it-swarm-es.com

¿Por qué es difícil atrapar "Anónimo" o "Lulzsec" (grupos)?

No estoy alfabetizado en seguridad, y si lo fuera, probablemente no estaría haciendo esta pregunta. Como seguidor habitual de noticias tecnológicas, estoy realmente sorprendido por el indignación de Anónimo (grupo de hackers) , pero como pensador crítico, no puedo controlar mi curiosidad para desenterrar cómo exactamente están haciendo esto? Francamente, este grupo realmente me asusta.

Una cosa que no entiendo es cómo aún no han sido atrapados. Sus direcciones IP deben ser rastreables cuando DDOS, incluso si lo falsifican o pasan por un proxy.

  • El servidor con el que están falsificando debería haber registrado las IP de estos tipos en sus registros. Si el gobierno. preguntar a la empresa (que posee el servidor) ¿no le dan los registros?
  • Incluso si es un servidor privado propiedad de estos tipos, ¿no tiene la IANA (o quien sea la organización) la dirección y los detalles de la tarjeta de crédito del tipo que compró y registró el servidor?
  • Incluso si no tienen eso, ¿no pueden los ISP rastrear el lugar donde se originaron estos paquetes?

Lo sé, si fuera tan simple como dije, el gobierno ya los habría atrapado. Entonces, ¿cómo pueden escapar exactamente?

PD: Si crees que hay recursos que me iluminarán, estaré encantado de leerlos.

[Actualización: esto es igualmente apropiado cuando se hace referencia a grupo Lulzsec , así que he agregado un enlace rápido a la página de Wikipedia en ellos]

102
claws

Mi respuesta se asoma a la pregunta original. ¿Qué te hace pensar que no los atrapan?

La CIA y el Departamento de Defensa encontraron a Osama bin Laden.

Los medios típicos incluyen OSINT, TECHINT y HUMINT. El forense se puede hacer en Tor. Las herramientas de eliminación segura como sdelete, BCWipe y DBAN no son perfectas. Las herramientas de cifrado como GPG y Truecrypt no son perfectas.

Las comunicaciones en línea fueron quizás la mayor fortaleza de Osama bin Laden (tenía correos que viajaban a cibercafés lejanos utilizando el correo electrónico en unidades flash USB) y la mayor debilidad de Anonymous/LulzSec. Usan sin cifrar IRC por lo general. Crees que al menos estarían usando OTR a través de Tor con un proxy SSL para los servidores de comunicaciones de IM en lugar de un tráfico de texto claro a través de un nodo de salida.

Su uso común de utilidades como Havij y sqlmap ciertamente podría ser contraproducente. Quizás haya una vulnerabilidad del lado del cliente en la VM Python. Quizás haya un desbordamiento del búfer del lado del cliente en Havij. Quizás haya puertas traseras en ambos.

Debido a la naturaleza política de estos grupos, habrá problemas internos. Vi algunas noticias últimamente de que 1 de cada 4 piratas informáticos son informantes del FBI.

No es "difícil" "atrapar" a nadie. Otra persona en estos foros me sugirió que mirara un video de una presentación de Defcon donde el presentador rastrea a un estafador nigeriano usando las capacidades de transformación avanzadas en Maltego. Las capacidades OSINT de Maltego y el cuaderno del analista de i2 Group son bastante ilimitadas. Una pequeña pista; un pequeño error de OPSEC, y se produce una inversión: el cazador ahora está siendo cazado.

66
atdre

De cierta experiencia con la policía y el forense, puedo decir que uno de los mayores problemas es que los ISP realmente no quieren tener que rastrear a los usuarios. Una vez que superan un cierto nivel de gestión, pierden el estado de "transportista común" y se hacen responsables de una gran cantidad de lo que sus clientes pueden hacer.

Además, muchos países no quieren transmitir información a otro país, especialmente países que pueden oponerse a la cultura occidental o la interferencia occidental.

Y es extremadamente fácil ocultar casi cualquier cosa en Internet.

Con respecto a sus tres puntos:

  • El servidor debe tener direcciones IP - No - esto es fácil de falsificar o borrar
  • Servidor privado - No es probable, aunque posible, pero no se usaría su tarjeta de crédito
  • Rastreo de ISP - No va a suceder - no afecta negativamente a los ISP y es demasiado difícil

actualización Después de todo, podría ocurrir - http://blogs.forbes.com/andygreenberg/2011/03/18/ex-anonymous -hackers-plan-to-out-groups-members /

42
Rory Alsop

Uno de los aspectos más importantes de un ataque como este es cubrir tus huellas. Hay muchas formas diferentes de hacerlo, ya que depende de la tecnología. Para abordar sus preguntas específicas:

Cuando hacen DDoS: si la inundación provenía de sus propias máquinas, entonces sería bastante fácil rastrearlos. El problema radica en el hecho de que no están utilizando sus propias máquinas. Están a) tomando el control de otra persona sin permiso, o b) haciendo que alguien lo haga en su nombre. Esto último es lo que sucedió con los ataques de Wikileaks. Las personas se inscribieron para hacerlo.

Las cosas comienzan a complicarse cuando los servidores se encuentran en países que generalmente no responden a las solicitudes de registros. Si la compañía que está siendo atacada se encuentra en los EE. UU., Es bastante fácil obtener una orden judicial si se puede demostrar que el ataque se originó en los Estados Unidos. ¿Qué sucede si se trata de un objetivo estadounidense, pero el ataque se origina en Rusia o China? Lo mismo ocurre con los registros de compra.

En cuanto a tener miedo ... hay bastantes grupos de este tipo por ahí. La mayoría de ellos son (no quiero decir inofensivos, pero ...) inofensivos. En este caso particular, alguien picó al oso y el oso se enojó.

EDITAR: No es que tolere sus acciones, bla, bla, bla.

29
Steve

Además de las respuestas que ya se han dado, otra razón por la que es tan difícil atrapar anónimo es porque anónimo puede ser cualquiera, literalmente. Me refiero a esto de dos maneras. Primero, los hackers pueden usar una combinación de malware, spyware y bots para acceder y usar/recorrer las computadoras de otras personas en cualquier parte del mundo; por lo tanto, haciendo de cualquier computadora, teóricamente, un punto desde el cual anónimo pueda funcionar. En segundo lugar, fiel al nombre anónimo, cualquier hacker, en cualquier lugar, usando cualquier método o estilo, usando cualquier patrón de actividad aleatorio, puede atacar y llamarse a sí mismo anónimo. Por lo tanto, es extremadamente difícil para un gobierno/autoridad rastrear la actividad por patrón, estilo o firma, porque siempre está cambiando debido a la naturaleza variada de los ataques, ya que, como dije antes, literalmente puede provenir de cualquier persona.

Esencialmente,

Anónimo no es una persona ... Anónimo no es un grupo ...

Anónimo está en cualquier lugar y en todas partes ... Anónimo podría ser todo el mundo o nadie ...

Desafortunadamente, esa es la naturaleza, singularidad y genio del nombre.

19
Eli

Hay NUMEROSAS formas para que un hacker cubra sus huellas.

Aquí hay un ejemplo muy generalizado:

Un hacker puede comprometer una máquina de terceros y usarla para atacar en nombre de los hackers. Debido a que el sistema está comprometido, el hacker puede eliminar/modificar registros. Un pirata informático también puede llevar a cuestas máquinas, como iniciar sesión en la máquina A, desde la máquina A iniciar sesión en la máquina B, desde la máquina B iniciar sesión en la máquina C, desde la máquina C atacar la máquina D, luego limpiar los registros de las máquinas C, B, luego A haciendo que el rastreo del hacker sea más difícil.

Esto ni siquiera tiene en cuenta las cuentas de Internet pirateadas (por lo que, incluso si se remontan, apuntan a una persona diferente), proxies abiertos, etc., etc.

Sé que lo anterior no es perfecto, pero como dije, este es solo un ejemplo MUY MUY general. Hay muchas formas de cubrir tus huellas.

Dicho esto, ¿qué te hace estar tan seguro de que ciertas agencias de 3 cartas ya no saben quiénes son muchas de ellas, pero no actúas sobre ellas para que esas personas puedan llevarlas a otras?

Estoy seguro de que otros intervendrán para explicar quién puede explicar más a fondo, pero creo que la mejor lección que se debe aprender es preocuparse menos por piratas informáticos y grupos de piratería específicos, y más por su propia seguridad. El hecho de que su último reclamo a la fama se originó de algo tan TRIVIAL como una vulnerabilidad de inyección SQL (que no es nada nuevo, muy bien documentado y entendido) es un gran descrédito para la "firma de seguridad" no identificada que fue pirateada. despotricar

16
Purge

Bueno, respondí a algunas publicaciones anteriores que tenían información incorrecta, pero pensé que debería publicar mi propia respuesta para explicarlo mejor.

Anónimo se compone básicamente de 2 subgrupos:

  1. Skiddies (script kiddies) y novatos que solo tienen el conocimiento de seguridad más básico, y simplemente se sientan en su IRC y básicamente son los pwns para el ataque. Estas son las personas que el FBI estaba derribando sus puertas.

  2. Liderazgo central anónimo, un grupo con algún conocimiento de piratería que era dueño de hbgary, pero que también fue recientemente propiedad de un escuadrón de hackers ninja. No podrá rastrear este subgrupo a menos que sea un gurú de la seguridad.

¿Cómo esconden sus huellas?

Como se mencionó en respuestas anteriores,

  1. a través de servidores proxy como Tor
  2. comprometiendo cajas y lanzando ataques desde esas cajas (básicamente disfrazado como la IP de esa persona), o
  3. mediante el uso de una VPN que está en un país extranjero y no guarda registros. Con la VPN, todo su tráfico se transmite a través de ella, por lo que donde sea que se conecte solo puede rastrear el IP addy a la propia VPN y no más (a menos que la VPN mantenga registros, en cuyo caso no debe usarlo de todos modos).

Espero que esto ayude a aclarar un poco.

16
mrnap

Lo que pasa con un DDoS es que usas otras personas IPs, no las tuyas. Es relativamente simple dejar de ser rastreable en Internet: simplemente enrute su tráfico a través de un Host que no mantiene registros de tráfico. Como alguien que frecuentemente tiene que tratar de rastrear a estas personas, puedo decirte qué pesadilla imposible es. Aquí está el patrón que veo con frecuencia:

  1. Seleccione un exploit relativamente reciente en algún paquete de software web (por ejemplo, extensión de joomla).
  2. Use google para encontrar un objetivo de ataque apropiadamente vulnerable
  3. Desde algún lugar que no se pueda rastrear hasta usted (por ejemplo, cafetería), ejecute el ataque para obtener el control sobre el servidor vulnerable, pero no haga nada más que llame la atención sobre usted mismo. (puntos de bonificación, arregla la vulnerabilidad para que nadie entre detrás de ti). Elimine cualquier registro que pueda rastrearse hasta su supuesta ubicación.
  4. Repita lo anterior, retransmitiendo su tráfico a través del servidor previamente comprometido. Repita varias veces hasta que elimine varios pasos de la máquina que se comportará como su proxy. Idealmente, estos servidores deberían estar ubicados en países como China, India, Brasil, México, etc., donde los técnicos de los centros de datos tienden a estar no cooperativos hacia investigaciones, y deberían estar ubicados en diferentes países para crear jurisdicción y pesadillas de comunicación para las personas que intentan rastrearte.

Felicitaciones, ahora eres anónimo en Internet. Es un poco como Tor, excepto que ninguno de los nodos sabe que está participando. Por lo general, estos atacantes configuran y usan puertas traseras en servidores para los que no se guardan registros ni registros (dado que la puerta trasera presumiblemente no existe). Una vez que el atacante se desconecta, ese enlace se vuelve permanentemente imposible de rastrear.

Un salto reduce drásticamente sus posibilidades de detección. Two Hops hace que la detección sea casi imposible. Tres saltos y ni siquiera vale la pena el esfuerzo.

10
tylerl

Tal vez deberías leer este PDF . No son tan anónimos. La herramienta LOIC utilizada para DDOS, filtra la IP original de la persona que la usa. Puede usar la versión del navegador (JavaScript) de la misma herramienta, tal vez escondiéndose detrás de Tor.

HBGary Federal expuso sus nombres y direcciones en ese PDF. Es por eso que atacaron su sitio, correo electrónico, borraron su iPad, se apoderaron de su Twitter, etc. ... Busque el hashtag #hbgary en Twitter para obtener más información al respecto.

4
labmice

Varias publicaciones discuten las dificultades técnicas para encontrar a las personas detrás de estos grupos. No es nada fácil dar marcha atrás a su actividad cuando se utilizan muchas máquinas para crear una sensación de anonimato.

Otro aspecto muy importante es que la policía, las comunidades de inteligencia de todo el mundo y la legislación de los diferentes condados no están realmente diseñados para manejar estas situaciones. Por lo tanto, si encuentra un servidor en un país que se ha utilizado para saltar a un servidor en otro país, se tarda demasiado en pasar por los canales adecuados para que la policía local obtenga la información. Incluso si hace la información, como los registros, no siempre se mantienen durante períodos más largos de tiempo.

Es fácil saltar ilegalmente por Internet, pero es mucho más lento saltar de una manera legal. Este es un factor muy prohibitivo cuando se trata de encontrar estos grupos.

3
bengtb

Aquí hay un artículo preguntando (y respondiendo) solo esa misma pregunta del sitio de Scientific American publicado este mes. La respuesta corta a la pregunta es la falsificación de direcciones de origen y el uso de proxies.

1
mvario

Hay una cosa que aún no se ha mencionado: el factor humano.

Estos grupos no tienen una jerarquía como tal, sino que se forman alrededor de un conjunto de ideas. La mayoría de las veces, la única idea en común es "los gobiernos están equivocados, debemos hacer justicia pirateando", lo que probablemente sea un sentimiento que se está fortaleciendo, con la presión actual que ejerce el gobierno estadounidense (presionado por las corporaciones) en otros países debajo de las cubiertas para aprobar leyes draconianas contra la libertad de expresión que podrían dañar a las corporaciones mencionadas.

Entonces, el gran atractivo aquí, especialmente por Anónimo, es que si tiene el conocimiento y odia al gobierno (¿quién no?), Puede unirse a ellos usted mismo y bajo su propia cuenta y riesgo.

Para ver de dónde viene este pensamiento, recomiendo la película/novela cómica "V for Vendetta", de la que tomaron esa máscara que ves con tanta frecuencia.

Algunos grupos, por supuesto, tienen intenciones mucho menos heroicas. LulzSec era "todo para los lulz".

La conclusión es que sí, pueden tener algunos miembros de cada grupo, pero aparecerán más.

0
Camilo Martin

Los hackers pueden ser atrapados, Anonymous no puede Anonymous es un colectivo tan perdido que no se ve afectado materialmente por la aplicación de la ley que ataca a sus hackers individuales. Sin embargo, responde violentamente contra cualquier organización que intente hacerlo. Esto significa

  • Es muy difícil derrotar a Anonymous con solo atrapar a sus miembros.
  • Anónimo hará la vida difícil a cualquiera que lo intente.

Todo lo que tiene que hacer Anonymous es continuar "no vale la pena el esfuerzo" para perseguir a sus miembros en masa y seguirá siendo gratis. Sin embargo, juegan un juego peligroso. Si el público alguna vez decide que son una molestia suficiente, de repente valdrá la pena rastrear y atrapar a sus miembros, soportando los contraataques de Anonymous a medida que avanzan.

0
Cort Ammon