it-swarm.it

Perché è difficile catturare "Anonimo" o "Lulzsec" (gruppi)?

Non sono un esperto di sicurezza e, se lo fossi, probabilmente non farei questa domanda. Come un normale seguace di notizie tecnologiche, sono davvero sorpreso dal oltraggio di Anonimo (gruppo di hacker) , ma come pensatore critico, non sono in grado di controllare la mia curiosità scoprire come stanno esattamente facendo questo? Francamente, questo gruppo mi fa davvero paura.

Una cosa che non capisco è come non sono ancora stati catturati. I loro indirizzi IP dovrebbero essere rintracciabili quando DDOS, anche se lo spoofing o passano attraverso un proxy.

  • Il server con cui stanno effettuando lo spoofing dovrebbe aver registrato gli IP di questi ragazzi nei suoi log. Se il governo. chiedi all'azienda (proprietaria del server) non danno i registri?
  • Anche se si tratta di un server privato di proprietà di questi ragazzi, IANA (o chiunque sia l'organizzazione) non ha l'indirizzo e i dettagli della carta di credito del ragazzo che ha acquistato e registrato il server?
  • Anche se non lo hanno, gli ISP non possono risalire al luogo in cui hanno avuto origine questi pacchetti?

So che se fosse stato semplice come ho detto, il governo li avrebbe già presi. Quindi, esattamente come sono riusciti a fuggire?

PS: Se ritieni che ci siano delle risorse che mi illuminerebbero, sarò felice di leggerle.

[Aggiornamento - questo è ugualmente appropriato quando si fa riferimento a gruppo Lulzsec , quindi ho aggiunto un collegamento rapido alla pagina Wikipedia su di essi]

102
claws

La mia risposta colpisce la domanda originale. Cosa ti fa pensare che non vengano catturati?

La CIA e il DoD hanno trovato Osama bin Laden.

I mezzi tipici includono OSINT, TECHINT e HUMINT. La medicina legale può essere fatta su Tor. Gli strumenti di eliminazione sicura come sdelete, BCWipe e DBAN non sono perfetti. Gli strumenti di crittografia come GPG e Truecrypt non sono perfetti.

La comunicazione online è stata forse la più grande forza di Osama bin Laden (aveva corrieri che viaggiavano in cyber-caffè lontani usando la posta elettronica su chiavette USB) e la più grande debolezza di Anonymous/LulzSec. Usano unencrypted IRC di solito. Pensi che almeno userebbero OTR tramite Tor con un proxy SSL ai server di comunicazione IM anziché un traffico in chiaro attraverso un nodo di uscita.

Il loro uso comune di utility come Havij e sqlmap potrebbe sicuramente fallire. Forse c'è una vulnerabilità sul lato client nella Python. Forse c'è un overflow del buffer sul lato client a Havij. Forse ci sono backdoor in entrambi.

A causa della natura politica di questi gruppi, ci saranno problemi interni. Di recente ho visto alcune notizie che 1 hacker su 4 è un informatore dell'FBI.

Non è "difficile" "catturare" nessuno. Un'altra persona su questi forum mi ha suggerito di guardare un video da una presentazione Defcon in cui il presentatore rintraccia un truffatore nigeriano usando le avanzate funzionalità di trasformazione di Maltego. Le funzionalità OSINT di Maltego e i2 Group Analyst's Notebook sono abbastanza illimitate. Un piccolo suggerimento; un piccolo errore OPSEC - e si verifica un'inversione: il cacciatore viene ora cacciato.

66
atdre

Da una certa esperienza con le forze dell'ordine e la medicina legale, posso dire che uno dei maggiori problemi è che gli ISP non vogliono davvero tenere traccia degli utenti. Una volta che superano un certo livello di gestione, perdono lo status di "corriere comune" e diventano responsabili di gran parte di ciò che i loro clienti possono fare.

Inoltre, molti paesi non vogliono trasmettere informazioni a un altro paese, in particolare paesi che potrebbero essere contrari alla cultura occidentale o alle interferenze occidentali.

Ed è estremamente facile nascondere quasi tutto su Internet.

Per quanto riguarda i tuoi tre punti:

  • Il server dovrebbe avere indirizzi IP - No - questo è semplice da falsificare o cancellare
  • Server privato - Non probabile, sebbene possibile - ma non sarebbe la loro carta di credito utilizzata
  • Traccia dell'ISP - Non accadrà - non influisce negativamente sull'ISP ed è troppo difficile

aggiornamento Potrebbe succedere dopo tutto - http://blogs.forbes.com/andygreenberg/2011/03/18/ex-anonymous -hackers-plan-to-out-gruppi-soci /

42
Rory Alsop

Uno degli aspetti più importanti di un attacco come questo è coprire le tue tracce. Esistono molti modi diversi per farlo, poiché dipende dalla tecnologia. Per rispondere a domande specifiche:

Quando fanno DDoS: se il diluvio provenisse dalle loro macchine, sarebbe abbastanza facile rintracciarli. Il problema sta nel fatto che non stanno usando le proprie macchine. O stanno a) assumendo il controllo di qualcun altro senza permesso, oppure b) convincendo qualcuno a farlo per loro conto. Quest'ultimo è quello che è successo con gli attacchi di Wikileaks. Le persone si sono iscritte per farlo.

Le cose iniziano a diventare complicate quando i server si trovano in paesi che generalmente non rispondono alle richieste di registri. Se la società che viene attaccata si trova negli Stati Uniti, è abbastanza facile ottenere un ordine del tribunale se si può dimostrare che l'attacco ha origine negli Stati Uniti. Cosa succede se è un obiettivo degli Stati Uniti, ma l'attacco ha origine in Russia o in Cina? La stessa cosa vale per i record di acquisto.

Per quanto riguarda essere spaventati ... ci sono alcuni di questi tipi di gruppi là fuori. Molti di loro sono (non voglio dire innocui, ma ...) innocui. In questo caso particolare, qualcuno ha colpito l'orso e l'orso si è incazzato.

EDIT: Non che io perdoni le loro azioni, blah blah blah.

29
Steve

Oltre alle risposte che sono già state fornite, un'altra ragione per cui è così difficile capire anonimo è perché anonimo può essere chiunque, letteralmente. Intendo questo in due modi. In primo luogo, gli hacker possono utilizzare una combinazione di malware, spyware e robot per accedere e utilizzare/eseguire il ciclo attraverso i computer di altre persone in qualsiasi parte del mondo; quindi, rendendo qualsiasi computer, teoricamente, un punto da cui anonimo può funzionare. In secondo luogo, fedele al nome anonimo, qualsiasi hacker, ovunque, usando qualsiasi metodo o stile, usando qualsiasi modello di attività casuale, può fare il suo attacco e chiamarsi anonimo. Pertanto, è estremamente difficile per un governo/autorità tenere traccia delle attività in base al modello, allo stile o alla firma, perché cambia sempre a causa della varia natura degli attacchi, dal momento che, come ho detto prima, può provenire letteralmente da chiunque.

Essenzialmente,

Anonimo non è una persona ... Anonimo non è un gruppo ...

Anonimo è ovunque e ovunque ... Anonimo potrebbe essere chiunque o nessuno ...

Sfortunatamente, questa è la natura, l'unicità e il genio del nome.

19
Eli

Esistono diversi modi per un hacker di coprire le proprie tracce.

Ecco un esempio molto generalizzato:

Un hacker può compromettere un computer di terze parti e utilizzarlo per eseguire attacchi per conto degli hacker. Poiché il sistema è compromesso, l'hacker può eliminare/modificare i log. Un hacker può anche eseguire il piggyback di macchine, come, accedere alla macchina A, dalla macchina A accedere alla macchina B, dalla macchina B accedere alla macchina C, dalla macchina C attaccare la macchina D, quindi pulire i registri per le macchine C, B, quindi A rendendo più difficile il monitoraggio dell'hacker.

Questo non tiene nemmeno conto degli account Internet compromessi (quindi anche se rintracciati indicano una persona diversa), proxy aperti, ecc. Ecc. Ecc.

So che quanto sopra non è perfetto, ma come ho detto questo è solo un esempio MOLTO MOLTO generale. Esistono molti modi per coprire le tue tracce.

Detto questo, cosa ti rende così sicuro che certe agenzie di 3 lettere non sanno già chi sono molte di loro, ma non ti muovono in modo che quelle persone possano condurle ad altri?

Sono sicuro che altri chiederanno chi può spiegare in modo più approfondito, ma penso che la lezione finale da imparare sia quella di occuparsi meno di specifici hacker e gruppi di hacker e di più con la propria sicurezza. Il fatto che la loro ultima pretesa di fama sia nata da qualcosa di TRIVIAL da risolvere come vulnerabilità di SQL Injection (che non è una novità, ben documentata e compresa) è un enorme screditamento per la "società di sicurezza" senza nome che è stata hackerata. rant over

16
Purge

Bene, ho risposto ad alcuni post sopra che contenevano informazioni errate, ma ho pensato che avrei dovuto pubblicare la mia risposta per spiegare meglio.

Anonimo è costituito essenzialmente da 2 sottogruppi:

  1. Skiddies (script kiddies) e neofiti che hanno solo le conoscenze di sicurezza più elementari, e siedono semplicemente nella loro IRC e sostanzialmente sono i pwns dell'attacco. Queste sono le persone che l'FBI stava abbattendo le loro porte.

  2. Leadership anonima di base, un gruppo con alcune conoscenze di hacking che possedeva hbgary, ma recentemente anche posseduto dalla squadra di hacking ninja. Non sarai in grado di rintracciare questo sottogruppo se non sei un guru della sicurezza.

Come nascondono le loro tracce?

Come menzionato in precedenza,

  1. Tramite server proxy come Tor
  2. compromettendo le caselle e lanciando attacchi da quelle caselle (fondamentalmente mascherato da IP di quella persona), oppure
  3. sando una VPN che si trova in un paese straniero e non conserva alcun registro. Con la VPN, tutto il tuo traffico viene inoltrato attraverso di essa, quindi ovunque ti connetti può solo rintracciare l'add-on IP alla VPN stessa e non oltre (a meno che la VPN non mantenga registri nel qual caso non dovresti usarla comunque).

Spero che questo aiuti a chiarire un po '.

16
mrnap

La cosa su un DDoS è che usi altre persone IP, non i tuoi. È relativamente semplice diventare non rintracciabili su Internet: basta instradare il traffico attraverso un host che non mantiene i registri del traffico. Come qualcuno che spesso deve cercare di rintracciare queste persone, posso dirti che incubo impossibile è. Ecco lo schema che vedo spesso:

  1. Seleziona un exploit relativamente recente in alcuni pacchetti software Web (ad es. Estensione joomla).
  2. Usa google per trovare un bersaglio di attacco adeguatamente vulnerabile
  3. Da una posizione che non è possibile rintracciarti (ad es. Una caffetteria), esegui l'attacco per ottenere il controllo sul server vulnerabile, ma non fare nient'altro che attiri l'attenzione su di te. (punti bonus, correggi la vulnerabilità in modo che nessuno entri dietro di te). Elimina tutti i registri che potrebbero risalire alla posizione presunta.
  4. Ripeti quanto sopra, inoltrando il tuo traffico attraverso il server precedentemente compromesso. Ripeti più volte fino a quando non rimuovi più passaggi dalla macchina che si comporteranno come proxy. Idealmente questi server dovrebbero trovarsi in paesi come Cina, India, Brasile, Messico, ecc., Dove le tecnologie dei data center tendono ad essere non collaborative verso le indagini e dovrebbero essere situate in diversi paesi per creare giurisdizione e incubi di comunicazione per le persone che cercano di rintracciarti.

Congratulazioni, ora sei anonimo su Internet. È un po 'come Tor, tranne che nessuno dei nodi sa che stanno partecipando. Di solito questi aggressori configurano e usano backdoor su server per i quali non vengono conservati registri o record (poiché presumibilmente la backdoor non esiste). Una volta che l'attaccante si disconnette, quel collegamento diventa permanentemente irrintracciabile.

Un hop riduce drasticamente le tue possibilità di essere rilevato. Two Hops rende il rilevamento quasi impossibile. Tre salti e non vale nemmeno la pena.

10
tylerl

Forse dovresti leggere questo PDF . Non sono così anonimi. Lo strumento LOIC utilizzato per DDOS, perde l'IP originale della persona che lo utilizza. Puoi usare la versione del browser (JavaScript) dello stesso strumento, magari nascondendoti dietro Tor.

La HBGary Federal ha esposto i loro nomi e indirizzi in quel PDF. Questo è il motivo per cui hanno attaccato il suo sito, e-mail, cancellato il suo iPad, assunto il suo Twitter ecc .... Cerca l'hashtag #hbgary su Twitter per ulteriori informazioni al riguardo.

4
labmice

Diversi post discutono delle difficoltà tecniche nel trovare le persone dietro questi gruppi. Non è affatto facile rintracciare la propria attività quando si usano molte macchine per creare un senso di anonimato.

Un altro aspetto molto importante è che la polizia, le comunità di intelligence di tutto il mondo e la legislazione sulle diverse contee non sono realmente costruite per gestire queste situazioni. Quindi, se trovi un server in un paese che è stato utilizzato per passare a un server in un altro paese, ci vuole troppo tempo per passare attraverso i canali appropriati per ottenere la polizia locale per ottenere le informazioni. Anche se lo fai, le informazioni come i registri non vengono sempre conservate per periodi di tempo più lunghi.

È facile spostarsi illegalmente su Internet, ma molto più lentamente navigare su Internet in modo lecito. Questo è un fattore molto proibitivo quando si cerca di trovare questi gruppi.

3
bengtb

Ecco un articolo porre (e rispondere) proprio quella domanda dal sito di Scientific American pubblicata questo mese. La breve risposta alla domanda è lo spoofing degli indirizzi di origine e l'uso di proxy.

1
mvario

C'è una cosa che non è stata ancora menzionata: il fattore umano.

Questi gruppi non hanno una gerarchia in quanto tale, ma si formano attorno a una serie di idee. Il più delle volte, l'unica idea in comune è "i governi hanno torto, dobbiamo fare giustizia con l'hacking", che è probabilmente un sentimento che sta solo diventando più forte, con l'attuale pressione che il governo degli Stati Uniti (a sua volta pressato dalle società) sta mettendo in altri paesi sotto le coperte per approvare le leggi draconiane contro la libertà di parola che potrebbero danneggiare le suddette società.

Quindi il grande appello qui, specialmente da Anonimo, è che se hai la conoscenza e odi il governo (chi non lo fa?), Puoi unirti a loro da solo e per tuo conto e rischio.

Per vedere da dove viene questo pensiero, raccomando il romanzo/fumetto "V for Vendetta", dal quale hanno preso quella maschera che vedi così spesso.

Alcuni gruppi, ovviamente, hanno intenzioni molto meno eroiche. LulzSec era "tutto per il lulz".

La linea di fondo è che sì, potrebbero ottenere alcuni membri di ciascun gruppo, ma ne compariranno altri.

0
Camilo Martin

Gli hacker possono essere catturati, Anonimo no. L'anonimo è un collettivo così perdente che non viene materialmente ferito dalle forze dell'ordine che colpiscono i suoi singoli hacker. Tuttavia, risponde violentemente contro qualsiasi organizzazione che tenti di farlo. Questo significa

  • È molto difficile abbattere Anonimo solo catturando i suoi membri.
  • Anonimo renderà la vita difficile a chiunque ci provi.

Tutto ciò che Anonimo deve fare è continuare a "non valere lo sforzo" di seguire i suoi membri in massa e continuerà ad essere libero. Tuttavia, giocano un gioco pericoloso. Se il pubblico decide mai che sono un fastidio sufficiente, allora improvvisamente varrà la pena rintracciare e catturare i suoi membri, resistendo ai contraccolpi di Anonymous mentre procedono.

0
Cort Ammon