Domanda:
Come posso punire un hacker?
Elmo
2013-05-11 14:03:39 UTC
view on stackexchange narkive permalink

Sono un piccolo imprenditore. Il mio sito web è stato recentemente violato, sebbene non sia stato fatto alcun danno; dati non sensibili sono stati rubati e sono state caricate alcune backdoor shell. Da allora, ho cancellato le shell, corretto la vulnerabilità e bloccato l'indirizzo IP dell'hacker.

Posso fare qualcosa per punire l'hacker poiché ho l'indirizzo IP? Come posso metterli in prigione o qualcosa del genere?

Questa domanda è stata presentata come una domanda di sicurezza delle informazioni della settimana .
Leggi il post di blog del 5 febbraio 2016 per maggiori dettagli o invia la tua domanda della settimana .

Il suddetto hacker trascorre già le sue notti sul suo computer, da solo, fissando il suo schermo cupo, alla ricerca di vulnerabilità e installando backdoor. Come potresti punirlo ulteriormente?
Hai cancellato le conchiglie .. significa che hai distrutto le prove?
Sei sicuro al 100% di aver cancellato tutte le shell? Potrebbe essere prudente ricostruire il sistema da zero e controllare la rete per assicurarsi che l'hacker non sia stato in grado di utilizzare la macchina compromessa per ottenere l'accesso ad altre macchine sulla rete.
Installa alcuni [Black Ice] (http://en.wikipedia.org/wiki/Intrusion_Countermeasures_Electronics).
@Tass: Stai scherzando, ma dai un'occhiata al progetto labrea. Quindi considera da quanto tempo è in giro.
Come fai a sapere di avere il suo * vero * indirizzo IP?
Punisci i cracker, ricompensa gli hacker.
AilivsqwycCMT negativo
Legalo e sculaccialo come Max Mosley.
Vai a casa sua e parla severamente con sua madre.
non punisci l'hacker, l'hacker ti punisce.
eseguire il ping del suo IP due volte a settimana. Lascia che il suo ospite muoia in lenta agonia!
@TomLeek writes: * Il suddetto hacker trascorre già le sue notti sul suo computer, da solo, fissando il suo tetro schermo, cercando vulnerabilità e installando backdoor. Come potresti punirlo ulteriormente? * Sì, ma il terreno è livellato su quel punto, dal momento che OP trascorre le sue notti sul suo computer da solo, rintracciando le attività dei cracker che attaccano il suo sito web e sognando punizioni.
* sebbene non sia stato fatto alcun danno * <- allora qual è il punto nel cercare una punizione? orgoglio? personalmente sarei felice se qualcuno si intromettesse nei miei server ma non avesse fatto danni: posso riparare la vulnerabilità prima che qualcun altro causi danni grazie a lui.
@Mahn I dati sono stati rubati!
@ClickUpvote Quindi il danno * è stato * fatto. Potresti voler cercare le leggi sulla notifica delle violazioni pertinenti per la tua giurisdizione.
@randomstring solo nella Russia sovietica.
Attaccalo indietro ...
Lasciagli un biglietto ringraziandolo per aver identificato il problema e considerati fortunato. La persona che punisci dovrebbe essere la persona che hai assunto per configurare il tuo sistema o, se non sono professionisti formati, la persona che ha scelto di utilizzare talenti non addestrati per configurare un server aziendale con connessione a Internet. Vorrei che le persone giuste fossero ritenute responsabili di crimini come questo, l'adulto che lascia la porta aperta quando esce per andare al lavoro, non il bambino che entra nella casa aperta e vuota e mangia qualche biscotto. (Sì, l'hacker era malevolo, ma sarebbe stato qualcun altro se non lui)
#TL; DR # Non è l'indirizzo IP corretto e alle forze dell'ordine non interessa.
Inoltre, non sai se il tuo server (IP di lettura) è stato compromesso per fare la stessa cosa con altri server. Seguendo la tua logica, il tuo IP dovrebbe essere segnalato come centro di attività sospette e inserito nella lista nera.
Scopri dove abita e vai a casa sua con una bionda del Nebraska e bussa alla porta. Quando apre la porta, lascia che sia lei a prenderlo a calci e riprenditi rapidamente il tuo bat'leth e il tuo account WoW. Sono stato in luoghi in cui è successo negli Stati Uniti con l'intento di causare danni e abbiamo consegnato le prove all'FBI. Non sono sicuro di cosa / se hanno fatto qualcosa, dal momento che il criminale era in Russia.
Sei riuscito a punirlo?
Dodici risposte:
user10211
2013-05-11 14:06:30 UTC
view on stackexchange narkive permalink

Tu non punisci l'hacker. La legge lo fa. Segnala qualsiasi informazione in tuo possesso alla polizia e lascia che sia loro a gestirla.

Tuttavia, è molto improbabile che l'aggressore venga catturato. L'indirizzo IP che possiedi molto probabilmente appartiene a un altro sistema che l'attaccante ha compromesso e sta utilizzando come proxy. Consideralo come una lezione imparata e vai avanti.

Allora, come vengono scoperti gli hacker di cui leggi nelle notizie?
@ClickUpvote Tutti fanno errori occasionalmente. Se qualcuno ne fa abbastanza e la polizia si sforza di scavare tra tutti quei dati, potresti catturare qualcuno. Spesso ne prendono uno in gruppo e poi lo usano come una talpa per catturare il resto.
Oppure hackerano qualcosa a cui la legge o il governo si preoccupano davvero, il che dà loro un incentivo a provare a catturarli. Sono sicuro che a loro non interessa davvero il sito web medio.
@ClickUpvote ecco un elenco di quelle che io considero priorità di indagine degli hacker: [reti di proprietà del governo sfruttate, exploit finanziari su larga scala, DDOS su siti governativi pubblici, distributori di vulnerabilità Zero Day, sfruttatori ad alto rischio di incidenti, ....., ..... , sfoglia Facebook per noia, ....., ....., script kiddies] (questo caso)
@ClickUpvote, * di cosa * hacker hai letto nelle notizie? Una dozzina di siti vengono violati ogni giorno e ho letto di hacker che vengono scoperti forse un paio di volte all'anno, al massimo. Quei pochi casi sono di solito persone che violano un sistema governativo sensibile. Qualcuno se ne accorge, contatta l'FBI, ma * non * ferma l'hacker o lo riconosce in alcun modo. Ciò consente alle forze dell'ordine di ottenere i necessari mandati in più stati e / o paesi per rintracciare la connessione alla sua fonte * mentre l'hacker è connesso, * probabilmente per diverse settimane. Ma rintracciare un hacker dopo il fatto? In bocca al lupo.
Certo, potresti semplicemente pubblicare l'indirizzo IP su 4chan e sperare che qualcuno oggi sia particolarmente annoiato ...
@MarkAllen Ciò presuppone che tu sia negli Stati Uniti
Esiste qualcosa come "Digital Trespassing"? Sebbene l'OP non ne faccia menzione, penso che si possa supporre che l'OP abbia adottato misure ragionevoli per rafforzare il suo server se ci volesse "hacking" per entrare. Non lo vedo come diverso da qualcuno che ha fatto irruzione la tua casa per leggere il tuo giornale e fare una copia della chiave del portico sul retro. Le forze dell'ordine avrebbero la stessa indifferenza in quel caso?
@hydroparadise Se vivi negli Stati Uniti e un ladro rapina la tua casa, segnalalo al corpo locale. Cosa succede se vivi negli Stati Uniti, ospiti il ​​tuo sito web utilizzando un server situato in un data center in Giappone, sei stato attaccato da un hacker francese utilizzando una macchina compromessa in Cina? A chi lo riferisci? Quale agenzia delle forze dell'ordine arresterà il ragazzo?
@MarkAllen [Explicit is better than implicit] (http://www.python.org/dev/peps/pep-0020/)
TildalWave
2013-05-11 15:34:33 UTC
view on stackexchange narkive permalink

Quindi hai identificato l'indirizzo IP coinvolto nel processo di hacking del tuo sito web. Congratulazioni!

Cosa ti fa credere che questo IP sia effettivamente l'indirizzo IP di un hacker e non semplicemente un altro hackerato nel computer in esecuzione in modalità zombie? E chi può dire che il tuo server web non abbia funzionato esattamente nella stessa modalità zombie fino a quando non hai rimosso le shell installate attraverso, come dici tu, successivamente identificato backdoor?

Se ti aspetti che un'altra persona, il cui server web è stato tentato di essere, o è stato effettivamente violato attraverso l'IP del tuo server web compromesso, pensi esattamente lo stesso di te e sta già cercando modi per ottenere anche come te?

Spero sinceramente che non sia così, e abbiamo superato i tempi della caccia alle streghe e dell'accusa e del giudizio liberamente su persone prima che si dimostrasse colpevole oltre ogni ragionevole dubbio in un tribunale, dove sono autorizzati a difendersi, presentare le proprie prove, contestare le prove raccolte contro di loro, e si spera che queste prove siano apprezzate e successivamente approvate da persone abbastanza decenti da poter vedere entrambe le parti della moneta prima di chiamarla per quello che è risultato essere.

L'informativa IANAL obbligatoria si applica a questo punto, ma queste sono le opzioni che probabilmente dovresti prendere in considerazione :

  • Segnala l'incidente alle autorità competenti. Dovresti farlo non solo nella speranza che il vero hacker alla fine venga catturato e perseguito, ma anche per coprirti le spalle nel caso in cui il tuo server web fosse coinvolto in altre attività illegali mentre era compromesso e agiva in modi al di fuori del tuo immediato controllo. Quindi collabora, sii pronto a portare il tuo server web in un laboratorio forense e potresti subire i tempi di inattività dei servizi a causa di ciò. Questo ti toglierà tempo e probabilmente incorrerà anche in costi.

  • In alternativa, rafforza il tuo server web contro ogni possibile backdoor, exploit nel software che utilizzi e assumi un analista di sicurezza appropriato per fare la loro magia. Compila un rapporto di incidente interno e fallo verificare da una parte indipendente, per coprirti le spalle in questo modo nell'improbabile eventualità che in seguito avrai bisogno di questo come prova, se contattato dalle autorità. Anche questo richiederà tempo e costerà anche. Ma il tuo server web sarà online e la tua azienda si spera di recuperare i costi coinvolti.

La tua scelta quindi, ma non metterti nei guai più grandi giocando da solo -giusto vigilante, semplicemente non ne vale la pena e le probabilità sono contro di te sin dall'inizio che cercherai vendetta all'indirizzo giusto.

La maggior parte delle persone al di fuori di questa comunità non conosce la "modalità zombi". Penso che tu abbia frainteso OP. Chiedere "posso farli finire in prigione" non li rende un "vigilante ipocrita". Questo è un normale desiderio di giustizia. Sarebbe utile specificare chi sono le "autorità competenti".
+1 che probabilmente non è il loro IP. Qualsiasi vero attaccante rimbalzerebbe almeno UNA VOLTA, ma più probabilmente proverrebbe -> tor -> macchina vittima
Scott Pack
2013-05-11 18:47:22 UTC
view on stackexchange narkive permalink

Il termine utilizzato più spesso per descrivere ciò di cui stai parlando è Hacking Back. Fa parte del movimento Contromisure offensive che sta prendendo piede ultimamente. Alcune persone davvero intelligenti stanno mettendo il loro cuore e la loro anima nel capire come noi, come industria, dovremmo farlo. Ci sono molte cose che puoi fare, ma a meno che tu non sia uno stato-nazione, o abbia ordini e un contratto da uno stato-nazione le tue opzioni sono fortemente limitate.

Ci sono una serie di leggi riguardanti l'hacking di un computer che non si dispone dell'autorizzazione per hackerare, il CFAA negli Stati Uniti, il CMA in Gran Bretagna, il CHM in Australia, e l'elenco potrebbe continuare. Tutto ciò rende illegale fare ciò che vuoi fare e in alcuni casi prevede sanzioni piuttosto severe anche per le più piccole azioni.

Supponiamo che tu possa hackerare la macchina del reato senza infrangere una legge. Questo è molto meno che ideale. A volte l'indirizzo IP che hai ti indirizzerà al computer effettivo su cui si trovava l'hacker. Questo è il caso migliore e anche il meno probabile che accada. Più spesso l'indirizzo IP che hai è un intermediario innocente, cioè è più probabile che sia l'eMachine di tua nonna che è stata compromessa quando ha fatto clic su un sito Web losco durante la ricerca di strategie di canasta. Quindi, anche se c'è la possibilità che un hackeraggio possa punire chi fa del male, lo scenario più probabile è che tu rompa il collegamento della tua vecchia nonna con il mondo esterno.

La tua migliore opzione? Segnalare l'incidente alle forze dell'ordine più appropriate. A meno che non ci sia stata una perdita finanziaria significativa, probabilmente non guadagnerà molta trazione come caso individuale. Ciò che potrebbe accadere è che le tue informazioni vengano aggiunte alla pila di prove che potrebbero essere utilizzate per eliminare un gruppo numeroso.

@ ŁukaszLech: È difficile superare i nostri sentimenti iniziali di violazione e l'impulso di esigere una sorta di pedaggio. Fai abbastanza indagini e inizi a capire che in quasi tutti i casi la fonte dell'attacco non è altro che un innocente spettatore. Davvero piuttosto triste.
justausr
2013-05-11 23:54:50 UTC
view on stackexchange narkive permalink

Non giocare al loro gioco, perderai

Ho imparato a non giocare a quel gioco, gli hacker per natura hanno più tempo libero di te e alla fine lo faranno vincere. Anche se lo riprendi, il tuo sito web non sarà disponibile per i tuoi clienti per una solida settimana successiva. Ricorda, tu sei quello con server rivolti al pubblico, hai un IP di un server casuale che probabilmente ha usato una volta. È quello con un sacco di sceneggiature e probabilmente più conoscenza di quella che otterrai nella tua ricerca di vendetta. Le probabilità non sono a tuo favore e il costo per la tua attività è probabilmente troppo alto per rischiare di perdere.

Molto probabilmente non è il suo IP

Questo tipo dell'hacking è una priorità incredibilmente bassa per le forze dell'ordine e l'IP che hai probabilmente appartiene a un server a 1000 miglia di distanza da detto hacker. Se hai intenzione di ottenere il suo IP, potrebbe aver utilizzato un proxy il cui scopo non è l'anonimato, se tieni traccia delle intestazioni http, cerca intestazioni x-forwarded nelle richieste incriminate, quelle avranno più probabilmente il suo IP reale se " ci sei. Nessuno si preoccupa del concatenamento di proxy per hack "divertenti" come questo. Ma ancora, non preoccuparti, ti ha hackerato, ha vinto, se giochi al suo gioco, vincerà di nuovo. In questo momento non è personale per lui, quindi il costo di un attacco DDOS su di te non supera ancora il vantaggio.

Se devi giocare al gioco

Ho usato per configurare honeypot per gli hacker. Quando uno riusciva a entrare nel mio server intenzionalmente vulnerabile nella mia DMZ, inserivo alcuni file divertenti che sembrano importanti e portano ad altre chicche divertenti che non sono così buone per la salute di un PC. Ora, se imposto un honeypot, è solo un server di registrazione con alcune porte vulnerabili, quindi vengo avvisato dei tentativi sulla mia rete. In questo modo posso guardare un po 'più da vicino quando è importante.

Stai guardando questo sbagliato

Quando un ragazzo ti interrompe sull'autostrada e ti precipiti a riprenderlo, la sua risposta non sarà sempre positiva per la tua salute. Invece di vendicarti, pensa alla tua esperienza come a un audit di sicurezza gratuito in cui l'unica spesa era fare un lavoro che avresti dovuto fare in primo luogo. Gli hacker sono frustranti, ma le prime due volte che accadrà cambierà la tua visione della sicurezza. Ma nel complesso .... Woooooosah

Anche se è il "suo" IP, potrebbe essere una linea dinamica che può essere riassegnata ad un altro cliente.
Rory Alsop
2013-05-11 17:49:28 UTC
view on stackexchange narkive permalink

Ricorda: qualunque cosa abbiano fatto, se dai la caccia all'hacker (ammesso che tu abbia identificato quello giusto) e lo punisci,

avrai infranto la legge e il è probabile che la polizia sia in grado di dimostrare la tua colpevolezza

Non farlo. La giustizia da vigilante è per i Crociati e i supereroi mascherati!

Nota che la persona non ha detto che li avrebbe cercati e fatto qualcosa di brutto. Dicono specificamente "Come posso farli finire in prigione o qualcosa del genere?", Il che significa andare alla polizia.
Adi
2013-05-11 14:25:03 UTC
view on stackexchange narkive permalink

Ovviamente puoi punire gli hacker. Usa un servizio come GeoBytes IP Locator per conoscere il loro indirizzo. Guida lì, bussa alla porta e chi apre deve essere l'hacker. Quindi vai avanti e puniscili per la cattiva ragazza / ragazzo che sono.

Torna alla realtà. Sfortunatamente, è molto probabile che rimarranno impuniti.

A seconda della tua giurisdizione, il tuo caso potrebbe essere troppo secondario per invogliare le forze dell'ordine capaci a rintracciare il tuo aggressore. Ovviamente, ufficialmente, non te lo diranno mai. Lo segnalerai e loro ti diranno che faranno del loro meglio.

È molto probabile che il tuo aggressore stia utilizzando un servizio di anonimizzazione (come Tor), il che rende molto difficile e dispendioso in termini di risorse rintracciarlo.

Se fossi in te, chiederei a un esperto di sicurezza di valutare il mio sito e correggere le vulnerabilità per impedirlo accada di nuovo.

Tracy Reed
2013-05-12 06:17:08 UTC
view on stackexchange narkive permalink

Non c'è alcun vantaggio per te nel punire l'attaccante. È meglio spendere le tue risorse per proteggere il tuo server e andare avanti con gli affari.

artifex
2013-05-11 17:23:00 UTC
view on stackexchange narkive permalink

Quello che puoi fare direttamente è inviare un messaggio di abuso al suo ISP. Basta cercare l'ip nel database ripe.net. Nella maggior parte dei casi è elencata una mail di abuso per il proprietario dell'IP.

L'ISP prende sul serio le mail di abuso legittimo, almeno secondo me.

Inviare abusi al suo ISP ...
Questo è il modo più semplice e più probabile per "punire" effettivamente l'hacker. Nel peggiore dei casi, il proprietario di un'altra macchina che è stata hackerata scoprirà che la sua macchina è stata compromessa e, si spera, risolverà il problema. Nel migliore dei casi causi problemi con l'ISP di casa degli hacker.
Ecco come funziona Internet. Non tutti sanno dell'abuso @isp? Se questa fosse la risposta di tutti non appena vengono scoperti gli attacchi, avremmo molti meno aggressori.
Lucas Kauffman
2013-05-11 16:17:30 UTC
view on stackexchange narkive permalink

Quello che devi fare è: contattare l'ufficio di polizia locale per i crimini informatici , presentare un reclamo e sporgere denuncia contro persone sconosciute, consegnare l'indirizzo IP e potresti essere fortunato.

In realtà, le probabilità sono basse che succeda qualcosa.

C'è, in qualche parte del mondo, un ufficio o una stazione di polizia così augusta?
So che abbiamo una Federal Computer Crime Unit
afyo
2013-05-11 23:44:17 UTC
view on stackexchange narkive permalink

Se hai il tempo / la conoscenza / le risorse puoi reindirizzare il traffico dall'IP dell'attaccante a un honeypot e studiare il traffico di attacco alla fine troverai qualcosa di utile da collegare alla persona responsabile.

Assicurati di tenere d'occhio il tuo server per tenere traccia degli attacchi dai nuovi IP e dovresti aggiungere il nuovo intervallo all'elenco di reindirizzamento.

Divertiti

Le buone intenzioni possono portare a un cattivo risultato. Semplicemente non è il modo in cui funzionano le botnet: a Command & Control non importa se uno dei loro zombi smette improvvisamente di inoltrare richieste per suo conto, passa semplicemente ad altri quando viene rilevata una qualsiasi interruzione. E consentire al bot di continuare a inoltrare le richieste (anche se in modalità sandbox e non influire ulteriormente sull'host infetto) può essere un percorso pericoloso e chi lo fa è ritenuto responsabile di consentirlo. Semplicemente non lo suggerirei. Anche il team di Google ha avuto grossi problemi / riserve [nel farlo] (https://www.youtube.com/watch?v=2GdqoQJa6r4).
Amila
2013-05-12 18:30:13 UTC
view on stackexchange narkive permalink

Beh, non credo che tu possa rintracciare l'hacker usando il suo IP. Molto probabilmente sta usando una macchina / IP zombie per fare quello che vuole. La cosa migliore che puoi fare è denunciare alle autorità tutti i dettagli che hai & per rafforzare la tua sicurezza.

Assicurati che il tuo sito web rimanga utilizzabile e facile da usare mentre rafforzi la sicurezza.

Java D
2013-07-16 12:50:33 UTC
view on stackexchange narkive permalink

Penso che l'indirizzo IP che hai ottenuto potrebbe essere un indirizzo proxy .. perché chi sa come hackerare deve sapere come nascondere il proprio IP reale .. Quindi aumenta il livello di sicurezza del tuo sito web. e difendi il tuo sito web .. perché ormai un hacker fa tutto questo facilmente e non può essere catturato ..

Grazie ..

Si prega di prestare attenzione a ciò che è già stato risposto. Non stai davvero fornendo nuovi spunti sull'argomento discusso qui e stai semplicemente ripetendo punti che altri hanno fatto prima di te. Potrei dire, in modo molto più chiaro anche in questo. Grazie!


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...