反撃することは適切ですか？

Question

Webサイトまたはシステムが攻撃されているときに、攻撃を受動的に処理するだけでなく、攻撃者に対して自動的にアクションを実行する必要があるシナリオはありますか？もしそうなら、どのような応答が適切で合法ですか？これが実際に起こっている例はありますか（良いか悪いか）？

Anonymous Type · Accepted Answer

地理的位置、IPアドレス、ネットワークルートの決定などのパッシブスキャンは、おそらく良い考えです（攻撃の発信元を理解するため）。

更新：実際には、大規模な組織では、これは攻撃が大規模な組織化された攻撃なのか、単に防御をテストする唯一のハッカーなのかを判断するのに不可欠です。どちらの方法でも、おそらく配布されます。どちらの場合も、ファイアウォールをさらにロックダウンするための有用な情報を提供します。

あなたが住んでいる国の法的枠組みにもよりますが、自分自身のアクティブなネットワーク攻撃（DOSやウイルスなど）による攻撃に報復すると、違法行為になります。

Tate Hansen · Answer

反撃はクールな子供たちがすることです！> :)

法律に関しては、私はこのスニペットを http://lawmeme.law.yale.edu/static/pastevents/digitalcops/papers/karnow_newcops.pdf （2005）から取得しました

「結論迷惑な法律の下でさえ、すべての反撃または「自助」の努力が自動的に免除されるわけではありません。それは合理的で、迷惑に比例しなければなりません。自衛のもとで同様の要件に関連して私が議論した問題です。常に、古代のdoctrineが新しいテクノロジーに投じた光は、照明と影の両方を生み出します。裁判所は、分析に「近づき」、先例を求めて奮闘し、時には間違ったものをテストします。バージョン1（新しいソフトウェア）をロールアウトしたいが、法廷でテストケースになりたいと思っている人はいない。複雑な多臓器移植を検討する際に外科医が言うように、興味深いケースである-患者が好むものではない聞いて」

深刻なことに、トリガーを引く準備ができたらいつになるのかと考えなければならないことを想像するには、非常に多くの悪いハックバックシナリオがあります。たとえば、ボットネット攻撃を阻止するためにハックバックして、後でカウンター攻撃したシステムの一部が誤ってボットネットの群れの一部であった重要な病院システムであったことを知る場合はどうでしょうか。

例については、2005年のRichard Bejtlich blogged ：

「自警団の正義に一線を越えると思うので、私はストライクバックの考えに同意しません。ティムの論文はすべてウェルチアワームよりも古いものであり、ストライクバックがいかに危険であるかを示しています。あなたはBlasterワームを無効にする目的でライブマシンを検索したWelchiaによって引き起こされた壊滅的なICMPトラフィックを覚えておいてください。」

Shewfig · Answer

私にとっての第1の質問は、「戦い」で何を達成したいですか。

蚊に刺されたら殺しますが、蚊が逃げても野原を横切りません。私が彼らのハイブを守る蜂の群れに襲われても、私は彼らを叩きません-私は逃げることによって身を守ります。

反撃の危険性は他の回答でもよく示されていますが、繰り返します。

合法性-あなたの反応は違法かもしれません
副次的な被害/ジョーの仕事-あなたの反応は比較的無実の第三者に害を及ぼします

私の個人的な反応の選択：

攻撃が成功する可能性が低くなるように、サイトのセキュリティを適切なレベルに保つようにしてください。
攻撃に関する情報を収集して、重大度を評価します。
潜在的に、IPをブロックするか、帯域幅フラッド攻撃の場合は、ISPにIPをブロックさせてください。これにより、サイトへの悪意のないトラフィックもブロックされる可能性があります（付随的な損害）が、ほとんどの損害は、サードパーティではなくあなたにあります（トラフィック/アクセスの減少）。

ハックバックは新しいタイプの攻撃にもつながります：Kallisti。 "Joe Jobs"は、攻撃元を偽装し、防御者をだまして偽装したソースを攻撃させます。「Kallisti」攻撃は、2つ以上のサイト間でハックバックループを引き起こして、「本当の」攻撃を隠すノイズを作成するか、または混乱を引き起こそうとします。（あられエリス）

Roger C S Wernersson · Answer

関連する応答は、攻撃者を引き付け、成功したと思わせるためにハニートラップを設定することです。たぶん、追跡しながら時間と労力を浪費させてください。それはハリウッド映画の悪い脚本のように聞こえますが。

Peter Smit · Answer

ここでは、オランダでの興味深い事例が適切です。

オランダ警察（KLPD）は、大きなボットネットを実行しているサーバーを停止させました。彼らは、ボットネットを使用して、マシンの所有者に感染していることを知らせるメッセージを送信することを合法と見なしました。

それが実際に合法であったかどうかについてはいくつかの議論がありますが、ほとんどの人はそれを行うことが倫理的なことだと同意していると思います。

このケースはあなたが会社として直面する状況とはかなり異なりますが、警察によって行われたときにこれが合法でないと既に問われている場合、攻撃者に対して何らかの措置を講じることができるかどうか疑問に思う必要があります。

Wesley · Answer

犯罪者になり、あなた自身、あなたの組織、そしてあなたの生計全体を法的措置の危機に瀕させることは適切ですか？これは、あなたを戦いや飛行の状況に置くマスクされたガンマンの場合ではありません。はい、インターネットを介した攻撃者が病院などの重要なシステムへの攻撃を通じて人命を脅かしているシナリオを作成することができます。しかし、そのような状況でも、物理的な口論の場合と同じ反作用力が適用されることを正当化することを私が認識している前例はありません。攻撃の対象となる可能性のあるシステムは、無害なサービスプロバイダーまたは悪意のある目的でハイジャックされたエンドユーザーである可能性があります。それは盗まれて銀行強盗で使用された自動車に火をつけることと同じです。

攻撃者が利用している穴をすぐに塞ぎます。事件を適切な当局に直ちに報告してください。自分の感情に取って代わって、攻撃者と同じレベルに身をかがめるように説得しないでください。

AviD · Answer

考慮すべきもう一つのポイントは、悪者があなたの反撃をどのように覆すことができるかです。

たとえば、スプーフィングされたIPアドレスを持つ悪意のあるパケットを送信する可能性がありますknowingこれを検出し、報復攻撃では攻撃のソース-または実際には実際にはスプーフィングされたIPに登録されています。

したがって、彼らはyouを使用して、被害者であるスプーフィングされたサードパーティを攻撃しています。

忘れてはいけない、攻撃された会社は今あなたのサーバーが彼らのサーバーを攻撃していると正しく-正しく-信じるだろう。あなたがそうする原因を持っていると信じていたことを気にしないでください-それはあなたが積極的に攻撃しているという事実とは無関係です。そして、彼らは告発を押す理由があるでしょう。

興味深いシナリオは、サードパーティの被害者がまた反撃するように設定されている場合です。その後、もちろん、あなたは彼らのサーバーから実際の攻撃を受けます-今回は実際に、しかしもちろんそれはあなたのせいでしたね？

実際に危害が加えられる前に、双方がおそらく相互にDoSを実行します。両方がエスカレートしてスケールアウトすることを選択しない限り、それらはすべての干渉を引き起こす可能性があります。

rjmunro · Answer

答えは間違いなくいいえ、それをしないでください。

ワームがあなたを攻撃しているシナリオを想像できます。このワームが脆弱性Xを介して広がることを知っているので、あなたを攻撃しているすべてのコンピューターが脆弱性Xを持っていることを知っています。脆弱性Xを使用して、感染したコンピュータに警告し、ユーザーに警告するか、シャットダウンします。

これは道徳的に受け入れられることだと思うかもしれませんが、非常に危険な理由です。たとえば、何かがうまくいかない場合はどうなりますか？ワームが原因ではないデータ損失につながる、または元のワーム作成者を怒らせ、別の方法であなたに対して報復したい。ほとんどの管轄区域でも違法となる可能性があります。

Thomas Pornin · Answer

あなたが攻撃の犠牲者である場合、あなたの状況はあなたが現在持っていることを意味します：

問題;
法の保護;
道徳的な高地。

「反撃」することで、3番目、おそらく2番目を失うことになります。ただし、必ずしも問題を取り除く必要はありません。反撃はほとんどの国で違法です。それはあなたが警察からの援助を主張することを防ぎ、そしておそらくもっと重要なことに、それは保険を無効にするでしょう（あなたの保険会社はそれを指摘するのが早いでしょう）。最後に大事なことを言い忘れましたが、あなたの報復は傍観者に害を与え、あなたが始めたものよりも大きな問題に突入するかもしれません。

ですから、価値はありません。受動的な保護を使用して、警察に電話してください。

Salvador Dali · Answer

私は Ivan Orton （IT犯罪を専門とする上級検察官）がスタンフォードオンラインコースの学生のスピーチ中に述べた優れた例があります（ポリシーのため、申し訳ありませんがビデオをYouTubeにアップロードできません）ウェブサイトの）::

シアトルにブティックの証券会社があるとします。ブティックとは、少数の顧客、高額のアカウントを意味し、顧客は自分のアカウントでの取引に積極的に関わっています。これらは、リアルタイムの見積もり、リアルタイムの取引情報に関して、ブティック会社がウェブサイトで提供するサービスに依存しています、トレンド分析、会社が提供するあらゆる種類のサービス。その典型的なトリプルウィッチングフライデーの1つであるその会社は、3つのことが同時に起こり、株式市場はシアトルで12：25、25に非常に変動し、システムがダウンします。これは、閉店時間の約35分前です。ニューヨークの証券取引所。彼らのシステムはダウンします。つまり、アクティブな、または実際の取引情報、または相場情報、取引を行う能力がなく、トレンド分析およびその他すべてのものがダウンしており、利用できません。ボスはcomp-sys分析で悲鳴を上げ、何が起こっているのか、それを修正するように言っています。そしてsysアナリストは、IPアドレスを実際にすばやく確認し、彼のツールのいくつかを使用しています。それは、特にオレゴン大学のコンピューターとルーターからのものであると彼は言います。そして上司は言う、そのルーターを今すぐシャットダウンします。そしてその男は言う、私はそのルーターが何に関連付けられているのかわかりません。何をするのかわからない。そして上司は言った、私たちはそれが35分間だけシャットダウンする必要がある。あなたはそれを再開することができます、あなたは35分でやっていたことを止めることができます。しかし、システムを1時までバックアップする必要があるため、プレッシャーにさらされている担当者がルーターをシャットダウンします。ルーターは、実際にはオレゴン大学の医療システムに関連付けられたルーターであり、オレゴン大学の患者が持っているすべての薬物相互作用をリストするデータベースの配布を制御するルーターであることがわかりました。そして、その時、患者は既知の患者である緊急治療室に入り、システムに参加します。そして、彼のシステムでは、彼のデータにはいくつかの薬物相互作用の兆候があり、それらは非常に高いアレルギー反応を示します。彼は最初の防衛線がそれらの薬の1つである条件を持っています。医者はデータベースにアクセスしようとしますが、情報を見つけることができません。彼は実際に危機的な状況にあるため、薬物の1つを投与し、彼は死にました。その後、システムは再び復旧し、すべてがおかしくなりました。それは過激なシナリオです。

家族はオレゴン大学の医療システムを訴えます。オレゴン大学の医療システムはこれについてすべてを知っているので、シアトルのブティックを訴えます。ブティックは何をすべきですか？

この質問をした後、彼は非電子Wordで同様のさまざまなシナリオについて多く話し（長すぎるのでここに置くことはできませんが、誰かが望めば私はそうします）、最終的に彼は次のように述べました：アクティブな防御を使用したくなるかもしれませんあなたはそれに関連していくらかの責任を負う可能性があることを覚えておいてください。しかし、現時点ではこの問題に関する明確な法律はなく、多くは陪審員に依存します（これは正確には彼の言葉ではありません-それはこの問題に関する彼の7分の講演の短縮です）

これにより、積極的な防衛の状況がいかに不明確であるかが明らかになることを願っています。