web-dev-qa-db-ja.com

研究者はどのようにして「攻撃しているPCを制御する」ことができ、それ自体が攻撃者/犯罪者と見なされないのですか

このネットワークコンピューティングレポート の記事「「Shady Rat作戦」は、政府、企業に対する5年間の長期的な攻撃を犯した」というタイトルの記事

したがって、この記事に対するクリフのメモは次のとおりです。多くの国と大企業が長期にわたる協調攻撃の標的であることが発見されました。この情報は McAfeeが行った長期的な調査 を通じて発見されました。

記事からの引用は私に興味をそそられました(私の強調):

Operation Shady RAT(リモートアクセスツール用)と呼ばれるプローブでは、研究者が攻撃者のコマンドアンドコントロール(C&C)サーバーの1つにアクセスしました被害者、盗まれた情報、および使用された方法に関する詳細な洞察を得た。

McAfeeの 操作に関するステートメント の1つでは、単に次のように述べています。

マカフィーは侵入者が使用する特定の1つのコマンド&コントロールサーバーにアクセスしました。

しかし、どうやって彼らがアクセスを得たのかは言わないでください。多分それはハードウェアの法的押収の後だった。

研究者たちはどうやって攻撃者のシステムを制御し、自分たちで法律を破ったのではないのですか?彼らはこの種のことについてある種の「令状」または法的祝福を達成しなければなりませんか?攻撃者の行動を調査する過程で、攻撃者のシステムに侵入することは許されますか?

legalresearchethicsbotnetblack-hat
9
Wesley

C6Cサーバーは多くの場合、ハッキングされたサーバーです、攻撃者が貸したサーバーではありません。

セキュリティサポート契約

公共機関の場合、CERT(コンピュータ緊急対応チーム)が責任を負うことがよくあります。たとえば、ドイツのすべての大学のDFN証明書があります。大企業は、セキュリティに特化した企業とサポート契約を結ぶ傾向があります。

したがって、セキュリティ違反が発見された後、フォレンジックを実行するためにサーバーがセキュリティ組織に引き渡される可能性があります:攻撃者がどのように侵入し、どのような被害を引き起こしたか、どのデータに対して攻撃したかを推測します顧客に訴えられないように防御するためには、被害をできるだけよく知ることは特に重要です。

これは最も一般的なケースです。この文言は、私たちのCERTが大学からC&Cサーバーを手渡されたときに言った言葉と非常に似ています。次のエントリのうち、あなたの責任の範囲内です。次のアカウント名を持つユーザーに、自分のコンピュータが感染していることを通知してください。

セキュリティ組織は、顧客が攻撃に成功したことを暗示しているため、顧客に注意を向けないようにする必要があることは明らかです。

他の意味

C&Cはhoneypotであった可能性があります。これは、攻撃専用のサーバーです。 c&cサーバーが何年もアクティブであったと言われているので、これはありそうもないと思います。

サーバーを差し押さえるための裁判所命令があったかもしれません。しかし、それが事実であり、警備会社がexpert witnessと呼ばれた場合、彼らはおそらく公にされることを許可されないでしょう。

セキュリティ会社が不正アクセスした可能性があります。法的リスクが非常に大きいため、これは非常にありそうもないと考えています。

tl; dr

会社。 C&Cを不本意に主催しました。ほとんどの場合、被害評価のためにセキュリティコンサルタントに引き渡されました。

11
Hendrik Brummermann

今、私たちはみな推測に同意している...

明らかに悪意のあるインフラストラクチャへの、または明らかに悪意のあるインフラストラクチャへのホワイトハットの侵入が、許容可能、必然的に、または-ええと-「逆向きに見える」として扱われるという、小さいながらも重要な傾向があります。

数か月前、米国政府がさまざまなドメイン名を掌握したのを見てきました。私は、立派なセキュリティ専門家がアクティブな悪意のあるボットネットを使って、誰がボットネットを支配するかを今や始めたいくつかの事件を知っています。そのため、ボットネットの調査の一環として、McAfeeがC&Cノードに不正アクセスしたと推測しています。確かなデータや証明はありません。これは純粋な推測です。

あなたはそれについて本当に魅力的な倫理的な議論を持つことができます:

  • 攻撃者は無罪です。自分の手を結ぶディフェンダーは明らかに不利です。
  • 争われているサーバーは、刑事上過失が疑われる第三者によって所有されていることがよくあります。その過失は彼らの権利を侵食しますか?
  • 争われているサーバーは狂犬病の犬に相当するインターネットであり、IRL、つまり危険な動物を殺害する法律の制裁ではないでしょうか。

Shady RATの場合、誰かがそれを採用することを決めたと私は推測しています。 (2006年までのログ?本当に?)

5
gowenfawr

公式声明は、「マカフィーは侵入者が使用する1つの特定のCommand&Controlサーバーへのアクセス権を取得しました」と述べています。 C&Cサーバーへのアクセス権を持つ誰かが分析に持ち込み、代替策(McAfeeが黒帽子をかぶる)が自社に与える影響を考えると、彼らは写真に写っている可能性が非常に高いと思われます。それを実用的な理論として捉える場合、あなたがそうであるように、なぜその関係が言及されなかったのか疑問に思う必要があります。

おそらく答えは、公式調査の一環としてMcAfeeに支援を求めたというものです。その場合、McAfeeは中国が国家支援のAPT別の国家に基づく攻撃を提供してデータを提供していると非難します。これの「高度な」部分APT =不快なログを消去せずに5年間稼働する単一のサーバーを含みます。

あなたの質問は傑出したものです。推測を提供するだけで申し訳ありませんが、私の推測では、すべてが近い将来に利用可能になるでしょう。

4
zedman9991