it-swarm-eu.dev

Warum ist es schwierig, "Anonymous" oder "Lulzsec" (Gruppen) zu fangen?

Ich bin kein Sicherheitskenner, und wenn ich es wäre, würde ich diese Frage wahrscheinlich nicht stellen. Als regelmäßiger Tech-News-Follower bin ich wirklich überrascht von Empörung von Anonym (Hacker-Gruppe) , aber als kritischer Denker kann ich meine Neugier nicht kontrollieren um herauszufinden, wie genau sie das tun? Ehrlich gesagt macht mir diese Gruppe wirklich Angst.

Eine Sache, die ich nicht verstehe, ist, wie sie noch nicht gefangen wurden. Ihre IP-Adressen sollten nachverfolgbar sein, wenn sie DDOS verwenden, auch wenn sie es fälschen oder über einen Proxy gehen.

  • Der Server, mit dem sie fälschen, sollte die IPs dieser Typen in seinen Protokollen aufgezeichnet haben. Wenn die Regierung. Fragen Sie die Firma (der der Server gehört), geben sie nicht die Protokolle?
  • Selbst wenn es sich um einen privaten Server handelt, der diesen Leuten gehört, hat IANA (oder wer auch immer die Organisation ist) nicht die Adresse und die Kreditkartendaten des Mannes, der den Server gekauft und registriert hat?
  • Können die ISPs nicht auf den Ort zurückgreifen, an dem diese Pakete entstanden sind, auch wenn sie das nicht haben?

Ich weiß, wenn es so einfach wäre, wie ich sagte, hätte die Regierung sie bereits gefangen. Wie genau können sie entkommen?

PS: Wenn Sie der Meinung sind, dass es Ressourcen gibt, die mich aufklären würden, würde ich sie gerne lesen.

[Update - dies ist gleichermaßen angemessen, wenn auf die Lulzsec-Gruppe verwiesen wird. Fügen Sie daher einen Schnelllink zur Wikipedia-Seite hinzu.]

102
claws

Meine Antwort stößt auf die ursprüngliche Frage. Was lässt Sie denken, dass sie nicht erwischt werden?

Die CIA und das Verteidigungsministerium fanden Osama bin Laden.

Typische Mittel sind OSINT, TECHINT und HUMINT. Forensik kann auf Tor durchgeführt werden. Sichere Löschtools wie sdelete, BCWipe und DBAN sind nicht perfekt. Verschlüsselungstools wie GPG und Truecrypt sind nicht perfekt.

Die Online-Kommunikation war vielleicht die größte Stärke von Osama bin Laden (er hatte Kuriere, die per E-Mail auf USB-Sticks in weit entfernte Cyber-Cafés reisten) und die größte Schwäche von Anonymous/LulzSec. Sie verwenden normalerweise unverschlüsselt IRC. Sie denken, sie würden zumindest OTR über Tor mit einem SSL-Proxy zu den IM-Kommunikationsservern anstelle eines Klartextverkehrs über einen Exit-Knoten verwenden.

Ihre gemeinsame Verwendung von Dienstprogrammen wie Havij und sqlmap könnte sicherlich nach hinten losgehen. Möglicherweise liegt eine clientseitige Sicherheitsanfälligkeit in der Python VM) vor. Möglicherweise gibt es in Havij einen clientseitigen Pufferüberlauf. Möglicherweise gibt es in beiden Backdoors.

Aufgrund des politischen Charakters dieser Gruppen wird es interne Probleme geben. Ich habe in letzter Zeit einige Neuigkeiten gesehen, dass jeder vierte Hacker Informanten für das FBI ist.

Es ist nicht "schwierig", jemanden zu "fangen". Eine andere Person in diesen Foren schlug vor, dass ich mir ein Video aus einer Defcon-Präsentation ansehe, in der der Moderator einen nigerianischen Betrüger mithilfe der erweiterten Transformationsfunktionen in Maltego aufspürt. Die OSINT-Funktionen von Maltego und dem Notebook des i2 Group Analyst sind nahezu unbegrenzt. Ein kleiner Hinweis; ein kleiner OPSEC-Fehler - und es kommt zu einer Umkehrung: Der Jäger wird jetzt gejagt.

66
atdre

Aufgrund einiger Erfahrungen mit Strafverfolgung und Forensik kann ich sagen, dass eines der größten Probleme darin besteht, dass ISPs Benutzer wirklich nicht verfolgen müssen. Sobald sie eine bestimmte Managementebene überschritten haben, verlieren sie den Status eines „gemeinsamen Spediteurs“ und haften für eine Menge von dem, was ihre Kunden möglicherweise tun.

Außerdem möchten viele Länder keine Informationen an ein anderes Land weitergeben - insbesondere Länder, die möglicherweise gegen westliche Kultur oder westliche Einmischung sind.

Und es ist extrem einfach, fast alles im Internet zu verstecken.

Zu Ihren drei Punkten:

  • Server sollte IP-Adressen haben - Nein - dies ist einfach zu fälschen oder zu löschen
  • Privater Server - Nicht wahrscheinlich, obwohl möglich - aber es würde nicht ihre Kreditkarte verwendet
  • ISPs Trace - Wird nicht passieren - es wirkt sich nicht negativ auf ISPs aus und ist viel zu schwierig

update Es könnte doch passieren - http://blogs.forbes.com/andygreenberg/2011/03/18/ex-anonymous -hackers-plan-to-out-Gruppenmitglieder /

42
Rory Alsop

Einer der wichtigsten Aspekte eines solchen Angriffs ist es, Ihre Spuren zu verwischen. Es gibt viele verschiedene Möglichkeiten, dies zu tun, da dies von der Technologie abhängt. Um Ihre spezifischen Fragen zu beantworten:

Wenn sie DDoS: Wenn die Flut von ihren eigenen Maschinen kommen würde, wäre es ziemlich einfach, sie zu verfolgen. Das Problem liegt in der Tatsache, dass sie keine eigenen Maschinen verwenden. Sie übernehmen entweder a) die Kontrolle über andere Personen ohne Erlaubnis oder b) jemanden dazu zu bringen, dies in ihrem Namen zu tun. Letzteres geschah mit den Wikileaks-Angriffen. Die Leute haben sich dafür angemeldet.

Die Dinge werden langsam unangenehm, wenn sich Server in Ländern befinden, die im Allgemeinen nicht auf Anfragen nach Protokollen reagieren. Wenn sich das angegriffene Unternehmen in den USA befindet, ist es ziemlich einfach, eine gerichtliche Anordnung zu erhalten, wenn nachgewiesen werden kann, dass der Angriff aus den USA stammt. Was passiert, wenn es sich um ein US-Ziel handelt, der Angriff jedoch von Russland oder China ausgeht? Gleiches gilt für Kaufunterlagen.

Angst haben ... es gibt einige dieser Gruppen da draußen. Die meisten von ihnen sind (ich möchte nicht harmlos sagen, aber ...) harmlos. In diesem speziellen Fall stupste jemand den Bären an und der Bär wurde sauer.

EDIT: Nicht, dass ich ihre Handlungen gutheiße, bla bla bla.

29
Steve

Zusätzlich zu den bereits gegebenen Antworten ist ein weiterer Grund, warum es so schwer ist, anonym zu fangen, dass anonym buchstäblich jeder sein kann. Ich meine das auf zwei Arten. Erstens können Hacker eine Kombination aus Malware, Spyware und Bots verwenden, um auf Computer anderer Leute auf der ganzen Welt zuzugreifen und diese zu verwenden. Somit wird jeder Computer theoretisch zu einem Punkt, von dem aus anonym funktionieren kann. Zweitens kann, getreu dem Namen anonym, jeder Hacker, überall, mit einer beliebigen Methode oder einem beliebigen Stil, mit einem beliebigen zufälligen Aktivitätsmuster, angreifen und sich selbst anonym nennen. Daher ist es für eine Regierung/Behörde äußerst schwierig, Aktivitäten nach Muster, Stil oder Unterschrift zu verfolgen, da sie sich aufgrund der unterschiedlichen Art der Angriffe ständig ändern, da sie, wie ich bereits sagte, buchstäblich von jedem stammen können.

Im Wesentlichen,

Anonym ist nicht eine Person ... Anonym ist nicht eine Gruppe ...

Anonym ist überall und überall ... Anonym könnte jeder oder niemand sein ...

Leider ist das die Natur, Einzigartigkeit und Genialität des Namens.

19
Eli

Es gibt ZAHLREICHE Möglichkeiten für einen Hacker, seine Spuren zu verwischen.

Hier ist ein sehr verallgemeinertes Beispiel:

Ein Hacker kann einen Computer eines Drittanbieters kompromittieren und damit Angriffe im Namen des Hackers ausführen. Da das System gefährdet ist, kann der Hacker Protokolle löschen/ändern. Ein Hacker kann auch Maschinen huckepack nehmen, z. B. sich bei Maschine A anmelden, von Maschine A bei Maschine B anmelden, von Maschine B bei Maschine C anmelden, von Maschine C Maschine D angreifen und dann die Protokolle für Maschinen C, B und dann A bereinigen erschwert die Verfolgung des Hackers.

Dies berücksichtigt nicht einmal gehackte Internetkonten (selbst wenn sie zurückverfolgt werden, verweisen sie auf eine andere Person), offene Proxys usw. usw. usw.

Ich weiß, dass das oben Genannte nicht fehlerfrei ist, aber wie gesagt, dies ist nur ein SEHR SEHR allgemeines Beispiel. Es gibt viele Möglichkeiten, Ihre Spuren zu verwischen.

Was macht Sie so sicher, dass bestimmte 3-Brief-Agenturen noch nicht wissen, wer viele von ihnen sind, aber keine Schritte unternehmen, damit diese Personen sie zu anderen führen können?

Ich bin mir sicher, dass andere mitmachen werden, die gründlicher erklären können, aber ich denke, die ultimative Lektion, die Sie lernen müssen, besteht darin, sich weniger mit bestimmten Hackern und Hacking-Gruppen als vielmehr mit Ihrer eigenen Sicherheit zu befassen. Die Tatsache, dass ihr jüngster Anspruch auf Ruhm auf etwas so TRIVIAL zurückzuführen ist, das als SQL Injection-Sicherheitslücke behoben werden kann (was nichts Neues ist, sehr gut dokumentiert und verstanden), ist eine große Diskreditierung für die unbenannte "Sicherheitsfirma", die gehackt wurde. schimpfen über

16
Purge

Nun, ich habe auf einige Beiträge oben geantwortet, die falsche Informationen enthielten, aber ich dachte, ich sollte nur meine eigene Antwort posten, um sie besser zu erklären.

Anonymous besteht im Wesentlichen aus 2 Untergruppen:

  1. Skiddies (Script Kiddies) und Neulinge, die nur über die grundlegendsten Sicherheitskenntnisse verfügen und nur in ihrem IRC] sitzen und im Grunde die Pwns für den Angriff sind. Dies sind die Leute, die das FBI niedergeschlagen hat ihre Türen.

  2. Anonyme Kernführung, eine Gruppe mit Hacking-Kenntnissen, die Hbgary besaß, aber kürzlich auch von Ninja Hack Squad besessen wurde. Sie können diese Untergruppe nur verfolgen, wenn Sie ein Sicherheitsguru sind.

Wie verstecken sie ihre Spuren?

Wie bereits erwähnt,

  1. über Proxy-Server wie Tor
  2. durch Kompromittieren von Boxen und Starten von Angriffen von diesen Boxen (im Grunde genommen als IP dieser Person getarnt) oder
  3. mithilfe eines VPN im Ausland und führt keine Protokolle. Mit dem VPN wird Ihr gesamter Datenverkehr über das VPN weitergeleitet, sodass Sie überall dort, wo Sie eine Verbindung herstellen, nur die IP-Adresse zum VPN selbst zurückverfolgen können und nicht weiter (es sei denn, das VPN führt Protokolle. In diesem Fall sollten Sie es sowieso nicht verwenden).

Hoffe das hilft ein bisschen zu klären.

16
mrnap

Die Sache mit einem DDoS ist, dass Sie die anderer Leute IPs verwenden, nicht Ihre eigenen. Es ist relativ einfach, im Internet nicht mehr auffindbar zu sein. Leiten Sie Ihren Datenverkehr einfach über einen Host weiter, der keine Verkehrsprotokolle führt. Als jemand, der häufig versuchen muss, diese Leute aufzuspüren, kann ich Ihnen sagen, was für ein unmöglicher Albtraum das ist. Hier ist das Muster, das ich häufig sehe:

  1. Wählen Sie einen relativ aktuellen Exploit in einem Web-Softwarepaket aus (z. B. Joomla-Erweiterung).
  2. Verwenden Sie Google, um ein entsprechend anfälliges Angriffsziel zu finden
  3. Führen Sie den Angriff von einem Ort aus, der nicht auf Sie zurückgeführt werden kann (z. B. im Café), um die Kontrolle über den anfälligen Server zu erlangen, aber tun Sie nichts anderes, was die Aufmerksamkeit auf sich ziehen würde. (Bonuspunkte, beheben Sie die Sicherheitsanfälligkeit, damit niemand hinter Ihnen hereinkommt). Löschen Sie alle Protokolle, die möglicherweise auf Ihren vermuteten Speicherort zurückgehen.
  4. Wiederholen Sie den obigen Vorgang und leiten Sie Ihren Datenverkehr über den zuvor gefährdeten Server weiter. Wiederholen Sie diesen Vorgang mehrmals, bis Sie mehrere Schritte vom Computer entfernt haben, der sich als Proxy verhält. Idealerweise sollten sich diese Server in Ländern wie China, Indien, Brasilien, Mexiko usw. befinden, in denen Techniker von Rechenzentren in der Regel nicht kooperativ für Ermittlungen sind, und alle sollten sich in verschiedenen Ländern befinden, um Gerichtsbarkeit zu schaffen und Kommunikations-Albträume für die Menschen, die versuchen, Sie aufzuspüren.

Herzlichen Glückwunsch, Sie sind jetzt im Internet anonym. Es ist ein bisschen wie bei Tor, nur dass keiner der Knoten weiß, dass sie teilnehmen. Normalerweise richten diese Angreifer Backdoors auf Servern ein und verwenden sie, für die keine Protokolle oder Aufzeichnungen geführt werden (da die Backdoor vermutlich nicht vorhanden ist). Sobald der Angreifer die Verbindung trennt, wird diese Verbindung dauerhaft nicht mehr auffindbar.

Ein Sprung verringert Ihre Erkennungswahrscheinlichkeit dramatisch. Zwei Sprünge machen eine Erkennung fast unmöglich. Drei Hopfen und es ist nicht einmal die Mühe wert.

10
tylerl

Vielleicht sollten Sie dieses PDF lesen. Sie sind nicht so anonym. Das für DDOS verwendete LOIC-Tool gibt die ursprüngliche IP-Adresse der Person an, die es verwendet. Sie können die Browserversion (JavaScript) desselben Tools verwenden, die sich möglicherweise hinter Tor versteckt.

HBGary Federal hat ihre Namen und Adressen in diesem PDF veröffentlicht. Aus diesem Grund haben sie seine Website angegriffen, E-Mails gesendet, sein iPad gelöscht, sein Twitter usw. übernommen. Weitere Informationen hierzu finden Sie im Hashtag #hbgary auf Twitter.

4
labmice

In mehreren Beiträgen werden die technischen Schwierigkeiten bei der Suche nach den Personen hinter diesen Gruppen erörtert. Es ist überhaupt nicht einfach, ihre Aktivitäten zurückzuverfolgen, wenn viele Maschinen verwendet werden, um ein Gefühl der Anonymität zu erzeugen.

Ein weiterer sehr wichtiger Aspekt ist, dass die Polizei, die Geheimdienste auf der ganzen Welt und die Gesetzgebung der verschiedenen Bezirke nicht wirklich darauf ausgelegt sind, mit diesen Situationen umzugehen. Wenn Sie also in einem Land einen Server finden, mit dem zu einem Server in einem anderen Land gesprungen wurde, dauert es zu lange, die richtigen Kanäle zu durchlaufen, damit die örtliche Polizei die Informationen erhält. Selbst wenn Sie dies tun, werden Informationen wie Protokolle nicht immer über einen längeren Zeitraum aufbewahrt.

Es ist leicht, illegal im Internet herumzuspringen, aber viel langsamer, auf rechtmäßige Weise im Internet herumzuspringen. Dies ist ein sehr verbotener Faktor, wenn versucht wird, diese Gruppen zu finden.

3
bengtb

Hier ist ein Artikel genau diese Frage von der Scientific American-Website, die diesen Monat veröffentlicht wurde, stellen (und beantworten). Die kurze Antwort auf die Frage ist das Spoofing von Quelladressen und die Verwendung von Proxys.

1
mvario

Eines wurde noch nicht erwähnt: den menschlichen Faktor.

Diese Gruppen haben keine Hierarchie als solche, sondern bilden eine Reihe von Ideen. Meistens ist die einzige gemeinsame Idee: "Die Regierungen liegen falsch, wir müssen Gerechtigkeit durch Hacken schaffen", was wahrscheinlich ein Gefühl ist, das angesichts des gegenwärtigen Drucks, den die US-Regierung (die selbst von Unternehmen unter Druck gesetzt wird) ausübt, immer stärker wird in anderen Ländern unter dem Deckmantel drakonische Gesetze gegen Redefreiheit zu verabschieden, die den oben genannten Unternehmen schaden könnten.

Der große Reiz hier, insbesondere von Anonymous, besteht darin, dass Sie, wenn Sie das Wissen haben und die Regierung hassen (wer nicht?), Sich ihnen selbst und auf eigene Rechnung und auf eigenes Risiko anschließen können.

Um zu sehen, woher dieses Denken kommt, empfehle ich den Film-/Comic-Roman "V for Vendetta", aus dem sie die Maske genommen haben, die Sie so oft sehen.

Einige Gruppen haben natürlich viel weniger heroische Absichten. LulzSec war "alles für den Lulz".

Das Fazit ist, dass ja, sie könnten ein paar Mitglieder jeder Gruppe bekommen, aber es werden mehr auftauchen.

0
Camilo Martin

Hacker können gefasst werden, Anonymous nicht. Anonymous ist ein so verlorenes Kollektiv, dass es nicht wesentlich durch die Strafverfolgung verletzt wird, die gegen seine einzelnen Hacker vorgeht. Es reagiert jedoch heftig gegen jede Organisation, die dies versucht. Das heisst

  • Es ist sehr schwer, Anonymous niederzuschlagen, indem man nur seine Mitglieder fängt.
  • Anonym wird jedem, der es versucht, das Leben schwer machen.

Alles, was Anonymous tun muss, ist weiterhin "die Mühe nicht wert" zu sein, seine Mitglieder massenhaft zu verfolgen, und es wird weiterhin frei sein. Sie spielen jedoch ein gefährliches Spiel. Wenn die Öffentlichkeit jemals entscheidet, dass sie ein ausreichendes Ärgernis sind, lohnt es sich plötzlich, ihre Mitglieder aufzuspüren und zu fangen, um die Gegenhacks von Anonymous zu ertragen.

0
Cort Ammon