web-dev-qa-db-ja.com

「匿名」または「Lulzsec」(グループ)を検出するのが難しいのはなぜですか?

私はセキュリティの知識がないので、もしそうだったとしても、おそらくこの質問をすることはないでしょう。通常のテクノロジーニュースのフォロワーとして、 outrageAnonymous(hacker group) に本当に驚いていますが、批評家として、私は好奇心を制御することができません彼らがこれをどのように正確に行っているのかを調べるには?率直に言って、このグループは本当に私を怖がらせます。

私が理解していないことの1つは、それらがまだどのように捕獲されていないかです。 IPアドレスは、DDOSの際に、なりすましやプロキシ経由でも追跡可能でなければなりません。

  • 彼らがスプーフィングしているサーバーは、それらの人のIPをログに記録しているはずです。政府の場合。サーバーを所有している会社にログを提供しないように依頼しますか?
  • これらの人が所有するプライベートサーバーであっても、IANA(または組織の誰でも)がサーバーを購入して登録した人のアドレスとクレジットカードの詳細を取得していませんか?
  • ISPがそれを持っていない場合でも、ISPはこれらのパケットが発信された場所までさかのぼることはできませんか?

私が言ったのと同じくらい簡単だったら、政府はすでに彼らを捕まえていたでしょう。それで、彼らはどれほど正確に脱出することができますか?

PS:私を啓発するリソースがあると感じたら、私はそれらを読んで喜んでいます。

[更新-これは Lulzsecグループ を参照する場合にも同様に適切なので、Wikipediaページへのクイックリンクを追加しました]

ip-spoofingddosanonymity
102
claws

私の答えは元の質問を突く。彼らが捕まらないと思うのはなぜですか?

CIAとDoDはオサマビンラディンを発見しました。

典型的な手段には、OSINT、TECHINT、HUMINTなどがあります。 Torでフォレンジックを行うことができます。 sdelete、BCWipe、DBANなどの安全な削除ツールは完璧ではありません。 GPGやTruecryptなどの暗号化ツールは完璧ではありません。

オンライン通信はおそらくオサマビンラディンの最大の強み(USBフラッシュドライブの電子メールを使用して遠く離れたサイバーカフェに移動した宅配便を持っていた)と匿名/ LulzSecの最大の弱みでした。暗号化されていないIRC=を通常使用します。少なくとも、出口ノードを経由するクリアテキストトラフィックの代わりに、IM通信サーバーへのSSLプロキシでTorを介してOTRを使用していると思います。

Havijやsqlmapなどのユーティリティの一般的な使用は、確かに裏目に出る可能性があります。 Python VMにクライアント側の脆弱性がある可能性があります。おそらくHavijにクライアント側のバッファオーバーフローがある可能性があります。おそらくどちらかにバックドアがある可能性があります。

これらのグループの政治的性質のため、内部の問題があります。最近、ハッカーの4人に1人がFBIの情報提供者であるというニュースをいくつか目にしました。

誰かを「捕まえる」ことは「難しい」ことではありません。これらのフォーラムの別の人は、プレゼンターがマルテゴの高度な変換機能を使用してナイジェリアの詐欺師を追跡するDefconプレゼンテーションのビデオを見るよう提案しました。 Maltegoおよびi2 Group Analyst's NotebookのOSINT機能は、かなり無制限です。少しのヒント。少しOPSECの間違い-そして逆転が起こります:ハンターは現在狩猟されています。

66
atdre

法執行機関や法医学の経験から、最大の問題の1つは、ISPがユーザーを追跡する必要がないことです。一定の管理レベルを超えると、「Common Carrier」ステータスを失い、顧客が行う可能性のある多くのことに対して責任を負います。

また、多くの国は情報を他の国に伝えたくない-特に西洋の文化や西側の干渉に反対しているかもしれない国々。

そして、インターネット上のほとんどのものを隠すことは非常に簡単です。

あなたの3つのポイントについて:

  • サーバーにはIPアドレスが必要です-いいえ-なりすましや消去は簡単です
  • プライベートサーバー-可能ではありますが、可能性は低いですが、クレジットカードは使用されません
  • ISPのトレース-発生しません-ISPに悪影響を与えることはなく、非常に困難です

update結局起こるかもしれません- http://blogs.forbes.com/andygreenberg/2011/03/18/ex-anonymous -hackers-plan-to-out-groups-members /

42
Rory Alsop

このような攻撃の最も重要な側面の1つは、トラックをカバーすることです。これを行うには、テクノロジーに依存するため、さまざまな方法があります。特定の質問に対処するには:

DDoSが発生した場合:洪水が自分のマシンから発生している場合は、追跡するのはかなり簡単です。問題は、彼らが自分のマシンを使っていないという事実にあります。それらは、a)許可なく他人を制御するか、b)誰かに代わってそれを実行させる。後者は、ウィキリークス攻撃で起こったことです。人々はそれをするためにサインアップしました。

サーバーが一般的にログのリクエストに応答しない国にある場合、状況は不安定になります。攻撃されている会社が米国にある場合、攻撃が米国で発生したことが証明できれば、裁判所命令を取得するのはかなり簡単です。それが米国の標的であるが、攻撃がロシアまたは中国から始まっている場合はどうなりますか?同じことが購入記録にも当てはまります。

怖いことに関しては...この種のグループはかなりたくさんいます。それらのほとんどは無害です(私は無害とは言いたくありませんが...)。この特定のケースでは、誰かがクマをつついて、クマは腹を立てました。

編集:私は彼らの行動を容認するわけではありません、何とか何とか何とか。

29
Steve

すでに与えられている回答に加えて、anonymousを見つけるのが非常に難しいもう1つの理由は、文字通りanonymousは誰でもかまわないためです。これには2つの意味があります。まず、ハッカーはマルウェア、スパイウェア、ボットの組み合わせを使用して、世界中のどこにでもいる他の人のコンピュータにアクセスし、使用/ループすることができます。したがって、理論的にはどのコンピュータでもanonymousが機能するポイントを作成します。第二に、名前に忠実であるanonymous、任意のハッカー、任意の方法またはスタイルを使用し、任意のランダムパターンのアクティビティを使用して、攻撃を行い、自分自身を呼び出すことができますanonymous。したがって、前述のように文字通り誰からも来る可能性があるため、攻撃のさまざまな性質により常に変化しているため、政府/当局がパターン、スタイル、または署名によってアクティビティを追跡することは非常に困難です。

本質的に、

匿名は1人ではありません... 匿名は1人のグループではありません...

Anonymousはどこでもどこでも... Anonymousは誰でも、誰でもない...

残念ながら、それは名前の性質、一意性、および天才です。

19
Eli

ハッカーが自分の痕跡を隠す方法は数多くあります。

これは非常に一般的な例です。

ハッカーはサードパーティのマシンを危険にさらし、それを使用してハッカーに代わって攻撃を行うことができます。システムが危険にさらされているため、ハッカーはログを削除または変更できます。ハッカーは、マシンAからマシンAにログインし、マシンAからマシンBにログインし、マシンBからマシンCにログインし、マシンCから攻撃し、マシンDを攻撃して、マシンC、B、Aのログをクレンジングすることもできます。ハッカーの追跡をより困難にします。

これは、ハッキングされたインターネットアカウント(つまり、別の人を指して追跡された場合でも)、オープンプロキシなどを考慮に入れていません。

上記は完璧ではないことは知っていますが、私が言ったように、これは非常に一般的な例にすぎません。トラックをカバーする方法はたくさんあります。

とはいえ、特定の3文字の機関がそれらの多くが誰であるかをまだ知らないようにするにはどうすればよいのでしょうか。

もっと他の人がもっと徹底的に説明できる人がいると確信していますが、私が学ぶべき最終的な教訓は、特定のハッカーやハッキンググループに自分自身を気にせず、自分のセキュリティにもっと気を配ることです。彼らの名声に対する最新の主張が、SQLインジェクションの脆弱性として修正される重要なもの(何も新しいものではなく、十分に文書化され、理解されている)に由来するという事実は、ハッキングされた名前のない「セキュリティ会社」に大きな信用を失っています。 許可

16
Purge

さて、上記のいくつかの投稿に誤った情報が含まれていることに返信しましたが、自分自身の返信を投稿して説明を強化する必要があると考えました。

匿名は基本的に2つのサブグループで構成されます。

  1. 最も基本的なセキュリティ知識しか持たず、IRCに座って、基本的に攻撃の前兆となるだけのスキディ(スクリプトキディ)と初心者。これらは、FBIがノックダウンした人々です。彼らのドア。

  2. 匿名のコアリーダーシップ、hbgaryを所有していたハッキン​​グの知識を持つグループですが、最近では忍者のハッキングチームにも所有されています。セキュリティの第一人者でない限り、このサブグループを追跡することはできません。

トラックを非表示にするにはどうすればよいですか?

前述の回答者のように、

  1. プロキシサーバー経由 Torと同様
  2. ボックスを危険にさらし、それらのボックスから攻撃を開始することにより(基本的にその人のIPを装います)、または
  3. 海外にあるVPNを使用で、ログを保持しません。 VPNを使用すると、すべてのトラフィックがVPNを介して中継されるため、接続する場所はどこでも、VPN自体のIPアドレスのみを追跡でき、それ以上は追跡できません(VPNがログを保持している場合を除いて、それを使用しないでください)。

これが少し明確になることを願っています。

16
mrnap

DDoSの重要な点は、他の人の IPを使用することです。自分のものではありません。インターネット上で追跡できなくなるのは比較的簡単です。トラフィックログを保持していないホストを経由してトラフィックをルーティングするだけです。これらの人々を追跡することを頻繁に試みなければならない誰かとして、私はそれがどんな不可能な悪夢であるかをあなたに言うことができます。私がよく目にするパターンは次のとおりです。

  1. 一部のWebソフトウェアパッケージで比較的最近のエクスプロイトを選択します(例:joomla拡張機能)。
  2. グーグルを使用して、適切に脆弱な攻撃ターゲットを見つける
  3. 追跡できない場所(コーヒーショップなど)から攻撃を実行して、脆弱なサーバーを制御しますが、注意を引くような他のことは行わないでください。 (ボーナスポイント、脆弱性を修正して、誰もあなたの後ろに来ないようにします)。推定された場所にさかのぼる可能性のあるログを削除します。
  4. 上記を繰り返し、以前に危険にさらされたサーバーを経由してトラフィックを中継します。プロキシとして動作するマシンから複数のステップが削除されるまで、数回繰り返します。理想的には、これらのサーバーは、調査に向けてデータセンター技術者が非協力的になる傾向がある中国、インド、ブラジル、メキシコなどの国に配置する必要があります。あなたを追跡しようとする人々のための通信悪夢。

おめでとうございます。あなたはインターネット上で匿名になりました。 Torに少し似ていますが、どのノードも参加していることを認識していません。通常、これらの攻撃者は、ログまたは記録が保持されていないサーバーにバックドアを設定して使用します(バックドアがおそらく存在しないため)。攻撃者が切断すると、そのリンクは永久に追跡できなくなります。

1ホップで検出の可能性が劇的に下がります。 Two Hopsは検出をほぼ不可能にします。 3つのホップとそれは努力の価値さえありません。

10
tylerl

たぶん このPDF を読んでください。彼らはそれほど匿名ではありません。 DDOSに使用されるLOICツールは、それを使用する人の元のIPを漏らします。同じツールのブラウザー(JavaScript)バージョンを使用できます。Torの背後に隠れている可能性があります。

HBGary FederalはそのPDFで名前と住所を公開しました。そのため、彼らは彼のサイトを攻撃し、メールを送信し、iPadをワイプし、Twitterを乗っ取りました。詳細については、Twitterで#hbgaryハッシュタグを検索してください。

4
labmice

いくつかの投稿では、これらのグループの背後にいる人物を見つけることの技術的な困難について説明しています。多くのマシンを使用して匿名性を生み出す場合、彼らの活動を逆戻りすることは決して簡単ではありません。

もう1つの非常に重要な側面は、警察、世界中の諜報機関、およびさまざまな郡の法律が、これらの状況を処理するために実際に構築されていないことです。したがって、別の国のサーバーにホップするために使用されているサーバーをある国で見つけた場合、適切なチャネルを通過して地方警察が情報を入手するのに時間がかかりすぎます。ログなどの情報を保存しても、長期間保存されるとは限りません。

違法にインターネットを飛び回るのは簡単ですが、合法的な方法でインターネットを飛び回るのははるかに遅くなります。これは、これらのグループを見つけようとするときに非常に禁止される要素です。

3
bengtb

ここに記事があります 今月投稿されたScientific Americanのサイトからまさにその質問(と答え)です。この質問に対する簡単な答えは、送信元アドレスのスプーフィングとプロキシの使用です。

1
mvario

まだ言及されていないことが1つあります。それは人的要因です。

これらのグループは、それ自体に階層を持たず、代わりに一連のアイデアの周りに形成されます。ほとんどの場合、共通の唯一のアイデアは「政府は間違っている、私たちはハッキングによって正義を行わなければならない」ということです。カバーの下の他の国では、前述の企業に害を及ぼす可能性のある言論の自由に対する過酷な法律を通過させる。

したがって、ここ、特にアノニマスによる大きな魅力は、知識があって政府を憎む場合(そうでない場合)、自分で、自分のアカウントとリスクで参加できることです。

この考えがどこから来たかを確認するために、私は彼らがあなたが頻繁に見るマスクを取った映画/コミック小説「V for Vendetta」をお勧めします。

もちろん、いくつかのグループははるかに少ない英雄的な意図を持っています。 LulzSecは「lulzのすべて」でした。

結論としては、はい、各グループのメンバーは数人になる可能性がありますが、さらに多くのメンバーが表示されます。

0
Camilo Martin

ハッカーを捕まえることができますが、アノニマスはできません。アノニマスは損失の集合体であり、個々のハッカーを取り締まる法執行機関によって実質的に傷つけられることはありません。ただし、そうしようとする組織に対しては激しく反応します。これの意味は

  • メンバーを捕まえるだけでアノニマスを攻撃するのは非常に難しい。
  • アノニマスは、試みようとする誰にとっても人生を困難にします。

アノニマスがしなければならないことは、そのメンバーが一斉に集まった後も「努力する価値がない」ことであり続け、それは自由であり続けるでしょう。しかし、彼らは危険なゲームをします。彼らが十分な迷惑行為であると公衆が判断した場合、そのメンバーを追跡して捕まえることは突然コストに見合う価値があり、彼らが行くにつれてアノニマスによるカウンターハックに耐えます。

0
Cort Ammon