it-swarm-es.com

¿Alguna vez es apropiado luchar?

Cuando un sitio web o sistema está siendo atacado, ¿existe alguna vez un escenario en el que deba tomar medidas automáticamente contra los atacantes en lugar de simplemente manejar pasivamente el ataque? Si es así, ¿qué respuestas son apropiadas y legales? ¿Hay algún ejemplo (bueno o malo) de que esto suceda en la naturaleza?

20
VirtuosiMedia

El escaneo pasivo, como la determinación de la ubicación geográfica, la dirección IP, las rutas de red, es probablemente una buena idea (para darle una idea de dónde se originan los ataques).

Actualización: en realidad, para las instituciones más grandes, esto es esencial para determinar si el ataque es un ataque organizado a gran escala o simplemente un pirata informático solitario que prueba las defensas. De cualquier manera, probablemente se distribuirá. En cualquier caso, proporcionará información útil para bloquear aún más los firewalls.

Dependiendo del marco legal del país en el que viva, tomar represalias contra un ataque con un ataque de red activo propio (como DOS o virus) constituiría un acto ilegal.

20
Anonymous Type

¡Defenderse es lo que hacen los niños geniales! > :)

Con respecto a la ley, tomé este fragmento de http://lawmeme.law.yale.edu/static/pastevents/digitalcops/papers/karnow_newcops.pdf (2005)

"CONCLUSIÓN Incluso bajo la ley de molestias, no todo contraataque - o esfuerzo de" autoayuda "- es automáticamente inmune. Tiene que ser razonable y proporcional a las cuestiones que discutí en relación con un requisito similar en defensa propia. Y como siempre, la luz proyectada por la antigua doctrine sobre las nuevas tecnologías producirá iluminación y sombra a la vez. Los tribunales "manipularán" el análisis y lucharán por encontrar un precedente, a veces probando el equivocado. uno quiere lanzar la versión 1 (nuevo software), nadie quiere ser un caso de prueba en los tribunales. Es, como diría un cirujano al considerar un trasplante complejo de múltiples órganos, un caso interesante, no algo que le guste al paciente escuchar."

En una nota seria, hay tantos escenarios malos de piratería para imaginar que tienes que preguntarte cuándo estarías listo para apretar el gatillo; por ejemplo, ¿qué pasa si piratea para detener un ataque de botnet solo para descubrir más tarde que algunos de los sistemas que contraatacó eran un sistema hospitalario crítico que, inadvertidamente, formaba parte del rebaño de botnet?.

Respecto a los ejemplos, Richard Bejtlich bloggeado en 2005:

"No estoy de acuerdo con la idea del contraataque, ya que creo que traspasa la línea hacia los jueces justicieros. Es revelador que todos los documentos de Tim sean anteriores al gusano Welchia, que demostró lo peligroso que puede ser realmente el contraataque. recuerde el devastador tráfico ICMP causado por Welchia mientras buscaba máquinas activas con el fin de desactivar el gusano Blaster ".

16
Tate Hansen

La pregunta número uno para mí es: ¿qué esperas lograr "contraatacando"?

Si me pica un mosquito, lo mataré, pero si se escapa no lo perseguiré por el campo. Si soy atacado por un enjambre de abejas que defienden su colmena, no las aplastaré, me protegeré huyendo.

Los peligros de contraatacar están bien presentados en las otras respuestas, pero las repetiré:

  1. legalidad: su reacción podría ser ilegal
  2. daños colaterales/trabajos de joe: su reacción daña a un tercero relativamente inocente

Mi elección personal de reacciones:

  1. Intente mantener un nivel de seguridad decente en mi sitio para que los ataques tengan menos posibilidades de éxito.
  2. Reúna información sobre los ataques para evaluar la gravedad.
  3. Potencialmente, bloquee la IP, o si se trata de un ataque de inundación de ancho de banda, intente que mi ISP bloquee las IP. Tenga en cuenta que esto probablemente bloqueará el tráfico no malicioso a su sitio también (daño colateral), pero la mayor parte del daño será para usted (reducir el tráfico/acceso) y no para un tercero.

El hack-back también conduce a un nuevo tipo de ataque: Kallisti. "Joe Jobs" falsifica la fuente del ataque para engañar a los defensores para que ataquen la fuente falsificada. El ataque "Kallisti" intentaría provocar un bucle de retroceso entre 2 o más sitios, ya sea para crear ruido en el que ocultar el ataque "real" o simplemente para provocar el caos. (Salve Eris)

11
Shewfig

Una respuesta relacionada podría ser instalar una trampa de miel para atraer a los atacantes y hacerles creer que lo lograron. Deje que pierdan tiempo y esfuerzo mientras los rastrea, tal vez. Aunque suena como un mal guión de una película de Hollywood.

8

Un caso interesante en los Países Bajos es apropiado aquí.

La policía holandesa (KLPD) derribó algunos servidores que ejecutan una gran botnet. Consideraron que era legal usar la botnet ahora para enviar un mensaje a los propietarios de las máquinas para informarles que están infectadas.

Existe cierta discusión sobre si era realmente legal, pero creo que la mayoría de la gente está de acuerdo en que es ético.

Este caso es bastante diferente al que enfrentaría usted como empresa, pero si ya se cuestiona que no es legal cuando lo hace la policía, uno debería preguntarse si se puede tomar alguna acción hacia el atacante.

7
Peter Smit

¿Alguna vez es apropiado convertirse en un criminal y poner usted mismo, su organización y todo su sustento en peligro de una acción legal? Este no es un caso de un pistolero enmascarado que lo pone en una situación de lucha o huida. Sí, podría inventar un escenario en el que un atacante transmitido por Internet esté amenazando la vida humana a través de un ataque a sistemas críticos para hospitales o algo así. Sin embargo, incluso en esas situaciones, no existe ningún precedente que yo sepa que justifique que se aplique la misma fuerza reactiva que en un altercado físico. Es probable que los sistemas que ataca sean proveedores de servicios inocentes o usuarios finales que han sido secuestrados con fines maliciosos. No sería diferente a prender fuego a un automóvil que fue robado y utilizado en un atraco a un banco.

Tape inmediatamente los agujeros que está explotando un atacante. Informe de inmediato el incidente a las autoridades correspondientes. No dejes que tus emociones se apoderen de ti y te convenzan de rebajarte al mismo nivel que tus agresores.

7
Wesley

Otro punto a tener en cuenta es cómo los malos pueden subvertir tu contraataque.

Por ejemplo, pueden enviar paquetes maliciosos con direcciones IP falsificadas, sabiendo usted detectará esto, y en represalia atacará la fuente del ataque - o en realidad, el servidor inocente que es realmente registrado en la IP falsificada.

Por lo tanto, están usando usted para atacar a su víctima, la tercera parte falsificada.

No olvide que la empresa atacada ahora creerá, correctamente, que sus servidores están atacando los suyos. No importa que creyeras que tenías una causa justa para hacerlo, eso es irrelevante, de hecho, estás activamente atacándolos. Y tendrán motivos para presentar cargos, o lo que sea.

Un escenario interesante sería si la víctima de terceros está también configurada para contraatacar. Entonces, por supuesto, recibirás ataques reales de su servidor, esta vez, de verdad, pero por supuesto que fue TU culpa, ¿no?

Ambos lados probablemente se harían el uno al otro antes de que se hiciera un daño real ... a menos que ambos elijan escalar y escalar ... ¡PODRÍAN ABAJO TODOS LOS INTERTUBOS!

5
AviD

La respuesta es ciertamente no, no lo hagas.

Puedo imaginar un escenario en el que un gusano te está atacando y como sabes que el gusano se propaga a través de la vulnerabilidad X, sabes que todas las computadoras que te atacan tienen la vulnerabilidad X. Es posible que uses la vulnerabilidad X para acceder a los infectados. equipos y advertir a sus usuarios, o incluso apagarlos.

Si bien podría pensar que esto es algo moralmente aceptable, es un terreno muy peligroso. ¿Qué pasa si algo que haces sale mal, p. Ej. lo que lleva a una pérdida de datos que no fue causada por el gusano, o enoja al creador del gusano original que luego quiere tomar represalias contra usted de otra manera. Es probable que también sea ilegal en la mayoría de las jurisdicciones.

1
rjmunro

Cuando eres víctima de un atentado, tu situación implica que actualmente tienes:

  1. un problema;
  2. la protección de la ley;
  3. el terreno elevado moral.

Al "contraatacar", pierde el tercero, y probablemente el segundo. Sin embargo, no necesariamente eliminará el problema. Contraatacar es ilegal en la mayoría de los países; evitará que reclame asistencia de las fuerzas policiales y, quizás lo más importante, anulará el seguro (su compañía de seguros se apresurará a señalarlo). Por último, pero no menos importante, su represalia puede dañar a los transeúntes y sumergirlo en problemas mayores que los que comenzó.

Entonces, no, no vale la pena. Utilice protección pasiva y llame a la policía.

1
Thomas Pornin

Tengo un ejemplo excelente presentado por Ivan Orton (Fiscal adjunto principal que se especializa en delitos informáticos) durante su discurso para los estudiantes del curso en línea de Stanford (Lo siento, no puedo subir el video a youtube, debido a la política del sitio web):

Imagina que tienes una empresa de corretaje boutique en Seattle. Boutique significa un pequeño número de clientes, cuentas de alto valor en dólares y los clientes participan activamente en el comercio de sus cuentas.Dependen de los servicios que la empresa boutique brinda a través de su sitio web en términos de cotizaciones en tiempo real, información comercial en tiempo real. , análisis de tendencias, y todo tipo de servicios que brinda la empresa. Esa compañía en uno de esos típicos viernes de triple brujería, que es cuando suceden tres cosas al mismo tiempo y el mercado de valores es extremadamente volátil en Seattle a las doce: 25,25 su sistema se cae, eso es aproximadamente 35 minutos antes de la hora de cierre en el bolsa de valores de Nueva York. Su sistema falla, lo que significa que no tienen información comercial activa o real o información de cotización, no tienen capacidad para realizar operaciones, todo su análisis de tendencias y otras cosas están inactivas y no disponibles. El jefe vuelve gritando con un análisis de comp-sys y dice qué está pasando y arréglalo. Y el analista de sistemas observa rápidamente la dirección IP, usa algunas de sus herramientas y dice que proviene de una computadora y un enrutador, en particular, de la Universidad de Oregon. Y el jefe dice, apague ese enrutador ahora mismo. Y el tipo dice, no sé con qué se asoció ese enrutador. No sé lo que voy a hacer. Y el jefe dijo, solo necesitamos que se apague durante 35 minutos. Puede volver a iniciarlo, puede detener lo que estaba haciendo en 35 minutos. Pero necesitamos que nuestro sistema vuelva a funcionar hasta la una: 00, así que el tipo bajo presión apaga el enrutador. Bueno, resulta que el enrutador es en realidad un enrutador asociado con el sistema médico de la Universidad de Oregon y es un enrutador que controla la distribución de una base de datos que enumera todas las interacciones medicamentosas que tienen los pacientes de la Universidad de Oregon. Y un paciente entra a la sala de emergencias en ese momento que es un paciente conocido, por lo que está en el sistema. Y en su sistema, en sus datos hay indicios de un par de interacciones medicamentosas que son altas, tiene una reacción altamente alérgica a ellas. Tiene una condición para la cual la primera línea de defensa es una de esas drogas. El médico intenta acceder a la base de datos, no encuentran información, el tipo está en una situación realmente crítica, por lo que le administran uno de los medicamentos y muere. Luego, el sistema vuelve a funcionar y todo está bien. Ese es un escenario radical.

lo que sucede es que la familia demanda al Sistema Médico de la Universidad de Oregon. El Sistema Médico de la Universidad de Oregon, debido a que se enteraron de todo esto, demanda a la boutique en Seattle. ¿Qué debe hacer la boutique?

Después de tener esta pregunta, habla mucho sobre diferentes escenarios similares en Word no electrónico (es demasiado largo para ponerlo aquí, pero si alguien quisiera, yo lo haría) y al final dijo: Puede que tenga la tentación de usar la defensa activa. y es posible que tenga alguna responsabilidad asociada con eso y tenga en cuenta, pero en este momento no hay una ley clara con respecto a este tema y mucho depende del jurado (estas no son exactamente sus palabras, es un acortamiento de su charla de 7 minutos sobre este tema )

Espero que esto deje en claro lo poco clara que es la situación con la defensa activa.

0
Salvador Dali