Domanda:
In che modo un'azienda può garantire che i criminali informatici distruggano i dati compromessi dopo il pagamento?
Gnubie
2020-07-21 19:29:07 UTC
view on stackexchange narkive permalink

Il provider di cloud computing Blackbaud ha segnalato su https://www.blackbaud.com/securityincident "... il criminale informatico ha rimosso una copia di un sottoinsieme di dati dal nostro ambiente self-hosted. .. . abbiamo pagato la richiesta del criminale informatico con la conferma che la copia rimossa era stata distrutta. "

Come può l'azienda essere certa che i dati vengano distrutti e quale riparazione può ottenere se in seguito si scopre che il i dati vengono trasmessi dopo il pagamento?

Non sono riuscito a trovare alcuna soluzione tecnica su Google. Immagino che l'unica garanzia sia la "reputazione" dei criminali: se questi particolari criminali sono ben noti e si sparge la voce che hanno fatto trapelare i dati nonostante siano stati pagati, le vittime future sono meno disposte a pagarli (?).

L'articolo dice: "Sulla base della natura dell'incidente, della nostra ricerca e delle indagini di terze parti (comprese le forze dell'ordine), non abbiamo motivo di credere che [...] i dati siano stati o saranno utilizzati in modo improprio".Avrebbero potuto provare a trovare i dati rubati sul mercato nero, o provare a contattare i criminali fingendo di essere altri criminali disposti a pagare per i dati rubati (e hanno confermato che i dati non erano disponibili), ma dubito che siano andati davvero così lontano.Non c'è modo di sapere cosa hanno coinvolto esattamente le loro ricerche e indagini.
Solo se si tratta di un criminale onesto.
È interessante notare che il modello di reddito dei criminali va in pezzi se non si ritiene che distruggano i dati, quindi spesso è nel loro interesse convincere tutti che lo fanno.E il modo migliore per costruire quella fiducia è farlo davvero.
Come ha affermato @MooingDuck, i criminali informatici hanno un forte interesse a essere in grado di aiutarti a verificare la loro identità come una delle bande che mantengono la parola data.Quindi è necessario verificare la loro identità, molto attentamente.Se non puoi verificare che siano chi affermano di essere, non hai davvero un incentivo a pagare.Hanno un grande incentivo per aiutarti a verificare.
Sette risposte:
#1
+105
Steffen Ullrich
2020-07-21 19:45:01 UTC
view on stackexchange narkive permalink

Come può l'azienda essere certa che i dati vengano distrutti,

Non può essere certo. L'unica speranza che sia parte del modello di business dei criminali mantenere una buona reputazione è che si ottiene ciò che viene affermato.

Ma i modelli di business potrebbero cambiare. Ad esempio, se l'attività di ransomware esistente non fornisce più profitti sufficienti, potrebbe valere la pena controllare se si possono ottenere maggiori profitti dai dati raccolti in precedenza (e non effettivamente eliminati).

... quale riparazione può ottenerlo se in seguito viene rilevato che i dati vengono trasmessi dopo il pagamento?

Nessuno. Hanno a che fare con i criminali in primo luogo.

Sebbene non possano esserne certi, in alcuni casi potrebbero essere ragionevolmente fiduciosi.Dal momento che nessuno qui conosce i dettagli specifici dell'accordo, possiamo solo speculare, ma è possibile che un'agenzia delle forze dell'ordine sia stata coinvolta nella negoziazione e che l'accusa avverrà solo se le informazioni verranno successivamente rivelate.La società potrebbe voler evitare l'azione penale perché porterebbe alla rivelazione di informazioni riservate in tribunale.Se il criminale in seguito viola l'accordo, potrebbe essere perseguito.Forse il criminale era un ex dipendente con un reclamo, per esempio.
Tieni presente che la loro reputazione viene danneggiata solo se è possibile risalire a una perdita.Se ti affidi a loro per essere uno scorpione ben educato mentre gli dai un passaggio attraverso il fiume, passerai un brutto momento.
Ciò si basa sull'idea che tu sappia quale criminale ha ottenuto l'accesso ai tuoi dati.Se non sono pessimi nel loro lavoro, dovrebbero essere completamente anonimi.Anche se in seguito avessero fatto trapelare i dati nonostante il tuo pagamento, quale reputazione sarebbe stata danneggiata?
I criminali di @KevinWells possono essere pseudo-non immensi e i criminali di furto di dati potrebbero essere recidivi.
#2
+17
Philipp
2020-07-22 15:11:28 UTC
view on stackexchange narkive permalink

Non possono. Non c'è modo di dimostrare che uno non possiede alcune informazioni. Quindi, ogni volta che qualcuno afferma di aver distrutto tutte le copie che aveva di un'informazione, non hai altro che la loro parola che questo è vero.

Inoltre, hai a che fare con criminali.Sono abbastanza sicuro che mentirebbero tanto quanto un politico.
#3
+9
fraxinus
2020-07-23 13:36:11 UTC
view on stackexchange narkive permalink

La reputazione è una risorsa importante per un estorsore. Non saranno pagati se si sa che non obbediscono agli accordi.

Inoltre, l'anonimità è un'altra risorsa importante per qualsiasi criminale (come nel non essere catturati e perseguiti).

Quindi, in pratica, tutti questi estorsori condividono un "corpo di reputazione" comune e ognuno di loro ha il proprio " dilemma del prigioniero". Possono cercare di ottenere un po 'più di soldi e rovinare gradualmente il modello di business per tutti che fanno lo stesso (compresi se stessi) e anche affrontare una certa resistenza da parte dei loro colleghi - oppure - obbedire agli accordi, non ottenere i soldi extra ora e mantenere forte il modello di business .

I crimini di dati hanno anche la particolarità in più che i criminali possono conservare i dati a tempo indeterminato e decidere il dilemma in un secondo momento o perdere il controllo sui dati (e farsi estorcere loro stessi). Conservando i dati, rischiano anche che i dati e la loro connessione ad essi vengano trovati in seguito dalle forze dell'ordine.

La pratica mostra che nella maggior parte (ma non in tutti!) I casi gli estorsori obbediscono agli accordi.

Avere un'identità coerente dimostrabile è probabilmente la chiave per questi grandi gruppi di randomware.Se vieni hackerato dal "gruppo xyz" e il messaggio è firmato da "xyz", puoi quindi ddg "xyz randomsomeware" e vedere se qualcun altro ha pagato e quale è stato il risultato.Certo, non puoi mai provare che i dati verranno eliminati, ma puoi essere abbastanza sicuro che recupererai i tuoi dati se altri li hanno recuperati in passato.Avere un'identità coerente dimostrabile è facile con una chiave gpg privata, così puoi essere certo di non avere a che fare con "abc", un imitatore di "xyz".
Essere d'accordo.Dipende dal grado di organizzazione del crimine.In questo caso, hanno la loro reputazione e anche piani per il futuro.
"La pratica mostra che nella maggior parte (ma non in tutti!) I casi gli estorsori obbediscono agli accordi".Come lo sappiamo?
I messaggi di estorsione ripetuta sono piuttosto rari nei media.
@AnoE Abbiamo molti rapporti di persone che recuperano i propri dati e pochissimi rapporti sui dati vengono visualizzati anche altrove
Nota: nel caso in cui ho chiesto, non si tratta tanto di recuperare i dati, ma di garantire che i dati non vengano utilizzati.
#4
+3
RockPaperLz- Mask it or Casket
2020-07-23 16:22:24 UTC
view on stackexchange narkive permalink

Non c'è modo di sapere se il criminale ha effettivamente cancellato i dati.

Tutti i dati leggibili possono essere copiati e le copie possono essere crittografate per impedire il rilevamento.

Immagino che i criminali raramente cancellano effettivamente i dati in questo tipo di situazioni. Presumo che ne tengano una copia:

  1. per uso personale
  2. da vendere prima di andare completamente sottoterra, o
  3. da vendere in frammenti in modo che il la fonte originale sarà difficile da rilevare

Quando un'azienda afferma che tutte le copie di dati compromessi sono state eliminate, è saggio trattare tale reclamo con grande sospetto.

#5
+2
usr-local-ΕΨΗΕΛΩΝ
2020-07-23 18:57:11 UTC
view on stackexchange narkive permalink

Dal punto di vista del crimine-business, le cose possono solo peggiorare.

Tecnicamente, i dati che vengono copiati non possono essere eliminati o autodistrutti in remoto, né può essere impedito di fare copie aggiuntive. Non trovare i dati rubati già nel mercato nero è inutile. I criminali potrebbero voler tenere tali dati in frigo per un uso futuro.

Entrambi A mio parere, e a giudicare dai casi passati di sextortion , il caso potrebbe comportare un ricatto infinito fino al raggiungimento di una determinata condizione.

Nei casi di sextortion noti, i criminali non hanno mai cancellato il materiale offensivo e hanno continuato a ricattare le vittime per pagare un piccolo paga regolarmente per mantenere il materiale privato. Questo ha molti punti in comune con la mafia regualr che richiede denaro dai proprietari dei negozi.

I criminali informatici stanno iniziando a comportarsi come la mafia tradizionale, ma possono usare la tecnologia per rimanere per lo più anonimi senza bisogno di consenso, corruzione o minaccia agli agenti di polizia.

È credibile che nuove attività criminali si trasformeranno in richieste di riscatto intese a non divulgare ancora le informazioni rubate.

Si può ipotizzare che il riscatto finirà quando i dati rubati saranno abbastanza obsoleti in modo che il danno causato dalla pubblicazione di informazioni non sia sufficiente a coprire le tariffe attuali, passate e future (aneddoto: se stai vivendo tutto la tua vita in un appartamento in affitto, avresti dovuto comprarlo molto tempo fa), o quando la società è pronta per essere messa fuori uso a favore di una nuova società che eredita molti beni.

Queste sono solo ipotesi

Questo sembra rispondere a una domanda diversa ("cos'è il crimine informatico") ...
#6
+1
Fax
2020-07-24 21:10:48 UTC
view on stackexchange narkive permalink

Le altre risposte si concentrano sul fatto che non è possibile, quindi mi concentrerò invece su come potrebbe essere possibile. Lascerò al lettore determinare se è realistico o meno.

Terza parte attendibile

Sta interamente all'autore dell'attacco creare un sistema in cui possa dimostrarlo i dati sono al sicuro. Una volta che hanno i dati nelle loro mani, è troppo tardi. Ecco perché devono fornire i dati direttamente a una terza parte di cui si fidano sia loro che l'azienda. È anche fondamentale che la terza parte fornisca le informazioni necessarie per dimostrare sia di avere i dati (ad esempio nomi di file e dimensioni) sia che nessuno vi abbia avuto accesso (ad esempio un conteggio dei download).

Ecco come un l'attacco potrebbe andare:

  1. L'autore dell'attacco convince un dipendente a caricare i dati su un account di terze parti tramite l'ingegneria sociale. L'autore dell'attacco controlla questo account e può potenzialmente scaricare i dati.
  2. L'autore dell'attacco mostra la prova del caricamento all'azienda e presenta la richiesta.
  3. Quando viene pagato il riscatto, l'attaccante consegna l'account di terze parti all'azienda, che quindi blocca l'autore dell'attacco dall'account.
  4. L'azienda verifica con la terza parte che i dati non sono stati aperti, quindi elimina l'account e tutti i dati.

Nota quanto siano estremamente limitati i vettori di attacco. L'attacco funziona solo se qualcuno di cui l'azienda si fida carica i dati. Inoltre, l'aggressore è molto limitato nell'infiltrarsi nell'azienda: se inavvertitamente si concedesse un accesso inudibile ai dati, ciò renderebbe insignificante quanto sopra.

Interessante soluzione teorica, @Fax
#7
-17
nick012000
2020-07-22 14:26:41 UTC
view on stackexchange narkive permalink

Infetta deliberatamente i tuoi sistemi con virus che si attivano quando vengono rimossi dalla tua rete.

Come assicurarti che gli hacker cancellino i tuoi dati rubati? Non sono un professionista della sicurezza informatica, ma ecco un'idea: infettare tutto con virus informatici che distruggeranno i loro computer se non lo fanno. Se i dati scaricati rimangono crittografati o li eliminano, non avranno nulla di cui preoccuparsi. Tuttavia, se lo decrittano in modo da poter raccogliere dati per la vendita sul mercato nero, i virus controlleranno la loro posizione e, quando scopriranno che non sono più nel tuo sistema, potranno iniziare a devastare le macchine dell'hacker.

Ovviamente, questo funzionerebbe solo se si implementano queste misure prima che si verifichi la violazione e si vorrebbe assicurarti che la tua API elimini questi virus prima di inviare qualsiasi dato agli utenti autorizzati del tuo servizio cloud . Inoltre, avere ogni file (o alcuni determinati sottoinsiemi) che controlla periodicamente la loro posizione consumerebbe senza dubbio potenza di calcolo e ridurrebbe l'efficienza della tua piattaforma di cloud computing, aumentando così il costo di esecuzione. Inoltre, queste misure potrebbero non essere legali in tutte le località e potrebbero renderti responsabile per i danni che gli hacker hanno subito a seguito dell'attivazione della tua trappola esplosiva.

Dovresti anche progettare il tuo database cloud per utilizzare un tipo di file in grado di trasportare anche un payload virale, come documenti Microsoft Word o Excel.

I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (https://chat.stackexchange.com/rooms/111029/discussion-on-answer-by-nick012000-how-can-a-company-ensure-cybercriminals-destr).


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...