が必要です。この点で、資金が豊富でよく整理されたグループとスクリプトモンキーがいじりをしていることを区別するのはかなり簡単です。動機とリソースを持っている人はごくわずかです。繰り返しになりますが、決定的ではありませんが、役に立ちます。

ハッカーが愚かなことをする方法はいくつかあります

  • メッセージ/ログ/などに本名を残す...
  • 既知のサービスへの実際のログイン資格情報を使用する
  • 彼らが送信するリクエストにメタデータを残しておくと、それらを識別できるようになります。ユーザーエージェント文字列について話すとき、これをほのめかします。実際、サーバーがユーザーの指紋をとるために使用できるものは他にもたくさんあります。ただし、これはすべてWebブラウザを想定しており、攻撃を実行する方法は他にもたくさんあります。
  • (1)メタデータがログに記録され、(2)ハッカーがログを消去するのに十分な注意を払っていない場合にのみ、要求時のメタデータの問題は本当に問題です。

ハッカーが愚かなことをしているのを除けば、IPをそのソースまで追跡することが攻撃者の匿名化を解除する唯一の現実的な方法だと私は主張します。これを困難にするいくつかのこと:

  • 巧妙で装備の整ったハッカーは、実際には複数層のVPNソフトウェアを使用して自分自身を保護します。多くの場合、VPNアカウントは可能な限り匿名で購入されるため、元のIPアドレスまでさかのぼることは難しく、時間がかかります(決して不可能ではありません)。
  • サーバーログのようなものは、多くの場合、このVPNチェーンの最後のホップのIPアドレスを保持し、少なくとも最初の場所を提供しますが、これらは多くの場合、巧妙で注意深く、十分な設備の整ったハッカーによって仕組まれており、開始することさえ困難です。
  • 攻撃者が実際に機能している様子を見ることができない場合は、VPNサービスに元のIPアドレスを削除するように依頼して遡って追跡することは、単にログがないか、ログを削除した可能性があるため、実行できない場合があります。

iPアドレスの追跡の困難さを緩和する要素:

  • TCP接続をスプーフィングする方法はありません。1つをセットアップするには、クライアントがSYNパケットを送信し、サーバーがSYN ACKパケットを送信し、クライアントが別のSYN ACKパケットを送信するため、3方向のハンドシェイクが必要です。したがって、クライアントはサーバーに実際のIPアドレス(実際にパケットをクライアントに戻すことができるアドレス)を提供する必要があります。つまり、攻撃の発生を監視すれば、少なくとも最初からIPアドレスを取得できます。

  • 正しいトラフィックデータのタイムスタンプ付きログを取得できる場合、vpnリダイレクションサービスの背後にある誰か、または複数のそのようなリダイレクションサービスの匿名化に使用できる相関攻撃があります。 torプロジェクトの人々はこれらの攻撃の多くについて詳細を知っており、 これらの線に沿った最近の問題 がありました。攻撃者からのパケットと、攻撃されたネットワークに到着する対応するパケット(vpnの複数のレイヤーを介して)を考えてみてください。インターリービングネットワークを介した時間遅延は、これらのパケットでほとんど同じであり、いくつかの統計分析によって、それらを高い信頼性で一致させることができます( ここでは、例 を参照)。明らかに、ここで難しいのは、必要なタイムスタンプ付きのパケットログを取得することです。また、インターリービングネットワークの1つがパケットを転送する前にランダムな時間待機することも可能です。これにより、この相関攻撃が破られます。待ち時間はかなり長くなる必要があり、newtorkの使いやすさが大幅に低下するため、torネットワークが明示的にこれを行わないのはそのためです。

5
stochastic